安全风险评估之信息资产赋值

XX公司信息安全风险评估报告一、信息安全与信息安全风险评估概述（一）信息安全风险信息安全风险指信息资产的可用性、保密性、完整性受到破坏的可能及其对XX公司（下称“XXXX”）造成的负面影响。

基于安全风险，信息安全管理的核心在于通过识别风险、选择对策、实施对策以减缓风险，最终保证信息资产的保密性、安全性和可用性能够满足XXXX 要求。

对于XXXX而言，获得信息和信息系统的稳定支持，是将信息安全风险降到最低，从而实现投资商业目标的重要保障。

（二）信息安全风险评估信息安全风险评估是参照XXXX规章制度和风险评估标准，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。

本次信息安全风险评估参考文件有：《XXXX有限责任公司风险管理办法》、《XXXX有限责任公司风险管理指引》、《XXXX有限责任公司风险政策指引》、《XXXX有限责任公司固定资产管理办法》、国家标准《信息系统安全等级评测准则》等。

（三）风险评估相关概念风险评估涉及如下概念：1、资产：任何对XXXX有价值的事物，包括计算机硬件、通信设施、数据库、软件、信息服务和人员等。

2、威胁：指可能对资产造成损害的事故的潜在原因。

例如，XXXX 的网络系统可能受到来自计算机病毒和黑客攻击的威胁。

3、脆弱点：是指资产或资产组中能被威胁利用的弱点。

如员工缺乏信息安全意识，OA系统本身有安全漏洞等。

4、安全需求：为保证XXXX业务战略的正常运作而在安全措施方面提出的要求。

5、风险：特定威胁利用资产的脆弱点给资产或资产组带来损害的潜在可能性。

6、残留风险：在实施安全措施之后仍然存在的风险。

7、风险评估：对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。

二、信息安全风险评估工作设计（一）信息安全风险评估目的此次风险评估的目的是全面、准确地了解XXXX的信息管理安全现状，发现系统的安全问题及其可能的危害，为保证系统的最终安全提供建议。

信息资产赋值定义1.为什么要进行信息资产的赋值？在完成信息资产的识别形成完整的信息资产表之后，为了明确对资产的保护，同时为了接下来对风险值的计算，有必要对资产的价值进行评估，其价值大小不仅仅是考虑其自身的价值，还要考虑其业务的相关性和一定条件下的潜在价值。

资产价值常常是以安全事件发生时所产生的潜在业务影响来衡量，安全事件会导致资产机密性、完整性和可用性的损失，从而导致企业资金、市场份额、企业形象的损失。

为了资产评估的一致性与准确性，我们建立一套资产价值的评估标准，对每一种资产和每一种可能的损失，例如机密性、完整性和可用性的损失，都可以赋予一个价值。

但采用精确的方式给资产赋值是较困难的一件事，一般采用定性的方式，按照资产的价值评估标准将资产的价值划分为不同等级。

经过资产的识别与估价后，组织应根据资产价值大小，进一步确定要保护的关键资产。

在评估过程，为了保证没有资产被忽略和遗漏，应该先确定信息安全体系范围，建立资产的评审边界。

评估资产最简单的方式是列出组织业务过程中、安全管理体系范围内所有具有价值的资产，然后对资产赋予一定的价值，这种价值应该反映资产对组织业务运营的重要性，并以对业务的潜在影响程度表现出来。

例如，资产价值越大，由于泄露、修改、损害、不可用等安全事件对组织业务的潜在影响就越大。

基于组织业务需要的资产的识别与估价，是建立信息安全体系，确定风险的重要一步。

2.如何进行信息资产赋值？在对资产赋予价值时，一方面要考虑资产购买成本及维护成本，另一方面主要考虑当这种资产的机密性、完整性、可用性受到损害时，对业务运营的负面影响程度。

在信息安全管理中，并不是直接采用资产的账面价值，而是采用以定性分级的方式建立资产的相对价值，以相对价值来作为确定重要资产的依据和为这种资产的保护投入多大资源的依据。

对资产的赋值不仅要考虑资产本身的价值，更重要的是要考虑资产的安全状况对于组织的重要性，即由资产在其CIA三个安全属性上的达成程度决定。

信息资产识别指南版本记录批准人（签名）：日期:信息资产识别指南1.目的为规范信息安全风险评估过程中，对信息资产的识别、分类和赋值，以产生一致的、可比较的结果，特制定本指南。

2.适用范围本规范适用于信息安全风险评估过程中的，对信息资产的识别、分类和赋值。

3.术语和定义无4.相关/支持性文件•《信息安全风险评估程序》•《记录控制程序》5.6.程序内容资产是企业、机构直接赋予了价值因而需要保护的东西。

它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。

通常信息资产的保密性、完整性和可用性是公认的能够反映资产安全特性的三个要素。

信息资产安全特性的不同也决定了其信息价值的不同，以及存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。

为此，有必要对企业、机构中的信息资产进行科学识别，以便于进行后期的信息资产抽样、制定风险评估策略、分析安全功能需求等活动。

资产还具有很强的时间特性，它的价值和安全属性都会随着时间的推移发生变化，所以应该根据时间变化的频度制定资产相关的评估和安全策略的频度。

6.1.资产分类在一般的评估体中，资产大多属于不同的信息系统，如OA系统，网管系统，业务生产系统等，而且对于提供多种业务的机构，业务生产系统的数量还可能会很多。

这时首先需要将信息系统及其中的信息资产进行恰当的分类，才能在此基础上进行下一步的风险评估工作。

下表为6.3.资产影响赋值本指南所指资产赋值是对资产安全价值的估价，而不是以资产的账面价格来衡量的。

在对资产进行估价时，不仅要考虑资产的成本价格，更重要的是考虑资产对于组织业务的安全重要性，即根据资产损失所引发的潜在的商务影响来决定。

为确保资产估价时的一致性和准确性，机构应按照上述原则，建立一个资产价值尺度（资产评估标准），以明确如何对资产进行赋值。

资产估价的过程也就是对资产保密性、完整性和可用性影响分析的过程。

影响就是由人为或突发性引起的安全事件对资产破坏的后果。

信息安全风险评估内容与实施流程安全评估是信息安全风险管理的必要手段，只有有效评估了系统面临的安全风险，才能充分掌握信息系统安全状态，才能确定安全防护的重点与要点，并有针对性地采取控制措施，使信息安全风险处于可控制的范围内。

安全评估适用于XXXX公司信息系统全生命周期，为信息系统的安全建设、稳定运行和改造提供重要依据，并且是信息系统安全等级确定过程中不可或缺的技术手段。

为了规范安全评估工作，XXXX公司2004年颁布了《XXXX公司信息安全风险评估规范（试行）》（以下简称《评估规范》）。

为配合《评估规范》的落实，XXXX公司组织XXXX公司内外的专业机构，参照国家和国际相关标准与规范，在总结XXXX公司以往安全评估实践的基础上，编制本指南以有效指导、规范与帮助XXXX公司进行安全评估工作。

信息系统的评估流程参照国内外的电力行业标准、规范制定，包括项目实施流程和现场工作流程两部分。

项目实施流程是一次评估工作整体的框架结构，现场工作流程是评估的核心部分。

1.1评估内容XXXX公司信息系统安全评估的主要内容包括：资产评估、威胁评估、脆弱性评估和现有安全措施评估。

1.1.1资产评估资产评估是确定资产在信息安全属性（机密性、完整性、可用性等）缺失时，对信息系统造成的影响的过程。

在实际的评估中，资产评估包含信息资产识别、资产赋值等内容。

1)资产识别资产识别是对信息资产分类、标记的过程。

在确定评估抽样范围后，需要对抽样资产进行识别。

资产识别是为了了解资产状况、确定资产价值而进行的风险管理的准备工作。

在一个信息系统中，资产的形式和内容各不相同，将资产进行分类，按照资产类型进行具体的评估是评估的基本方法之一。

参照《信息安全管理实施细则》（即ISO/IEC TR 17799）对信息资产的描述和定义，将行业企业信息资产按照下面的方法分类：表4.1 信息资产分类表资产识别是评估的入口点。

对评估范围内的资产进行分类识别，是进行系统的和结构化风险分析的基础。

风险评估的关键内容说明银行信息安全风险评估是对信息资产价值、面临的威胁、存在的弱点及三者综合作用而带来风险的可能性和影响的评估。

在风险评估过程中，对威胁信息资产的可能性、严重性的取值定义及风险处置措施的制定从以下几个方面考虑：1）要确定需要保护的信息资产的范围及具体信息资产，明确信息资产的直接和间接价值。

2）确定信息资产面临的潜在威胁，威胁发生的可能性有多大。

3）确定信息资产中存在的可能会被威胁所利用的弱点，以及利用的容易程度。

4）确定一旦威胁事件发生，给银行带来的操作风险、法律风险、信誉风险。

5）对识别出的信息科技风险，银行应采取相应的风险处置措施将信息安全风险带来的损失降低到可接受的程度。

总的来说，银行风险评估应关注定量与定性的评估方法、信息资产的分类和分级、威胁的分类和分级、资产弱点的严重性、风险的计算等关键内容。

一、定量与定性的评估方法信息安全风险评估方法有两种：定量的方法和定性的方法。

定量分析是试图从财务价值上对构成风险的各项要素（特别是资产）进行量化分析评估的一种方法，由于定量分析所依赖数据的可靠性和有效性很难保证，加之对数据统计缺乏长期性，所以，定量分析的方法在银行信息安全风险评估中并不常用，取而代之的是更容易实施的定性分析方法。

定性风险评估并不一定要对构成风险的各个要素（特别是资产）进行精确的量化评价，它借助评估者的经验判断、业界惯例及银行自身定义的标准，来对风险要素进行相对的等级分化，最终得出的风险大小，只需要通过等级差别来分出优先顺序即可。

事实上商业银行最关心的是业务活动的持续性，对于影响业务活动持续性的各种风险问题，在有限的资源支持情况下，只需要抓住最突出的问题，有针对性地采取措施即可。

信息安全风险评估是依据有关的政策法规及商业银行相关信息技术标准，对系统及由其处理、传输和存储信息的保密性、完整性和可用性等安全属性进行综合评估的活动过程。

风险评估包括对信息资产的弱点、信息资产面临的威胁及其发生的可能性，以及弱点被威胁利用后所产生的负面影响，并根据安全事件发生的可能性和负面影响的程度来标识信息资产的安全风险。

1资产识别
1.1资产数据采集
1.1.1资产采集说明
通过资产调查和现场访谈，对信息系统的相关资产进行调查，形成资产列表。

采集工作在前期调研的基础上开展，以调研所得的设备列表为依据，将所有与信息系统有关的信息资产核查清楚。

1.1.2资产采集检测表
1.2资产分类识别
1.2.1资产分类说明
将所采集的资产数据按照资产形态和用途进行分类，形成资产分类表。

信息系统的资产一般可分为硬件、软件、文档与数据、人力资源、服务和其它资产等几大类。

1.2.1.1硬件
1.2.1.2软件
1.2.1.3文档与数据
一般指保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等。

1.2.1.4人力资源
人力资源一般包括掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等。

1.2.1.5服务
1.2.1.6其它资产
其它资产是指一些无形的但同样对于企业本身具有一定的价值，如企业形象、客户关系等。

1.2.2资产分类检测表
1.2.3网络拓扑中常用的硬件资产
1.3资产赋值
1.3.1资产保密性赋值
1.3.2资产完整性赋值
1.3.3资产可用性赋值
1.3.4资产安全特性综合评定赋值
1.3.5资产脆弱性赋值
1.4资产部分评估实例1.4.1资产分类赋值表
1.4.2资产脆弱性分析
信息资产风险等级判定表如下所示：
依据对该银行系统信息资产风险计算的结果，按信息资产风险值的高低，形成如下风险列表：。

ISMS信息安全风险评估
ISMS建设过程中，信息安全风险评估是其最主要的技术路线和ISMS建设效果评估的依据。

在信息安全领域，信息安全风险评估也形成了诸多国际标准和国内标准。

本文所涉及的内容主要是《信息安全风险评估规范》等国家标准。

以下就相关内容做一个简要描述。

信息安全风险评估包括四个主要方面的内容，即资产识别、威胁识别、脆弱性识别和风险评估。

它们之间的关系如图2.3所示：
在图2.3中，风险评估的最主要环节是资产识别、威胁识别和脆弱性识别。

下面就其含义作一个简介：
①资产识别
安全的目的始终都是保障组织业务的正常运行。

因此，资产识别的过程就是将组织的业务工作这个抽象的概念逐步分解成定性、定量的资产安全性分析，或者说将组织的业务安全映射成资产的安全，使得我们能够科学的把握组织的业务安全需求及其变化。

资产识别包括资产分类和资产赋值两个环节。

②威胁识别
与资产识别相类似，威胁识别分为威胁分类和威胁赋值两个环节。

威胁识别的方法形象地讲就是“植树、剪枝、统计”，见图2.4：
③脆弱性识别
与资产识别和威胁识别略有不同，脆弱性识别分为脆弱性发现、脆弱性分类、脆弱性验证和脆弱性赋值等四个环节。

表2.1是脆弱性分类表。