风险评估实施方案.doc

一、风险评估概述1、风险服务的重要性对于构建一套良好的信息安全系统，需要对整个系统的安全风险有一个清楚的结识只有清楚的了解了自身的弱点和风险的来源，才可以真正的解决和削弱它，并以此来构建有着对性的、合理有效的安全策略，而风险评估既是安全策略规划的第一步，同时也是实行其他安全策略的必要前提近几年随着几次计算机蠕虫病毒的大规模肆虐袭击，很对用户的网络都遭受了不同限度的袭击，仔细分析就会发现，几乎所有的用户都部署了防病毒软件和类似的安全防护系统，越来越多的用户发现淡村的安全产品已经不能满足现在的安全防护体系的需求了安全是整体的体系建设过程，根据安全的木桶原理，组织网络的整个安全最大强度取决于最短最脆弱的那根木头，所以说在安全建设的过程中，假如不仔细的找到最短的那根木头，而盲目的在外面加钉子，并不能改善整体强度信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制，只有通过全面的风险评估，才干让客户对自身信息安全的状况做出准确的判断2、风险评估服务的目的及其意义信息安全风险是指人为或自然的威胁运用信息系统及其团里体系中存在的脆弱性导致安全事件的发生及其对组织导致的影响信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其解决、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。

他要评估资产面临的威胁以及威胁运用脆弱性导致安全事件的也许性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组导致的影响信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法，其结果为信息安全更显管理提供依据3、风险评估服务机制在信息系统生命周期里，有许多种情况必须对信息系统所涉及的人员、技术环境、物理环境进行风险评估：l 在设计规划或升级新的信息系统时；l 给目前的信息系统增长新应用时；l 在与其他组织（部门）进行网络互联时；l 在技术平台进行大规模更新（例如，从Linux系统移植到Sliaris系统）时；l 在发生计算机安全事件之后，或怀疑也许会发生安全事件时；l 关心组织现有的信息安全措施是否充足或食后具有相应的安全效力时；l 在组织具有结构变动（例如：组织合并）时：l 在需要对信息系统的安全状况进行定期或不定期的聘雇、已查看是否满足组织连续运营需要时等4、风险评估服务的收益l 风险评估可以帮助客户：l 准确了解租住的信息安全现状；l 明晰组织的信息安全需求；l 制定组织信息系统的安全策略和风险解决方案；l 指导组织未来的信息安全建设和投入；l 建立组织自身的信息安全管理框架。

二、风险评估服务介绍本公司遵循公认的ISO 27001、GB/T 20984-2023信息安全风险评估规范以及国际信息安全等级保护指南等安全标准知道风险评估的工作，针对资产重要限度分别提供不同的频率和方式的风险评估，帮助客户了解客观真实的自身网络系统安全现状，规划适合自己网络系统环境的安全策略，并根据科学合理的安全策略来实行后续的安全服务、选型与部署安全产品以及建立有效的安全管理规章制度，从而全面完整的解决也许存在的各种风险隐患1、风险评估服务遵循标准在整个评估过程中，本公司遵循和参照最新、最权威的信息安全标准，作为评估实行的依据这些安全标准涉及：安全技术标准：l GB 17859：计算机信息系统安全保护等级划分准则l GB 18336（ISO 15408）：信息技术-安全技术-信息技术风险评估准则（等同于Common Criteria for Information Technology Security Evaluation V1.2，简称CC V1.2）l CVE：Common Vulnerabilities ＆ Exposures，通用脆弱性标准CVE是个行业标准，为每个漏洞和弱点拟定了惟一的名称和标准化的描述，可以称为评价响应入侵检测和漏洞扫描等工具产品和数据库的基准安全管理标准：l ISO/IEC 27001: 2023 Information Technology-Security techniques-Information security management systems-Requirements，信息技术-安全技术-信息安全管理体系规定l ISO/IEC 27005:2023 Information Technology- Security echniques-Information security risk management，信息技术-安全技术-信息安全风险管理l GB/T 22239-2023 信息安全技术 信息系统安全等级保护基本规定l 信息安全等级保护 信息系统安全管理规定（送审稿）l ISO 13335，信息技术-安全技术-IT安全管理指南l GB/Z 24364 2023 信息安全技术 信息安全风险管理指南风险评估实行方法：l GB/T 20984-2023：信息安全风险评估规范（最新国家标准）l NIST SP 800-30：RiSk Management Guide for Information Technology Systems，信息技术系统风险管理指南（美国国家标准和技术学会发布）l NSA IAM：INFOSED Assessment Methodology，信息风险评估方法（美国国家安全局发布）l OCTAVW：The Operationally Critical Threat，Asset，and Vulnerability Evaluation，可操作的关机那威胁、资产和脆弱性评价l 信息技术 安全技术 信息系统安全保障等级评估准则l SSE-CMM：The Systems Security Engineering Capability Maturity Model，安全系统工程能力成熟度模型2、风险评估服务实行原则（1）保密性原则本公司对安全服务的实行过程和结果将严格保密，在未经客户授权的情况下不会泄漏给任何单位和个人，不会运用此数据并进行热呢侵害客户权益的行为。

2）标准性原则服务设计和实行的全过程均依据国内或国际的相关标准进行3）规范性原则本公司在各项安全服务工作中的过程和文档，都具有很好的规范性，可以便与项目的跟踪和控制4）可控性原则服务所使用的工具、方法和过程都会在本公司与客户双方认可的范围之内，服务进度遵守进度表的安排，保证双方对服务工作的可控性5）整体性原则服务的范围和内桶整体全面，设计的IT运营的各个层面，避免由于漏掉导致未来的安全隐患6）最小影响原则服务工作尽也许小的影响信息系统的正常运营，不会对现有业务导致显著影响3、风险评估对象及内容本公司风险评估服务重要涉及以下内容：（1） 物理环境安全性评估（2） 网络架构安全性评估（3） 主机系统设备安全性评估l 服务器系统l 桌面主机l 网络设备（路由器、互换机）（4） 应用系统安全性评估l 通用应用服务（WEB、FTP、Mail、DNS等）l 专用业务系统（B/S、C/S）l 数据库（5） 机密数据安全控制保障评估（机密信息的生成、传递、存储等过程）（6） 信息安全管理组织架构和理性评估（7） 信息安全管理制度及安全性评估（8） 人员安全管理状况评估（9） 安全产品和技术应用状况有效性及合理性评（10） 相应重大紧急安全事件的解决能力评估（11） ……4、风险评估方法为了确切、真实地反映信息系统现状，本公司在风险评估过程中使用到的方法有顾问访谈、工具扫描、专家经验分析、实地勘察、渗透测试、策略审查六种，如下图所示：图 风险评估方法5、成果输出l 《风险评估安全现状综合分析报告》l 《风险评估安全解决方案》四、风险评估服务框架及流程1、风险要素关系信息是一种资产，资产所有者应对信息资产进行保护，通过度析信息资产的脆弱性来拟定威胁也许运用那些弱点来破坏其安全性。

风险评估要辨认资产相关要素的关系，从而判断资产面临的风险大小风险评估中各个要素的关系如下图所示：图 风险要素关系示意图图中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性风险评估围绕其基本要素展开，在对这些要素的评价过程中需要充足考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性图中的风险要素及属性之间存在着以下关系：l 业务战略依赖资产趋去实现；l 析产是有价值的，组织的业务战略对资产的依赖度越高，资产价值就越大；l 资产价值越大则其面临的风险越大；l 风险是由威胁引发的，资产面临的威胁越多测风险越大，并也许演变成安全事件；l 弱点越多，威胁运用脆弱性导致安全事件的也许性越大；l 脆弱性时未被满足的安全需求，威胁要通过运用脆弱性来危害资产，从而形成风险；l 风险的存在及对风险的结识导出安全需求；l 安全需求可通过安全措施得以满足，需要结合资产价值考虑实行成本；l 安全措施可抵御威胁，减少安全事件的发生的也许性，并减少影响；l 风险不也许也没有必要降为零，在实行了安全措施后还会有残留下来的风险，有些残余风险来自于安全措施也许不妥或无效，在以后需要继续控制，而有些参与风险则是在综合考虑了安全成本与效益后为控制的风险，是可以被接受的；l 参与风险应受到密切监视，他也许会在将来有发心的安全事件。

2、风险分析风险分析示意图如下图所示：图风险评估分析中重要涉及资产、威胁、脆弱性等基本要素每个要素有各自的属性，资产的属性是资产价值；威胁的属性是威胁出现的频率；脆弱性的属性是资产弱点的严重限度风险分析重要内容为：对资产进行辨认，并对资产的重要性进行赋值；对威胁进行辨认，描述威胁的属性，并对威胁出现的频率赋值；对资产的脆弱性进行辨认，并对具体资产的脆弱性的严重限度赋值；根据威胁和脆弱性的辨认结果判断安全事件；根据脆弱性的严重限度及安全事件所作用资产的重要性计算安全事件的损失；根据安全事件发生的也许性以及安全事件的损失，计算安全事件一旦发生对组的影响，即风险值3、风险评估实行流程本公司在进行风险评估服务过程中，将严格参照GB/T 20984-2023《信息安全风险评估规范》国家标准所定义的服务流程规范来实行，整个实行流程如下图所示：信息安全风险评估实行流程（1） 准备阶段风险评估的准备过程是进行风险评估的基础，是整个风险评估过程有效性的保证风险评估作为一种战略型的考虑，其结果将受到组织的业务需求及战略目的、文化、业务流程、安全规定/规模和结构的影响不同组织对于风险评估的实行过程也许存在不同的规定，因此在风险评估实行前，需要做好以下准备工作：a）拟定风险评估的范围；b）拟定风险评估的目的；c）建立适当的组织结构；d）建立系统性的风险评估方法；e）获得高层管理者对风险评估策划的批准。

2）风险辨认阶段a）信息资产辨认资产是组织直接赋予了价值因而需要保护的东西他也许是以多种形式存在，有无形的、有有型的，有硬件、有软件，有文档、代码，也有服务、组织形象等他们分别具有不同的价值属性和存在特点，存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同组织的信息资产是组织资产中与信息开发、存储、转移、分发等过程直接、密切相关的部分不同的信息资产具有不同的安全属性，机密性、完整性和可用性分别反映了资产在三个不同方面的特性安全属性的不同通常也意味着安全控制、保护功能需求的不同此阶段的工作就是通。