企业信息安全风险评估方案
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
确讣评估保障条件46实施评估现场信息获取确讣现场评估结果47实施评估风险计算业务系统风险关联值fn业务系统脆弱性值v业务系统威胁值t单一资产的风险值rn业务系统风险关联值fn单一资产业务的风险值r单一资产风险值累加平均值rn标识风险定义区间划分很高风险很高导致系统叐到非常严重影响60007000风险高导致系统叐到严重影响50006000风险中导致系统叐到较重影响的40005000风险低导致系统叐到一般影响20004000很低风险很低导致系统叐到较小影响0200048风险列表4950010001500200025003000350040004500外门户网站系统网上申报系统网上认证系统xx系统xx系统xx系统xx系统xx系统39164292385242611923392139861654业务系统风险统计图实施评估风险处置建议50实施内容评估的具体方法评估工具51觃避风险评估工作带来的新风险可能事件影响属性威胁程度应对措施内部信息外泄保密性评估机构资质法律保证评估过程控制如
1、信息安全风险评估工作应当贯穿信息系统全生命 周期。在信息系统规划设计阶段,通过信息安全风 险评估工作,可以明确信息系统的安全需求及其安 全目标,有针对性地制定和部署安全措施,从而避 免产生欠保护或过保护的情况。
2、在信息系统建设完成验收时,通过风险评估工作 可以检验信息系统是否实现了所设计的安全功能, 是否满足了信息系统的安全需求并达到预期的安全 目标。
赖于BB来自威胁识别威胁识别与资产识别是何关系? 点和面:重点识别和全面识别
威胁识别的重点和难点是什么? 三问:“敌人”在哪儿?效果如何?如何取证?
威胁识别的方法有哪些? 日志分析 历史安全事件 专家经验 互联网信息检索
21
威胁分类
分为:
人为故意威胁
• 威胁意图评估、威胁能力评估、操作限制评估、威 胁源特点评估
1. 结果建立在独立客观的程序或量化 1. 风险计算方法复杂
指标上
2. 需要自动化工具及相当的基
2.大部分的工作集中在制定资产价值和
础知识
减缓可能风险
3. 投入大
3.主要目的是做成本效益的审核
4. 个人难以执行
28
定量分析方法
步骤1-评估资产:根据资产价值(AV)清单,计算资 产总价值及资产损失对财务的直接和间接影响
23
脆弱性识别内容
24
常见脆弱性识别工作方式
脆弱性识别方式 安全配置核查
漏洞扫描 渗透测试 安全架构分析 数据流分析 访谈
。。。
工作对象 服务器、网络设备、终端、中间件、应 用软件 主机、应用程序 系统各个层面 系统各个层面 网络中的数据流 管理人员及系统开发、运维技术人员
25
现有安全控制措施识别
27
定量分析与定性分析
方法 定性
优点
缺点
1. 简易的计算方式 2. 不必精确算出资产价值 3. 不需得到量化的威胁发生率 4. 非技术或非安全背景的员工也能轻
易参与 5. 流程和报告形式比较有弹性
1. 本质上是非常主观的 2. 对关键资产的财务价值评估
参考性较低 3. 缺乏对风险降低的成本分析
定量
人为非故意威胁
• 判定威胁源、评估威胁源特点、评估威胁源环境、 评估事故发生时间
自然威胁
• 地震、海啸、洪水。
22
脆弱性识别
脆弱性识别与威胁识别是何关系? 验证:以资产为对象,对威胁识别进行验证
脆弱性识别的难点是什么? 三性:隐蔽性、欺骗性、复杂性
脆弱性识别的方法有哪些? 脆弱性分类:管理脆弱性。 结构脆弱性(如安全域 划分不当),操作脆弱性(如安全审计员业务生 疏);技术脆弱性。
11
风险评估、检查评估和等级保护测 评之间的关系
等保测评、安全检查都是在既定安全基线的基础 上开展的符合性测评,其中等保测评是符合国家 安全要求的测评,安全检查是符合行业主管安全 要求的符合性测评。
而风险评估是在国家、行业安全要求的基础上, 以被评估系统特定安全要求为目标而开展的风险 识别、风险分析、风险评价活动。
风险评估 资产 威胁
健康体检 人 病毒
脆弱性
现有控制措施 风险优先级和 风险控制建议
身体情况
预防措施
病情诊断和药 方
14
准备 识别 计算 报告
一个简化的风险评估流程:准备(Readiness)、识别(Realization)、 计算(Calculation)、报告(Report)
准备 资料审核
SLA 工作计划 组队
5
《关于开展信息安全风险评估工作 的意见》的实施要求
3、由于信息技术的发展、信息系统业务以及所处安 全环境的变化,会不断出现新的信息安全风险,因 此,在信息系统的运行阶段,应当定期进行信息安 全风险评估,以检验安全措施的有效性以及对安全 环境的适应性。当安全形势发生重大变化或信息系 统使命有重大变更时,应及时进行信息安全风险评 估。
2
国家对开展风险评估工作的政策要求
1、《国家信息化领导小组关于加强信息安全保障 工作的意见》(中办发[2003]27号)中明确提出 :“要重视信息安全风险评估工作,对网络与信 息系统安全的潜在威胁、薄弱环节、防护措施等 进行分析评估,综合考虑网络与信息系统的重要 性、涉密程度和面临的信息安全风险等因素,进 行相应等级的安全建设和管理”
2、为规避由于风险评估工作而引入新的安全风险, 《意见》提出以下要求:1)参与信息安全风险评 估工作的单位及其有关人员必须遵守国家有关信息 安全的法律法规,并承担相应的责任和义务。2) 风险评估工作的发起方必须采取相应保密措施,并 与参与评估的有关单位或人员签订具有法律约束力 的保密协议。3)对关系国计民生和社会稳定的基 础信息网络和重要信息系统的信息安全风险评估工 作必须遵循国家的有关规定进行。
公安部信息安全等 级保护中心
风险 评估 专业 队伍
10
需要强调:一次测评两个报告
发改委要求:一次测评工作,提交两个测评报告 ,即风险评估报告和等保测评报告
风险评估报告的格式由中国信息安全测评中心和 国家信息技术安全研究中心牵头制定,基本格式 参照原国信办检查评估的报告
等保测评报告的格式由等级保护的主管部门负责 制定
步骤3-确定年发生率ARO ARO 是一年中风险发生的次数.
29
定量分析方法(续)
步骤4-确定年预期损失ALE(财务价值*频率)
ALE 是不采取任何减轻风险的措施在一年中可能 损失的总金额。 SLE 乘以 ARO 即可计算出该值 。 ALE 类似于定量风险分析的相对级别。
步骤5-确定控制成本
18
按信息形态分类
19
资产识别
业务活动111
业务系统1
业务过程11
业务过程12
业务活动112
业务活动121
业 务 系 统
业务活动122
信息系统1
信息子系统11
信息子系统12
信息系统2 信 息 系
统
软件1 硬件1
软件2 硬件2 环境1
软件3
软件4
硬件3
硬件4
环境2 20
软件5
系 统
图例
组
件
AA 依
12
风险评估实施流程
风险评估准备
资产识别
威胁识别
脆弱性识别
已有安全措施的确认
风险分析
风险计算
保持已有的安全措施
是
风险是否接受
否
制定风险处理计划 并评估残余风险
是否接受残余风险
否
是
实施风险管理
13
评估过程文档
评估过程文档 ..................
评估过程文档 风险评估文档记录
风险评估是“健康体检+专项检查 ”
企业信息安全风险评估方案
知识域:信息安全风险评估
知识子域:风险评估流程和方法
掌握国家对开展风险评估工作的政策要求 理解风险评估、检查评估和等级保护测评之间的关系 掌握风险评估的实施流程:风险评估准备、资产识别、威胁评估
、脆弱性评估、已有安全措施确认、风险分析、风险评估文档记 录 理解定量风险分析和定性风险分析的区别及优缺点 理解自评估和检查评估的区别及优缺点 掌握典型风险计算方法:年度损失值(ALE)、矩阵法、相乘法 掌握风险评估工具:风险评估与管理工具、系统基础平台风险评 估工具、风险评估辅助工具
8
2071号文件对电子政务提出要求
3、为落实《国家电子政务工程建设项目管理暂行办 法》(发改委[2007]55号令)对风险评估的要求, 发改高技【2008】2071号文件《关于加强国家电 子政务工程建设项目信息安全风险评估工作的通知 》提出了具体要求:(相当于“信息安全审计”)
电子政务工程建设项目应开展信息安全风险评估工作 评估的主要内容应包含:资产、威胁、脆弱性、已有的
4、信息安全风险评估也是落实等级保护制度的重要 手段,应通过信息安全风险评估为信息系统确定安 全等级提供依据,根据风险评估的结果检验网络与 信息系统的防护水平是否符合等级保护的要求。
6
《关于开展信息安全风险评估工作 的意见》的管理要求
1、信息安全风险评估工作敏感性强,涉及系统的关 键资产和核心信息,一旦处理不当,反而可能引入 新的风险,《意见》强调,必须高度重视信息安全 风险评估的组织管理工作
7
《关于开展信息安全风险评估工作 的意见》的管理要求
3、加快制定和完善信息安全风险评估有关技术标准 ,尽快完善并颁布《信息安全风险评估指南》和《 信息安全风险管理指南》等国家标准,各行业主管 部门也可根据本行业特点制定相应的技术规范。
4、要加强信息安全风险评估核心技术、方法和工具 的研究与攻关。
5、要从抓试点开始,逐步探索组织实施和管理的经 验,用三年左右的时间在我国基础信息网络和重要 信息系统普遍推行信息安全风险评估工作,全面提 高我国信息安全的科学管理水平,提升网络和信息 系统安全保障能力,为保障和促进我国信息化发展 服务。
识别
资产 威胁 漏洞
计算
威胁概率 事件影响 风险定级
报告 整改建议 各类文档
15
风险评估准备工作
准备工作中要注意的问题
相亲:前期交流(成功案例简介、测评机构资质 简介、被 测系统 大致规模、 测评服务费用测算…) 订婚:服务水平协议SLA(获取详细资料的前提, 对方的 授权、 双方的义务,可和保密协议整合…) 甲方礼单:资料审核(明确系统范围、为现场测 评制订问卷清单…) 乙方礼单:工作计划(案例分析 综合组、管理组、网 络组…) 迎亲:进场准备(进场通知,如对方或第三方人 员;设备 准备, 如工具等,标识佩戴…)
3
国家对开展风险评估工作的政策要求
2、《国家网络与信息安全协调小组〈关于开展信 息安全风险评估工作的意见〉》(国信办【2006 】5号文)中明确规定了风险评估工作的相关要 求:
风险评估的基本内容和原则 风险评估工作的基本要求 开展风险评估工作的有关安排
4
《关于开展信息安全风险评估工作 的意见》的实施要求
步骤2-确定单一预期损失SLE SLE 是指发生一次风险引起的收入损失总额。 SLE 是分配给单个事件的金额,代表一个具体威胁 利用漏洞时将面临的潜在损失。 (SLE 类似于定 性风险分析的影响。) 将资产价值与暴露系数相乘 (EF) 计算出 SLE。暴 露系数表示为现实威胁对某个资产造成的损失百分 比。
17
资产识别
资产识别在整个风险评估中起什么作用? 两点:是整个风险评估工作的起点和终点
资产识别的重点和难点是什么? 一线:业务战略→ 信息化战略→ 系统特征(管理/技术)
资产识别的方法有哪些? 资产分类:树状法。自然形态分类(勾画资产树: 管理、技术…逐步往下细化);信息形态分类(信息 环境、 信息载体、信息)
16
现场测评
现场测评工作要注意的问题
首次会议(必须),听取对方高管的情况简介, 向被测单位有关人员说明此次任务、测评计划介绍、 双方测评人 员的相互认识… 问询技巧(直接提问,如业务重要性;间接提问, 如安全 事件;反向提问,适合于所有方面) 资料核对(拓扑核对,管理体系文档,设计文档, 设备台 账…) 现场检测(测试过程记录、抓屏、数据提取…) 末次会议(必须),向对方高管简要总结现场测 评的初步结论,但切忌做最终结论
考虑:
防护性措施 威慑性措施 预警性措施 检测性措施 应急处理性措施
26
(二)风险分析
GB/T 20984-2007 《信息安全风险评估规范》 给出信息安全风险分析思路
威胁识别 脆弱性识别
资产识别
威胁出现的频率 脆弱性的严重程度
资产价值
安全事件的可能性 安全事件造成的损失
风险值
风险值=R(A,T,V)= R(L(T,V),F(Ia,Va ))。 其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆 弱性; Ia表示安全事件所作用的资产价值;Va表示脆弱性严重程度; L表示威胁利用资产的脆弱性导致安全事件的可能性;F表示安全事 件发生后造成的损失。
控制成本就是为了规避企业所存在风险的发生而应 投入的费用.
步骤6-安全投资收益ROSI
(实施控制前的 ALE)–(实施控制后的 ALE)–( 年控制成本)= ROSI
30
定性分析方法
后果或影响的定性量度(示例)
等级 描述
1
可以忽略
2
较小
3
中等
4
较大
5
灾难性
详细情形
无伤害,低财务损失 立即受控制,中等财务损失 受控,高财务损失 大伤害,失去生产能力有较大财务损失 持续能力中断,巨大财务损失
安全措施和残余风险的影响等 项目建设单位应在试运行期间开展风险评估工作,作为
项目验收的重要依据 项目验收申请时,应提交信息安全风险评估报告 系统投入运行后,应定期开展信息安全风险评估
9
风险评估工作承担单位
涉密系统
国家保密局涉密 信息系统安全保 密测评中心
非涉密系统
中国信息安全测评 中心
国家信息技术安全研 究中心
1、信息安全风险评估工作应当贯穿信息系统全生命 周期。在信息系统规划设计阶段,通过信息安全风 险评估工作,可以明确信息系统的安全需求及其安 全目标,有针对性地制定和部署安全措施,从而避 免产生欠保护或过保护的情况。
2、在信息系统建设完成验收时,通过风险评估工作 可以检验信息系统是否实现了所设计的安全功能, 是否满足了信息系统的安全需求并达到预期的安全 目标。
赖于BB来自威胁识别威胁识别与资产识别是何关系? 点和面:重点识别和全面识别
威胁识别的重点和难点是什么? 三问:“敌人”在哪儿?效果如何?如何取证?
威胁识别的方法有哪些? 日志分析 历史安全事件 专家经验 互联网信息检索
21
威胁分类
分为:
人为故意威胁
• 威胁意图评估、威胁能力评估、操作限制评估、威 胁源特点评估
1. 结果建立在独立客观的程序或量化 1. 风险计算方法复杂
指标上
2. 需要自动化工具及相当的基
2.大部分的工作集中在制定资产价值和
础知识
减缓可能风险
3. 投入大
3.主要目的是做成本效益的审核
4. 个人难以执行
28
定量分析方法
步骤1-评估资产:根据资产价值(AV)清单,计算资 产总价值及资产损失对财务的直接和间接影响
23
脆弱性识别内容
24
常见脆弱性识别工作方式
脆弱性识别方式 安全配置核查
漏洞扫描 渗透测试 安全架构分析 数据流分析 访谈
。。。
工作对象 服务器、网络设备、终端、中间件、应 用软件 主机、应用程序 系统各个层面 系统各个层面 网络中的数据流 管理人员及系统开发、运维技术人员
25
现有安全控制措施识别
27
定量分析与定性分析
方法 定性
优点
缺点
1. 简易的计算方式 2. 不必精确算出资产价值 3. 不需得到量化的威胁发生率 4. 非技术或非安全背景的员工也能轻
易参与 5. 流程和报告形式比较有弹性
1. 本质上是非常主观的 2. 对关键资产的财务价值评估
参考性较低 3. 缺乏对风险降低的成本分析
定量
人为非故意威胁
• 判定威胁源、评估威胁源特点、评估威胁源环境、 评估事故发生时间
自然威胁
• 地震、海啸、洪水。
22
脆弱性识别
脆弱性识别与威胁识别是何关系? 验证:以资产为对象,对威胁识别进行验证
脆弱性识别的难点是什么? 三性:隐蔽性、欺骗性、复杂性
脆弱性识别的方法有哪些? 脆弱性分类:管理脆弱性。 结构脆弱性(如安全域 划分不当),操作脆弱性(如安全审计员业务生 疏);技术脆弱性。
11
风险评估、检查评估和等级保护测 评之间的关系
等保测评、安全检查都是在既定安全基线的基础 上开展的符合性测评,其中等保测评是符合国家 安全要求的测评,安全检查是符合行业主管安全 要求的符合性测评。
而风险评估是在国家、行业安全要求的基础上, 以被评估系统特定安全要求为目标而开展的风险 识别、风险分析、风险评价活动。
风险评估 资产 威胁
健康体检 人 病毒
脆弱性
现有控制措施 风险优先级和 风险控制建议
身体情况
预防措施
病情诊断和药 方
14
准备 识别 计算 报告
一个简化的风险评估流程:准备(Readiness)、识别(Realization)、 计算(Calculation)、报告(Report)
准备 资料审核
SLA 工作计划 组队
5
《关于开展信息安全风险评估工作 的意见》的实施要求
3、由于信息技术的发展、信息系统业务以及所处安 全环境的变化,会不断出现新的信息安全风险,因 此,在信息系统的运行阶段,应当定期进行信息安 全风险评估,以检验安全措施的有效性以及对安全 环境的适应性。当安全形势发生重大变化或信息系 统使命有重大变更时,应及时进行信息安全风险评 估。
2
国家对开展风险评估工作的政策要求
1、《国家信息化领导小组关于加强信息安全保障 工作的意见》(中办发[2003]27号)中明确提出 :“要重视信息安全风险评估工作,对网络与信 息系统安全的潜在威胁、薄弱环节、防护措施等 进行分析评估,综合考虑网络与信息系统的重要 性、涉密程度和面临的信息安全风险等因素,进 行相应等级的安全建设和管理”
2、为规避由于风险评估工作而引入新的安全风险, 《意见》提出以下要求:1)参与信息安全风险评 估工作的单位及其有关人员必须遵守国家有关信息 安全的法律法规,并承担相应的责任和义务。2) 风险评估工作的发起方必须采取相应保密措施,并 与参与评估的有关单位或人员签订具有法律约束力 的保密协议。3)对关系国计民生和社会稳定的基 础信息网络和重要信息系统的信息安全风险评估工 作必须遵循国家的有关规定进行。
公安部信息安全等 级保护中心
风险 评估 专业 队伍
10
需要强调:一次测评两个报告
发改委要求:一次测评工作,提交两个测评报告 ,即风险评估报告和等保测评报告
风险评估报告的格式由中国信息安全测评中心和 国家信息技术安全研究中心牵头制定,基本格式 参照原国信办检查评估的报告
等保测评报告的格式由等级保护的主管部门负责 制定
步骤3-确定年发生率ARO ARO 是一年中风险发生的次数.
29
定量分析方法(续)
步骤4-确定年预期损失ALE(财务价值*频率)
ALE 是不采取任何减轻风险的措施在一年中可能 损失的总金额。 SLE 乘以 ARO 即可计算出该值 。 ALE 类似于定量风险分析的相对级别。
步骤5-确定控制成本
18
按信息形态分类
19
资产识别
业务活动111
业务系统1
业务过程11
业务过程12
业务活动112
业务活动121
业 务 系 统
业务活动122
信息系统1
信息子系统11
信息子系统12
信息系统2 信 息 系
统
软件1 硬件1
软件2 硬件2 环境1
软件3
软件4
硬件3
硬件4
环境2 20
软件5
系 统
图例
组
件
AA 依
12
风险评估实施流程
风险评估准备
资产识别
威胁识别
脆弱性识别
已有安全措施的确认
风险分析
风险计算
保持已有的安全措施
是
风险是否接受
否
制定风险处理计划 并评估残余风险
是否接受残余风险
否
是
实施风险管理
13
评估过程文档
评估过程文档 ..................
评估过程文档 风险评估文档记录
风险评估是“健康体检+专项检查 ”
企业信息安全风险评估方案
知识域:信息安全风险评估
知识子域:风险评估流程和方法
掌握国家对开展风险评估工作的政策要求 理解风险评估、检查评估和等级保护测评之间的关系 掌握风险评估的实施流程:风险评估准备、资产识别、威胁评估
、脆弱性评估、已有安全措施确认、风险分析、风险评估文档记 录 理解定量风险分析和定性风险分析的区别及优缺点 理解自评估和检查评估的区别及优缺点 掌握典型风险计算方法:年度损失值(ALE)、矩阵法、相乘法 掌握风险评估工具:风险评估与管理工具、系统基础平台风险评 估工具、风险评估辅助工具
8
2071号文件对电子政务提出要求
3、为落实《国家电子政务工程建设项目管理暂行办 法》(发改委[2007]55号令)对风险评估的要求, 发改高技【2008】2071号文件《关于加强国家电 子政务工程建设项目信息安全风险评估工作的通知 》提出了具体要求:(相当于“信息安全审计”)
电子政务工程建设项目应开展信息安全风险评估工作 评估的主要内容应包含:资产、威胁、脆弱性、已有的
4、信息安全风险评估也是落实等级保护制度的重要 手段,应通过信息安全风险评估为信息系统确定安 全等级提供依据,根据风险评估的结果检验网络与 信息系统的防护水平是否符合等级保护的要求。
6
《关于开展信息安全风险评估工作 的意见》的管理要求
1、信息安全风险评估工作敏感性强,涉及系统的关 键资产和核心信息,一旦处理不当,反而可能引入 新的风险,《意见》强调,必须高度重视信息安全 风险评估的组织管理工作
7
《关于开展信息安全风险评估工作 的意见》的管理要求
3、加快制定和完善信息安全风险评估有关技术标准 ,尽快完善并颁布《信息安全风险评估指南》和《 信息安全风险管理指南》等国家标准,各行业主管 部门也可根据本行业特点制定相应的技术规范。
4、要加强信息安全风险评估核心技术、方法和工具 的研究与攻关。
5、要从抓试点开始,逐步探索组织实施和管理的经 验,用三年左右的时间在我国基础信息网络和重要 信息系统普遍推行信息安全风险评估工作,全面提 高我国信息安全的科学管理水平,提升网络和信息 系统安全保障能力,为保障和促进我国信息化发展 服务。
识别
资产 威胁 漏洞
计算
威胁概率 事件影响 风险定级
报告 整改建议 各类文档
15
风险评估准备工作
准备工作中要注意的问题
相亲:前期交流(成功案例简介、测评机构资质 简介、被 测系统 大致规模、 测评服务费用测算…) 订婚:服务水平协议SLA(获取详细资料的前提, 对方的 授权、 双方的义务,可和保密协议整合…) 甲方礼单:资料审核(明确系统范围、为现场测 评制订问卷清单…) 乙方礼单:工作计划(案例分析 综合组、管理组、网 络组…) 迎亲:进场准备(进场通知,如对方或第三方人 员;设备 准备, 如工具等,标识佩戴…)
3
国家对开展风险评估工作的政策要求
2、《国家网络与信息安全协调小组〈关于开展信 息安全风险评估工作的意见〉》(国信办【2006 】5号文)中明确规定了风险评估工作的相关要 求:
风险评估的基本内容和原则 风险评估工作的基本要求 开展风险评估工作的有关安排
4
《关于开展信息安全风险评估工作 的意见》的实施要求
步骤2-确定单一预期损失SLE SLE 是指发生一次风险引起的收入损失总额。 SLE 是分配给单个事件的金额,代表一个具体威胁 利用漏洞时将面临的潜在损失。 (SLE 类似于定 性风险分析的影响。) 将资产价值与暴露系数相乘 (EF) 计算出 SLE。暴 露系数表示为现实威胁对某个资产造成的损失百分 比。
17
资产识别
资产识别在整个风险评估中起什么作用? 两点:是整个风险评估工作的起点和终点
资产识别的重点和难点是什么? 一线:业务战略→ 信息化战略→ 系统特征(管理/技术)
资产识别的方法有哪些? 资产分类:树状法。自然形态分类(勾画资产树: 管理、技术…逐步往下细化);信息形态分类(信息 环境、 信息载体、信息)
16
现场测评
现场测评工作要注意的问题
首次会议(必须),听取对方高管的情况简介, 向被测单位有关人员说明此次任务、测评计划介绍、 双方测评人 员的相互认识… 问询技巧(直接提问,如业务重要性;间接提问, 如安全 事件;反向提问,适合于所有方面) 资料核对(拓扑核对,管理体系文档,设计文档, 设备台 账…) 现场检测(测试过程记录、抓屏、数据提取…) 末次会议(必须),向对方高管简要总结现场测 评的初步结论,但切忌做最终结论
考虑:
防护性措施 威慑性措施 预警性措施 检测性措施 应急处理性措施
26
(二)风险分析
GB/T 20984-2007 《信息安全风险评估规范》 给出信息安全风险分析思路
威胁识别 脆弱性识别
资产识别
威胁出现的频率 脆弱性的严重程度
资产价值
安全事件的可能性 安全事件造成的损失
风险值
风险值=R(A,T,V)= R(L(T,V),F(Ia,Va ))。 其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆 弱性; Ia表示安全事件所作用的资产价值;Va表示脆弱性严重程度; L表示威胁利用资产的脆弱性导致安全事件的可能性;F表示安全事 件发生后造成的损失。
控制成本就是为了规避企业所存在风险的发生而应 投入的费用.
步骤6-安全投资收益ROSI
(实施控制前的 ALE)–(实施控制后的 ALE)–( 年控制成本)= ROSI
30
定性分析方法
后果或影响的定性量度(示例)
等级 描述
1
可以忽略
2
较小
3
中等
4
较大
5
灾难性
详细情形
无伤害,低财务损失 立即受控制,中等财务损失 受控,高财务损失 大伤害,失去生产能力有较大财务损失 持续能力中断,巨大财务损失
安全措施和残余风险的影响等 项目建设单位应在试运行期间开展风险评估工作,作为
项目验收的重要依据 项目验收申请时,应提交信息安全风险评估报告 系统投入运行后,应定期开展信息安全风险评估
9
风险评估工作承担单位
涉密系统
国家保密局涉密 信息系统安全保 密测评中心
非涉密系统
中国信息安全测评 中心
国家信息技术安全研 究中心