信息安全风险评估的基本过程
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全风险评估需要相关的财力和人力的支 持,管理层必须以明示的方式表明对评估活动的支持, 对资源调配作出承诺,并对信息安全风险评估小组赋 予足够的权利,信息安全风险评估活动才能顺利进行。
7.3 识别并评价资产
7.3.1 识别资产 在信息安全风险评估的过程中,应清晰地识别其
所有的资产,不能遗漏,划入风险评估范围和边界内 的每一项资产都应该被确认和评估。
第七章
wenku.baidu.com信息安全风险评估的基本过程
信息安全风险评估是对信息在产生、存储、传输
等过程中其机密性、完整性、可用性遭到破坏的可能 性及由此产生的后果所做的估计或估价,是组织确定 信息安全需求的过程。
7.1 信息安全风险评估的过程
依据GB/T 20984 —2007 《信息安全技术 信息安 全风险评估规范》,同时参照 ISO/IEC TR 13335-3 、 NIST SP800-30 等标准,风险评估过程都会涉及到以 下阶段:识别要评估的资产,确定资产的威胁、脆弱 点及相关问题,评价风险,推荐对策。
在评估的准备阶段,评估组织应成立专门的评 估团队,具体执行组织的信息安全风险评估。团队成 员应包括评估单位领导、信息安全风险评估专家、技 术专家,还应该包括管理层、业务部门、人力资源、 IT系统和来自用户的代表。
7.2.4 进行系统调研
系统调研是确定被评估对象的过程。风险评估团队应进 行充分的系统调研,为信息安全风险评估依据和方法的选择、 评估内容的实施奠定基础。调研内容至少应包括: ⑴ 业务战略及管理制度; ⑵ 主要的业务功能和要求; ⑶ 网络结构与网络环境,包括内部连接和外部连接; ⑷ 系统边界; ⑸ 主要的硬件、软件; ⑹ 数据和信息; ⑺ 系统和数据的敏感性; ⑻ 支持和使用系统的人员。
资产识别活动中,可能会用到工具有以下几种。 1.资产管理工具 2.主动探测工具 3.手工记录表格
7.3.2 资产分类
资产的分类并没有严格的标准,在实际工作中, 具体的资产分类方法可以根据具体的评估对象和要求, 由评估者灵活把握,表 7-2 列出了一种根据资产的表 现形式的资产分类方法。
分类 数据 软件
硬件
服务 人员 其它
表7-2 一种基于表现形式的资产分类方法
示例
保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行 管理规程、计划、报告、用户手册、各类纸质的文档等
系统软件:操作系统、数据库管理系统、语言包、开发系统等 应用软件:办公软件、数据库软件、各类工具软件等 源程序:各种共享源代码、自行或合作开发的各种代码等
7.2.5 确定信息安全风险评估依据和方法
信息安全风险评估依据包括现有国际或国家有 关信息安全标准、组织的行业主管机关的业务系统的 要求和制度、组织的信息系统互联单位的安全要求、 组织的信息系统本身的实时性或性能要求等。
根据信息安全评估风险依据,并综合考虑信息 安全风险评估的目的、范围、时间、效果、评估人员 素质等因素,选择具体的风险计算方法,并依据组织 业务实施对系统安全运行的需求,确定相关的评估判 断依据,使之能够与组织环境和安全要求相适应。
网络设备:路由器、网关、交换机等 计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携式算机等 存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等 传输线路:光纤、双绞线等 保障设备: UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等 安全设备:防火墙、入侵检测系统、身份鉴别等 其他:打印机、复印机、扫描仪、传真机等
7.2.1 确定信息安全风险评估的目标
在信息安全风险评估准备阶段应明确风险评估 的目标,为信息安全风险评估的过程提供导向。信息 安全需求是一个组织为保证其业务正常、有效运转而 必须达到的信息安全要求,通过分析组织必须符合的 相关法律法规、组织在业务流程中对信息安全等的保 密性、完整性、可用性等方面的需求,来确定信息安 全风险评估的目标。
表7-3 资产等级及含义描述
等级 标识 定义
5
很高 非常重要,其安全属性破坏后可能对组织造成非常严重的损失
信息安全风险评估完整的过程如图 7-1 所示
7.2 评估准备
信息安全风险评估的准备,是实施风险评估的前提。为了 保证评估过程的可控性以及评估结果的客观性,在信息安全风 险评估实施前应进行充分的准备和计划,信息安全风险评估的 准备活动包括:
⑴ 确定信息安全风险评估的目标; ⑵ 确定信息安全风险评估的范围; ⑶ 组建适当的评估管理与实施团队; ⑷ 进行系统调研; ⑸ 确定信息安全风险评估依据和方法; ⑹ 制定信息安全风险评估方案; ⑺ 获得最高管理者对信息安全风险评估工作的支持。
7.2.2 确定信息安全风险评估的范围
既定的信息安全风险评估可能只针对组织全部 资产的一个子集,评估范围必须明确。
描述范围最重要的是对于评估边界的描述。评 估的范围可能是单个系统或者是多个关联的系统。
比较好的方法是按照物理边界和逻辑边界来描 述某次风险评估的范围。
7.2.3 组建适当的评估管理与实施团队
7.2.6 制定信息安全风险评估方案
信息安全风险评估方案的内容一般包括: ⑴ 团队组织:包括评估团队成员、组织结构、角色、 责任等内容。 ⑵ 工作计划:信息安全风险评估各阶段的工作计 划,包括工作内容、工作形式、工作成果等内容。 ⑶ 时间进度安排:项目实施的时间进度安排。
7.2.7 获得最高管理者对信息安全风险评估工作的支持
信息服务:对外依赖该系统开展的各类服务 网络服务:各种网络设备、设施提供的网络连接服务 办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流 转管理等服务
掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经 理等
企业形象,客户关系等
7.3.3.1 定性分析
定性风险评估一般将资产按其对于业务的重要性 进行赋值,结果是资产的重要度列表。资产的重要度 一般定义为“高”、“中”、“低”等级别,或直接 用数字1~3表示。组织可以按照自己的实际情况选择 3个级别、5个级别等,表 7-3 给出了5级分法的资产 重要性等级划分表。
7.3 识别并评价资产
7.3.1 识别资产 在信息安全风险评估的过程中,应清晰地识别其
所有的资产,不能遗漏,划入风险评估范围和边界内 的每一项资产都应该被确认和评估。
第七章
wenku.baidu.com信息安全风险评估的基本过程
信息安全风险评估是对信息在产生、存储、传输
等过程中其机密性、完整性、可用性遭到破坏的可能 性及由此产生的后果所做的估计或估价,是组织确定 信息安全需求的过程。
7.1 信息安全风险评估的过程
依据GB/T 20984 —2007 《信息安全技术 信息安 全风险评估规范》,同时参照 ISO/IEC TR 13335-3 、 NIST SP800-30 等标准,风险评估过程都会涉及到以 下阶段:识别要评估的资产,确定资产的威胁、脆弱 点及相关问题,评价风险,推荐对策。
在评估的准备阶段,评估组织应成立专门的评 估团队,具体执行组织的信息安全风险评估。团队成 员应包括评估单位领导、信息安全风险评估专家、技 术专家,还应该包括管理层、业务部门、人力资源、 IT系统和来自用户的代表。
7.2.4 进行系统调研
系统调研是确定被评估对象的过程。风险评估团队应进 行充分的系统调研,为信息安全风险评估依据和方法的选择、 评估内容的实施奠定基础。调研内容至少应包括: ⑴ 业务战略及管理制度; ⑵ 主要的业务功能和要求; ⑶ 网络结构与网络环境,包括内部连接和外部连接; ⑷ 系统边界; ⑸ 主要的硬件、软件; ⑹ 数据和信息; ⑺ 系统和数据的敏感性; ⑻ 支持和使用系统的人员。
资产识别活动中,可能会用到工具有以下几种。 1.资产管理工具 2.主动探测工具 3.手工记录表格
7.3.2 资产分类
资产的分类并没有严格的标准,在实际工作中, 具体的资产分类方法可以根据具体的评估对象和要求, 由评估者灵活把握,表 7-2 列出了一种根据资产的表 现形式的资产分类方法。
分类 数据 软件
硬件
服务 人员 其它
表7-2 一种基于表现形式的资产分类方法
示例
保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行 管理规程、计划、报告、用户手册、各类纸质的文档等
系统软件:操作系统、数据库管理系统、语言包、开发系统等 应用软件:办公软件、数据库软件、各类工具软件等 源程序:各种共享源代码、自行或合作开发的各种代码等
7.2.5 确定信息安全风险评估依据和方法
信息安全风险评估依据包括现有国际或国家有 关信息安全标准、组织的行业主管机关的业务系统的 要求和制度、组织的信息系统互联单位的安全要求、 组织的信息系统本身的实时性或性能要求等。
根据信息安全评估风险依据,并综合考虑信息 安全风险评估的目的、范围、时间、效果、评估人员 素质等因素,选择具体的风险计算方法,并依据组织 业务实施对系统安全运行的需求,确定相关的评估判 断依据,使之能够与组织环境和安全要求相适应。
网络设备:路由器、网关、交换机等 计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携式算机等 存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等 传输线路:光纤、双绞线等 保障设备: UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等 安全设备:防火墙、入侵检测系统、身份鉴别等 其他:打印机、复印机、扫描仪、传真机等
7.2.1 确定信息安全风险评估的目标
在信息安全风险评估准备阶段应明确风险评估 的目标,为信息安全风险评估的过程提供导向。信息 安全需求是一个组织为保证其业务正常、有效运转而 必须达到的信息安全要求,通过分析组织必须符合的 相关法律法规、组织在业务流程中对信息安全等的保 密性、完整性、可用性等方面的需求,来确定信息安 全风险评估的目标。
表7-3 资产等级及含义描述
等级 标识 定义
5
很高 非常重要,其安全属性破坏后可能对组织造成非常严重的损失
信息安全风险评估完整的过程如图 7-1 所示
7.2 评估准备
信息安全风险评估的准备,是实施风险评估的前提。为了 保证评估过程的可控性以及评估结果的客观性,在信息安全风 险评估实施前应进行充分的准备和计划,信息安全风险评估的 准备活动包括:
⑴ 确定信息安全风险评估的目标; ⑵ 确定信息安全风险评估的范围; ⑶ 组建适当的评估管理与实施团队; ⑷ 进行系统调研; ⑸ 确定信息安全风险评估依据和方法; ⑹ 制定信息安全风险评估方案; ⑺ 获得最高管理者对信息安全风险评估工作的支持。
7.2.2 确定信息安全风险评估的范围
既定的信息安全风险评估可能只针对组织全部 资产的一个子集,评估范围必须明确。
描述范围最重要的是对于评估边界的描述。评 估的范围可能是单个系统或者是多个关联的系统。
比较好的方法是按照物理边界和逻辑边界来描 述某次风险评估的范围。
7.2.3 组建适当的评估管理与实施团队
7.2.6 制定信息安全风险评估方案
信息安全风险评估方案的内容一般包括: ⑴ 团队组织:包括评估团队成员、组织结构、角色、 责任等内容。 ⑵ 工作计划:信息安全风险评估各阶段的工作计 划,包括工作内容、工作形式、工作成果等内容。 ⑶ 时间进度安排:项目实施的时间进度安排。
7.2.7 获得最高管理者对信息安全风险评估工作的支持
信息服务:对外依赖该系统开展的各类服务 网络服务:各种网络设备、设施提供的网络连接服务 办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流 转管理等服务
掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经 理等
企业形象,客户关系等
7.3.3.1 定性分析
定性风险评估一般将资产按其对于业务的重要性 进行赋值,结果是资产的重要度列表。资产的重要度 一般定义为“高”、“中”、“低”等级别,或直接 用数字1~3表示。组织可以按照自己的实际情况选择 3个级别、5个级别等,表 7-3 给出了5级分法的资产 重要性等级划分表。