【风险管理】信息安全风险评估流程
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全风险评估流程
培训讲师:jindaly 培训日期:2011.6
一、风险评估概述 二、风险评估目的 三、风险评估范围 四、风险评估流程 五、风险评估工作要点
一、风险评估概述
信息安全风险评估的概念在业内有多种说法,从国标《评 估指南》对信息安全风险评估的表述中看出,评估涉及资 产、威胁、脆弱性和风险四个主要因素。 风险管理是辨别信息系统潜在的风险,对其进行评估,并 采取措施将其降低到可接受的水平的过程,而风险评估是 其中最重要的环节。
三、风险评估范围
信息安全风险评估适用于在信息安全管理体系下的所有信息 资产、网络及任何管理和维护这些系统的流程所做的一切风险评 估。信息安全风险评估包括信息资产的风险识别、评估与管理, 即信息系统网络、管理制度、使用或管理信息系统的相关人员以 及由信息系统使用时产生的文档、数据等的风险识别、评估与管 理。
b) 资产赋值
根据资产在保密性、完整性、可用性上的不同要求,对资产进行保密性赋值、 完整性赋值、可用性赋值。
资产价值应依据资产在保密性、完整性、可用性上的赋值等级,经过综合评 定得出。
四、风险评估流程
3.威胁识别
在识别威胁时,应根据资产目前所处的环境条件和以前的记 录情况来判断,威胁识别主要通过采集入侵检测系统(IDS)的报 警信息、威胁问卷调查和对技术人员做顾问访谈的方式。为了确 保收集到的威胁信息客观准确,威胁问卷调查的对象要覆盖被评 估对象的领导层、技术主管、网络管理人员、系统管理人员、安 全管理人员和普通员工等。顾问访谈要针对不同的访谈对象制订 不同的访谈提纲。
威胁识别的关键在于确认引发威胁的人或事物,威胁源可能 是蓄意也可能是偶然的因素,通常包括人、系统和自然环境等。 一项资产可能面临多个威胁,而一个威胁也可能对不同的资产造 成影响。威胁识别完成后还应该对威胁发生的可能性进行评估, 列出威胁清单,描述威胁属性,并对威胁出现的频率赋值。
四、风险评估流程
3.威胁识别
在风险评估准备阶段,需要多次与被评估方磋商,了解被评估方 关注的重点,明确风险评估的目标和范围,为整个风险评估工作提供 向导。在确定评估范围和目标之后,根据被评估对象的网络规模、复 杂度、特殊性,成立评估工作小组,明确各方人员组成及职责分工。 建立评估团队后,由评估工作人员进行现场调研,由被评估方介绍网 络构建情况,安全管理制度和采取的安全防护措施以及业务运行情况。 评估工作小组根据调研情况撰写信息安全风险评估工作方案。
二、风险评估目的
信息安全风险评估是加强信息安全保障体系建设和管理的关键环 节,通过开展信息安全风险评估工作,可以发现信息系统存在的 主要问题和矛盾,找到解决诸多关键问题的办法。 信息安全风险评估旨在认清信息安全环境,信息安全状况,有助 于达成共识,明确责任,采取和完善安全保障措施,使其更加经 济有效,并使信息安全策略保持一致性和持续性。并为信息系统 的建设和改造提供依据,帮助信息安全建设者正确判断系统存在 风险与漏洞,并采取适当补救措施。 风险评估可以科学地分析和理解信息系统在保密性、完整性、可 用性等方面的工作,只有正确、全面地了解理解安全风险后才能 决定如何处理安全风险,从而在信息安全的投资,信息安全措施 的选择,信息安全保障体系的建设做出合理的决策。
资产识别主要通过向被评估方发放资产调查表来完成。在识 别资产时,以被评估方提供的资产清单为依据,对重要和关键资 产进行标注,对评估范围内的资产详细分类,防止遗漏,划入风 险评估范围和边界内的每一项资产都应经过仔细确认。
四、风险评估流程
2.资产识别
a) 资产分类
资产分类方法:根据资产的表现形式,可将资产分为数据、软件、硬件、服 务、人员等类型。在实际工作中,具体的资产分类方法可根据具体的评估对象和要 求,由评估者灵活把握。
四、风险评估流程
1.风险评估准备
a) 确定目标 b) 确定范围 c) 组建团队 d) 系统调研 e) 确定依据 f) 制定方案
四、风险评估流程
2.资产识别
做好风险评估准备阶段的相关工作之后,需要通过多种途径 采集评估对象的资产信息,为风险评估后续各阶段的工作提供基 本素材。
机密性、完整性和可用性是评价资产的三个安全属性。风险 评估中的资产价值不是以资产的经济价值来衡量,而是由资产在 这三个安全属性上的达成程度或其安全属性未达成时所造成的影 响程度来决定的。
一、风险评估概述
信息安全风险评估是依据有关信息安全技术与管理标准, 对信息系统及由其处理、传输和存储的信息的机密性、完 整性和可用性等安全属性进行评价的过程。 信息安全风险评估从管理的角度,运用科学的方法和手段, 系统分析网络与信息系统所面临的威胁及存在的脆弱性。 评估安全事件一旦发生可能造成的危害程度,提出有针对 性地抵御安全威胁的防护措施,为防范和化解信息安全风 险,或将风险控制在可以接受的水平,最大限度地保障网 络正常运行和信息安全提供科学依据。
a) 威胁分类
威胁可以通过威胁主体、资源、动机、途径等多种属性来描述,造成威胁的 因素可分为人为因素和环境因素。在对威胁进行分类前,应考虑威胁的来源。
b) 威胁赋值
判断威胁出现的频率是威胁赋值的重要内容,评估者应根据经验和(或)有 关统计数据来进行判断。
四、风险评估流程
4.脆弱性识别
脆弱性识别是风险评估工作过程中最为复杂、较难把握的环 节,同时也是非常重要的环节,对评估工作小组成员的专业技术 水平要求较高。脆弱性分为管理脆弱性和技术脆弱性。管理脆弱 性调查主要通过发放管理脆弱性调查问卷、顾问访谈以及收集分 析现有的管理制度来完成;技术脆弱性检测主要借助专业的脆弱 性检测工具和对评估范围内的各种软硬件安全配置进行检查来识 别。
四、风险评估流程
信息安全风险评估的典型过程主要分为风险评估准备、资产 识别、威胁识别、脆弱性识别、已有安全措施确认和风险分析六 个阶段。
1. 风险评估准备 2. 资产识别 3. 威胁识别 4. 脆弱性识别 5. 已有安全措施确认 6. 风险分析
Hale Waihona Puke Baidu
四、风险评估流程
1.风险评估准备
该阶段的主要任务是制订评估工作计划,包括评估目标、评估范围、 制订信息安全风险评估工作方案,并根据评估工作需要,组建评估团 队,明确各方职责。
培训讲师:jindaly 培训日期:2011.6
一、风险评估概述 二、风险评估目的 三、风险评估范围 四、风险评估流程 五、风险评估工作要点
一、风险评估概述
信息安全风险评估的概念在业内有多种说法,从国标《评 估指南》对信息安全风险评估的表述中看出,评估涉及资 产、威胁、脆弱性和风险四个主要因素。 风险管理是辨别信息系统潜在的风险,对其进行评估,并 采取措施将其降低到可接受的水平的过程,而风险评估是 其中最重要的环节。
三、风险评估范围
信息安全风险评估适用于在信息安全管理体系下的所有信息 资产、网络及任何管理和维护这些系统的流程所做的一切风险评 估。信息安全风险评估包括信息资产的风险识别、评估与管理, 即信息系统网络、管理制度、使用或管理信息系统的相关人员以 及由信息系统使用时产生的文档、数据等的风险识别、评估与管 理。
b) 资产赋值
根据资产在保密性、完整性、可用性上的不同要求,对资产进行保密性赋值、 完整性赋值、可用性赋值。
资产价值应依据资产在保密性、完整性、可用性上的赋值等级,经过综合评 定得出。
四、风险评估流程
3.威胁识别
在识别威胁时,应根据资产目前所处的环境条件和以前的记 录情况来判断,威胁识别主要通过采集入侵检测系统(IDS)的报 警信息、威胁问卷调查和对技术人员做顾问访谈的方式。为了确 保收集到的威胁信息客观准确,威胁问卷调查的对象要覆盖被评 估对象的领导层、技术主管、网络管理人员、系统管理人员、安 全管理人员和普通员工等。顾问访谈要针对不同的访谈对象制订 不同的访谈提纲。
威胁识别的关键在于确认引发威胁的人或事物,威胁源可能 是蓄意也可能是偶然的因素,通常包括人、系统和自然环境等。 一项资产可能面临多个威胁,而一个威胁也可能对不同的资产造 成影响。威胁识别完成后还应该对威胁发生的可能性进行评估, 列出威胁清单,描述威胁属性,并对威胁出现的频率赋值。
四、风险评估流程
3.威胁识别
在风险评估准备阶段,需要多次与被评估方磋商,了解被评估方 关注的重点,明确风险评估的目标和范围,为整个风险评估工作提供 向导。在确定评估范围和目标之后,根据被评估对象的网络规模、复 杂度、特殊性,成立评估工作小组,明确各方人员组成及职责分工。 建立评估团队后,由评估工作人员进行现场调研,由被评估方介绍网 络构建情况,安全管理制度和采取的安全防护措施以及业务运行情况。 评估工作小组根据调研情况撰写信息安全风险评估工作方案。
二、风险评估目的
信息安全风险评估是加强信息安全保障体系建设和管理的关键环 节,通过开展信息安全风险评估工作,可以发现信息系统存在的 主要问题和矛盾,找到解决诸多关键问题的办法。 信息安全风险评估旨在认清信息安全环境,信息安全状况,有助 于达成共识,明确责任,采取和完善安全保障措施,使其更加经 济有效,并使信息安全策略保持一致性和持续性。并为信息系统 的建设和改造提供依据,帮助信息安全建设者正确判断系统存在 风险与漏洞,并采取适当补救措施。 风险评估可以科学地分析和理解信息系统在保密性、完整性、可 用性等方面的工作,只有正确、全面地了解理解安全风险后才能 决定如何处理安全风险,从而在信息安全的投资,信息安全措施 的选择,信息安全保障体系的建设做出合理的决策。
资产识别主要通过向被评估方发放资产调查表来完成。在识 别资产时,以被评估方提供的资产清单为依据,对重要和关键资 产进行标注,对评估范围内的资产详细分类,防止遗漏,划入风 险评估范围和边界内的每一项资产都应经过仔细确认。
四、风险评估流程
2.资产识别
a) 资产分类
资产分类方法:根据资产的表现形式,可将资产分为数据、软件、硬件、服 务、人员等类型。在实际工作中,具体的资产分类方法可根据具体的评估对象和要 求,由评估者灵活把握。
四、风险评估流程
1.风险评估准备
a) 确定目标 b) 确定范围 c) 组建团队 d) 系统调研 e) 确定依据 f) 制定方案
四、风险评估流程
2.资产识别
做好风险评估准备阶段的相关工作之后,需要通过多种途径 采集评估对象的资产信息,为风险评估后续各阶段的工作提供基 本素材。
机密性、完整性和可用性是评价资产的三个安全属性。风险 评估中的资产价值不是以资产的经济价值来衡量,而是由资产在 这三个安全属性上的达成程度或其安全属性未达成时所造成的影 响程度来决定的。
一、风险评估概述
信息安全风险评估是依据有关信息安全技术与管理标准, 对信息系统及由其处理、传输和存储的信息的机密性、完 整性和可用性等安全属性进行评价的过程。 信息安全风险评估从管理的角度,运用科学的方法和手段, 系统分析网络与信息系统所面临的威胁及存在的脆弱性。 评估安全事件一旦发生可能造成的危害程度,提出有针对 性地抵御安全威胁的防护措施,为防范和化解信息安全风 险,或将风险控制在可以接受的水平,最大限度地保障网 络正常运行和信息安全提供科学依据。
a) 威胁分类
威胁可以通过威胁主体、资源、动机、途径等多种属性来描述,造成威胁的 因素可分为人为因素和环境因素。在对威胁进行分类前,应考虑威胁的来源。
b) 威胁赋值
判断威胁出现的频率是威胁赋值的重要内容,评估者应根据经验和(或)有 关统计数据来进行判断。
四、风险评估流程
4.脆弱性识别
脆弱性识别是风险评估工作过程中最为复杂、较难把握的环 节,同时也是非常重要的环节,对评估工作小组成员的专业技术 水平要求较高。脆弱性分为管理脆弱性和技术脆弱性。管理脆弱 性调查主要通过发放管理脆弱性调查问卷、顾问访谈以及收集分 析现有的管理制度来完成;技术脆弱性检测主要借助专业的脆弱 性检测工具和对评估范围内的各种软硬件安全配置进行检查来识 别。
四、风险评估流程
信息安全风险评估的典型过程主要分为风险评估准备、资产 识别、威胁识别、脆弱性识别、已有安全措施确认和风险分析六 个阶段。
1. 风险评估准备 2. 资产识别 3. 威胁识别 4. 脆弱性识别 5. 已有安全措施确认 6. 风险分析
Hale Waihona Puke Baidu
四、风险评估流程
1.风险评估准备
该阶段的主要任务是制订评估工作计划,包括评估目标、评估范围、 制订信息安全风险评估工作方案,并根据评估工作需要,组建评估团 队,明确各方职责。