信息安全评估实例
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
质量控制组由质量控制人员组成。主要负责对各个服务项 目的实施情况进行质量控制和最终的验收。
外聘专家组由有经验的专家组成。主要负责对项目的方案 分析、实施、步骤、关键问题的解决及新技术的应用提供思 路、指导和咨询。
8.1.6.2 项目阶段划分 本次风险评估项目分项目准备、现状调研、检查与测试、
分析评估及编制评估报告六个阶段,各阶段工作定义说明如 下:
8.1.4.2 管理特性 现有的规章制度原则性要求较多,可操作性较低,在信息 安全管理方面偏重于技术。 8.1.4.3 网络特性 ××信息系统的网络拓扑结构图如图8-1所示。
1U
UPS Champin(20KW)
Leabharlann Baidu
服务器区
防病毒 服务器 MACFEE
数据 应用程序 服务器 服务器 HP DL380 HP DL380
8.1.3 组建适当的评估管理与实施团队 组建由该单位领导、风险评估专家、技术专家,以及各管 理层、业务部门的相关人员组成风险评估小组,同时明确规 定每个成员的任务分工 。
8.1.4 进行系统调研
通过问卷调查、人员访谈、现场考察、核查表等形式,对 信息系统的业务、组织结构、管理、技术等方面进行调查。问 卷调查、人员访谈的方式使用了《调查表》,调查了系统的管 理、设备、人员管理的情况,现场考察、核查表的方式考察了 设备的具体位置,核查了设备的实际配置等情况,得出有关信 息系统的描述。
8.1.6 信息安全风险评估项目实施方案 8.1.6.1 项目组织机构 项目实施的组织机构如下: 项目工程领导小组由受测机构主管信息安全的领导和评估 机构领导共同组成。项目工程领导小组定期听取项目工程管 理小组汇报整个项目的进展情况和项目实施关键阶段的成果; 项目实施完毕之后,领导小组将根据整个项目的成果情况, 批准并主持项目试点总结工作。
PC-1
PC-2
8.1.5 评估依据 评估所遵循的依据如下:
1.《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007) 2.《信息技术 信息技术安全管理指南》(GB/T 19715-2005) 3.《信息技术 信息安全管理实用规则》(GB/T 19716-2005) 2.《信息安全等级保护管理办法》(公通字[2007]43号) 3.《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006)
本章目录
1 评估准备 2 识别并评价资产 3 识别并评估威胁 4 识别并评估脆弱性 5 分析可能性和影响 6 风险计算 7 风险处理 8 编写信息安全风险评估报告
上机实验
1 评估准备
依据GB/T 20984—2007《信息安全技术 信息安全风险评 估规范》,在风险评估实施前,应确定风险评估的目标,确 定评估范围,组建评估管理与实施团队,进行系统调研,确 定评估依据和方法,制定评估方案,获得最高管理者的支持。
1.1 确定信息安全风险评估的目标 ××信息系统风险评估目标是通过风险评估,分析信息系统 的安全状况,全面了解和掌握信息系统面临的安全风险,评估 信息系统的风险,提出风险控制建议,为下一步完善管理制度 以及今后的安全建设和风险管理提供第一手资料。
8.1.2 确定信息安全风险评估的范围 既定的信息安全风险评估可能只针对组织全部资产的一个 子集,评估范围必须明确。本次评估的范围包括该信息系统 网络、管理制度、使用或管理该信息系统的相关人员,以及 由系统使用时所产生的文档、数据。
信息安全风险评估实例
• 本章概要: 之前介绍了信息安全风险评估的基本过程,本章以某信息
系统为例详细介绍信息安全风险评估的实施过程。依据GB/T 20984—2007《信息安全技术 信息安全风险评估规范》和信 息安全风险评估的基本过程,将信息安全风险评估的实施过 程分为评估准备、识别并评价资产、识别并评估威胁、识别 并评估脆弱性、分析可能性和影响、风险计算、风险处理、 编写信息安全风险评估报告等阶段。
8.1.4.1 业务目标和业务特性
1.业务目标
××信息系统主要负责数据的收集、技术处理以及预测分析, 为相关部门提供决策和管理支持,向社会提供公益服务。
2.业务特性 通过对信息系统的业务目标的分析,归纳出以下业务特性:
⑴ 业务种类多,技术型工作与管理型工作并重; ⑵ 业务不可中断性低; ⑶ 业务保密性要求低; ⑷ 业务基本不涉及现金流动; ⑸ 人员业务素质要求高。
项目工程管理小组由评估双方的项目负责人组成。主要职 责是审核确认项目实施组制定的现场工作计划,并监督项目 进展情况;主持阶段成果汇报会议;做好协调工作,保证项 目的顺利执行。
项目实施组由评估专家、评估工程师及受测机构的安全管 理员、网络管理员和应用系统分析员组成。主要职责是制定 详细项目实施计划,根据实施计划开展工作。
编制评估报告:完成最终评估报告。工作方式:研讨会。 工作成果:《信息系统综合评估报告》。
表8-1 ××信息系统风险评估实施进度表
ID 任务名称 开始 完成时 持续
时间
项目准备:项目实施前期工作,包括成立项目组,确定评 估范围,制定项目实施计划,收集整理开发各种评估工具等。 工作方式:研讨会。工作成果:《项目组成员信息表》、 《评估范围说明》、《评估实施计划》。
现状调研:通过访谈调查,收集评估对象信息。工作方式: 访谈、问卷调查。工作成果:《各种系统资料记录表单》。
检查与测试:手工或工具检查及测试。进行资产分析、威 胁分析和脆弱性扫描。工作方式:访谈、问卷调查、测试、 研讨会。工作成果:《资产评估报告》、《威胁评估报告》、 《脆弱性评估报告》。
分析评估:根据相关标准或实践经验确定安全风险,并给 出整改措施。工作方式:访谈、研讨会。工作成果:《安全 风险分析说明》。
专网
路由器-2 华为NE40
防火墙1 SuperV-5318
交换机1 CATALYST4000
交换机2 CISCO3745
防火墙2 UTM-418D
路由器-1 CISCO3640
防火墙3 Secgate 3600-F3
PC
PC
网络管理
空
内部网络
交换机3
调
CISCO2950
Internet
图8-1 网络拓扑结构图
外聘专家组由有经验的专家组成。主要负责对项目的方案 分析、实施、步骤、关键问题的解决及新技术的应用提供思 路、指导和咨询。
8.1.6.2 项目阶段划分 本次风险评估项目分项目准备、现状调研、检查与测试、
分析评估及编制评估报告六个阶段,各阶段工作定义说明如 下:
8.1.4.2 管理特性 现有的规章制度原则性要求较多,可操作性较低,在信息 安全管理方面偏重于技术。 8.1.4.3 网络特性 ××信息系统的网络拓扑结构图如图8-1所示。
1U
UPS Champin(20KW)
Leabharlann Baidu
服务器区
防病毒 服务器 MACFEE
数据 应用程序 服务器 服务器 HP DL380 HP DL380
8.1.3 组建适当的评估管理与实施团队 组建由该单位领导、风险评估专家、技术专家,以及各管 理层、业务部门的相关人员组成风险评估小组,同时明确规 定每个成员的任务分工 。
8.1.4 进行系统调研
通过问卷调查、人员访谈、现场考察、核查表等形式,对 信息系统的业务、组织结构、管理、技术等方面进行调查。问 卷调查、人员访谈的方式使用了《调查表》,调查了系统的管 理、设备、人员管理的情况,现场考察、核查表的方式考察了 设备的具体位置,核查了设备的实际配置等情况,得出有关信 息系统的描述。
8.1.6 信息安全风险评估项目实施方案 8.1.6.1 项目组织机构 项目实施的组织机构如下: 项目工程领导小组由受测机构主管信息安全的领导和评估 机构领导共同组成。项目工程领导小组定期听取项目工程管 理小组汇报整个项目的进展情况和项目实施关键阶段的成果; 项目实施完毕之后,领导小组将根据整个项目的成果情况, 批准并主持项目试点总结工作。
PC-1
PC-2
8.1.5 评估依据 评估所遵循的依据如下:
1.《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007) 2.《信息技术 信息技术安全管理指南》(GB/T 19715-2005) 3.《信息技术 信息安全管理实用规则》(GB/T 19716-2005) 2.《信息安全等级保护管理办法》(公通字[2007]43号) 3.《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006)
本章目录
1 评估准备 2 识别并评价资产 3 识别并评估威胁 4 识别并评估脆弱性 5 分析可能性和影响 6 风险计算 7 风险处理 8 编写信息安全风险评估报告
上机实验
1 评估准备
依据GB/T 20984—2007《信息安全技术 信息安全风险评 估规范》,在风险评估实施前,应确定风险评估的目标,确 定评估范围,组建评估管理与实施团队,进行系统调研,确 定评估依据和方法,制定评估方案,获得最高管理者的支持。
1.1 确定信息安全风险评估的目标 ××信息系统风险评估目标是通过风险评估,分析信息系统 的安全状况,全面了解和掌握信息系统面临的安全风险,评估 信息系统的风险,提出风险控制建议,为下一步完善管理制度 以及今后的安全建设和风险管理提供第一手资料。
8.1.2 确定信息安全风险评估的范围 既定的信息安全风险评估可能只针对组织全部资产的一个 子集,评估范围必须明确。本次评估的范围包括该信息系统 网络、管理制度、使用或管理该信息系统的相关人员,以及 由系统使用时所产生的文档、数据。
信息安全风险评估实例
• 本章概要: 之前介绍了信息安全风险评估的基本过程,本章以某信息
系统为例详细介绍信息安全风险评估的实施过程。依据GB/T 20984—2007《信息安全技术 信息安全风险评估规范》和信 息安全风险评估的基本过程,将信息安全风险评估的实施过 程分为评估准备、识别并评价资产、识别并评估威胁、识别 并评估脆弱性、分析可能性和影响、风险计算、风险处理、 编写信息安全风险评估报告等阶段。
8.1.4.1 业务目标和业务特性
1.业务目标
××信息系统主要负责数据的收集、技术处理以及预测分析, 为相关部门提供决策和管理支持,向社会提供公益服务。
2.业务特性 通过对信息系统的业务目标的分析,归纳出以下业务特性:
⑴ 业务种类多,技术型工作与管理型工作并重; ⑵ 业务不可中断性低; ⑶ 业务保密性要求低; ⑷ 业务基本不涉及现金流动; ⑸ 人员业务素质要求高。
项目工程管理小组由评估双方的项目负责人组成。主要职 责是审核确认项目实施组制定的现场工作计划,并监督项目 进展情况;主持阶段成果汇报会议;做好协调工作,保证项 目的顺利执行。
项目实施组由评估专家、评估工程师及受测机构的安全管 理员、网络管理员和应用系统分析员组成。主要职责是制定 详细项目实施计划,根据实施计划开展工作。
编制评估报告:完成最终评估报告。工作方式:研讨会。 工作成果:《信息系统综合评估报告》。
表8-1 ××信息系统风险评估实施进度表
ID 任务名称 开始 完成时 持续
时间
项目准备:项目实施前期工作,包括成立项目组,确定评 估范围,制定项目实施计划,收集整理开发各种评估工具等。 工作方式:研讨会。工作成果:《项目组成员信息表》、 《评估范围说明》、《评估实施计划》。
现状调研:通过访谈调查,收集评估对象信息。工作方式: 访谈、问卷调查。工作成果:《各种系统资料记录表单》。
检查与测试:手工或工具检查及测试。进行资产分析、威 胁分析和脆弱性扫描。工作方式:访谈、问卷调查、测试、 研讨会。工作成果:《资产评估报告》、《威胁评估报告》、 《脆弱性评估报告》。
分析评估:根据相关标准或实践经验确定安全风险,并给 出整改措施。工作方式:访谈、研讨会。工作成果:《安全 风险分析说明》。
专网
路由器-2 华为NE40
防火墙1 SuperV-5318
交换机1 CATALYST4000
交换机2 CISCO3745
防火墙2 UTM-418D
路由器-1 CISCO3640
防火墙3 Secgate 3600-F3
PC
PC
网络管理
空
内部网络
交换机3
调
CISCO2950
Internet
图8-1 网络拓扑结构图