|
风险评估准备
|
a)确定风险评估的目标; | 根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容,识别现有信息系统及管理上的不足,以及可能造成的风险大小。 |
| b)确定风险评估的范围; | 风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独 | |
| 立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。 | ||
| c)组建适当的评估管理与实施团队; | 风险评估实施团队,由管理层、相关业务骨干、IT技术等人员组成风险评估小组。必要时,可组 | |
| 建由评估方、被评估方领导和相关部门负责人参加的风险评估领导小组,聘请相关专业的技术专家和 | ||
| 技术骨干组成专家小组。 | ||
| 评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作,进行风险评估技术培训和 | ||
| 保密教育,制定风险评估过程管理相关规定。可根据被评估方要求,双方签署保密合同,适情签署个 | ||
| 人保密协议。 | ||
| d)进行系统调研; | a)业务战略及管理制度; | |
| b)主要的业务功能和要求; | ||
| c)网络结构与网络环境,包括内部连接和外部连接; | ||
| d)系统边界; | ||
| e)主要的硬件、软件; | ||
| f)数据和信息; | ||
| g)系统和数据的敏感性; | ||
| h)支持和使用系统的人员; | ||
| i)其他。 | ||
| e)确定评估依据和方法; | a) 现有国际标准、国家标准、行业标准; | |
| b) 行业主管机关的业务系统的要求和制度; | ||
| c) 系统安全保护等级要求; | ||
| d) 系统互联单位的安全要求; | ||
| e) 系统本身的实时性或性能要求等。 | ||
| f)制定风险评估方案; | a)团队组织:包括评估团队成员、组织结构、角色、责任等内容; | |
| b)工作计划:风险评估各阶段的工作计划,包括工作内容、工作形式、工作成果等内容; | ||
| c)时间进度安排:项目实施的时间进度安排。 | ||
| g)获得最高管理者对风险评估工作的支持。 | ||
| 资产识别 | 资产分类 | 数据、软件、硬件、服务、人员、其他(企业形象、客户关系等)等类型 |
| 资产赋值 | 保密性赋值 完整性赋值 可用性赋值 资产重要性等级 | |
| 威胁识别 | 威胁分类 | 软硬件故障 物理环境影响 无作为或操作失误 管理不到位 恶意代码 越权或滥用 网络攻击 物理攻击 泄密 篡改 抵赖 |
| 威胁赋值 | a)以往安全事件报告中出现过的威胁及其频率的统计; | |
| b)实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计; | ||
| c)近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预 | ||
| 警。 | ||
| 脆弱性识别 | 脆弱性识别内容 | 技术脆弱性:物理环境 网络结构 系统软件 应用中间件 应用系统 |
| 管理脆弱性:技术管理 组织管理 | ||
| 问卷调查、工具检测、人工核查、文档查阅、渗透性测试 | ||
| 脆弱性赋值 | 资产的暴露程度、技术实现的难易程度、流行程度进行赋值 | |
| 已有安全措施确认 | 安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱 | |
| 性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以减少因安全事件发生后对组织或 | ||
| 系统造成的影响。 | ||
| 风险分析 | 风险计算原理 | 风险值=R(A,T,V)= R(L(T,V),F(Ia,Va )) 矩阵法和相乘法 |
| 风险结果判定 | 可将风险划分为五级,等级越高,风险越高 | |
| 风险处理计划 | 风险处理计划中应明确采取的弥补脆弱性的安全措施、预期效果、实施条件、进度安排、责任部门等 | |
| 残余风险评估 | ||
| 风险评估文档记录 | 整个风险评估过程中产生的评估过程文档和评估结果文档 | a)风险评估方案:阐述风险评估的目标、范围、人员、评估方法、评估结果的形式和实施进度等; |
| b)风险评估程序:明确评估的目的、职责、过程、相关的文档要求,以及实施本次评估所需要的各种资产、威胁、脆弱性识别和判断依据; | ||
| c)资产识别清单:根据组织在风险评估程序文档中所确定的资产分类方法进行资产识别,形成资产识别清单,明确资产的责任人/部门; | ||
| d)重要资产清单:根据资产识别和赋值的结果,形成重要资产列表,包括重要资产名称、描述、类型、重要程度、责任人/部门等; | ||
| e)威胁列表:根据威胁识别和赋值的结果,形成威胁列表,包括威胁名称、种类、来源、动机及出现的频率等; | ||
| f)脆弱性列表:根据脆弱性识别和赋值的结果,形成脆弱性列表,包括具体脆弱性的名称、描述、类型及严重程度等; | ||
| g)已有安全措施确认表:根据对已采取的安全措施确认的结果,形成已有安全措施确认表,包括已有安全措施名称、类型、功能描述及实施效果等; | ||
| h)风险评估报告:对整个风险评估过程和结果进行总结,详细说明被评估对象、风险评估方法、资产、威胁、脆弱性的识别结果、风险分析、风险统计和结论等内容; | ||
| i)风险处理计划:对评估结果中不可接受的风险制定风险处理计划,选择适当的控制目标及安全措施,明确责任、进度、资源,并通过对残余风险的评价以确定所选择安全措施的有性; | ||
| j)风险评估记录:根据风险评估程序,要求风险评估过程中的各种现场记录可复现评估过程,并作为产生歧义后解决问题的依据。 |