信息安全风险评估流程要点.pptVIP

THANKS * a.目标：了解信息系统现状，识别现有信息系统及管理上的不足，以及可能造成的风险大小。 b.范围：系统物理边界、逻辑边界、组织结构和人员范围、安全管理等。 c.团队：风险评估实施团队组建，团队成员是评估过程中的管理者以及具体评估活动的实施者。 d.调研：主要业务功能和要求、业务战略和管理制度、网络结构与网络环境、系统边界、主要软硬件、数据和信息、系统和数据的敏感性、支持和使用系统的人员等。 e.依据：国内标准主要有《信息安全技术 信息安全风险评估规范》（GB/T20984-2007)、《网络基础安全技术要求》、《信息系统通用安全技术要求》、《操作系统安全技术要求》、《数据库管理系统安全技术要求》、《信息系统安全管理要求》、《信息系统安全等级保护基本要求》。国际标准主要有《信息安全管理指导方针》（ISO/IEC 13335）、《信息技术 安全技术 信息技术安全评估准则》（ISO 15408/GB-T 18336）、BS 7799、《系统安全工程 能力成熟度模型》（SSE-CMM）。 f.方案：风险评估方案包括团队组织、工作计划、时间进度安排等。 * * * 信息安全风险评估流程 培训讲师：jindaly 培训日期：2011.6 一、风险评估概述二、风险评估目的三、风险评估范围四、风险评估流程五、风险评估工作要点 一、风险评估概述 信息安全风险评估的概念在业内有多种说法，从国标《评估指南》对信息安全风险评估的表述中看出，评估涉及资产、威胁、脆弱性和风险四个主要因素。 风险管理是辨别信息系统潜在的风险，对其进行评估，并采取措施将其降低到可接受的水平的过程，而风险评估是其中最重要的环节。 一、风险评估概述 信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。 信息安全风险评估从管理的角度，运用科学的方法和手段，系统分析网络与信息系统所面临的威胁及存在的脆弱性。评估安全事件一旦发生可能造成的危害程度，提出有针对性地抵御安全威胁的防护措施，为防范和化解信息安全风险，或将风险控制在可以接受的水平，最大限度地保障网络正常运行和信息安全提供科学依据。 二、风险评估目的 信息安全风险评估是加强信息安全保障体系建设和管理的关键环节，通过开展信息安全风险评估工作，可以发现信息系统存在的主要问题和矛盾，找到解决诸多关键问题的办法。 信息安全风险评估旨在认清信息安全环境，信息安全状况，有助于达成共识，明确责任，采取和完善安全保障措施，使其更加经济有效，并使信息安全策略保持一致性和持续性。并为信息系统的建设和改造提供依据，帮助信息安全建设者正确判断系统存在风险与漏洞，并采取适当补救措施。 风险评估可以科学地分析和理解信息系统在保密性、完整性、可用性等方面的工作，只有正确、全面地了解理解安全风险后才能决定如何处理安全风险，从而在信息安全的投资，信息安全措施的选择，信息安全保障体系的建设做出合理的决策。 三、风险评估范围 信息安全风险评估适用于在信息安全管理体系下的所有信息资产、网络及任何管理和维护这些系统的流程所做的一切风险评估。信息安全风险评估包括信息资产的风险识别、评估与管理，即信息系统网络、管理制度、使用或管理信息系统的相关人员以及由信息系统使用时产生的文档、数据等的风险识别、评估与管理 。 四、风险评估流程 信息安全风险评估的典型过程主要分为风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认和风险分析六个阶段。 风险评估准备 资产识别 威胁识别 脆弱性识别 已有安全措施确认 风险分析 四、风险评估流程 该阶段的主要任务是制订评估工作计划，包括评估目标、评估范围、制订信息安全风险评估工作方案，并根据评估工作需要，组建评估团队，明确各方职责。 在风险评估准备阶段，需要多次与被评估方磋商，了解被评估方关注的重点，明确风险评估的目标和范围，为整个风险评估工作提供向导。在确定评估范围和目标之后，根据被评估对象的网络规模、复杂度、特殊性，成立评估工作小组，明确各方人员组成及职责分工。建立评估团队后，由评估工作人员进行现场调研，由被评估方介绍网络构建情况，安全管理制度和采取的安全防护措施以及业务运行情况。评估工作小组根据调研情况撰写信息安全风险评估工作方案。 1.风险评估准备 四、风险评估流程 确定目标 确定范围 组建团队 系统调研 确定依据 制定方案 1.风险评估准备 四、风险评估流程 做好风险评估准备阶段的相关工作之后，需要通过多种途径采集评估对象的资产信息，为风险评估后续各阶段的工作提供基本素材。 机密性、完整性和可用性是评价资产的三个安全属性。