信息安全风险评估服务.docVIP

风险评估概述 1.1风险评估概念 信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。 风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。 1.2风险评估相关 资产，任何对组织有价值的事物。 威胁，指可能对资产或组织造成损害的事故的潜在原因。例如，组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。 脆弱点，是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思，使用简短易被猜测的口令、操作系统本身有安全漏洞等。 风险，特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害饿潜在可能性，即特定威胁事件发生的可能性与后果的结合。 风险评估，对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。 风险评估也称为风险分析，就是确认安全风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的方法，去顶资产风险等级和优先控制顺序。 风险评估的发展现状 2.1信息安全风险评估在美国的发展 第一阶段（60-70年代）以计算机为对象的信息保密阶段 1067年11月到1970年2月，美国国防科学委员会委托兰德公司、迈特公司（MITIE）及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究，分析。作为第一次比较大规模的风险评估。 特点： 仅重点针对了计算机系统的保密性问题提出要求，对安全的评估只限于保密性，且重点在于安全评估，对风险问题考虑不多。 第二阶段（80-90年代）以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品，很少延拓至系统，婴儿在严格意义上扔不是全面的风险评估。 第三阶段（90年代末，21世纪初）以信息系统为对象的信息保障阶段 随着信息保障的研究的深入，保障对象明确为信息和信息系统；保障能力明确来源于技术、管理和人员三个方面；逐步形成了风险评估、自评估、认证认可的工作思路。 2.2我国风险评估发展 ● 2002年在863计划中首次规划了《系统安全风险分析和评估方法研究》课题 ● 2003年8月至2010年在国信办直接指导下，组成了风险评估课题组 ● 2004年，国家信息中心《风险评估指南》，《风险管理指南》 ● 2005年全国风险评估试点 ● 在试点和调研基础上，由国信办会同公安部，安全部，等起草了《关于开展信息安全风险评估工作的意见》征求意见稿 ● 2006年，所有的部委和所有省市选择1-2单位开展本地风险评估试点工作 ● 2015年，国家能源局根据《电力监控系统安全防护规定》（国家发展和改革委员会令2014年第14号）制定了《电力监控系统安全防护总体方案》（国能安全[2015]36号）等安全防护方案和评估方案，其中相关规定明确风险评估在电力系统中的需要 ● 2017年7月，《中华人民共和国网络安全法》颁布，其中第二章第十七条“国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务”。明确了需要社会广泛参与服务。 风险评估要素关系模型 风险评估流程 ● 确定资产评估范围 ● 资产的识别和影响 ● 威胁识别 ● 脆弱性评估 ● 威胁分析 ● 风险分析 ● 风险管理 风险评估原则 ● 符合性原则 ● 标准性原则 ● 规范性原则 ● 可控性原则 ● 保密性原则 ● 整体性原则 ● 重点突出原则 ● 最小影响原则 评估依据的标准和规范 GB/T 20984-2007?《信息安全技术?信息安全风险评估规范》 《电力监控系统安全防护规定》（发改委14号令） 《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》（国能安全[2015]36号） GB/T 18336-2001 《信息技术 安全技术 信息技术安全性评估准则》 ISO/IEC 27001:2005《信息安全管理体系标准》 GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》 GB/T 22240-2008 《信息安全技术 信息系统安全等级保护定级指南》 GB/T 25058-2010 《信息安全技术 信息系统安全等级保护实施指南》 《电力行业信息安全等级保护基本要求》（电监信息[2012]62号） 《关于开展电力行业信息系统安全等级保护定级工作的通知》（电监信息