第1章--信息安全风险评估实施流程.pptVIP

　信息安全风险评估实施流程 信息安全风险评估是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，为防范和化解信息安全风险，或者将风险控制在可以接受的水平，制定针对性的抵御威胁的防护对策和整改措施以最大限度地保障网络和信息安全提供科学依据。  在信息化建设中，各类应用系统及其赖以运用的基础网络、处理的数据和信息是业务实现的保障，由于其可能存在软硬件设备缺陷、系统集成缺陷等，以及信息安全管理中潜在的薄弱环节，都将导致不同程度的安全风险。 　　信息安全风险评估可以不断地、深入地发现信息系统建设、运行、管理中的安全隐患，并为增强安全性提供有效建议，以便采取更加经济、更加有力的安全保障措施，提高信息安全的科学管理水平，进而全面提升网络与信息系统的安全保障能力。 信息安全风险评估在具体实施中一般包括风险评估的准备活动，对信息系统资产安全、面临威、存在脆弱性的识别，对已经采取安全措施的确认，对可能存在的信息安全风险的识别等环节。 　　1.1 风险评估的准备  风险评估的准备是实施风险评估的前提，只有有效地进行了信息安全风险评估准备，才能更好地开展信息安全风险评估。由于实施信息安全风险评估，涉及组织的业务流程、信息安全需求、信息系统规模、信息系统结构等多方面内容，因此开展信息安全风险评估的准备活动，通过确定目标、进行调研、获得组织高层管理者对评估的支持等，对有效实施风险评估是十分必要的。 　　信息安全评估的准备活动包括 1. 确定风险评估的目标 2. 确定风险评估的范围 3. 组建风险评估管理团队和评估实施团队 4. 进行系统调研 5. 确定评估依据和方法 6. 获得最高管理者对风险评估工作的支持 　1.1.1 确定风险评估的目标 首先需要确定风险评估的目标，信息安全需求是一个组织为保证其业务正常、有效运转而必须达到的信息安全要求，通过分析组织必须符合的相关法律法规、组织在业务流程中对信息安全等的机密性、可用性、完整性等方面的需求，来确定风险评估的目标。 　　1.1.2 确定风险评估的范围  在风险评估前，需要确定风险评估的范围。风险评估的范围，包括组织内部与信息处理相关的各类软硬件资产、相关的管理机构和人员、所处理的信息等各方面。 实施一次风险评估的范围可大可小，需要根据具体评估需求确定，可以对组织全部的信息系统进行评估，也可以仅对关键业务流程进行评估，也可以对组织的关键部门的信息系统进行评估等。 1.1.3 组建评估管理团队和评估实施团队 在确定风险评估的目标、范围后，需要组建风险评估实施团队，具体执行组织的风险评估。由于风险评估涉及组织管理、业务、信息资产等各个方面，因此风险评估团队中除了信息安全评估人员的参与，以便更好地了解组织信息安全状况，以利于风险评估的实施。 1.1.4 进行系统调研  在确定了风险评估的目标、范围、团队后，要进行系统调研，并根据系统调研的结果决定评估将采用的评估方法等技术手段。系统调研内容包括： 　 1. 组织业务战略2. 组织管理制度3. 组织主要业务功能和要求4. 网络结构、网络环境（包括内部连接和外部连接）5. 网络系统边界6. 主要的硬、软件7. 数据和信息8. 系统和数据的敏感性9. 系统使用人员10. 其他系统调研方法可以采用问卷调查、现场访谈等方法进行。 　　1.1.5 确定评估依据和方法 以系统调研结果为依据，根据被评估信息系统的具体情况，确定风险评估依据和方法。 评估依据包括吸纳有国际或国家有关信息安全标准、组织的行业主管机关的业务系统的要求和制度、组织的信息系统互连单位的安全要求、组织的信息系统本身的实时性或性能要求等。 根据评估依据，并综合考虑评估的目的、范围时间效果评估人员素质等因素，选择具体的风险计算方法，并依据组织业务实施对系统安全运行的需求，确定相关的评估判断依据，使之能够与组织环境和安全要求相适应。 1.1.6 获得支持 就以上内容形成较为完整的风险评估实施方案，并报组织最高管理者批准，以获得其对风险评估方案的支持，同时在组织范围就风险评估相关内容对管理者和技术人员进行培训，以明确有关人员在风险评估中的任务。 　　1.2 资产识别1.2.1 资产分类 风