信息安全风险评估培训（第十二期）.ppt

* * 实施现场评估 首次会议之后，即可进入现场评估。现场评估按计划进行，评估内容参照事先准备好的检查列表。 评估期间，评估员应该做好笔记和记录，这些记录是评估员提出报告的真凭实据。记录的格式可以是“笔记式”，也可以是“记录表式”，一般来说，内审活动都应该有统一的“现场评估记录表”，便于规范化管理。 评估进行到适当阶段，评估组长应该主持召开评估小组会议，借此了解各个评估员的工作进展，提出下一步工作要求，协调有关活动，并对已获得的评估证据和评估发现展开分析和讨论。 * * 对不符合项进行描述 无论是严重不符合项还是轻微不符合项，评估员都应该将其记录到不符合项报告中。不符合项报告是对现场评估得到的评估发现进行评审并经过受评估方确认的对不符合项的陈述，是最终的评估报告的一部分，是评估小组提交给委托方或受评估方的正式文件。 不符合项描述应该明确以下内容： 在哪里发现的？描述相关区域、文件、记录、设备 发现了什么？客观描述发现的事实 有谁在场？或者和谁有关？描述相关人员、职位 为什么不合格？描述不符合原因，所违背的标准或文件条款 在对不符合项进行描述时，应该注意： 不符合项描述务必清楚明白，便于追溯 描述语句务必正规，采用标准术语 * 现场工作时间安排（一） 现场工作时间安排（二） * * 召开评估小组会议 现场评估结束后，末次会议召开之前，评估小组应该召开内部碰头会。或者是在整个评估过程中，定期（每天结束时）召开评估小组碰头会 同一评估小组的成员参加 会议期间讨论当前的评估结果 沟通评估信息、线索 协调评估方向，控制评估实施按计划进行 评估组长作评估总结准备。在末次会议之前的评估组会议中，评估组长要对评估的观察结果作一次汇总分析： 从发现的风险进行分析（发生的部门、要素、性质、类型） 从技术漏洞的趋势分析（不同业务系统的比较） 从体系运行状况对影响情况进行分析 总结各项安全措施落实的优缺点 * * 召开末次会议 现场评估之后，评估组长应该主持召开末次会议，有评估小组、受评估方领导和各相关部门负责人共同参加。 末次会议的任务在于：向受评估方介绍评估的情况；报告评估发现（重大风险点）和评估结论；提出后续工作的建议（纠正措施等）；结束现场评估。 * * 末次会议议程及内容 等级保护测评中的风险分析 风险分析和评价 安全事件可能性分析 安全事件后果分析 风险分析和评价 重点回顾 风险评估基本概念(P5) 资产赋值的一般方法(P11-P16) 风险分析原理(P23) 风险评估流程(P54) 信息安全： 防止价值的损坏 保护或保证的一件事 在下列几方面里包括了信息的保护 保密性-保证信息仅仅被那些被授权的人使用 完整性-保护信息及其处理方法的准确性和完整性 可用性-保障被授权使用人在需要时可以获取信息和使用相关的资产 信息安全管理分成三个区域-保密性，完整性，有效性 安全的几个属性：保密，完整，可用，可靠，可控，不可抵赖 前三条来自BS7799 CIA 非法访问进不来 重要资料拿不走 关键配置改不了 机密信息看不懂 违规人员跑不了 各项操作可审查 Risk Assessment Components By communicating a consistent structure for evaluating the components of risk, digital asset owners and OTG have a common taxonomy to track the progress and contribute to the evaluation process. It is important to note that many stakeholders are required to sufficiently address each component. This is especially true for the more subjective areas of business impact costs, the likelihood of vulnerabilities occurring, and the larger cost/benefit analysis to evaluate new control solutions. Stakeholders can include risk management experts who are involved in calculating risk, security analysts who know specific vulnerabiliti