信息安全测评复习资料(word版,不喜勿喷).docxVIP

第二部分信息安全风险评估理论与方法 2.1评估策略 风险评估依据： （1）政策法规 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）； 《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》（国信办[2006]5号）。 （2）国际标准 BS 7799-1《信息安全管理实施细则》； BS 7799-2《信息安全管理体系规范》； ISO/IEC TR 13335《信息技术安全管理指南》； SSE-CMM《系统安全工程能力成熟模型》。 （3）国家标准 GB 17589-1999《计算机信息系统安全保护等级划分准则》； GB/T 18336：1-3：2001《信息技术性评估准则》； GB/Z《信息安全风险评估指南》（征求意见稿）； GB/Z《信息安全风险管理指南》（征求意见稿）。 （4）行业通用标准 CVE公共漏洞数据库； 信息安全应急响应机构公布的漏洞； 国家信息安全主管部门公布的漏洞。 （5）其他 风险评估原则： （1）可控性原则 人员可控性——所有参与信息安全评估的人员 工具可控性——所使用的风险评估工具 项目过程可控性——依据项目管理方法学 （2）完整性原则 严格按照委托单位评估要求和指定范围进行全面评估服务 （3）最小影响原则 力求将评估对信息系统正常运行的影响降低到最低限度 （4）保密原则 与评估对象签署保密协议和非侵害性协议 2.2 评估实施流程 1、风险评估的准备 重要性： 风险评估的准备是实施风险评估的前提，其准备过程是组织进行风险评估的基础，是整个风险评估过程有效性的保证。 只有有效地进行了信息安全风险评估准备，才能更好地开展信息安全风险评估。 准备活动包括： 确定风险评估的目标； 确定风险评估的范围； 组建评估管理团队和评估实施团队； 进行系统调研； 确定评估依据和方法； 获得支持。 （1）确定风险评估的目标 通过分析组织必须符合的相关法律法规、组织在业务流程中对信息安全等的机密性、可用性、完整性等方面的需求，来确定风险评估的目标。 （2）确定风险评估的范围 风险评估的范围包括组织内部与信息处理相关的各类软硬件资产、相关的管理机构和人员、所处理的信息等各方面。 （3）组建评估管理团队和评估实施团队 组建风险评估实施团队具体执行组织的风险评估；除此以外，还需组织管理层、相关业务骨干、信息安全运营管理人员等参与，组建评估管理团队，以利于风险评估的实施。 （4）进行系统调研 系统调研的目的是为了对此次风险评估的目标、范围做出初步判断，为撰写风险评估计划做必要的准备；并根据系统调研结果决定评估将采取的评估方法等技术手段。 可以采取问卷调查、现场访谈等方式进行。 （5）确定评估依据和方法 分类 示例 数据 保存在信息媒介上的各种数据资源，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等 软件 系统软件：OS、DBMS、软件开发平台等 应用软件：办公软件、数据库软件等 源程序：各种共享源代码、自行或合作开发的各种代码等 硬件 网络设备：路由器、网关、交换机等 计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携式计算机等 存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等 传输介质：光纤、双绞线等 保障设备：UPS、变电设备、空调、保险柜、文件柜、门禁、消防设备等 安全设备：防火墙、入侵检测设备、身份鉴别设备等 其他：打印机、复印机、扫描仪、传真机等 评估依据包括现有国际或国家有关信息安全标准、组织的行业主管机关的业务系统的要求和制度、组织的信息系统互联单位的安全要求、组织的信息系统本身的实时性或性能要求等。 根据系统调研所获得的用户的各种资料，向用户提交一份《信息安风险评估计划》，包括目标、范围、依据、技术路线、时间安排、人员安排、保障条件、交付成果等。 （6）获得支持 形成完整的风险评估实施方案，并报组织最高管理者批准，以获得其对风险评估方案的支持； 同时在组织范围就风险评估相关内容对管理者和技术人员进行培训，以明确有关人员在风险评估中的任务。 2、资产识别 资产识别的过程就是将组织的业务工作逐步分解成定性、定量的资产安全性分析，或者说将组织的业务安全映射成资产的安全，使得能够科学地把握组织的业务安全需求及其变化。 资产识别包括资产分类和资产赋值两个环节。 （1）资产分类（WHY？） 服务 信息服务：该系统对外开展的各种服务 网络服务：各种网络设备、设施提供的网络连接服务 办公服务：为提高效率而开发的管理信息系统，包括各种内部配置管理、文件流转管理等服务 人员 掌握重要形象和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等 其他 企业形象、客户关系等 风险评估需要对资产的价值进行识别，因为价值不同将导致风险值不同。