XX科技风险评估服务工程指南.docVIP

XX科技风险评估服务工程指南 ■ 文档编号 DOCPROPERTY 文档编号 请输入文档编号 ■ 密级 DOCPROPERTY 密级 请输入文档密级 ■ 版本编号 ■ 日期 ? DATE \@ yyyy 2008 XX科技  ■ 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属 DOCPROPERTY Company XX科技所有，受到有关产权及版权法保护。任何个人、机构未经 DOCPROPERTY Company XX科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 ■ 版本变更记录 时间 版本 说明 修改人 ■ 适用性声明 本模板用于撰写XX科技内外各种正式文件，包括技术手册、标书、白皮书、会议通知、公司制度等文档使用。 - PAGE \* ROMAN - PAGE \* ROMAN II - 目录 TOC \h \z \t 附录1（绿盟科技）,1,附录2（绿盟科技）,2,附录3（绿盟科技）,3,附录4（绿盟科技）,4,标题 1（绿盟科技）,1,标题 2（绿盟科技）,2,标题 3（绿盟科技）,3 一. XX科技风险评估项目概述 1 1.1 风险评估服务简述 1 1.2 风险评估基本概念 1 1.3 风险评估各要素的关系 2 1.4 风险评估的目的和意义 3 1.5 风险评估的基本内容 4 二. 风险评估项目实施内容 5 2.1 项目准备阶段 5 2.2 项目实施阶段 7 2.3 风险综合分析阶段 12 三. 风险评估项目剪裁 17 四. 由风险评估服务衍生的其它服务 18 4.1 等级保护 18 4.2 SOX 18 4.3 ISMS体系建立与27001认证咨询 19 4.4 安全域划分 19 五. 风险评估在不同阶段的应用 20 5.1 信息系统生命周期概述 20 5.2 信息系统生命周期各阶段中的风险评估 20  PAGE - PAGE 21 - ? 2008 XX科技 密级： DOCPROPERTY 密级 请输入文档密级 XX科技风险评估项目概述 风险评估服务简述 信息系统安全风险评估作为安全咨询服务的一项重要内容，是其他安全服务如体系建立、安全规划、法规遵从等服务的基础，同时也是提升安全服务层次、深入了解用户系统现状、安全需求以及安全规划的有力手段。 风险评估服务中所涉及的要素有业务、信息资产、脆弱性、威胁和风险，对风险衡量的因素主要有两个：可能性和影响。 风险评估基本概念 信息安全的核心概念是安全风险，即由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。信息安全的基本要素包括： 业务承载：即一个单位通过信息系统实现的工作任务。一个单位的主营业务对信息系统和信息的依赖程度越高，就越需要信息安全保障。 信息资产：通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。 资产价值：资产是有价值的，资产价值可通过资产的敏感程度、重要程度或关键程度来表示。 威胁：一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果等。 脆弱性：信息资产及其安全措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。 事件：如果威胁主体能够产生威胁，利用资产及其安全措施的脆弱性，那么实际产生危害的情况称之为事件。 风险：由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响来衡量。 残余风险：采取了安全措施，提高了信息安全保障能力后，仍然可能存在的风险。 安全需求：为保证一个单位的使命能够正常行使，在信息安全保障措施方面提出的要求。 安全措施：对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。安全措施分为技术和管理两大类。 风险评估各要素的关系 风险评估相关要素的关系如图1所示,这张图出自ISO 13335,是进行风险评估服务的基础,它比较清晰地说明了风险评估中所涉及的各个要素及相互关系。 图1-1 风险评估相关要素的关系 图1-1中方框部分的内容为风险评估相关的基本要素，风险评估的工作是围绕其基本要素展开的，在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。 图1-1中这些要素之间存在着以下关系：业务战略依赖于信息资产去完成；信息资产拥有价值，单位的业务战略越重要，对信息资产的依赖