第七章 信息安全风险评估的基本过程.ppt

第七章 信息安全风险评估的基本过程 信息安全风险评估是对信息在产生、存储、传输等过程中其机密性、完整性、可用性遭到破坏的可能性及由此产生的后果所做的估计或估价，是组织确定信息安全需求的过程。 7.1 信息安全风险评估的过程 依据GB/T 20984—2007《信息安全技术 信息安全风险评估规范》，同时参照ISO/IEC TR 13335-3、NIST SP800-30等标准，风险评估过程都会涉及到以下阶段：识别要评估的资产，确定资产的威胁、脆弱点及相关问题，评价风险，推荐对策。 信息安全风险评估完整的过程如图7-1所示 7.2 评估准备 信息安全风险评估的准备，是实施风险评估的前提。为了保证评估过程的可控性以及评估结果的客观性，在信息安全风险评估实施前应进行充分的准备和计划，信息安全风险评估的准备活动包括： ⑴ 确定信息安全风险评估的目标； ⑵ 确定信息安全风险评估的范围； ⑶ 组建适当的评估管理与实施团队； ⑷ 进行系统调研； ⑸ 确定信息安全风险评估依据和方法； ⑹ 制定信息安全风险评估方案； ⑺ 获得最高管理者对信息安全风险评估工作的支持。 7.2.1 确定信息安全风险评估的目标 在信息安全风险评估准备阶段应明确风险评估的目标，为信息安全风险评估的过程提供导向。信息安全需求是一个组织为保证其业务正常、有效运转而必须达到的信息安全要求，通过分析组织必须符合的相关法律法规、组织在业务流程中对信息安全等的保密性、完整性、可用性等方面的需求，来确定信息安全风险评估的目标。 7.2.2 确定信息安全风险评估的范围 既定的信息安全风险评估可能只针对组织全部资产的一个子集，评估范围必须明确。 描述范围最重要的是对于评估边界的描述。评估的范围可能是单个系统或者是多个关联的系统。 比较好的方法是按照物理边界和逻辑边界来描述某次风险评估的范围。 7.2.3 组建适当的评估管理与实施团队 在评估的准备阶段，评估组织应成立专门的评估团队，具体执行组织的信息安全风险评估。团队成员应包括评估单位领导、信息安全风险评估专家、技术专家，还应该包括管理层、业务部门、人力资源、IT系统和来自用户的代表。 7.2.4 进行系统调研 系统调研是确定被评估对象的过程。风险评估团队应进行充分的系统调研，为信息安全风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容至少应包括： ⑴ 业务战略及管理制度； ⑵ 主要的业务功能和要求； ⑶ 网络结构与网络环境，包括内部连接和外部连接； ⑷ 系统边界； ⑸ 主要的硬件、软件； ⑹ 数据和信息； ⑺ 系统和数据的敏感性； ⑻ 支持和使用系统的人员。 7.2.5 确定信息安全风险评估依据和方法 信息安全风险评估依据包括现有国际或国家有关信息安全标准、组织的行业主管机关的业务系统的要求和制度、组织的信息系统互联单位的安全要求、组织的信息系统本身的实时性或性能要求等。 根据信息安全评估风险依据，并综合考虑信息安全风险评估的目的、范围、时间、效果、评估人员素质等因素，选择具体的风险计算方法，并依据组织业务实施对系统安全运行的需求，确定相关的评估判断依据，使之能够与组织环境和安全要求相适应。 7.2.6 制定信息安全风险评估方案 信息安全风险评估方案的内容一般包括： ⑴ 团队组织：包括评估团队成员、组织结构、角色、 责任等内容。 ⑵ 工作计划：信息安全风险评估各阶段的工作计 划，包括工作内容、工作形式、工作成果等内容。 ⑶ 时间进度安排：项目实施的时间进度安排。 7.2.7 获得最高管理者对信息安全风险评估工作的支持 信息安全风险评估需要相关的财力和人力的支持，管理层必须以明示的方式表明对评估活动的支持，对资源调配作出承诺，并对信息安全风险评估小组赋予足够的权利，信息安全风险评估活动才能顺利进行。 7.3 识别并评价资产 7.3.1 识别资产 在信息安全风险评估的过程中，应清晰地识别其所有的资产，不能遗漏，划入风险评估范围和边界内的每一项资产都应该被确认和评估。 资产识别活动中，可能会用到工具有以下几种。 1．资产管理工