GB_T20984-2007信息安全风险评估规范.pptxVIP

GB/T 20984-2007信息安全风险评估规范张朝阳1.基本术语和定义? 资产 asset对组织有价值的信息或资源，是安全策略保护的对象。? 可用性 availability根据授权实体的要求可访问和利用的特性。? 保密性confidentiality信息不能被未授权的个人，实体或者过程利用或知悉的特性。? 威胁 Threat可能导致对系统或组织危害的不希望事故潜在起因。? 脆弱性 Vulnerability可能被威胁所利用的资产或若干资产的薄弱环节1.基本术语和定义? 完整性integrity保护资产的准确和完整的特性。? 保密性 Confidentiality使信息不泄露给未授权的个人、实体、过程或不使信息为其利用的特性。? 可用性 Availability可以由被授权的实体按要求进行访问和使用的特性? 残余风险 residual risk采取了安全措施后，仍然可能存在的风险 。2.风险评估的准备（1）确定风险评估的目标；（2）确定风险评估的范围；（3）组建适当的评估管理与实施团队；（4）选择与组织相适应的具体的风险判断方法；（5）获得最高管理者对风险评估工作的支持。2.1确定目标? 风险评估的准备阶段应明确风险评估的目标，为风险评估的过程提供导向。信息系统是重要的资产，其机密性、完整性和可用性对于维持竞争优势、获利能力、法规要求和组织形象是必要的。组织要面对来自内、外部日益增长的安全威胁，信息系统是威胁的主要目标。由于业务信息化程度不断提高，对信息技术的依赖日益增加，一个组织可能出现更多的脆弱性。风险评估的目标是满足组织业务持续发展在安全方面的需要，或符合相关方的要求，或遵守法律法规的规定等。2.2确定范围? 基于风险评估目标确定风险评估范围是完成风险评估的前提。风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某个独立的系统，关键业务流程，与客户知识产权相关的系统或部门等? 我们公司的风险评估地理范围是什么？? 信息安全关注的信息主要是哪些？2.3组建团队? 组建适当的风险评估管理与实施团队，以支持整个过程的推进，如成立由管理层、相关业务骨干、IT技术人员等组成的风险评估小组。评估团队应能够保证风险评估工作的有效开展。? 我们公司的评估小组由哪些人构成？是否涵盖评估范围？2.4选择方法? 应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险判断方法，使之能够与组织环境和安全要求相适应。我们公司具体应如何作？? 系统调研，确定被评估的对象? 确定评估依据：可参考GBT 20984-2007 信息安全技术 信息安全风险评估规范? 确定评估方案，包括团队人员、时间进度、工作方法2.5获得支持? 上述所有内容确定后应得到组织的最高管理者的支持、批准，并对管理层和技术人员进行传达，应在组织范围就风险评估相关内容进行培训，以明确各有关人员在风险评估中的任务。3.资产识别? 资产是具有价值的信息或资源，是安全策略保护的对象。它能够以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、形象等。机密性、完整性和可用性是评价资产的三个安全属性。信息安全风险评估中资产的价值不仅仅以资产的账面价格来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采取的安全措施都将对资产安全属性的达成程度产生影响。为此，有必要对组织中的资产进行识别。案例：信息资产识别风险评估中，资产大多属于不同的信息系统，如OA系统、网管系统、业务生产系统等，而且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。在实际工作中，具体的资产分类方法可以根据具体的评估对象和要求，由评估者来灵活把握。根据资产的表现形式，可将资产分为：? 数据：存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等? 软件:系统软件、应用软件、源程序等? 硬件：网络设备、计算机设备、存储设备、移动存储设备、传输线路保障设备、安全保障设备、其他电子设备? 文档：纸质的各种文件、传真、电报、财务报告、发展计划等? 服务：办公服务、网络服务、信息服务? 人员：掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理及网络研发人员等? 其他：企业形象，客户关系等3.2资产赋值? 资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析，并在此基础上得出一个综合结果的过程。达成程度可由安全属性缺失时造成的影响来表示，这种影响可能造成某些资产的损害以至危及信