企业信息安全风险评估资料.pdf

企业信息安全风险评估 资料 文稿归稿存档编号：[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58- 目录 【最新资料，WORD文档，可编辑修改】 信息安全风险评估 一、信息安全风险评估简介 信息安全风险评估的概念涉及资产、威胁、脆弱性和风险 4 个主要因素。 信息安全风险评估就是从管理的角度，运用科学的方法和手段，系统分析网络 与信息系统所面临的威胁及存在的脆弱性。评估安全事件一旦发生可能造成的 危害程度，提出有针对性地抵御安全威胁的防护措施，为防范和化解信息安全 风险，将风险控制在可以接受的水平，最大限度地保障网络正常运行和信息安 全提供科学依据。 二、信息安全风险评估流程 信息安全风险评估的典型过程主要分为风险评估准备、资产识别、威胁识 别、脆弱性识别和风险分析 5 个阶段。 1.风险评估准备 该阶段的主要任务是制订评估工作计划，包括评估目标、评估范围、制订 信息安全风险评估工作方案，并根据评估工作需要，组建评估团队，明确各方 职责。 在风险评估准备阶段，需要多次与被评估方磋商，了解被评估方关注的重 点，明确风险评估的范围和目标，为整个风险评估工作提供向导。在确定评估 范围和目标之后，根据被评估对象的网络规模、复杂度、特殊性，成立评估工 作小组，明确各方人员组成及职责分工。建立评估团队后，由评估工作人员进 行现场调研，由被评估方介绍网络构建情况，安全管理制度和采取的安全防护 措施以及业务运行情况。评估工作小组根据调研情况撰写信息安全风险评估工 作方案。 2.资产识别 做好风险评估准备阶段的相关工作之后，需要通过多种途径采集评估对象 的资产信息，为风险评估后续各阶段的工作提供基本素材。 资产识别主要通过向被评估方发放资产调查表来完成。在识别资产时，以 被评估方提供的资产清单为依据，对重要和关键资产进行标注，对评估范围内 的资产详细分类，防止遗漏，划入风险评估范围和边界内的每一项资产都应经 过仔细确认。 3.威胁识别 在识别威胁时，应根据资产目前所处的环境条件和以前的记录情况来判 断，威胁识别主要通过采集入侵检测系统（IDS）的报警信息、威胁问卷调查 和对技术人员做顾问访谈的方式。为了确保收集到的威胁信息客观准确，威胁 问卷调查的对象要覆盖被评估对象的领导层、技术主管、网络管理人员、系统 管理人员、安全管理人员和普通员工等。顾问访谈要针对不同的访谈对象制订 不同的访谈提纲。 威胁识别的关键在于确认引发威胁的人或事物，威胁源可能是蓄意也可能 是偶然的因素，通常包括人、系统和自然环境等。一项资产可能面临多个威 胁，而一个威胁也可能对不同的资产造成影响。威胁识别完成后还应该对威胁 发生的可能性进行评估，列出威胁清单，描述威胁属性，并对威胁出现的频率 赋值。 4.脆弱性识别 脆弱性识别是风险评估工作过程中最为复杂、较难把握的环节，同时也是 非常重要的环节，对评估工作小组成员的专业技术水平要求较高。脆弱性分为 管理脆弱性和技术脆弱性。管理脆弱性调查主要通过发放管理脆弱性调查问 卷、顾问访谈以及收集分析现有的管理制度来完成；技术脆弱性检测主要借助 专业的脆弱性检测工具和对评估范围内的各种软硬件安全配置进行检查来识 别。 在工作过程中，应注意脆弱性识别的全面性，包括物理、网络、应用和管 理等方面。为了分析脆弱性影响的严重程度，最好对关键资产的脆弱性进行深 度检测和验证，比如关键服务的身份认证等。识别完成之后，还要对具体资产 的脆弱性严重程度进行赋值。脆弱性严重程度可以等级化处理，不同等级分别 表示资产脆弱性严重程度的高低。等级数值越大，脆弱性严重程度越高。 5.风险分析 构成风险的要素主要有资产、威胁和脆弱性，在识别了这些要素之后，就 可以确定存在什么风险。风险分析阶段需要完成的工作主要有 3 项：风险计 算、形成风险评估报告和给出风险控制建议。风险计算是针对每一项信息资 产、根据其自身存在的脆弱性列表、所面临的威胁列表，考虑资产自身在信息 系统中的重要程度（资产赋值），依据风险计算公式，计算出该信息资产的风 险值，最终形成风险列表。风险评估报告主要结合风险评估工作过程中采集到 的中间数据，对信息系统中的安全风险进行定性和定量分析。风险