《DB32T_1439信息安全风险评估实施规范》由会员分享,可在线阅读,更多相关《DB32T_1439信息安全风险评估实施规范(26页珍藏版)》请在金锄头文库上搜索。
1、 ICS 35.040L 70备案号:27548-2010江苏省地方标准DB32DB32/T14392009信息安全风险评估实施规范Implementation specification of risk assessmentfor information security2009-08-26发布 2009-10-26实施江 苏 省 质 量 技 术 监 督 局 发 布DB32/T14392009I目 次前 言 .引 言 .1 范围 .12 规范性引用文件 .13 术语和定义 .14 风险评估实施 .14.1 风险评估准备 .14.1.1 评估目的 .14.1.2 确定评估范围 .14.1.3建
2、立评估 团队 .14.1.4 前期系统调研 .14.1.5确定评估依 据 .14.1.6 制定评估方案 .14.2 资产识别 .14.2.1 资产识别内容 .24.2.2 资产赋值 .24.3 威胁识别 .24.3.1 威胁识别内容 .24.3.2 威胁赋值 .24.4 脆弱性识别 .24.4.1 脆弱性识别内容.24.4.2 脆弱性识别方式.84.4.3 脆弱性赋值 .84.5 已有安全措施确认 .84.6 风险分析 .84.7 风险评估文档记录 .8附录 A(规范性性附录)信息安全风险评估报告 .10DB32/T 14392009前 言信息安全风险评估是信息安全保障工作的基础性工作和重要环
3、节,是信息安全等级保护制度建设的重要科学方法之一。本规范依据 GB/T 1.12000标准化工作导则 第 1 部分:标准的结构和编写规则和 GB/T 1.22002标准化工作导则 第 2 部分:标准中规范性技术要素内容的确定方法编写。本规范附录 A 为规范性附录。本规范由江苏省信息产业厅提出。本规范起草单位:江苏省电子信息产品质量监督检验研究院(江苏省信息安全测评中心) 。本规范起草人:吴兰、张影秋、黄申、薛凤鸣。本规范由江苏省经济和信息化委员会归口。DB32/T 14392009III引 言脆弱性的识别是风险评估最重要的环节,对脆弱性识别的强度、粒度及深度将直接关系到风险评估的准确性、有效性
4、。GB/T 20984-2007信息安全技术 信息安全风险评估规范中对脆弱性的识别只是给出了一个识别内容的框架参考,对具体的识别内容未做详细的规定。此规范是对 GB/T 20984-2007信息安全技术 信息安全风险评估规范的细化和补充,本规范的 4.2“资产识别” 、4.3“威胁识别” 、4.6“风险分析”执行的标准是 GB/T 20984-2007信息安全技术 信息安全风险评估规范 。本规范条款中所指的“风险评估” ,其含义均为“信息安全风险评估” 。DB32/T 143920091信息安全风险评估实施技术规范1范围本规范规定了信息安全风险评估实施技术规范的术语和定义、风险评估实施。本规范
5、适用于信息安全风险评估实施技术规范,与GB/T20984-2007配合使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T 209842007 信息安全技术 信息安全风险评估规范3术语和定义GB/T209842007确立的术语和定义适用于本标准。4风险评估实施4.1风险评估准备4.1.1评估目的按 GB/T209842007 中 5.1.2 的规定执行。4.1.2确
6、定评估范围4.1.2.1 在符合 GB/T 20984-2007 中 5.1.3 的基础上,应包含但不限于信息系统、组织和人员、安全管理与操作实践及地理范围四个方面。4.1.2.2 应至少识别信息系统的资产、威胁、脆弱性以及已有安全措施等要素。4.1.2.3 确定与信息系统相关的组织人员以及相互关系。4.1.2.4 确定对信息系统的安全管理与操作实践。4.1.2.5 确定涉及信息系统评估的场所。4.1.3建立评估团队按GB/T 209842007中5.1.4的规定执行。4.1.4前期系统调研按 GB/T 209842007 中 5.1.5 的规定执行。4.1.5确定评估依据按 GB/T 209
7、842007 中 5.1.6 的规定执行。4.1.6制定评估方案4.1.6.1 按 GB/T 209842007 中 5.1.7 制定评估方案。4.1.6.2 将风险评估实施方案提交给最高管理者,对涉及评估的组织和人员进行培训,以明确有关人员在风险评估活动中的任务。4.2资产识别DB32/T 1439200924.2.1资产识别内容按GB/T 209842007中5.2.1的规定进行分类,填写资产清单(见表A.1)。识别内容至少包括:a) 物理资产和地点;b) 网络和逻辑连接;c) 软件(操作系统和应用软件等);d) 通过网络传送的数据流等。4.2.2资产赋值按GB/T 209842007中5
8、.2.2的规定执行。对风险评估的重要资产进行赋值,填写资产赋值表(见表A.2)。4.3威胁识别4.3.1威胁识别内容按GB/T 209842007中5.3.1的规定执行。对威胁进行识别,填写威胁列表(见表A.3)。4.3.2威胁赋值按GB/T 209842007中5.3.2的规定执行。在威胁识别的基础上,对每个关键资产或关键资产类别构建威胁场景图,排除不可能的“资产威胁”对,填写威胁赋值表(见表A.4)。4.4脆弱性识别4.4.1脆弱性识别内容脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理环境、网络结构、主机系统、应用系统、数据及备份恢复方面;管理脆弱性涉及技术管理和组织管理方面。
9、4.4.1.1物理环境4.4.1.1.1物理位置的选择机房和办公场地的选择。4.4.1.1.2物理访问控制a) 机房出入口的控制;b) 进入机房的来访人员的控制;c) 对机房区域的其他管理。4.4.1.1.3防盗窃和防破坏a) 主要设备的放置地点;b) 设备的固定及标记;c) 线缆的铺设;d) 介质分类标识;e) 设备或存储介质带出工作场所时的控制措施;f) 机房的监控、防盗报警系统。4.4.1.1.4接地与防雷a) 机房建筑避雷装置的设置;DB32/T 143920093b) 防雷保安器(单元)的设置;c) 机房交流电源地线的设置;d) 线路防雷的设置。4.4.1.1.5防火a) 机房火灾消防系统的设置;b) 机房及相关的工作房间和辅助房采用的建筑材料;c) 机房采取的防火措施;d) 防火设备的有效期。4.4.1.1.6防水和防潮a) 水管安装及保护措施;b) 防雨措施;c) 防水的检测和报警;d) 防止机房内水蒸气结露和地下积水的转移与渗透措施。4.4.1.1.7防静电机房及主要设备采用的防静电措施。4.4.1.1.8温湿度控制机房温、湿度控制措施。4.4.1.1.9供配电a) 计算机系统供电与其他供电的关系;b)
