《信息安全风险评估服务流程》由会员分享,可在线阅读,更多相关《信息安全风险评估服务流程(33页珍藏版)》请在金锄头文库上搜索。
1、信息安全风险评估服务流程图 1 信息安全风险评估流程图目录1风险评估概述11.1风险评估的基本原则11.1.1标准性原则11.1.2关键业务原则11.1.3可控性原则11.1.4最小影响原则11.2风险评估的基本流程21.3风险评估的工作形式22评估准备22.1概述22.2确定目标32.3确定对象、范围和边界32.4组建团队42.4.1综述42.4.2角色与职责42.4.3风险评估领导小组62.4.4专家组72.5评估工作启动会议72.6前期调研72.7确定依据82.8确定评估工具82.9制定方案92.10获得支持93资产识别93.1资产识别概述93.2业务识别103.2.1业务识别内容103
2、.2.2业务重要性赋值113.2.3业务重要性赋值调整113.3系统资产识别123.3.1系统资产识别内容123.3.2业务承载性赋值123.3.3系统资产价值赋值133.1系统组件和单元资产识别133.1.1系统组件和单元资产识别内容133.1.2保密性赋值标准143.1.3完整性赋值标准143.1.4可用性赋值标准153.1.5系统组件和单元资产价值赋值标准154风险分析164.1风险分析模型164.2风险计算方法175风险评价185.1系统资产风险等级划分185.1业务风险等级划分185.2风险评估报告196风险处理196.1风险处理原则196.2安全整改建议206.3组织评审会206.
3、4残余风险评估217风险评估文档221 风险评估概述1.1 风险评估的基本原则1.1.1 标准性原则信息系统的安全风险评估,应按照GB/T20984-2022中规定的评估流程进行实施,包括各阶段性的评估工作。1.1.2 关键业务原则信息安全风险评估应以被评估组织的关键业务作为评估工作的核心,把涉及这些业务的相关网络与系统,包括基础网络、业务网络、应用基础平台、业务应用平台等作为评估的重点。1.1.3 可控性原则在风险评估项目实施过程中,应严格按照标准的项目管理方法对服务过程、人员和工具等进行控制,以保证风险评估实施过程的可控和安全。a)服务可控性:评估方应事先在评估工作沟通会议中向用户介绍评估
4、服务流程,明确需要得到被评估组织协作的工作内容,确保安全评估服务工作的顺利进行。b)人员与信息可控性:所有参与评估的人员应签署保密协议,以保证项目信息的安全;应对工作过程数据和结果数据严格管理,未经授权不得泄露给任何单位和个人。c)过程可控性:应按照项目管理要求,成立项目实施团队,项目组长负责制,达到项目过程的可控。d)工具可控性:安全评估人员所使用的评估工具应该事先通告用户,并在项目实施前获得用户的许可,包括产品本身、测试策略等。1.1.4 最小影响原则对于在线业务系统的风险评估,应采用最小影响原则,即首要保障业务系统的稳定运行,而对于需要进行攻击性测试的工作内容,需与用户沟通并进行应急备份
5、,同时选择避开业务的高峰时间进行。1.2 风险评估的基本流程GB/T 20984-2022规定了风险评估的实施流程,根据流程中的各项工作内容,一般将风险评估实施划分为评估准备、风险识别、风险分析与风险评价四个阶段。其中,评估准备阶段工作是对评估实施有效性的保证,是评估工作的开始;风险识别阶段工作主要是对评估活动中的各类关键要素资产、威胁、脆弱性、安全措施进行识别与赋值;风险分析阶段工作主要是对识别阶段中获得的各类信息进行关联分析,并计算风险值;风险评价阶段工作主要是依据风险评价准则对系统资产风险计算结果进行等级化处理。1.3 风险评估的工作形式GB/T20984-2022明确了风险评估的基本工
6、作形式是自评估与检查评估。自评估是信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估,可由发起方实施或委托信息安全服务组织支持实施。实施自评估的组织可根据组织自身的实际需求进行评估目标的设立,采用完整或剪裁的评估活动。检查评估是信息系统上级管理部门或国家有关职能部门依法开展的风险评估,检查评估也可委托信息安全服务组织支持实施。检查评估除可对被检查组织的关键环节或重点内容实施抽样评估外,还可实施完整的风险评估。信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充。2 评估准备2.1 概述风险评估的准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑,
7、其结果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此,在风险评估实施前,应:a) 确定风险评估的目标;b) 确定风险评估的对象、范围和边界;c) 组建评估团队、明确评估工具;d)开展前期调研;e)确定评估依据;f)建立风险评价准则;g)制定评估方案;f)获得最高管理者对风险评估工作的支持。2.2 确定目标根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容,识别现有信息系统及管理上的不足,以及可能造成的风险大小。风险评估应贯穿于信息系统生命周期的各阶段中,由于信息系统生命周期各阶段中风险评估实施的内容、对象、安全需求均不同,因此应根据当前信息系统的实际情况来
8、确定在信息系统生命周期中所处的阶段,并以此来明确风险评估目标。一般而言,组织确定的各阶段的评估目标应符合以下原则:a)规划阶段风险评估的目标是识别系统的业务战略,以支撑系统安全需求及安全战略等。规划阶段的评估应能够描述信息系统建成后对现有业务模式的作用,包括技术、管理等方面,并根据其作用确定系统建设应达到的安全目标。b)设计阶段风险评估的目标是根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求。设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断.作为采购过程风险控制的依据。c) 实施阶段风险评估的目标是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对
9、系统建成后的安全功能进行验证。根据设计阶段分析的威胁和制定的安全措施,在实施及验收时进行质量控制。d)运行维护阶段风险评估的目标是了解和控制运行过程中的安全风险。评估内容包括信息系统的资产、面临威胁、自身脆弱性以及已有安全措施等各方面。废弃阶段风险评估的目标是确保废弃资产及残留信息得到了适当的处置,并对废弃资产对组织的影响进行分析,以确定是否会增加或引人新的风险。2.3 确定对象、范围和边界风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。在确定评估范围后,结合已确定的评估目标和组织的实际信息系统建
10、设情况,定义评估对象和评估范围边界,评估范围边界的划分原则主要为:a)业务系统的业务逻辑边界;b)网络及设备载体边界;c)物理环境边界;d)组织管理权限边界;e)其他。2.4 组建团队2.4.1 综述风险评估实施团队,由管理层、相关业务骨干、信息技术等人员组成的风险评估小组。必要时,可组建由评估方、被评估方领导和相关部门负责人参加的风险评估领导小组,聘请相关专业的技术专家和技术骨干组成专家小组。评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作,进行风险评估技术培训和保密教育,制定风险评估过程管理相关规定。可根据被评估方要求,双方签署保密合同,必要时签署个人保密协议。2.4.2 角色
11、与职责为确保风险评估工作的顺利有效进行,应采用合理的项目管理机制,主要相关成员角色与职责说明如表1和表2所示。表1 风险评估小组-评估机构成员角色与职责说明评估机构人员角色工作职责项目组长是风险评估项目中实施方的管理者、责任人,具体工作职责包括:1)根据项目情况组建评估项目实施团队;2)根据项目情况与被评估方一起确定评估目标和评估范围,并组织项目组成员对被评估方实施系统调研;3)根据评估目标、评估范围及系统调研的情况确定评估依据,并组织编写评估方案;4)组织项目组成员开展风险评估各阶段的工作,并对实施过程进行监督、协调和控制,确保各阶段工作的有效实施;5)与被评估组织进行及时有效的沟通,及时商
12、讨项目进展状况及可能发生问题的预测等;6)组织项目组成员将风险评估各阶段的工作成果进行汇总,编写风险评估报告与安全整改建议书等项目成果物;7)负责将项目成果物移交被评估组织,向被评估组织汇报项目成果,并提请项目验收。安全技术评估人员是负责风险评估项目中技术方面评估工作的实施人员。具体工作职责包括:1)根据评估目标与评估范围的确定参与系统调研.并编写系统调研报告的技术部分内容;2)参与编写评估方案;3)遵照评估方案实施各阶段具体的技术性评估工作,主要包括:信息资产调查、威胁调查、安全技术脆弱性核查等;4)对评估工作中遇到的问题及时向项目组长汇报.并提出需要协调的资源;5)将各阶段的技术性评估工作
13、成果进行汇总,参与编写风险评估报告与安全整改建议书等项目成果物;6)负责向被评估方解答项目成果物中有关技术性细节问题。安全管理评估人员是负责风险评估项目中管理方面评估工作的实施人员。具体工作职责包括:1)根据评估目标与评估范围的确定参与系统调研,并编写系统调研报告的管理部分内容;2)参与编写评估方案;.3)遵照评估方案实施各阶段具体的管理性评估工作,主要包括:信息资产调查、威胁调查、安全管理脆弱性核查等;4)对评估工作中遇到的问题及时向项目组长汇报,并提出需要协调的资源;5)将各阶段的管理性评估工作成果进行汇总,参与编写风险评估报告与安全整改建议书等项目成果物;6)负责向被评估方解答项目成果物
14、中有关管理性细节问题。质量管控员是负责风险评估项目中质量管理的人员。具体工作职责包括:1)监督审计各阶段工作的实施进度与时间进度.对可能出现的影响项目进度的问题及时通告项目组长;2)负责对项目文档进行管控表2 风险评估小组-被评估组织成员角色与职责说明被评估组织人员角色工作职责项目组长是风险评估项目中被评估组织的管理者。具体工作职责包括:1)与评估机构的项目组长进行工作协调;2)组织本单位的项目组成员在风险评估各阶段活动中的配合工作;3)组织本单位的项日组成员对项目过程中实施方提交的评估信息、数据及文档资料等进行确认,对出现的偏离及时指正;4)组织本单位的项目组成员对评估机构提交的风险评估报告
15、与安全整改建议书等项目成果物进行审阅;5)组织对风险评估项目进行验收;6)可授权项目协调人负责各阶段性工作,代理实施自己的职责。信息安全管理人员是指被评估组织的专职信息安全管理人员。在风险评估项目中的具体工作职责包括:1)在项目组长的安排下,配合评估机构在风险评估各阶段中的工作;2)参与对评估机构提交的评估方案进行研讨;3)参与对项目过程中实施方提交的评估信息、数据及文档资料等进行确认,及时指正出现的偏离;4)参与对评估机构提交的风险评估报告与安全整改建议书等项目成果物进行审阅;5)参与对风险评估项目的验收。项目协调人是指风险评估项目中被评估组织的工作协调人员。具体工作职责是负责与被评估组织各级部门之间的信息沟通,及时协调、调动相关
