信息安全系统风险评估服务手册簿

《信息安全系统风险评估服务手册簿》由会员分享，可在线阅读，更多相关《信息安全系统风险评估服务手册簿（42页珍藏版）》请在金锄头文库上搜索。

1、信息安全风险评估服务手册目录第 1 章 风险评估的重要性 61.1. 风险评估背景 61.2. 风险评估目的 71.3. 风险评估方式 8第 2 章 信息安全服务产品介绍 92.1. 服务产品概述 92.2. 服务产品功能 102.2.1. 资产评估 1.02.2.2. 威胁评估 1.12.2.3. 脆弱性评估 1.12.2.4. 风险综合分析 1.22.2.5. 风险处置计划 1.32.3. 服务产品交付 142.3.1. 风险评估综合报告 1.42.3.2. 资产赋值列表 1.42.3.3. 威胁赋值列表 1.42.3.4. 脆弱性赋值列表 1.52.3.5. 风险处置计划 1.52.4.

2、 服务产品收益 152.4.1. 资产识别 1.52.4.2. 平衡安全风险与成本 1.52.4.3. 风险识别 1.62.4.4. 建设指导 1.62.4.5. 业务保障 1.7第 3 章 信息安全服务产品规格 183.1. 服务评估模型 183.1.1. 评估模型 1.83.1.2. 评估标准 1.93.2. 服务评估方法 203.2.1. 访谈调研 2.03.2.2. 人工审计 2.13.2.3. 工具扫描 2.13.2.4. 渗透测试 2.23.3. 服务评估范围 223.3.1. 技术评估 2.23.3.2. 管理评估 2.4第 4 章 信息安全服务产品流程 264.1. 服务流程蓝

3、图 264.2. 服务流程阶段 264.2.1. 服务启动 2.6.4.2.2. 资产评估 2.8.4.2.3. 威胁评估 2.9.4.2.4. 脆弱评估 3.1.4.2.5. 风险分析 3.3.4.2.6. 风险处置 3.5.4.2.7. 服务验收 3.6.4.3. 服务流程管理 374.3.1. 管理概述 3.7.4.3.2. 管理组成 3.8.第 5 章 信息安全服务产品优势 405.1. 公司整体优势 405.2. 服务发展优势 405.3. 服务资质优势 405.4. 团队保障优势 40第 6 章 信息安全服务成功案例 406.1. 重点案例列表 406.2. 重点案例简介 406.

4、2.1. 金融案例 4.0.6.2.2. 电信案例 4.0.6.2.3. 能源案例 4.0.6.2.4. 政府案例 4.0.第 7 章 附录术语定义 40第1章风险评估的重要性1.1. 风险评估背景随着政府部门、企事业单位以及各行各业对信息系统依赖程度的日益增强，信息安全问题受到普遍关注。运用风险评估方法去识别安全风险，解决信息安全 问题得到了广泛的认识和应用。信息安全风险评估就是从风险管理角度， 运用科 学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安 全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整 改措施；为防范和化解信息安全风险，将风险控制在

5、可接受的水平，从而最大限 度地保障信息安全提供科学依据。信息安全风险评估作为信息安全保障工作的基础性工作和重要环节，贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段，是信息安全等级保 护制度建设的重要科学方法之一。国内风险评估推进工作情况如下：时间具体推进事件历程2003 年?关于加强信息安全保障工作的意见（中办发200327号）中明确提出“要重视信息安全风险评估工作”。2004 年? 为贯彻落实27号文件精神，原国信办组织有关单位和专家编写了信 息安全风险评估指南。2005 年? 原国信办在北京、上海、云南、黑龙江2市2省区和银行、电力、税务3个行业组织了信息安全风险评估试点。20

6、06 年? 原国信办召开了信息安全风险评估推进工作会议。国家部委、各省信息办依据中办发2006 5号、9号文件，开展重要行业安全风险评估工作。2007 年? 为保障十七大，在国豕基础信息网络和重要信息系统范围内，全面展开了自评估工作。（中国移动、电力、税务、证券）至今? 经过多年实践，风险评估是“一种度量信息安全状况的科学方法”，通过对网络和信息系统潜在风险要素的识别、分析、评价，发现网络和信息系统的安全风险，通过安全加固，使高风险降低到可接受的水平，从而提高信息安全风险管理的水平。”表-112风险评估目的风险评估是对网络与信息系统相关 方面风险进行辨识和分析的过程，是依据 国际/国家/地方有

7、关信息安全技术标准，评估信息系统的脆弱性、面临的威胁以 及脆弱性被威胁源利用的可能性和利用后对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性所产生的实际负面影响，并以此识别信息系统的 安全风险的过程。风险评估目的是分析信息系统及其所依托的网络信息系统的安全状况，全面了解和掌握该系统面临的信息安全威胁和风险， 明确采取何种有效措施，降低威 胁事件发生的可能性或者其所造成的影响， 减少信息系统的脆弱性，从而将风险 降低到可接受的水平；同时，可以定期了解信息系统的安全防护水平并为后期安 全规划建设的提出提供原始依据，并作为今后其他工作的参考。1.3. 风险评估方式? 自评估是由被评估信

8、息系统的拥有者发起，依靠自身的力量参照国家法规与标准，对其自身的信息系统进行的风险评估活动。? 检查评估检查评估则通常是被评估信息系统的拥有者的上级主管机关或业务主管机 关发起的，旨在依据已经颁布的法规或标准进行的，具有强制意味的检查活动， 是通过行政手段加强信息安全的重要措施。? 委托评估是由被评估信息系统的拥有者发起， 委托专业的服务机构， 参照国家法规与标准，对其维护的信息系统进行的风险评估活动。第 2章 信息安全服务产品介绍2.1. 服务产品概述信息安全风险评估服务 信息安全风险永远存在，安全产品不能解决所有的问题。信息安全工作本身 是一个过程，它的本质是风险管理。 风险管理工作不仅仅

9、是一个简单的理论、 方 法，更需要在实践中检验发展。信息安全强调安全必须为业务服务， 以最佳实践 作为信息安全工作的落脚点， 通过有效的安全服务， 让安全技术有效地发挥作用。信息安全为客户提供全面的信息安全咨询与风险评估服务。信息安全认为， 风险评估是风险管理的基石， 安全管理监控是风险管理的过程化实施。 单纯的技 术评估不能全面揭示信息安全风险所在， 脱离细致技术检查手段的管理评估也似 无本之木，技术和管理是密不可分的两个方面。 同时， 应用系统自身的安全性也 是风险管理的重要组成部分。信息安全风险评估服务基于技术方面的安全评估、 基于管理方面管理评估和 综合两者的全面评估， 客户可以全面了

10、解组织内部的信息安全状况， 尽早发现存 在的问题。同时，根据安全专家的建议，客户可以在降低风险、承受风险、转移 风险等方面做出正确的选择。信息安全风险评估服务综合国内外相关标准与业界最佳实践， 为客户清晰的 展现信息系统当前的安全现状、安全风险，提供公正、客观数据作为决策参考， 为客户下一步控制和降低安全风险、 改善安全状况、 实施信息系统的风险管理提 供依据， 从而引起相关领导关注和重视， 为客户后续信息安全工作争取支持， 为客户后续信息安全顺利开展争取资源和地位， 风险评估能够帮助客户从技术、管 理方面或全面摸清家底、做到知己知彼，顺利进行信息系统安全规划、设计、建 设。加强组织各层面对于

11、信息安全工作的认识和理解程度，提高组织各层面的信息安全保障意识，对于规范和系统化提高信息安全保障水平提供了有效的方法。22服务产品功能1资产评估0 丿3脆弱性评估技术脆弱性识别；-管理脆弱性识别脆弱性赋值4风险综合分析风险综合识别风险模型计算风险接收准则风险综合评价图-12.2.1. 资产评估资产是构成整个系统的各种元素的组合，它直接的表现了这个系统的业务或 任务的重要性，这种重要性进而转化为资产应具有的保护价值。资产评估是与风险评估相关联的重要任务之一， 资产评估主要是对资产进行 相对估价，而其估价准则就是依赖于对其影响的分析，主要从保密性、完整性、 可用性三方面的安全属性进行影响分析， 从

12、资产的相对价值中体现了威胁的严重 程度；这样，威胁评估就成了对资产所受威胁发生可能性的评估， 主要从发生的 可能性、发生成功的可能性以及发生成功后的严重性三方面安全属性进行分析； 目的是要对组织的归类资产做潜在价值分析， 了解其资产利用、维护和管理现状。 明确各类资产具备的保护价值和需要的保护层次， 从而使组织更合理的利用现有 资产，更有效地进行资产管理， 更有针对性的进行资产保护， 更有合理性的进行 新的资产投入。2.2.2. 威胁评估威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重 要因素，威胁是一个客观存在的事物， 无论对于多么安全的信息系统， 它都存在。威胁评估采用的方

13、法是问卷调查、问询、数据取样、日志分析。在这一过程 中，首先要对组织需要保护的每一项关键资产进行威胁识别。 在威胁评估过程中， 应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断， 一项资产可 能面临着多个威胁， 同样一个威胁可能对不同的资产造成影响。 识别出威胁由谁 或什么事物引发以及威胁影响的资产是什么，即确认威胁的主体和客体。2.2.3. 脆弱性评估脆弱性是指资产或资产组中能被威胁所利用的弱点，它包括物理环境、组 织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面，这些都可 能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的 业务系统。脆弱性评估将针对

14、每一项需要保护的信息资产，找出每一种威胁所能利用 的脆弱性， 并对脆弱性的严重程度进行评估， 就是对脆弱性被威胁利用的可能性 进行评估，最终为其赋相对等级值。 在进行脆弱性评估时， 提供的数据应该来自 于这些资产的拥有者或使用者， 来自于相关业务领域的专家以及软硬件信息系统 方面的专业人员。 在评估中， 从技术脆弱性和安全管理脆弱性两个方面进行脆弱 性检查。2.2.4. 风险综合分析风险是指特定的威胁利用资产的一种或一组脆弱性， 导致资产的丢失或损害 的潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险只能预防、 避 免、降低、转移和接受，但不可能完全被消灭。在完成资产、威胁和脆弱性的评

15、 估后，进入安全风险的评估阶段。 在这个过程中， 采用最新的方法表述威胁源采 用何种威胁方法，利用了系统的何种脆弱性， 对哪一类资产， 产生了什么样的影 响，并描述采取何种对策来防范威胁，减少脆弱性。风险分析中要涉及资产、 威胁、脆弱性三个基本要素。每个要素有各自的属 性，资产的属性是资产价值； 威胁的属性可以是威胁主体、 影响对象、 出现频率、 动机等；脆弱性的属性是资产弱点的严重程度。风险分析原来如下图所示：安全事件的可能性图-22.2.5. 风险处置计划风险处置目的是为风险管理过程中对不同风险的直观比较，以确定组织安全策略。对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中应明确采取的弥补脆弱性的安全措施、 预期效果、实施条件、进度安排、 责任部门等。安全措施的选择应从