|
風險評估准備
|
a)確定風險評估的目標; | 根據滿足組織業務持續發展在安全方面的需要、法律法規的規定等內容,識別現有信息系統及管理上的不足,以及可能造成的風險大小。 |
| b)確定風險評估的范圍; | 風險評估范圍可能是組織全部的信息及與信息處理相關的各類資產、管理機構,也可能是某個獨 | |
| 立的信息系統、關鍵業務流程、與客戶知識產權相關的系統或部門等。 | ||
| c)組建適當的評估管理與實施團隊; | 風險評估實施團隊,由管理層、相關業務骨干、IT技術等人員組成風險評估小組。必要時,可組 | |
| 建由評估方、被評估方領導和相關部門負責人參加的風險評估領導小組,聘請相關專業的技術專家和 | ||
| 技術骨干組成專家小組。 | ||
| 評估實施團隊應做好評估前的表格、文檔、檢測工具等各項准備工作,進行風險評估技術培訓和 | ||
| 保密教育,制定風險評估過程管理相關規定。可根據被評估方要求,雙方簽署保密合同,適情簽署個 | ||
| 人保密協議。 | ||
| d)進行系統調研; | a)業務戰略及管理制度; | |
| b)主要的業務功能和要求; | ||
| c)網絡結構與網絡環境,包括內部連接和外部連接; | ||
| d)系統邊界; | ||
| e)主要的硬件、軟件; | ||
| f)數據和信息; | ||
| g)系統和數據的敏感性; | ||
| h)支持和使用系統的人員; | ||
| i)其他。 | ||
| e)確定評估依據和方法; | a) 現有國際標准、國家標准、行業標准; | |
| b) 行業主管機關的業務系統的要求和制度; | ||
| c) 系統安全保護等級要求; | ||
| d) 系統互聯單位的安全要求; | ||
| e) 系統本身的實時性或性能要求等。 | ||
| f)制定風險評估方案; | a)團隊組織:包括評估團隊成員、組織結構、角色、責任等內容; | |
| b)工作計划:風險評估各階段的工作計划,包括工作內容、工作形式、工作成果等內容; | ||
| c)時間進度安排:項目實施的時間進度安排。 | ||
| g)獲得最高管理者對風險評估工作的支持。 | ||
| 資產識別 | 資產分類 | 數據、軟件、硬件、服務、人員、其他(企業形象、客戶關系等)等類型 |
| 資產賦值 | 保密性賦值 完整性賦值 可用性賦值 資產重要性等級 | |
| 威脅識別 | 威脅分類 | 軟硬件故障 物理環境影響 無作為或操作失誤 管理不到位 惡意代碼 越權或濫用 網絡攻擊 物理攻擊 泄密 篡改 抵賴 |
| 威脅賦值 | a)以往安全事件報告中出現過的威脅及其頻率的統計; | |
| b)實際環境中通過檢測工具以及各種日志發現的威脅及其頻率的統計; | ||
| c)近一兩年來國際組織發布的對於整個社會或特定行業的威脅及其頻率統計,以及發布的威脅預 | ||
| 警。 | ||
| 脆弱性識別 | 脆弱性識別內容 | 技術脆弱性:物理環境 網絡結構 系統軟件 應用中間件 應用系統 |
| 管理脆弱性:技術管理 組織管理 | ||
| 問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試 | ||
| 脆弱性賦值 | 資產的暴露程度、技術實現的難易程度、流行程度進行賦值 | |
| 已有安全措施確認 | 安全措施可以分為預防性安全措施和保護性安全措施兩種。預防性安全措施可以降低威脅利用脆弱 | |
| 性導致安全事件發生的可能性,如入侵檢測系統;保護性安全措施可以減少因安全事件發生后對組織或 | ||
| 系統造成的影響。 | ||
| 風險分析 | 風險計算原理 | 風險值=R(A,T,V)= R(L(T,V),F(Ia,Va )) 矩陣法和相乘法 |
| 風險結果判定 | 可將風險划分為五級,等級越高,風險越高 | |
| 風險處理計划 | 風險處理計划中應明確采取的彌補脆弱性的安全措施、預期效果、實施條件、進度安排、責任部門等 | |
| 殘余風險評估 | ||
| 風險評估文檔記錄 | 整個風險評估過程中產生的評估過程文檔和評估結果文檔 | a)風險評估方案:闡述風險評估的目標、范圍、人員、評估方法、評估結果的形式和實施進度等; |
| b)風險評估程序:明確評估的目的、職責、過程、相關的文檔要求,以及實施本次評估所需要的各種資產、威脅、脆弱性識別和判斷依據; | ||
| c)資產識別清單:根據組織在風險評估程序文檔中所確定的資產分類方法進行資產識別,形成資產識別清單,明確資產的責任人/部門; | ||
| d)重要資產清單:根據資產識別和賦值的結果,形成重要資產列表,包括重要資產名稱、描述、類型、重要程度、責任人/部門等; | ||
| e)威脅列表:根據威脅識別和賦值的結果,形成威脅列表,包括威脅名稱、種類、來源、動機及出現的頻率等; | ||
| f)脆弱性列表:根據脆弱性識別和賦值的結果,形成脆弱性列表,包括具體脆弱性的名稱、描述、類型及嚴重程度等; | ||
| g)已有安全措施確認表:根據對已采取的安全措施確認的結果,形成已有安全措施確認表,包括已有安全措施名稱、類型、功能描述及實施效果等; | ||
| h)風險評估報告:對整個風險評估過程和結果進行總結,詳細說明被評估對象、風險評估方法、資產、威脅、脆弱性的識別結果、風險分析、風險統計和結論等內容; | ||
| i)風險處理計划:對評估結果中不可接受的風險制定風險處理計划,選擇適當的控制目標及安全措施,明確責任、進度、資源,並通過對殘余風險的評價以確定所選擇安全措施的有性; | ||
| j)風險評估記錄:根據風險評估程序,要求風險評估過程中的各種現場記錄可復現評估過程,並作為產生歧義后解決問題的依據。 |
風險評估流程
免責聲明!
本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。