信息安全风险评估流程培训讲师:培训讲师:jindalyjindaly培训日期:培训日期:2011.62011.6一、风险评估概述二、风险评估目的三、风险评估范围四、风险评估流程五、风险评估工作要点一、风险评估概述信息安全风险评估的概念在业内有多种说法,从国标《评估指南》对信息安全风险评估的表述中看出,评估涉及资产、威胁、脆弱性和风险四个主要因素。风险管理是辨别信息系统潜在的风险,对其进行评估,并采取措施将其降低到可接受的水平的过程,而风险评估是其中最重要的环节。一、风险评估概述信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。信息安全风险评估从管理的角度,运用科学的方法和手段,系统分析网络与信息系统所面临的威胁及存在的脆弱性。评估安全事件一旦发生可能造成的危害程度,提出有针对性地抵御安全威胁的防护措施,为防范和化解信息安全风险,或将风险控制在可以接受的水平,最大限度地保障网络正常运行和信息安全提供科学依据。二、风险评估目的信息安全风险评估是加强信息安全保障体系建设和管理的关键环节,通过开展信息安全风险评估工作,可以发现信息系统存在的主要问题和矛盾,找到解决诸多关键问题的办法。信息安全风险评估旨在认清信息安全环境,信息安全状况,有助于达成共识,明确责任,采取和完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性。并为信息系统的建设和改造提供依据,帮助信息安全建设者正确判断系统存在风险与漏洞,并采取适当补救措施。风险评估可以科学地分析和理解信息系统在保密性、完整性、可用性等方面的工作,只有正确、全面地了解理解安全风险后才能决定如何处理安全风险,从而在信息安全的投资,信息安全措施的选择,信息安全保障体系的建设做出合理的决策。三、风险评估范围信息安全风险评估适用于在信息安全管理体系下的所有信息资产、网络及任何管理和维护这些系统的流程所做的一切风险评估。信息安全风险评估包括信息资产的风险识别、评估与管理,即信息系统网络、管理制度、使用或管理信息系统的相关人员以及由信息系统使用时产生的文档、数据等的风险识别、评估与管理。四、风险评估流程信息安全风险评估的典型过程主要分为风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认和风险分析六个阶段。1.风险评估准备2.资产识别3.威胁识别4.脆弱性识别5.已有安全措施确认6.风险分析四、风险评估流程该阶段的主要任务是制订评估工作计划,包括评估目标、评估范围、制订信息安全风险评估工作方案,并根据评估工作需要,组建评估团队,明确各方职责。在风险评估准备阶段,需要多次与被评估方磋商,了解被评估方关注的重点,明确风险评估的目标和范围,为整个风险评估工作提供向导。在确定评估范围和目标之后,根据被评估对象的网络规模、复杂度、特殊性,成立评估工作小组,明确各方人员组成及职责分工。建立评估团队后,由评估工作人员进行现场调研,由被评估方介绍网络构建情况,安全管理制度和采取的安全防护措施以及业务运行情况。评估工作小组根据调研情况撰写信息安全风险评估工作方案。1.风险评估准备四、风险评估流程a)确定目标b)确定范围c)组建团队d)系统调研e)确定依据f)制定方案1.风险评估准备四、风险评估流程做好风险评估准备阶段的相关工作之后,需要通过多种途径采集评估对象的资产信息,为风险评估后续各阶段的工作提供基本素材。机密性、完整性和可用性是评价资产的三个安全属性。风险评估中的资产价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或其安全属性未达成时所造成的影响程度来决定的。资产识别主要通过向被评估方发放资产调查表来完成。在识别资产时,以被评估方提供的资产清单为依据,对重要和关键资产进行标注,对评估范围内的资产详细分类,防止遗漏,划入风险评估范围和边界内的每一项资产都应经过仔细确认。2.资产识别四、风险评估流程a)资产分类资产分类方法:根据资产的表现形式,可将资产分为数据、软件、硬件...
