网络信息安全风险评估实施方法 1 评估准备 1 .1 第1 步:成立评估工作组 在一个评估工作下达后,需要组织人员来实施评估工作的内容。评估工作组通常包括如下两方面的人员: 评估人员:外部专业评估机构的人员,或由内部专业人员组成的评估队伍。 系统管理人员:待评系统的运维管理人员。 以上两部份人员形成一个完整的评估项目组,根据项目组成员的职能,项目组包括如下角色: 表5.1 评估工作组人员角色安排 角色 职责 评估人员 系统管理人员 评估项目负责人 负责总体协调、项目管理 * * 现场评估 工程师 人工评估 * * 工具检测 * * 人员访谈 * * 审计工程师 数据分析、整理 * 咨询顾问 风险处置、方案建议 * 文档工程师 文档编制、维护 * 1 .2 第2 步:确定评估范围 评估范围界定是对待评系统资产的抽样。在成立了评估工作组后,评估范围可通过评估组的工作会议进行确定。 确定的评估范围应能代表待评估系统的所有关键资产,包括:网络范围、主机范围、应用系统范围、制度与管理范围。 评估范围确定后,待评系统管理人员需要根据选定的内容进行资料的准备工作,包括:网络拓扑结构图、信息资产清单、应用系统的说明稳当、组织机构设置说明等内容。本实施指南的附件《信息安全风险评估资料准备说明》中给出了评估前需要准备的清单。 1 .3 第 3 步:评估动员会议 安全评估工作是一个挑毛病、找问题的过程,一般情况下带评估系统的管理和运行维护人员都会有一定的抵触情绪,因此,需要通过评估动员让所有工作人员明白评估的目的和意义。评估动员会议应由较高层的领导出席,并表明对评估工作的支持态度。 评估动员会议要完成以下的议题:评估的时间和人员安排、评估工作中的风险防范措施。 1 .4 第 4 步:信息系统调研 为了确保评估工作的全面性、提高评估工作的效率,在评估实施前,组织评估工作组成员对确定的实施范围进行走访。通过前期快速的调研,评估工作组可以基本掌握评估范围内信息系统和人员的实际情况,并与配合人员进行初步的沟通,确定评估实施中必须具备的技术工具和手段,以及基本的时间安排和必要的工作准备。 1 .5 第 5 步:评估工具准备 评估工作组根据收到的评估资料,进行评估工具的准备,这包括威胁列表、网络评估工具、主机评估工具、资产统计工具、安全管理访谈表等内容。 评估工具中大部份内容需要根据评估范围和评估的主要目的进行定制,例...
