风险评估

what is

对各方面风险进行辨识和分析的过程,是依据国际/国家有关信息安全技术标准,评估信息系统的脆弱性、面临的威胁以及脆弱性被威胁利用的可能性,和利用后对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性锁产生的实际负面影响,并以此识别信息系统的安全风险过程

信息安全风险评估

  • 分析确定风险的过程
  • 信息安全建设的起点和基础
  • 信息安全建设和管理的科学方法
  • 实际上是在倡导一种适度安全
  • 信息化的重要经验

why to do

充分反应当前的安全现状

提供信息安全防御机制的建议

很好的同等级保护相结合

对安全决策提供支撑和依据

为后续网络安全建设提供参考

提高员工的安全意识

四个要素

信息资产

  • 要素属性
  • 资产价值

脆弱性

  • 弱点被利用后对资产带来的影响的严重程度

威胁

  • 威胁发生的可能性

风险

  • 风险发生的路径

风险评估的流程

阶段一,准备阶段

  • 项目准备
  • 对信息系统风险评估项目的目标、范围、交付文件、实施方案、工作方式、评估成果提交形式的确定
  • 《风险评估实施方案》

阶段二,识别阶段

  • 资产识别
  • 对被评估信息系统的关键资产进行时别,并合理分类
  • 威胁识别
  • 识别被评估信息系统的关键资产锁面临的威胁源及其威胁常采用的威胁方法,对资产所产生的影响
  • 脆弱性识别
  • 将针对每一项需要保护的信息资产,找出每一种威胁所能利用的脆弱性,将从安全管理脆弱性以及技术脆弱性两个方面进行脆弱性检查
  • 安全措施识别
  • 识别被评估信息系统的有效对抗风险的防护措施
  • 《安全现状调查报告》

阶段三,分析阶段

  • 资产分析
  • 分析被评估信息系统及其关键资产在遭受泄密、损害等破坏时对系统所承载的业务系统所产生的影响,并进行赋值量化
  • 《资产评估报告》
  • 威胁分析
  • 分析被评估信息系统及其关键资产将面临哪方面的威胁及其所采用的威胁方法,并进行赋值量化
  • 《威胁评估报告》
  • 脆弱性分析
  • 分析被评估信息系统及其关键资产所存在的管理脆弱性和技术脆弱性,并进行赋值量化
  • 《脆弱性评估报告》
  • 综合风险分析
  • 分析被评估信息系统及其关键资产将面临哪方面的威胁及其所采用的威胁方法,利用了系统的何种脆弱性,对哪类资产产生了什么样的影响,并描述采取何种对策来防范威胁,减少脆弱性,并将风险量化
  • 《风行评估综合报告》

阶段四,规划验收阶段

  • 风险规划
  • 明确组织的安全需求,制定安全规划,对风险进行处理
  • 成果汇报
  • 提交评估成果系列报告,同时为客户讲解评估过程及结果,对每个安全问题提出解决建议或整改措施
  • 《风险控制规划》
  • 项目验收
  • 达成安全成果共识

风险评估安全服务的收益

评估结果记录

  • 评估成果汇总
  • 严重安全问题即使告知客户
  • 清除检测过程中间的测试文件
  • 过程经验总结

安全评估报告

  • 评估成果汇报
  • 检测过程
  • 检测深度
  • 检测结果
  • 评估输出报告
  • 评估成果保密

安全解决方案

  • 结合评估结果报告和实际信息系统安全情况提供具有针对性的安全解决建议

风险评估安全服务准则

保密性原则

  • 在为信息系统进行风险评估的过程中,将严格遵循保密原则,服务过程中涉及到的任何用户信息均属保密信息,不得泄露给第三方单位或个人,不得利用这些信息损害用户利益

互动原则

  • 在整个信息安全风险评估过程中,将强调客户的互动参与,不管是从准备阶段还是识别阶段,每个阶段都能够及时根据客户的要求和实际情况对评估的内容和方式做出调整,进而更好的进行风险评估工作

最小影响原则

  • 信息安全风险评估工作应尽可能小的影响系统和网络的正常运行,不能对业务的正常运行产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等)

规范性原则

  • 信息安全风险评估服务的实施必须由专业的安全评估服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,提供完整的服务报告