2016信息安全风险评估(运营商)-指南.docx

信息安全风险评估(运营商)-指南内容提要本文档基于运营商行业的特点详细阐述了信息安全风险组成要素及其相互关系、评估流程、风险分析方法和类型，以及服务实施所使用的评估方法与工具等内容。另外，阐明了因应具体项目所需的调整方法。本文档可用于售前人员了解信息安全评估的基本理论和方法，了解运营商行业的特点和要求；适用于售后人员学习和掌握运营商行业的信息安全评估理论方法和具体要求。本文档是运营商行业信息安全评估的总体性指南文档，对于实际的安全评估实施流程和作业规程或指导可参见信息安全风险评估（运营商）-实施规范。目录一. 范围11.1 概要11.2 读者对象11.3 文档结构1二. 参考文件22.1 国家标准22.2 国际标准22.3 行业标准22.4 其他2三. 术语和定义3四. 风险评估概述54.1 风险评估的意义54.2 风险评估的内容范围54.3 风险评估的目的和目标64.4 风险评估与信息生命周期的关系64.5 风险评估与业务的关系7五. 运营商行业风险评估的特点75.1 运营商行业的发展特点75.2 运营商开展安全评估的驱动力85.2.1 内部驱动力85.2.2 外部驱动力85.3 运营商行业安全评估的特点85.3.1 业务流程繁杂、技术含量高85.3.2 客户要求高95.3.3 工作配合人员忙、时间少95.3.4 跨地域的系统分布9六. 风险要素和风险分析原理96.1 风险要素96.2 风险要素间的关系106.3 风险评估框架136.4 风险分析原理136.5 风险评估流程14七. 风险评估过程167.1 准备阶段167.1.1 确定安全评估目标和范围177.1.2 业务与系统调研及分析177.1.3 明确合规性依据187.1.4 明确业务安全要求187.1.5 确定风险接受准则197.1.6 确定安全评估方法和手段197.1.7 制定评估方案197.1.8 获得支持207.2 风险识别阶段207.2.1 资产识别207.2.2 威胁识别227.2.3 脆弱性识别257.2.4 已有安全措施确认267.3 风险计算与分析阶段277.3.1 风险计算277.3.2 风险等级划分287.3.3 风险综合分析297.4 风险处置与应对阶段297.4.1 风险处置方法297.4.2 选择风险控制目标和措施307.4.3 制定风险处置计划307.4.4 残余风险评估30八. 评估对象与方法318.1 评估方法318.1.1 工具评估318.1.2 人工评估318.1.3 顾问访谈328.1.4 调查问卷338.1.5 渗透测试348.2 评估对象34九. 风险评估文档记录35十. 与其他安全服务的关系3610.1 等级保护3610.2 ISMS体系建立与ISO27001认证咨询3710.3 安全域划分37表格索引表 7.1 资产保密性赋值表20表 7.2 资产完整性赋值表21表 7.3 资产可用性赋值表21表 7.4 资产等级及含义描述22表 7.5 表威胁来源列表22表 7.6 一种基于表现形式的威胁分类表23表 7.7 威胁赋值表24表 7.8 脆弱性识别内容表25表 7.9 脆弱性严重程度赋值表26表 7.10 风险等级划分表28表 8.1 评估类型、对象与方法34插图索引图 6.1 风险要素关系图11图 6.2 风险管理各要素间的相互作用及结果12图 6.3 风险评估框架内容13图 6.4 风险分析原理图13图 6.5 风险评估实施流程图15图 10.1 风险评估与安全服务体系36- IV -fxf一. 范围1.1 概要本指南描述了运营商网络信息系统的特点，构成风险的要素及其关系，风险评估的实施流程、评估方法和手段、遵循的原则及需要特别考虑的因素。本指南主要适用于对运营商的网络信息系统进行风险评估。运营商一般仅指网通、电信、移动、联通、铁通等 这里采用了运营商合并前的名称。为公众提供电信运营服务的企业。网络信息系统一般指运营商的支撑系统、生产系统及增值服务系统等为运营商所用的各种信息和通信系统。本指南所述的评估内容主要包括技术和管理两个方面，可适用于全面的信息安全风险评估。本指南是对运营商网络信息系统进行全面安全评估的指导文件，对于实际的安全评估实施流程和作业规程或指导可参见信息安全风险评估（运营商）-实施规范。1.2 读者对象本文档主要面向负责或参与信息安全风险评估的售前和售后服务人员。l 售前人员：可通过本文档了解运营商行业信息系统进行风险评估参照的标准、法规，的理念、方法的原则，知晓信息安全风险评估的流程和常见的评估方法与工具，掌握工作量的计算，等等。l 售后服务人员：分支售后技术人员可通过此文档掌握运营商行业信息系统风险评估特点，方法和步骤，规范风险评估的执行过程和步骤，提升工作效率和质量。1.3 文档结构本文档主要包括十个章节，第一章简述了本文档的内容范围；第二章列举了主要参考文件；第三章说明了安全评估中常见的术语定义；第四章是对风险评估进行了概括性描述；第五章总结了运营商行业风险评估的特点；第六章、第七章是本文档的重点，分别寿命了风险评估的要素组成、风险分析原理、评估方法；第八章简述了常见的安全评估手段或数据采集方法，以及其所适用的范围；第九章说明了风险评估的可交付成果；第十章说明了与其他安全服务的关系。二. 参考文件2.1 国家标准l 信息安全风险管理规范（征求意见稿）l 信息安全风险管理指南l 信息安全风险评估指南l GB/T 20984-2007 信息安全技术 信息安全风险评估规范2.2 国际标准l ISO/IEC 27001：2005 信息安全管理体系-要求l ISO13335 系列l SSE-CMM 系统安全工程能力成熟度模型2.3 行业标准l YDC051：2007 电信网和互联网安全风险评估实施指南l 中国移动信息安全评估规范（草案）2.4 其他l AS/NZS 4360: 2004 风险管理标准l GAO/AIMD-00-33信息安全风险评估三. 术语和定义业务战略 Business Strategy组织为实现其发展目标而制定的一组规则或要求。即一个单位通过信息系统实现的工作任务。一个单位的主营业务对信息系统和信息的依赖程度越高，就越需要信息安全保障。资产 Asset对组织具有价值的事物，是安全策略保护的对象。信息资产一般指对组织有价值的信息资源，一般包括软硬件基础设备、操作系统、应用系统、数据、服务和人员等。资产价值 Asset Value资产的敏感程度、重要程度或关键程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。威胁 Threat可能导致对系统或组织危害的不希望事故的潜在起因。威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果等。可以参照公司的攻击路径分析方法进行分析。脆弱性 Vulnerability可能被威胁所利用的资产或若干资产的薄弱环节。脆弱性也常常被称为漏洞或弱点。脆弱性一般分为技术和管理两个方面。事件 Event如果威胁主体能够产生威胁，利用资产及其安全措施的脆弱性，那么实际产生危害的情况称之为事件。安全事件 Security Event指系统、服务或网络的一种可识别状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或未预知的不安全状态【ISO/IEC 17799.1-2005】。风险 Risk由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响来衡量。残余风险 Residual Risk采取了安全措施，提高了信息安全保障能力后，仍然可能存在的风险。信息系统 Information system由计算机及其相关的和配套的设备、设施（含网络）构成的，按照移动的应用目标和规则，对信息进行采集、加工、存储、传输、检索等处理的人机系统【GB 17859-1999】。典型的信息系统由四部分组成：硬件系统（计算机硬件系统和网络硬件系统）、系统软件（计算机系统软件和网络系统软件），应用软件（包括由其处理、存储的信息）和人员。信息安全风险 Information Security Risk人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件及其对组织造成的影响。信息安全风险评估 Information Security Risk Assessment依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。信息安全评估覆盖风险识别、风险分析、风险评价等过程。安全需求 Security Requirement为保证一个单位的使命能够正常行使，在信息安全保障措施方面提出的要求。信息安全方针/策略 Information security Policy是一套准则、指导方向与常规，用以说明如何在组织內管理资产与保护信息。安全措施 Security Measure对付威胁，减少脆弱性，保护资产，检测、响应意外事件，限制意外事件的影响，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。安全措施可分为技术和管理两大类。信息安全风险管理 Information Security Management根据信息安全风险评估结果，计划、部署、评估、改进安全策略及措施的循环往复的过程。信息安全风险管理包括信息安全风险评估。四. 风险评估概述4.1 风险评估的意义随着信息化水平的不断发展，信息化已经渗透进了工业生产、企业运作、日常服务的各种领域，成为支持和推进社会发展的重要力量。但是，在享受信息化带来的各种利益的同时，也承受着越来越多的信息安全风险。通过风险评估手段可以使企业/组织客观、充分、准确的把握面临的潜在风险。信息安全风险存在于组织所采用的IT技术、环境、组织管理、人员、信息基础设施等各个方面，且随着威胁因素、组织业务流程的不断发展变化，风险也处在不断变化之中，只有通过风险评估，才能准确的掌握组织的风险状况。通过风险评估可以为风险管理提供基础和指导。通过风险评估，可以明确组织在技术、管理方面存在的脆弱性、弱点及其可能的不良影响，为选择和部署有针对性的风险处置措施提供了基础。同时，能够找到风险管理投入与风险降低程度的最佳平衡点，保证风险管理的经济性、可行性。信息系统已成为许多单位业务运行的关键，尤其是党政机关、运营商、电力、税务等掌握国家政治、经济命脉的部门，威胁因素及可利用的脆弱性的数量、危害、不确定性随系统规模的扩大而变得越来越难以预测，因此单位在信息系统方面花费了大量的人力和物力来进行信息安全保障体系的建设。通过风险评估可以不断增强员工的安全意识。风险评估是一个很好的安全教育活动，可以有效的普及的信息安全知识，显示领导对风险管理的信心和支持，增强员工的安全意识。风险评估是ISO27001认证的关键步骤。在ISO27001：2005版本中，明确提出了信息安全体系的建立必须以基于业务的风险评估为基础，且风险评估报告是ISO27001认证审核中的一个必备文件。此外，通过风险评估可以验证一个机构已进行的信息安全建设的有效性。4.2 风险评估的内容范围信息风险评估是一项基本的信息安全服务，它是其他众多衍生的信息安全服务的基础。信息安全风险评估可以以一个单独的项目出现，但更常见的是作为安全服务项目的一部分的形式出现。例如：安全加固服务、安全域服务、等级保护、ISO27001认证项目等。信息安全风险评估主要是对风险的组成要素进行识别、汇总和评估，确定组织面临的风险的大小，并对风险进行评价，以选择适当、合理的安全处置方法和安全措施进行风险控制。信息安全风险评估贯穿了信息安全管理的设计、实施、检查、改进等整个周期，覆盖了组织、人员、技术、管理等各个方面。信息安全风险评估是信息安全建设的起点和基础，是信息安全管理持续完善、改进的推动和指引，是信息安全管理绩效的衡量及工作考核的方法和手段。在实际的项目操作中，安全评估通常还包括安全加固 参见安全加固服务产品包的内容。4.3 风险评估的目的和目标风险评估的目的是全面、系统的分析客户业务所面临的信息安全风险，以采取有效措施进行风险处置和应对，提升信息安全保障能力。风险评估的目标主要包括：l 了解用户信息系统承载的业务、业务流程、行业特点；l 了解用户信息系统安全需求、安全目标；l 将安全问题的解决转变为以系统安全风险为导向的解决过程；l 发现系统中技术和管理等方面的问题；l 评价信息系统已有的安全建设的有效性；l 根据评估结果，设计新的项目内容；l 为信息安全保障体系投资建设决策提供参考；l 将单纯的产品部署实施演变成与用户业务结合更为紧密的、高层次的系统体系架构安全的分析和设计。4.4 风险评估与信息生命周期的关系风险管理是信息系统全生命周期管理的一部分，风险评估作为风险管理的基本活动贯穿于信息系统生命周期的各个阶段中。在信息系统生命周期各阶段中涉及的风险评估原则和方法是一致的，但由于各阶段实施的内容、对象、安全需求不同，使得风险评估的对象、目的、要求等各方面也有所不同。具体而言，在规划设计阶段，通过风险评估以确定系统的安全目标，为安全设计提供指导；在建设验收阶段，通过风险评估以确定系统的安全目标达成与否；在运行维护阶段，要不断地实施风险评估以识别系统面临的不断变化的风险和脆弱性，从而确定安全措施的有效性，确保安全目标得以实现；在废弃阶段，要评估其处置方式合乎相关要求，信息不被泄密。因此，每个阶段风险评估的具体实施应根据该阶段的特点有所侧重地进行。4.5 风险评估与业务的关系风险管理的目的是为了保证业务的顺畅运行。为此，风险评估是以组织的业务风险为中心的，组织的业务流程是风险评估的根本出发点和立足点，业务流程所涉及的组织、管理制度和流程、IT支撑系统、业务数据是风险评估的重要对象和内容。不同的组织即使具有同样的IT系统及其基础设施，由于其业务流程、组织机构、管理制度流程的不同，风险大小和分布也会不同。五. 运营商行业风险评估的特点5.1 运营商行业的发展特点网络通信系统是运营商的核心生产系统，是其业务正常营运、发展的重要保证。随着时代的发展，运营商的网络系统也发生着一些变化：1. 网络的开放性越来越高以前，运行商的网络都是封闭式的，例如电话网、信令网等。但随着业务的需要，运营商的合作伙伴越来越大，网络的开放性越来越强。同时，随着开放性的增强，其所受到攻击的途径、方式也越来越多。2. 通信技术与IT技术的不断融合传统的通信技术还是一门高深的学问，被攻击、利用的几率较小。随着软交换技术、NGN技术的发展，通信网的IP化已是一个不可逆转的趋势。随着与IT的不断融合，系统的复杂性增加，所面临的风险也越来越大。3. 增值业务蓬勃发展增值业务目前已经成为了电信服务商的核心业务，其利润贡献率已经占据了行业的约20%以上（中国移动更多），而增值业务大多是依赖IT技术提供的，并且还与众多的合作伙伴网络相连，客户还可以使用多种终端(如计算机、手机等)、多种途径进行访问。如何有效的保障增值业务服务的连续性和服务性能是运营商面临的巨大挑战。4. 信息服务的发展运营商从仅提供逻辑通信信道开始向用户提供各种信息服务，如何保证信息的安全传输、使用也是运营商面临的巨大挑战。总之，运营商在美好的市场发展情景下，随着黑客知识、技术、工具的不断泛滥，以及许多IT技术存在的可被利用的脆弱性，信息安全形势日益严峻，如何有效地保障网络信息系统的安全、保障业务的连续性已成为各个运营商期待解决的问题。5.2 运营商开展安全评估的驱动力运营商开展安全评估的驱动力主要来自内部和外部两个方面。对于内部来说，可以发现问题，采取有效措施保障业务的安全，以及作为考核、评比的依据；对于外部来说，可以为安全等级保护测评、ISO27001认证提供基础。5.2.1 内部驱动力1) 业务战略发展要求；2) 有效保障业务的安全；3) 提供考核依据。5.2.2 外部驱动力1) 满足SOX、ISO27001、ISO2000等合规性要求；2）指引信息安全等级保护建设5.3 运营商行业安全评估的特点5.3.1 业务流程繁杂、技术含量高风险评估的出发点是评估客户的业务风险，而运营商的业务种类、业务流程是最复杂的、牵连的系统是最多的、使用的通信技术和IT技术是最杂的，这都给开展以业务为中心风险评估增加了难度和工作量，对人员的要求也更高。目前，运营商都开展了各种各样的通信服务、增值服务，一种业务往往需要跨越多个系统，而一个系统往往需要为多个系统提供服务。例如，短信系统的短信发送流程就涉及到了GSM通行系统、信令系统、短信网关、短信中心、计费系统等，而且还有相关的IP网管、BOSS等支撑系统，这给评估人员了解客户业务流程以及在具体通信系统中的承载情况造成了一定的困难。同时，运营商的系统往往涉及很多、很新的通信技术，而且崭新的技术往往缺少参考资料，这需要评估人员具有通信技术方面的技术功底，学习通信行业的最新技术，才能做到对客户系统的准确、全面了解和把握。5.3.2 客户要求高运营商对安全服务的效果、风险都有较高的要求。运营商对服务质量、服务成果要求高，希望能够全面的发现问题，提升系统的安全性，以切实避免或减少安全事件的发生。运营商的系统大部分是在线系统，在进行服务时需要绝对避免干扰业务的顺畅运行，对服务规划、设计、实施时的风险规避提出了高要求。5.3.3 工作配合人员忙、时间少在进行评估实施期间，工作配合人员或者访谈对象的工作忙，一般不会有大块时间配合评估工作。这时，一般需要提前与客户预约并明确可能占用客户的时间。5.3.4 跨地域的系统分布通常，运营商的信息系统分布于多个地市的多个节点。分布范围广、节点众多的特点给评估工作添加了许多工作量。但各个节点相似的结构又给评估效率的提高提供了机会。六. 风险要素和风险分析原理6.1 风险要素资产、脆弱性、威胁是构成风险的三个要素。资产 asset信息系统中具有价值的资源，是安全防护体系保护的对象。电信网和互联网及相关系统中的资产可能以多种形式存在，无形的、有形的、硬件、软件，包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源，如IP承载网中的路由器、支撑网中的用户数据、传送网的网络布局。威胁 threat可能导致对信息系统产生危害的不希望事件的潜在起因，它可能是人为的，也可能是非人为的；可能是无意失误，也可能是恶意攻击。常见的网络威胁有：偷窃、冒名顶替、病毒、特洛伊木马、错误路由、火灾、水灾等。脆弱性 vulnerability脆弱性是信息系统资产中存在的弱点、缺陷与不足，不直接对资产造成危害，但可能被威胁所利用从而危及资产的安全。风险评估要识别这些风险要素，对资产面临的风险大小给出客观、准确的分析，并识别和评价现有安全防护措施的有效性。6.2 风险要素间的关系1.资产、脆弱性、威胁、安全措施、风险之间的关系信息是一种资产，资产所有者应对信息资产进行保护，资产本身具有一定的脆弱性，可通过分析其脆弱性来确定威胁可能利用哪些弱点来破坏其安全性，导致资产所有者的信息资产及业务受损。风险评估中各要素的关系如下图所示：图 6.1 风险要素关系图上图中，方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。风险评估围绕其基本要素展开，在对这些要素的评估过程中需要充分考虑基本要素相关的各类属性。风险要素及属性之间存在着以下关系：1) 业务战略依赖信息资产去实现；2) 资产是有价值的，组织的业务战略对资产的依赖度越高，资产价值就越大；3) 资产价值越大则其面临的风险越大；4) 风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；5) 脆弱性越多，威胁利用脆弱性导致安全事件的可能性越大；6) 脆弱性是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险；7) 风险的存在及对风险的认识导出安全需求；8) 安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；9) 安全措施可抵御威胁，降低安全事件的发生的可能性，并减少影响；10) 风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险。有些残余风险来自于安全措施的不当或无效，需要进一步控制，而有些残余风险则是在综合考虑了安全成本与效益后未控制的风险，是可以被接受的；11) 残余风险应受到密切监视，它可能会在将来诱发新的安全事件。2.风险管理各要素间的相互作用及结果。图 6.2 风险管理各要素间的相互作用及结果上图显示，通过安全措施来对资产加以保护，对脆弱性加以弥补，可以降低风险。实施了安全措施后，威胁只能形成残余风险。为了对付某种威胁，往往需要多个安全措施共同起作用。在某些情况下，也会有多个脆弱性被同时利用。脆弱性与威胁是独立的，威胁要利用脆弱性才能造成安全事件。但有时，某些脆弱性可能没有对应的威胁，这可能是由于其对应的威胁不存在，或者这个威胁的影响极小，以至忽略不计。采取安全措施的目的是处理风险，将残余风险控制在能够接受的程度上。3.风险要素间关系深入探讨在现实的世界中，一个信息系统面临的威胁是多种多样的，具有的脆弱性或弱点也是非常多的，具有的信息资产也可以划分为许多种。一种信息资产具有若干个弱点但不是全部，某个弱点可被若干个威胁所利用但不是全部。在众多的威胁中，某一个威胁对资产的侵害后果可能为另一个威胁利用另一个漏洞提供前提条件，否则，另一个威胁不可能利用另一个漏洞。这说明威胁之间存在依赖或关联关系。同样，在脆弱性之间也存在某种关联关系。6.3 风险评估框架根据风险的构成要素及其之间的关系，风险评估一般包括风险识别、风险分析、风险评价、风险处置和应对建议等内容。图 6.3 风险评估框架内容6.4 风险分析原理风险分析是风险评估中的一个重要环节，也是整个风险评估工作的难点、重点。通过风险识别，在掌握了原始风险数据（资产、威胁、脆弱性等）及其属性后，风险分析方法的选择，直接关系到风险分析过程的复杂性、可操作性和分析结果的客观性、准确性、科学性、可信性。风险一般由安全事件发生的可能性和安全事件的损失来确定风险大小。在对风险进行分析时，需要通过首先分析资产、脆弱性、威胁的属性，明确其可能的组合；其次通过简便的方式简化风险计算，即由威胁和脆弱性确定安全事件发生可能性，由资产和脆弱性确定安全事件的损失，以及由安全事件发生的可能性和安全事件的损失确定风险值。图 6.4 风险分析原理图风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为：l 对资产进行识别，并对资产的价值进行赋值；l 对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；l 对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；l 根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性；l 根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失；l 根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。6.5 风险评估流程在进行安全评估时，一般会进行二次评估，即首次评估和二次评估。通过首次评估可能发现了大量的技术或管理问题，此时需要提出安全加固方案进行加固以及时解决系统存在的高危风险漏洞。在加固完成后，需要进行二次评估，以验证加固的效果。下面仅以首次评估为例进行安全评估工作流程的介绍。风险评估的实施流程通常可分为准备、风险识别、风险计算与分析、风险处置与应对四个阶段。每个阶段包括若干个相互关联的活动。风险评估流程如下图所示：图 6.5 风险评估实施流程图上述工作流程是不断重复循环的大致过程。在实践中，基于不同目的和条件，在不同阶段所进行的风险评估工作，也可简化或者充实其中的某些步骤。详细的评估过程描述见下节描述。七. 风险评估过程7.1 准备阶段组织实施安全风险评估通常是为了保证业务的安全、可靠、顺畅的运行，满足合规性要求，或者根据上级要求进行检查，因此风险评估往往受到以下方面的影响：l 组织的业务战略、业务流程、安全需求；l 系统规模和结构、组织架构、管理制度和流程；l 相应的标准、规范；l 国家的政策、法规，以及客户的合约要求；l 安全管理工作考核体系。准备阶段工作的主要目标是：l 明确风险评估的目标和范围；l 了解信息系统、组织架构和管理的基本情况；l 了解组织的业务使命、业务战略和业务流程情况；l 了解信息系统对业务流程的支撑情况；l 了解相关的法律法规要求及合同的安全义务；l 确定评估方法和方式；l 确定风险接受准则和识别可接受的风险水平；l 确定安全评估方案在风险评估准备阶段的主要工作内容，一般包括：1） 确定风险评估的范围和目标；2） 进行初步的业务和系统调研及分析；3） 确定信息安全管理法律、法规等合规性依据；4） 确定业务安全要求；5） 确定风险接受准则；6） 制定评估方法和手段；7） 制定风险评估方案；8） 获取支持。7.1.1 确定安全评估目标和范围安全评估的目标和范围是两个密切相关的方面。风险评估范围可能是组织内信息及与信息处理相关的各类资产、管理机构、管理制度或流程，也可能是某个独立的信息系统、关键业务流程、某个部门等。通常在安全评估项目立项时，可以根据满足组织业务持续发展的信息安全需要、法律法规要求，识别现有信息系统及管理上的不足，以及可能造成的风险大小，进而帮助客户明确安全评估目标和评估范围。在售后阶段，可以根据合同约定划定对安全评估范围进一步细化，一般可通过部门、人员、信息系统、信息、关键业务流程等要素进行描述，并与客户负责人沟通确认。同时，考虑组织业务持续发展、合规性要求，立足信息系统及管理现状，确定安全评估目标，明确客户对安全评估的要求。7.1.2 业务与系统调研及分析业务与系统调研的主要目的是确定评估内容、评估重点，并为评估方法选择、工作量估算、评估方案制定奠定基础。业务与系统调研的主要内容包括：1）业务调研a) 组织的业务使命、业务战略和关键的业务流程；b) 关键业务流程所依赖的信息及信息系统；c) 关键业务流程所涉及的组织、部门和人员；2）信息系统特征描述与分析a) 系统承担的业务使命；b) 系统的业务功能或提供的IT服务；c) 系统的边界和外部环境；d) 系统架构、应用结构和网络拓扑结构；e) 系统所使用的硬件、软件和IT技术；f) 系统的使用人员和角色；g) 业务、管理和控制数据及信息；h) 业务数据流、管理数据流和控制数据流；i) 数据、数据流的重要等级和敏感性；3）组织架构、管理制度和流程与分析a) 决策、管理/监督、执行的三层管理架构；b) 现有的安全管理制度、流程；c) 管理、保障业务流程正常运作的机制。系统调研可以采取问卷调查、现场顾问访谈、文档检查相结合的方式进行。业务与系统调研的输出可以为业务安全要求分析提供输入。7.1.3 明确合规性依据通过明确相关法律法规及标准，以及来自客户合同的要求，可以明确合规性要求。通常评估依据包括（但不仅限于）：1) 行业主管机关发布的相关要求、制度和规定；2) 组织的系统安全保护等级要求；3) 现有国家标准、行业标准、国际标准；4) 来自客户、合作伙伴的合约要求；5) 系统互联单位的安全要求。一般通过搜集、汇总、分析相关的文档资料，就可以明确其在管理、技术方面的合规性要求。7.1.4 明确业务安全要求明确客户对业务顺畅、持续运行的安全要求，可以为选择风险估价方法、确定风险接受准则奠定基础。明确业务安全要求的内容包括（但不限于）：1) 明确对客户对关键业务流程的性能和持续性要求；2) 分析贯穿关键业务流程的业务活动的安全要求；3) 明确信息系统对性能、安全运行及恢复时间的要求；4) 分析信息系统的软件、硬件及信息技术的安全要求；5) 明确各级安全管理组织职责、岗位、人员的要求；6) 明确对管理流程充分性、有效性、合理性的要求。通过明确业务安全要求，可以更好的落实以业务为中心的安全评估理念，从保障关键业务流程安全的角度，确定技术、管理方面的业务安全要求。7.1.5 确定风险接受准则根据来自组织关键业务流程的安全要求和合规性要求，以业务影响的程度和敏感度为度量尺度，可以确定风险接受准则，并将组织的风险控制在系统业务功能的顺畅提供、业务使命顺利达成的水平上。确定风险接受准则的主要内容包括：1) 业务安全要求、合规性要求汇总分析；2) 确定风险接受准则和识别可接受风险水平；3) 细化在管理、技术方面的风险接受准则要求。风险接受准则将在完成风险分析后，对安全管理目标的制定、安全控制措施的选择奠定基础。7.1.6 确定安全评估方法和手段根据评估目标、评估范围、业务与系统现状及分析、合规性和业务安全要求，并综合考虑时间、人员、资金、项目实施要求、系统运行要求、风险控制要求等约束因素，确定风险识别、风险分析、风险评价的方法，使之能够与组织环境和安全要求相适应。另外，需明确安全评估所需采用的安全评估手段 安全评估手段一般包括顾问访问、调查问卷、文档审查、工具检查等方式。或方式。安全评估方法和手段确定了，就可以制定可行的安全评估实施方案。7.1.7 制定评估方案风险评估方案的目的是为后面的风险评估实施活动提供一个总体计划，用于指导实施方开展后续工作。风险评估方案的内容一般包括（但不仅限于）：1） 团队组织：包括评估团队成员、组织结构、角色、责任等内容；2） 工作计划：风险评估各阶段的工作计划，包括工作内容、工作形式、工作成果等内容；3） 时间进度安排：项目实施的时间进度安排；4） 质量管理；5） 风险管理。7.1.8 获得支持上述所有内容确定后，应形成较为完整的风险评估实施方案，得到组织最高管理者的支持、批准；对管理层和技术人员进行传达，在组织范围就风险评估相关内容进行培训，以明确有关人员在风险评估中的任务。7.2 风险识别阶段风险识别阶段的主要任务包括资产识别、威胁识别、脆弱性识别及安全措施确认。7.2.1 资产识别7.2.1.1 资产分类在一个组织中，资产有多种表现形式；同样的两个资产也因属于不同的信息系统而重要性不同，而且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。在实际工作中，具体的资产分类方法可以根据具体的评估对象和要求灵活把握。根据资产的表现形式，可将资产分为数据、软件、硬件、服务、人员等类型。7.2.1.2 资产赋值保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。1）保密性赋值根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。下表提供了一种保密性赋值的参考。表 7.1 资产保密性赋值表赋值标识定义5很高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害1很低可对社会公开的信息，公用的信息处理设备和系统资源等2）完整性赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上缺失时对整个组织的影响。下表提供了一种完整性赋值的参考。表 7.2 资产完整性赋值表赋值标识定义5很高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补3中等完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补2低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补1很低完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略3）可用性赋值根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上应达成的不同程度。下表提供了一种可用性赋值的参考。表 7.3 资产可用性赋值表赋值标识定义5很高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上，或系统不允许中断4高可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上，或系统允许中断时间小于10min3中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上，或系统允许中断时间小于30min2低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或系统允许中断时间小于60min1很低