信息安全风险评估流程教学内容.ppt

《信息安全风险评估流程教学内容.ppt》由会员分享，可在线阅读，更多相关《信息安全风险评估流程教学内容.ppt（26页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全风险信息安全风险(FNGXIN)评评估流程估流程培训培训培训培训(pixn)(pixn)(pixn)(pixn)讲师：讲师：讲师：讲师：jindalyjindalyjindalyjindaly培训培训培训培训(pixn)(pixn)(pixn)(pixn)日期：日期：日期：日期：2011.62011.62011.62011.6第一页，共26页。一、风险评估概述一、风险评估概述二、风险评估目的二、风险评估目的三、风险评估范围三、风险评估范围四、风险评估流程四、风险评估流程(LICHNG)五、风险评估工作要点五、风险评估工作要点第二页，共26页。一、风险评估一、风险评估(PN)概述概述信息

2、安全风险评估的概念在业内有多种说法，从国标评估信息安全风险评估的概念在业内有多种说法，从国标评估指南对信息安全风险评估的表述中看出，评估涉及资产、威指南对信息安全风险评估的表述中看出，评估涉及资产、威胁胁(wixi)、脆弱性和风险四个主要因素。、脆弱性和风险四个主要因素。风险管理是辨别信息系统潜在的风险，对其进行评估，并采风险管理是辨别信息系统潜在的风险，对其进行评估，并采取措施将其降低到可接受的水平的过程，而风险评估是其中最取措施将其降低到可接受的水平的过程，而风险评估是其中最重要的环节。重要的环节。第三页，共26页。一、风险评估一、风险评估(PN)概述概述信息安全风险评估是依据有关信息安全

3、技术与管理标准，对信息信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。等安全属性进行评价的过程。信息安全风险评估从管理的角度，运用科学的方法和手段，系统信息安全风险评估从管理的角度，运用科学的方法和手段，系统分析网络与信息系统所面临的威胁及存在的脆弱性。评估安全事分析网络与信息系统所面临的威胁及存在的脆弱性。评估安全事件一旦发生可能造成的危害程度，提出有针对性地抵御安全威胁件一旦发生可能造成的危害程度，提出有针对性地抵御安全威胁的防护措施，为防范和化

4、解信息安全风险，或将风险控制在可以的防护措施，为防范和化解信息安全风险，或将风险控制在可以接受的水平，最大限度接受的水平，最大限度(xind)地保障网络正常运行和信息安全地保障网络正常运行和信息安全提供科学依据。提供科学依据。第四页，共26页。二、风险评估二、风险评估(PN)目的目的信息安全风险评估是加强信息安全保障体系建设和管理的关键环信息安全风险评估是加强信息安全保障体系建设和管理的关键环节，通过开展信息安全风险评估工作，可以发现信息系统存在的主节，通过开展信息安全风险评估工作，可以发现信息系统存在的主要问题和矛盾，找到解决诸多关键问题的办法。要问题和矛盾，找到解决诸多关键问题的办法。信息

5、安全风险评估旨在认清信息安全环境，信息安全状况，有助信息安全风险评估旨在认清信息安全环境，信息安全状况，有助于达成共识，明确责任，采取和完善安全保障措施，使其更加经济于达成共识，明确责任，采取和完善安全保障措施，使其更加经济有效，并使信息安全策略保持一致性和持续性。并为信息系统的建有效，并使信息安全策略保持一致性和持续性。并为信息系统的建设和改造提供依据，帮助信息安全建设者正确判断系统存在风险与设和改造提供依据，帮助信息安全建设者正确判断系统存在风险与漏洞，并采取适当补救措施。漏洞，并采取适当补救措施。风险评估可以科学风险评估可以科学(kxu)地分析和理解信息系统在保密性、完地分析和理解信息系

6、统在保密性、完整性、可用性等方面的工作，只有正确、全面地了解理解安全风险整性、可用性等方面的工作，只有正确、全面地了解理解安全风险后才能决定如何处理安全风险，从而在信息安全的投资，信息安全后才能决定如何处理安全风险，从而在信息安全的投资，信息安全措施的选择，信息安全保障体系的建设做出合理的决策。措施的选择，信息安全保障体系的建设做出合理的决策。第五页，共26页。三、风险三、风险(FNGXIN)评估范评估范围围 信息安全风险评估适用于在信息安全管理体系下的所有信息资信息安全风险评估适用于在信息安全管理体系下的所有信息资产、网络及任何管理和维护这些系统的流程所做的一切风险评估。产、网络及任何管理和

7、维护这些系统的流程所做的一切风险评估。信息安全风险评估包括信息资产的风险识别、评估与管理，即信息信息安全风险评估包括信息资产的风险识别、评估与管理，即信息系统网络、管理制度、使用或管理信息系统的相关系统网络、管理制度、使用或管理信息系统的相关(xinggun)人人员以及由信息系统使用时产生的文档、数据等的风险识别、评估与员以及由信息系统使用时产生的文档、数据等的风险识别、评估与管理管理。第六页，共26页。四、风险四、风险(FNGXIN)评估流评估流程程 信息安全风险评估的典型过程主要分为风险评估准备、资产信息安全风险评估的典型过程主要分为风险评估准备、资产(zchn)识别、识别、威胁识别、脆弱

8、性识别、已有安全措施确认和风险分析六个阶段。威胁识别、脆弱性识别、已有安全措施确认和风险分析六个阶段。1.风险评估准备风险评估准备2.资产资产(zchn)识别识别3.威胁识别威胁识别4.脆弱性识别脆弱性识别5.已有安全措施确认已有安全措施确认6.风险分析风险分析第七页，共26页。四、风险评估四、风险评估(PN)流程流程 该阶段的主要任务是制订评估工作计划，包括评估目标、评估范围、制该阶段的主要任务是制订评估工作计划，包括评估目标、评估范围、制订信息安全风险评估工作方案订信息安全风险评估工作方案(fng n)，并根据评估工作需要，组建评估，并根据评估工作需要，组建评估团队，明确各方职责。团队，明

9、确各方职责。在风险评估准备阶段，需要多次与被评估方磋商，了解被评估方关注在风险评估准备阶段，需要多次与被评估方磋商，了解被评估方关注的重点，明确风险评估的目标和范围，为整个风险评估工作提供向导。在的重点，明确风险评估的目标和范围，为整个风险评估工作提供向导。在确定评估范围和目标之后，根据被评估对象的网络规模、复杂度、特殊性，确定评估范围和目标之后，根据被评估对象的网络规模、复杂度、特殊性，成立评估工作小组，明确各方人员组成及职责分工。建立评估团队后，由成立评估工作小组，明确各方人员组成及职责分工。建立评估团队后，由评估工作人员进行现场调研，由被评估方介绍网络构建情况，安全管理制评估工作人员进行

10、现场调研，由被评估方介绍网络构建情况，安全管理制度和采取的安全防护措施以及业务运行情况。评估工作小组根据调研情况度和采取的安全防护措施以及业务运行情况。评估工作小组根据调研情况撰写信息安全风险评估工作方案撰写信息安全风险评估工作方案(fng n)。1.风险风险(fngxin)评估准备评估准备第八页，共26页。四、风险四、风险(FNGXIN)评估流程评估流程a)确定目标确定目标b)确定范围确定范围(fnwi)c)组建团队组建团队d)系统调研系统调研e)确定依据确定依据f)制定方案制定方案1.风险风险(fngxin)评估准备评估准备第九页，共26页。四、风险评估四、风险评估(PN)流程流程 做好风

11、险评估准备阶段的相关工作之后，需要通过多种途径采集评估对做好风险评估准备阶段的相关工作之后，需要通过多种途径采集评估对象的资产信息，为风险评估后续各阶段的工作提供基本素材。象的资产信息，为风险评估后续各阶段的工作提供基本素材。机密性、完整性和可用性是评价资产的三个安全属性。风险评估中的资机密性、完整性和可用性是评价资产的三个安全属性。风险评估中的资产价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的产价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或其安全属性未达成时所造成的影响程度来决定的。达成程度或其安全属性未达成时所造成的影响程度来决定的。资产识别主要通

12、过向被评估方发放资产调查表来完成。在识别资产时，资产识别主要通过向被评估方发放资产调查表来完成。在识别资产时，以被评估方提供的资产清单为依据，对重要和关键资产进行标注，对评估以被评估方提供的资产清单为依据，对重要和关键资产进行标注，对评估范围内的资产详细分类，防止范围内的资产详细分类，防止(fngzh)遗漏，划入风险评估范围和边界内遗漏，划入风险评估范围和边界内的每一项资产都应经过仔细确认。的每一项资产都应经过仔细确认。2.资产资产(zchn)识别识别第十页，共26页。四、风险评估四、风险评估(PN)流程流程a)资产分类资产分类(fn li)b)资产分类资产分类(fn li)方法：根据资产的表

13、现形式，可将资产分为数据、方法：根据资产的表现形式，可将资产分为数据、软件、硬件、服务、人员等类型。在实际工作中，具体的资产分类软件、硬件、服务、人员等类型。在实际工作中，具体的资产分类(fn li)方法可根据具体的评估对象和要求，由评估者灵活把握。方法可根据具体的评估对象和要求，由评估者灵活把握。c)资产赋值资产赋值d)根据资产在保密性、完整性、可用性上的不同要求，对资产根据资产在保密性、完整性、可用性上的不同要求，对资产进行保密性赋值、完整性赋值、可用性赋值。进行保密性赋值、完整性赋值、可用性赋值。e)资产价值应依据资产在保密性、完整性、可用性上的赋值等级，资产价值应依据资产在保密性、完整

14、性、可用性上的赋值等级，经过综合评定得出。经过综合评定得出。2.资产资产(zchn)识别识别第十一页，共26页。四、风险评估四、风险评估(PN)流程流程 在识别威胁时，应根据资产目前所处的环境条件和以前的记录情况在识别威胁时，应根据资产目前所处的环境条件和以前的记录情况来判断，威胁识别主要通过采集入侵检测系统（来判断，威胁识别主要通过采集入侵检测系统（IDS）的报警信息、）的报警信息、威胁问卷调查和对技术人员做顾问访谈的方式。为了确保收集到的威威胁问卷调查和对技术人员做顾问访谈的方式。为了确保收集到的威胁信息客观准确，威胁问卷调查的对象要覆盖被评估对象的领导层、胁信息客观准确，威胁问卷调查的对

15、象要覆盖被评估对象的领导层、技术主管、网络管理人员、系统管理人员、安全管理人员和普通员工技术主管、网络管理人员、系统管理人员、安全管理人员和普通员工等。顾问访谈要针对不同的访谈对象制订不同的访谈提纲。等。顾问访谈要针对不同的访谈对象制订不同的访谈提纲。威胁识别的关键在于确认引发威胁的人或事物，威胁源可能是蓄意威胁识别的关键在于确认引发威胁的人或事物，威胁源可能是蓄意也可能是偶然的因素，通常包括人、系统和自然环境等。一项资产可也可能是偶然的因素，通常包括人、系统和自然环境等。一项资产可能面临多个威胁，而一个威胁也可能对不同的资产造成影响。威胁识能面临多个威胁，而一个威胁也可能对不同的资产造成影响

16、。威胁识别完成后还应该对威胁发生的可能性进行别完成后还应该对威胁发生的可能性进行(jnxng)评估，列出威胁清评估，列出威胁清单，描述威胁属性，并对威胁出现的频率赋值。单，描述威胁属性，并对威胁出现的频率赋值。3.威胁威胁(wixi)识别识别第十二页，共26页。四、风险评估四、风险评估(PN)流程流程a)威胁分类威胁分类b)威胁可以通过威胁主体、资源、动机、途径等多种属性来描述，威胁可以通过威胁主体、资源、动机、途径等多种属性来描述，造成威胁的因素可分为人为因素和环境因素。在对威胁进行造成威胁的因素可分为人为因素和环境因素。在对威胁进行(jnxng)分类分类前，应考虑威胁的来源。前，应考虑威胁

17、的来源。c)威胁赋值威胁赋值d)判断威胁出现的频率是威胁赋值的重要内容，评估者应根据经判断威胁出现的频率是威胁赋值的重要内容，评估者应根据经验和（或）有关统计数据来进行验和（或）有关统计数据来进行(jnxng)判断。判断。3.威胁威胁(wixi)识别识别第十三页，共26页。四、风险四、风险(FNGXIN)评估流评估流程程 脆弱性识别是风险评估工作过程中最为复杂、较难把握的环节，同脆弱性识别是风险评估工作过程中最为复杂、较难把握的环节，同时也是非常重要的环节，对评估工作小组成员的专业技术水平要求较时也是非常重要的环节，对评估工作小组成员的专业技术水平要求较高。脆弱性分为管理脆弱性和技术脆弱性。管

18、理脆弱性调查主要通过高。脆弱性分为管理脆弱性和技术脆弱性。管理脆弱性调查主要通过发放管理脆弱性调查问卷、顾问访谈以及收集分析现有的管理制度来发放管理脆弱性调查问卷、顾问访谈以及收集分析现有的管理制度来完成完成(wn chng)；技术脆弱性检测主要借助专业的脆弱性检测工具和；技术脆弱性检测主要借助专业的脆弱性检测工具和对评估范围内的各种软硬件安全配置进行检查来识别。对评估范围内的各种软硬件安全配置进行检查来识别。在工作过程中，应注意脆弱性识别的全面性，包括物理、网络、应在工作过程中，应注意脆弱性识别的全面性，包括物理、网络、应用和管理等方面。为了分析脆弱性影响的严重程度，最好对关键资产用和管理等

19、方面。为了分析脆弱性影响的严重程度，最好对关键资产的脆弱性进行深度检测和验证，比如关键服务的身份认证等。识别完的脆弱性进行深度检测和验证，比如关键服务的身份认证等。识别完成成(wn chng)之后，还要对具体资产的脆弱性严重程度进行赋值。脆之后，还要对具体资产的脆弱性严重程度进行赋值。脆弱性严重程度可以等级化处理，不同等级分别表示资产脆弱性严重程弱性严重程度可以等级化处理，不同等级分别表示资产脆弱性严重程度的高低。等级数值越大，脆弱性严重程度越高。度的高低。等级数值越大，脆弱性严重程度越高。4.脆弱性识别脆弱性识别(shbi)第十四页，共26页。四、风险四、风险(FNGXIN)评估流评估流程程

20、a)脆弱性识别脆弱性识别b)脆弱性识别可以以资产为核心，针对每一项需要保护的资产脆弱性识别可以以资产为核心，针对每一项需要保护的资产,识识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估；也可以从物别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估；也可以从物理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起来。脆理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家安全标准，也可以是行业规范、应用流弱性识别的依据可以是国际或国家安全标准，也可以是行业规范、应用流程的安全要求。对应用在不同环境中的相同的弱点，其脆弱性严重程度是程的安全要求。

21、对应用在不同环境中的相同的弱点，其脆弱性严重程度是不同的，评估者应从组织安全策略的角度考虑、判断资产的脆弱性及其严不同的，评估者应从组织安全策略的角度考虑、判断资产的脆弱性及其严重程度。重程度。c)脆弱性识别包括两个方面，即技术脆弱性和管理脆弱性。脆弱性识别包括两个方面，即技术脆弱性和管理脆弱性。d)脆弱性识别所采用的方法：问卷调查、工具检测、人工核查、脆弱性识别所采用的方法：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。文档查阅、渗透性测试等。e)脆弱性赋值脆弱性赋值f)根据对资产的损害根据对资产的损害(snhi)程度、技术实现的难易程度、弱程度、技术实现的难易程度、弱点的流行程度，

22、采用等级方式对已识别的脆弱性的严重程度进行赋值。点的流行程度，采用等级方式对已识别的脆弱性的严重程度进行赋值。4.脆弱性识别脆弱性识别(shbi)第十五页，共26页。四、风险四、风险(FNGXIN)评估流评估流程程 安全措施的确认应评估其有效性，即是否真正地降低了系统的安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。有效的安全控制措施，可以降低安全事件脆弱性，抵御了威胁。有效的安全控制措施，可以降低安全事件发生的可能性，也可以减轻安全事件造成的不良影响。对有效的发生的可能性，也可以减轻安全事件造成的不良影响。对有效的安全措施继续安全措施继续(jx)保持，以避免不必要的

23、工作和费用，防止安保持，以避免不必要的工作和费用，防止安全措施的重复实施。对确认为不适当的安全措施应该核实是否应全措施的重复实施。对确认为不适当的安全措施应该核实是否应被取消或对其进行修正，或采用更合适的安全措施予以替代。被取消或对其进行修正，或采用更合适的安全措施予以替代。因此，在进行安全风险分析计算之前，有必要识别目前已有的因此，在进行安全风险分析计算之前，有必要识别目前已有的安全控制措施，包括安全控制措施的识别与确认、管理和操作控安全控制措施，包括安全控制措施的识别与确认、管理和操作控制措施的识别与确认。并对措施的有效性进行分析，为后续的风制措施的识别与确认。并对措施的有效性进行分析，为

24、后续的风险分析提供参考依据。安全措施识别与确认，应由评估小组的安险分析提供参考依据。安全措施识别与确认，应由评估小组的安全控制措施识别小组、安全设备管理人员及安全设备厂家技术人全控制措施识别小组、安全设备管理人员及安全设备厂家技术人员共同参与。员共同参与。5.已有安全措施确认已有安全措施确认(qurn)第十六页，共26页。四、风险评估四、风险评估(PN)流程流程 安全措施可分为预防性安全措施和保护性安全措施两种。安全措施可分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵能性，如入

25、侵(rqn)检测系统；保护性安全措施可以减少因安全事检测系统；保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。件发生后对组织或系统造成的影响。5.已有安全措施确认已有安全措施确认(qurn)第十七页，共26页。四、风险四、风险(FNGXIN)评估流评估流程程6.风险风险(fngxin)分析分析 脆弱性识别 威胁出现的频率脆弱性的严重程度资产的重要性安全事件的损失风险值 资产识别安全事件的可能性 威胁(wixi)识别 风险分析原理图风险分析原理图第十八页，共26页。四、风险四、风险(FNGXIN)评估流评估流程程6.风险风险(fngxin)分析分析 构成风险的要素主要有资产、威胁和

26、脆弱性，在识别了这些要素之后，就构成风险的要素主要有资产、威胁和脆弱性，在识别了这些要素之后，就可以确定存在什么风险。风险分析阶段需要完成的工作主要有可以确定存在什么风险。风险分析阶段需要完成的工作主要有3项：风险计算、项：风险计算、形成风险评估报告和给出风险控制建议。风险计算是针对每一项信息资产、根形成风险评估报告和给出风险控制建议。风险计算是针对每一项信息资产、根据其自身存在的脆弱性列表、所面临的威胁列表，考虑资产自身在信息系统中据其自身存在的脆弱性列表、所面临的威胁列表，考虑资产自身在信息系统中的重要程度（资产赋值），依据风险计算公式，计算出该信息资产的风险值，的重要程度（资产赋值），依

27、据风险计算公式，计算出该信息资产的风险值，最终形成风险列表。风险评估报告主要结合风险评估工作过程中采集到的中间最终形成风险列表。风险评估报告主要结合风险评估工作过程中采集到的中间(zhngjin)数据，对信息系统中的安全风险进行定性和定量分析。风险控制数据，对信息系统中的安全风险进行定性和定量分析。风险控制建议主要由评估工作小组在对被评估对象的安全现状进行综合分析的基础上，建议主要由评估工作小组在对被评估对象的安全现状进行综合分析的基础上，有针对性地给出。有针对性地给出。风险只能被预防、避免、降低、转移或接受，而不可能完全消除。高风险风险只能被预防、避免、降低、转移或接受，而不可能完全消除。高

28、风险和严重风险是不可接受的，必须选择实施相应的对策来消减。对于中等风险和和严重风险是不可接受的，必须选择实施相应的对策来消减。对于中等风险和低风险，可以选择接受，一般评估工作小组应针对被评估对象的中低风险给出低风险，可以选择接受，一般评估工作小组应针对被评估对象的中低风险给出风险控制建议。风险控制建议。第十九页，共26页。四、风险四、风险(FNGXIN)评估流程评估流程6.风险风险(fngxin)分析分析a)风险计算原理风险计算原理b)风险值风险值=R(A,T,V)=R(L(T,V),F(La，Va)c)其中，其中，R 表示安全风险计算函数；表示安全风险计算函数；A表示资产；表示资产；T表示威

29、胁；表示威胁；V表示脆弱性；表示脆弱性；La 表示安全事件所作用的资产价值；表示安全事件所作用的资产价值；Va 表示脆弱性严重表示脆弱性严重程度；程度；L 表示威胁利用资产的脆弱性导致安全事件发生的可能性；表示威胁利用资产的脆弱性导致安全事件发生的可能性；F表示安表示安全事件发生后产生的损失。全事件发生后产生的损失。d)风险结果判断风险结果判断e)为实现对风险的控制与管理，可以对风险评估的结果进行等级为实现对风险的控制与管理，可以对风险评估的结果进行等级化处理。化处理。f)风险处理计划风险处理计划g)对不可接受的风险应根据导致该风险的脆弱性制定风险处理计对不可接受的风险应根据导致该风险的脆弱性

30、制定风险处理计划。划。h)残余残余(cny)风险评估风险评估i)在对于不可接受的风险选择适当安全措施后，为确保安全措施在对于不可接受的风险选择适当安全措施后，为确保安全措施的有效性，可进行再评估，以判断实施安全措施后的残余的有效性，可进行再评估，以判断实施安全措施后的残余(cny)风险是否风险是否已经降低到可接受的水平。已经降低到可接受的水平。第二十页，共26页。四、风险评估四、风险评估(PN)流程流程风险评估风险评估(pn)文件记录文件记录（1）风险评估方案：阐述风险评估的目标、范围、团队、评估方法、评估结果的形式和实施进度等；（2）风险评估程序：明确评估的目的、职责、过程、相关的文件要求，

31、并且准备实施评估需要的文档；（3）资产识别清单：根据组织在风险评估程序文件中所确定的资产分类方法进行资产识别，形成资产识别清单，清单中应明确各资产的责任人/部门；（4）重要资产清单：根据资产识别和赋值的结果，形成重要资产列表，包括重要资产名称、描述(mio sh)、类型、重要程度、责任人/部门等；（5）威胁列表：根据威胁识别和赋值的结果，形成威胁列表，包括威胁名称、种类、来源、动机及出现的频率等；（6）脆弱性列表：根据脆弱性识别和赋值的结果，形成脆弱性列表，包括脆弱性名称、描述(mio sh)、类型及严重程度等；（7）已有安全措施确认表：根据已采取的安全措施确认的结果，形成已有安全措施确认表，

32、包括已有安全措施名称、类型、功能描述(mio sh)及实施效果等；（8）风险评估报告：对整个风险评估过程和结果进行总结，详细说明被评估对象，风险评估方法，资产、威胁、脆弱性的识别结果，风险分析、风险统计和结论等内容；（9）风险处理计划：对评估结果中不可接受的风险制定风险处理计划，选择适当的控制目标及安全措施，明确责任、进度、资源，并通过对残余风险的评价确保所选择安全措施的有效性；（10）风险评估记录：根据组织的风险评估程序文件，记录对重要资产的风险评估过程。第二十一页，共26页。五、风险五、风险(FNGXIN)评估工作评估工作的要点的要点第一，各级领导对评估工作的重视。风险评估工作只有得到各级

33、领导的广泛第一，各级领导对评估工作的重视。风险评估工作只有得到各级领导的广泛(gungfn)认同和支持，才能顺利地开展并卓有成效地进行，获得客观、真实和认同和支持，才能顺利地开展并卓有成效地进行，获得客观、真实和有效的评估结果，作为今后信息安全建设的重要参考依据。有效的评估结果，作为今后信息安全建设的重要参考依据。第二，加强评估工作的组织和管理。信息安全风险评估工作启动后，应及时组建第二，加强评估工作的组织和管理。信息安全风险评估工作启动后，应及时组建评估项目组，加强对整个评估工作的组织和管理。项目组主要包括项目领导小组、评估项目组，加强对整个评估工作的组织和管理。项目组主要包括项目领导小组、

34、项目负责人和项目工作小组。项目负责人和项目工作小组。做好风险评估工作，特别做好风险评估工作，特别(tbi)要注意以下五方面的工作：要注意以下五方面的工作：第二十二页，共26页。五、风险评估五、风险评估(PN)工作的工作的要点要点第三，注意评估过程中的风险控制。评估工作过程中所面临的风险，主要第三，注意评估过程中的风险控制。评估工作过程中所面临的风险，主要是敏感信息泄露和评估过程中的各种技术性评估带来的。是敏感信息泄露和评估过程中的各种技术性评估带来的。规避敏感信息泄露风险，主要应该注意几点：规避敏感信息泄露风险，主要应该注意几点：参与评估的人员必须遵守国家有关信息安全的法律法规以及总行关于信息

35、参与评估的人员必须遵守国家有关信息安全的法律法规以及总行关于信息安全的相关管理规定，承担相应的义务和责任；安全的相关管理规定，承担相应的义务和责任；被评估方应与参与评估的所有人员签订具有法律约束力的保密协议；被评估方应与参与评估的所有人员签订具有法律约束力的保密协议；评估过程中做好审核确认工作。对于规避技术性评估所带来的风险，例如评估过程中做好审核确认工作。对于规避技术性评估所带来的风险，例如进行漏洞扫描有时引起扫描对象宕机等，在制订各种技术性评估方案时，进行漏洞扫描有时引起扫描对象宕机等，在制订各种技术性评估方案时，应当由被评估方和评估方共同审核确认，尽量避免采取可能造成不良影响应当由被评估

36、方和评估方共同审核确认，尽量避免采取可能造成不良影响的操作，最好事先经过的操作，最好事先经过(jnggu)测试。测试。第二十三页，共26页。五、风险评估工作五、风险评估工作(GNGZU)的要点的要点第四，做好各方的协调配合工作第四，做好各方的协调配合工作(gngzu)。信息安全风险评估工作。信息安全风险评估工作(gngzu)涉涉及信息系统的主管部门、建设单位或上级机关、运行维护部门、使用部门、安全及信息系统的主管部门、建设单位或上级机关、运行维护部门、使用部门、安全管理部门和保密部门以及技术支持单位和产品或服务提供商。因此需要高层领导管理部门和保密部门以及技术支持单位和产品或服务提供商。因此需

37、要高层领导直接组织，需要被评估方和评估方的密切配合，相互支持。直接组织，需要被评估方和评估方的密切配合，相互支持。第二十四页，共26页。五、风险评估工作五、风险评估工作(GNGZU)的要点的要点第五，提供评估所必须的保障条件。在评估过程中，要考虑完成信息安全风险评第五，提供评估所必须的保障条件。在评估过程中，要考虑完成信息安全风险评估工作的相关保障条件，包括人员、时间和经费等。人员保障主要涉及完成风险估工作的相关保障条件，包括人员、时间和经费等。人员保障主要涉及完成风险评估工作的相关人员。评估工作小组的人员可以从被评估方的技术部门选派，也评估工作的相关人员。评估工作小组的人员可以从被评估方的技

38、术部门选派，也可选择国内可以信赖的第三方专业评估机构。特殊需要的专业技术人员可以根据可选择国内可以信赖的第三方专业评估机构。特殊需要的专业技术人员可以根据评估工作的需要临时抽调。为了使评估结果真实、客观、有效，需要有一定评估工作的需要临时抽调。为了使评估结果真实、客观、有效，需要有一定(ydng)的时间保障，尤其是评估准备阶段，需要花较长的时间精心准备。此外，的时间保障，尤其是评估准备阶段，需要花较长的时间精心准备。此外，风险评估还要有一定风险评估还要有一定(ydng)的经费支持，可能涉及咨询、技术服务、培训、管的经费支持，可能涉及咨询、技术服务、培训、管理、购置评估专用设备、购置工具和软件等费用。理、购置评估专用设备、购置工具和软件等费用。第二十五页，共26页。THANKS第二十六页，共26页。