风险评估实施步骤46092.docx

《风险评估实施步骤46092.docx》由会员分享，可在线阅读，更多相关《风险评估实施步骤46092.docx（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Evaluation Warning: The document was created with Spire.Doc for .NET.风险评估实施步骤一 风评评准备1.确定定风险评估估的目标2. 确定风险险评估的范范围3. 组建适当当的评估管管理与实施施团队4. 进行系统统调研，采采取问卷调调查、现场场询问等方方式，至少少包括以下下内容： 业务战略及及管理制度度 主要的业务务功能和要要求 网络结构与与网络环境境，包括内内部链接好好外部链接接 系统边界 主要的硬件件、软件 数据和信息息 系统和数据据的敏感性性 支持和使用用系统的人人员5. 制定方案，为为之后的风风评实施提提供一个总总体计划，

2、至至少包括： 确定实施评评估团队成成员 工作计划及及时间进度度安排6. 获得最高管管理者对风风险评估工工作的支持持二 资产产识别资产的价值值是按照资资产在保密密性、完整性和可用性上达达到的程度度或者其未未达到时造造成的影响响程度来决决定1. 资产分类根据资产的的表现形式式，可将资资产分为数数据、软件件、硬件、文文档、服务务、人员等等类2. 资产的赋值值（五个等等级：可忽忽略、低、中中等、高、极高） 保密性赋值值：根据资产产在保密性性上的不同同要求，对对应资产在在保密性上上应达成的的不同程度度或者密保保性缺失时时对整个组组织的影响响，划分为为五个不同同的等级 完整性赋值值：根据资产产在完整性性上

3、的不同同要求，对对应资产在在完整性上上缺失时对对整个组织织的影响，划划分为五个个不同的等等级 可用性赋值值：根据资产产在可用性性上的不同同要求，对对应资产在在可用性上上应达成的的不同程度度，划分为为五个不同同的等级3. 资产重要性性等级（五五个等级：很低、低、中中、高、很很高）资产价值应应依据资产产在机密性性、完整性性和可用性性上的赋值值等级，经经过综合评评定得出。综综合评定方方法，可以以根据组织织自身的特特点，选择择对资产机机密性、完完整性和可可用性最为为重要的一一个属性的的赋值等级级作为资产产的最终赋赋值结果，也也可以根据据资产机密密性、完整整性和可用用性的不同同重要程度度对其赋值值进行加

4、权权计算而得得到资产的的最终赋值值。加权方方法可根据据组织的业业务特点确确定。三 威胁胁识别威胁是一种种对组织及及其资产构构成潜在破破坏的可能能性因素，是是客观存在在的。1. 威胁的分分类根据威胁的的来源，威威胁可分为为软硬件故故障、物理理环境威胁胁、无作为为或操作失失误、管理理不到位、恶恶意代码和和病毒、越越权或滥用用、黑客攻攻击技术、物物理攻击、泄泄密、篡改改、抵赖2. 威胁的赋赋值（五个个等级：很很低、低、中中、高、很很高）判断威胁出出现的频率率是威胁识识别的重要要工作，评评估者应根根据经验和和（或）有有关的统计计数据来进进行判断。在在风险评估估过程中，还还需要综合合考虑以下下三个方面面

5、，以形成成在某种评评估环境中中各种威胁胁出现的频频率：（1) 以以往安全事事件报告中中出现过的的威胁及其其频率的统统计；（2) 实实际环境中中通过检测测工具以及及各种日志志发现的威威胁及其频频率的统计计；（3) 近近一两年来来国际组织织发布的对对于整个社社会或特定定行业的威威胁及其频频率统计，以以及发布的的威胁预警警。四 脆弱弱性识别脆弱性是对对一个或多多个资产弱弱点的总称称。脆弱性性识别也称称为弱点识识别，弱点点是资产本本身存在的的，如果没没有相应的的威胁发生生，单纯的的弱点本身身不会对资资产造成损损害。而且且如果系统统足够强健健，再严重重的威胁也也不会导致致安全事件件，并造成成损失。即即，

6、威胁总总是要利用用资产的弱弱点才可能能造成危害害。资产的脆弱弱性具有隐隐蔽性，有有些弱点只只有在一定定条件和环环境下才能能显现，这这是脆弱性性识别中最最为困难的的部分。需需要注意的的是，不正正确的、起起不到应有有作用的或或没有正确确实施的安安全措施本本身就可能能是一个弱弱点。脆弱性识别别将针对每每一项需要要保护的资资产，找出出可能被威威胁利用的的弱点，并并对脆弱性性的严重程程度进行评评估。脆弱弱性识别时时的数据应应来自于资资产的所有有者、使用用者，以及及相关业务务领域的专专家和软硬硬件方面的的专业等人人员。脆弱性识别别所采用的的方法主要要有：问卷卷调查、工工具检测、人人工核查、文文档查阅、渗渗

7、透性测试试等。1. 脆弱性识识别脆弱性识别别主要从技技术和管理理两个方面面进行，技技术脆弱性性涉及物理理层、网络络层、系统统层、应用用层等各个个层面的安安全问题。管管理脆弱性性又可分为为技术管理理和组织管管理两方面面，前者与与具体技术术活动相关关，后者与与管理环境境相关。2. 脆弱性赋赋值（五个个等级：很很低、低、中中、高、很很高）可以根据对对资产损害害程度、技技术实现的的难易程度度、弱点流流行程度，采采用等级方方式对已识识别的脆弱弱性的严重重程度进行行赋值。脆脆弱性由于于很多弱点点反映的是是同一方面面的问题，应应综合考虑虑这些弱点点，最终确确定这一方方面的脆弱弱性严重程程度。对某个资产产，其

8、技术术脆弱性的的严重程度度受到组织织的管理脆脆弱性的影影响。因此此，资产的的脆弱性赋赋值还应参参考技术管管理和组织织管理脆弱弱性的严重重程度。五 已有有安全措施施的确认组织应对已已采取的安安全措施的的有效性进进行确认，对对有效的安安全措施继继续保持，以以避免不必必要的工作作和费用，防防止安全措措施的重复复实施。对对于确认为为不适当的的安全措施施应核实是是否应被取取消，或者者用更合适适的安全措措施替代。六 风险险分析1. 风险计算方方法安全事件发发生的可能能性 = L(威胁出现现频率，脆脆弱性)安全事件的的损失 = F(资产产重要程度度，脆弱性性严重程度度)风险值 = R(安安全事件发发生的可能

9、能性，安全事件件的损失)评估者可根根据自身情情况选择相相应的风险险计算方法法计算风险险值。如矩矩阵法或相相乘法，通通过构造经经验函数，矩矩阵法可形形成安全事事件发生的的可能性与与安全事件件的损失之之间的二维维关系；运运用相乘法法可以将安安全事件发发生的可能能性与安全全事件的损损失相乘得得到风险值值。2. 风险结果判判定（五个个等级：很很低、低、中中、高、很很高）组织应当综综合考虑风风险控制成成本与风险险造成的影影响，提出出一个可接接受风险阈阈值，七 风险险评估文件件记录1. 风险评估文文件记录的的要求记录风险评评估过程的的相关文件件，应该符符合以下要要求（但不不仅限于此此）：（1）确保保文件发

10、布布前是得到到批准的；（2）确保保文件的更更改和现行行修订状态态是可识别别的；（3）确保保在使用时时可获得有有关版本的的适用文件件；（4）确保保文件的分分发得到适适当的控制制；（5）防止止作废文件件的非预期期使用，若若因任何目目的需保留留作废文件件时，应对对这些文件件进行适当当的标识。对于风险评评估过程中中形成的相相关文件，还还应规定其其标识、储储存、保护护、检索、保保存期限以以及处置所所需的控制制。相关文文件是否需需要以及详详略程度由由管理过程程来决定。2. 风险评估文文件风险评估文文件包括在在整个风险险评估过程程中产生的的评估过程程文档和评评估结果文文档，包括括（但不仅仅限于此）：（1）风

11、险险评估计划划：阐述风风险评估的的目标、范范围、团队队、评估方方法、评估估结果的形形式和实施施进度等；（2）风险险评估程序序：明确评评估的目的的、职责、过过程、相关关的文件要要求，并且且准备实施施评估需要要的文档；（3）资产产识别清单单：根据组组织在风险险评估程序序文件中所所确定的资资产分类方方法进行资资产识别，形形成资产识识别清单，清清单中应明明确各资产产的责任人人/部门；（4）重要要资产清单单：根据资资产识别和和赋值的结结果，形成成重要资产产列表，包包括重要资资产名称、描描述、类型型、重要程程度、责任任人/部门门等； （5）威胁胁列表：根根据威胁识识别和赋值值的结果，形形成威胁列列表，包括

12、括威胁名称称、种类、来来源、动机机及出现的的频率等；（6）脆弱弱性列表：根据脆弱弱性识别和和赋值的结结果，形成成脆弱性列列表，包括括脆弱性名名称、描述述、类型及及严重程度度等； （7）已有有安全措施施确认表：根据已采采取的安全全措施确认认的结果，形形成已有安安全措施确确认表，包包括已有安安全措施名名称、类型型、功能描描述及实施施效果等；（8）风险险评估报告告：对整个个风险评估估过程和结结果进行总总结，详细细说明被评评估对象，风风险评估方方法，资产产、威胁、脆脆弱性的识识别结果，风风险分析、风风险统计和和结论等内内容；（9）风险险处理计划划：对评估估结果中不不可接受的的风险制定定风险处理理计划，

13、选选择适当的的控制目标标及安全措措施，明确确责任、进进度、资源源，并通过过对残余风风险的评价价确保所选选择安全措措施的有效效性；（10）风风险评估记记录：根据据组织的风风险评估程程序文件，记记录对重要要资产的风风险评估过过程。评估内容重要服务器器的安全配配置 登录安安全检测；用户及口口令安全检检测；共享享资源安全全检测；系系统服务安安全检测；系统安全全补丁检测测；日志记记录审计检检测；木马马检测。安全设备 包括防防火墙、入入侵检测系系统、网闸闸、防病毒毒、桌面管管理、审计计、加密机机、身份鉴鉴别等；查查看安全设设备的部署署情况。查查看安全设设备的配置置策略；查查看安全的的日志记录录；通过漏漏洞

14、扫描系系统对安全全进行扫描描。通过渗渗透性测试试检安全配配置的有效效性。路由器 检查操作作系统是否否存在安全全漏洞；配配置方面，检检测端口开开放、管理理员口令设设置与管理理、口令文文件安全存存储形式、访访问控制表表；是否能能对配置文文件进行备备份和导出出；关键位位置路由器器是否有冗冗余配置。物理环境 包括 UPS、变变电设备、空空调、门禁禁等。交换机 检查安全全漏洞和补补丁的升级级情况，各各VLANN间的访问问控制策略略；口令设设置和管理理，口令文文件的安全全存储形式式；配置文文件的备份份。风险评估流流程风险评估流流程包括系系统调研、资资产识别、威威胁识别、脆脆弱性识别别（包括现现有控制措措施

15、确认）、风风险综合分分析以及风风险控制计计划六个阶阶段。否是否是风险评估准备已有安全措施的确认风险计算风险是否接受保持已有的安全措施施施施选择适当的安全措施并评估残余风险实施风险管理脆弱性识别威胁识别资产识别是否接受残余风险 风险分析评估过程文档评估过程文档风险评估文件记录评估结果文档系统调研是是熟悉和了了解组织和和系统的基基本情况，对对组织ITT战略，业业务目标、业业务类型和和业务流程程以及所依依赖的信息息系统基础础架构的基基本状况和和安全需求求等进行调调研和诊断断。资产识别是是对系统中中涉及的重重要资产进进行识别，并并对其等级级进行评估估，形成资资产识别表表。资产信信息至少包包括：资产产名

16、称、资资产类别、资资产价值、资资产用途、主主机名、IIP地址、硬硬件型号、操操作系统类类型及版本本、数据库库类型及版版本、应用用系统类型型及版本等等。威胁识别是是对系统中中涉及的重重要资产可可能遇到的的威胁进行行识别，并并对其等级级进行评估估，形成威威胁识别表表。识别的的过程主要要包括威胁胁源分析、历历史安全事事件分析、实实时入侵事事件分析几几个方面。脆弱性识别别是对系统统中涉及的的重要资产产可能被对对应威胁利利用的脆弱弱性进行识识别，并对对其等级进进行评估，形形成脆弱性性识别表。脆脆弱性识别别又具体分分为物理安安全、网络络安全、主主机系统安安全、应用用安全、数数据安全、安安全管理六六个方面的

17、的内容。风险综合分分析是根据据对系统资资产识别，威威胁分析，脆脆弱性评估估的情况及及收集的数数据，定性性和定量地地评估系统统安全现状状及风险状状况，评价价现有保障障措施的运运行效能及及对风险的的抵御程度度。结合系系统的ITT战略和业业务连续性性目标，确确定系统不不可接受风风险范围。风险控制计计划是针对对风险评估估中识别的的安全风险险，特别是是不可接受受风险，制制定风险控控制和处理理计划，选选择有效的的风险控制制措施将残残余风险控控制在可接接受范围内内。风险评估是是按照ISSO 277001建建立信息安安全管理体体系的基础础，是PDDCA循环环的策划阶阶段的主要要工作内容容，根据风风险评估结结果

18、来从IISO 1177999中选择控控制目标与与控制方式式。风险评估是是建立ISSMS的基基础，处于于270001的第一一个环节计计划阶段（PP），也为为风险管理理提供依据据；等级保护理理论上和2270011没有直接接关系，但但是目前等等保的管理理安全部分分借鉴了2270011的控制域域部分要求求，二者是是可以相融融合的P阶段：建建立ISMMS(PLLAN)定义IISMS 的范围定义IISMS 策略定义系系统的风险险评估途径径识别风风险评估风风险识别并并评价风险险处理措施施选择用用于风险处处理的控制制目标和控控制准备适适用性声明明（SoAA）取得管管理层对残残留风险的的承认，并并授权实施施和操

19、作IISMS信息安全风风险评估项项目工序与与流程一、项目启启动1双双方召开项项目启动会会议，确定定各自接口口负责人。 =工作作输出1业务安安全评估相相关成员列列表（包包括双方人人员）2报告蓝蓝图 =备注11务必请请指定业务务实施负责责人作为项项目接口和和协调人；列出人员员的电话号号码和电子子邮件帐号号以备联络络。二、确确定工作范范围1请请局方按合合同范围提提供资产产表，也也即扫描评评估范围。2请局方指定需进行人工评估的资产，确定人工评估范围。3请局方给所有资产赋值（双方确认资产赋值）4请局方指定安全管理问卷调查（访谈）人员，管理、员工、安全主管各一人。=工作输出1会议备忘（要求签字确认）2资产

20、表（包括人工评估标记和资产值）=备注1资产数量正负不超过15%；给资产编排序号，以方便事后检查。2给人工评估资产做标记，以方便事后检查。3资产值是评估报告的重要数据。三、制定整体实施计划1按照工作范围制定整个项目的总体计划，包括现场准备、扫描评估、人工评估、问卷调查、加固实施等各阶段。2与接口负责人共同确定针对各相关资产进行管理评估，入侵检测系统实施扫描评估、人工评估的日期和时间段。=工作输出1总体项目进度甘特图2评估阶段工作计划表=备注1扫描评估、人工评估、问卷调查在可能的情况下可以同期进行；工作计划表交项目经理参考，以便配合。2确定日期以便于制定工作计划；确定时间段（白天、晚间、夜间甚至钟

21、点）对加固阶段详细计划的确定更重要。四、管理评估阶段1提供现有的安全管理规范和管理制度。2提供对应业务的系统信息，包括拓扑图、业务功能说明、业务流程说明（如能提供系统设计方案更佳）。3对应业务的管理、员工、安全主管进行访谈。4对现有安全管理制度的实行情况进行审计。5对评估中需要的其他策略文档进行收集。=工作输出1资料接收单2安全访谈记录单=备注1对提供的电子或纸质文档进行严格的保密和内部使用控制，资料接收时需要填写资料接收单并签字。2访谈记录单内容需要与被访谈人进行确认及签字。3对于发现的重要情况，均须与对应配合人员进行确认，重大内容需要双方签字。五、技术评估阶段1提出扫描申请2每日制定第二天

22、的日工作计划，包括扫描评估、人工评估、问卷调查等详细计划。3进行扫描评估（每次扫描完成后，应有扫描确认，需用户方签字）。4进行人工评估（每次人工评估完成后，应有人工评估确认，需用户方签字）。6双方协商布置在网络关键节点上布置入侵检测系统（一般放置3天）。7在整个项目技术部分基本结束时，双方协商进行渗透测试。8每日进行记录和总结。9逢周末进行周工作总结。=工作输出1扫描申请报告/原始弱点报告2日工作计划3工作确认单4评估数据5入侵检测系统布置申请报告入侵检测系统日志分析报告6渗透测试申请报告/渗透测试报告7日工作记录8周工作总结=备注1签字确认。2清晰明确的日工作计划才能使当日工作有条不紊。3工作确认单是你工作完成的凭证。4收集好评估数据，并妥善保存。5签字，注意端口镜像原则上必须由客户进行配置。6签字，并重新确认实施时间与实施范围，有可能的情况下，需要甲方全程陪同。7每日总结并检查当日工作是否完成，如未完成，要考虑后期计划的调整。六、数据整理1工作整理。2撰写评估报告。3撰写加固方案和安全建议。=工作输出1评估阶段工作总结2网络安全风险评估报告3网络安全建议报告七、项目验收1提交项目成果。2报告解读3培训