信息安全风险评估的基本过程.ppt

第七章
信息安全风险评估的基本过程
信息安全风险评估是对信息在产生、存储、传输等过程中其机密性、完整性、可用性遭到破坏的可能性及由此产生的后果所做的估计或估价,是组织确定信息安全需求的过程。
信息安全风险评估的过程
依据GB/T 20984—2007《信息安全技术信息安全风险评估规范》,同时参照ISO/IEC TR 13335-3、NIST SP800-30等标准,风险评估过程都会涉及到以下阶段:识别要评估的资产,确定资产的威胁、脆弱点及相关问题,评价风险,推荐对策。
信息安全风险评估完整的过程如图7-1所示
评估准备
信息安全风险评估的准备,是实施风险评估的前提。为了保证评估过程的可控性以及评估结果的客观性,在信息安全风险评估实施前应进行充分的准备和计划,信息安全风险评估的准备活动包括:
⑴确定信息安全风险评估的目标;
⑵确定信息安全风险评估的范围;
⑶组建适当的评估管理与实施团队;
⑷进行系统调研;
⑸确定信息安全风险评估依据和方法;
⑹制定信息安全风险评估方案;
⑺获得最高管理者对信息安全风险评估工作的支持。
确定信息安全风险评估的目标
在信息安全风险评估准备阶段应明确风险评估的目标,为信息安全风险评估的过程提供导向。信息安全需求是一个组织为保证其业务正常、有效运转而必须达到的信息安全要求,通过分析组织必须符合的相关法律法规、组织在业务流程中对信息安全等的保密性、完整性、可用性等方面的需求,来确定信息安全风险评估的目标。
确定信息安全风险评估的范围
既定的信息安全风险评估可能只针对组织全部资产的一个子集,评估范围必须明确。
描述范围最重要的是对于评估边界的描述。评估的范围可能是单个系统或者是多个关联的系统。
比较好的方法是按照物理边界和逻辑边界来描述某次风险评估的范围。
组建适当的评估管理与实施团队
在评估的准备阶段,评估组织应成立专门的评估团队,具体执行组织的信息安全风险评估。团队成员应包括评估单位领导、信息安全风险评估专家、技术专家,还应该包括管理层、业务部门、人力资源、IT系统和来自用户的代表。
进行系统调研
系统调研是确定被评估对象的过程。风险评估团队应进行充分的系统调研,为信息安全风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容至少应包括:
⑴业务战略及管理制度;
⑵主要的业务功能和要求;
⑶网络结构与网络环境,包括内部连接和外部连接;
⑷系统边界;
⑸主要的硬件、软件;
⑹数据和信息;
⑺系统和数据的敏感性;
⑻支持和使用系统的人员。
确定信息安全风险评估依据和方法
信息安全风险评估依据包括现有国际或国家有关信息安全标准、组织的行业主管机关的业务系统的要求和制度、组织的信息系统互联单位的安全要求、组织的信息系统本身的实时性或性能要求等。
根据信息安全评估风险依据,并综合考虑信息安全风险评估的目的、范围、时间、效果、评估人员素质等因素,选择具体的风险计算方法,并依据组织业务实施对系统安全运行的需求,确定相关的评估判断依据,使之能够与组织环境和安全要求相适应。