信息安全风险评估流程
1.概述
信息安全风险评估是针对确立的风险管理对象所面临的风险进行识别、解析和评价。信息安全风险评估主要做以下方面工作:
a)评估前的准备工作,包括制定信息安全风险评估计划、确定信息安全风险评估程序、选择信息安全风险评估方法和工具等。
b)识别需要保护的资产、面临的威胁和存在的脆弱性。
c)在确认已有安全措施的基础上,分析威胁源的动机、威胁行为的能力、脆弱性的被利用性、资产的价值和影响的程度。
d)分别对上述c)中的五个方面的分析结果进行评价,给出相应的等级划分,然后综合计算这五个方面的评价结果,最后得出风险的等级。
2.目的
本规定旨在为本公司信息安全人员执行信息安全信息安全风险评估项目提供标准。
3.范围
本规定适用于本公司信息安全人员在实施项目里对信息系统(包括应用程序,服务器,网络及任何管理和维护这些系统的流程)所做的一切信息安全风险评估。
4.信息安全风险评估流程
信息安全风险评估的过程包括信息安全风险评估准备、风险因素识别、风险程度分析和风险等级评价四个子阶段。在信息安全风险管理过程中,接受对象确立的输出,为风险控制提供输入,监控与审查和沟通与咨询贯穿此四个阶段。
4.1 信息安全风险评估准备工作
1)确定目标
根据组织的业务战略,有关法律、法规和文件精神等,确定此次信息安全风险评估要达到的目标是什么。
2)确定范围
信息安全风险评估的范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是组织所属的一个或几个机构或子部门。
3)组建团队
信息安全风险评估实施团队,由管理层、信息安全人员、IT技术等人员组成信息安全风险评估小组。必要时,可组建由评估方、被评估方领导和相关部门负责人参加的信息安全风险评估领导小组,聘请相关专业的技术专家和技术骨干组成专家小组。
评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作,进行信息安全风险评估技术培训和保密教育,制定信息安全风险评估过程管理相关规定。可根据被评估方要求,双方签署保密合同,适情签署个人保密协议。
本公司信息安全风险评估实施团队一般采用评估方与被评估方协作方式组建评估小组。
信息安全风险评估小组组长 1-2名(被评估方项目负责人)
信息安全风险评估小组副组长 1名(评估方项目负责人)
信息安全风险评估小组协调员 2-4名(评估方与被评估方项目负责人分别指定协调员)
信息安全风险评估小组评估人员 4名(根据具体项目可进行调整)
信息安全风险管理相关人员的角色和责任
层面 |
信息系统 |
信息安全风险管理 |
||||
角色 |
内外部 |
责任 |
角色 |
内外部 |
责任 |
|
决策层 |
主管者 |
内 |
负责信息系统的重大决策 |
主管者 |
内 |
负责信息安全风险管理的重大决策 |
管理层 |
管理者 |
内 |
负责信息系统的规划,以及建设、运行、维护和监控等方面的机构和协调 |
管理者 |
内 |
负责信息安全风险管理的规划,以及实施和监控过程中的机构和协调 |
执行层 |
建设者 |
内或外 |
负责信息系统的设计和实施 |
执行者 |
内或外 |
负责信息安全风险管理的实施 |
运行者 |
内 |
负责信息系统的日常运行和操作 |
||||
维护者 |
内或外 |
负责信息系统的日常维护,包括维修和升级 |
||||
监控者 |
内 |
负责信息系统的监视和控制 |
监控者 |
内 |
负责信息安全风险管理过程、成本和结果的监视和控制 |
|
支持层 |
专业者 |
外 |
为信息系统提供专业咨询、培训、诊断和工具等服务 |
专业者 |
外 |
为信息安全风险管理提供专业咨询、培训、诊断和工具等服务 |
用户层 |
使用者 |
内或外 |
利用信息系统完成自身的任务 |
受益者 |
内或外 |
反馈信息安全风险管理的效果 |
4)系统调研
系统调研是确定被评估对象的过程,信息安全风险评估小组应进行充分的系统调研,为信息安全风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容至少应包括:
a)评估单位基本情况
b)安全保密基本要求
c)物理安全
d)运行安全
e)信息安全保密
f)其他
系统调研可以采取问卷调查、现场面谈相结合的方式进行。调查问卷是提供一套关于管理或操作控制的问题表格,供系统技术或管理人员填写;现场面谈则是由评估人员到现场观察并收集系统在物理、环境和操作方面的信息。
5)确定依据
根据系统调研结果,确定评估依据和评估方法。评估依据包括(但不仅限于):
a)现有国际标准、国家标准、行为标准;
b)行业主管机关的业务系统的要求和制度;
c)系统安全保护等级要求;
d)系统互联单位的安全要求;
e)系统本身的实时性或性能要求等。
根据评估依据,应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方法,并依据业务实施对系统安全运行的需求,确定相关的判断依据,使之能够与组织环境和安全要求相适应。
6)制定方案
信息安全风险评估方案的目的是为后面的信息安全风险评估实施活动提供一个总体计划,用于指导实施方开展后续工作。信息安全风险评估方案的内容一般包括(但不限于):
a)团队组织:包括评估团队成员、组织结构、角色、责任等内容;
b)工作计划:信息安全风险评估各阶段的工作计划,包括工作内容、工作形式、工作成果等内容;
c)时间进度安排:项目实施的时间进度安排。
7)获得支持
上述所有内容确定后,应形成较为完整的信息安全风险评估实施方案,得到组织最高管理者的支持、批准;对管理层和技术人员进行传达,在组织范围就信息安全风险评估相关内容进行培训,以明确有关人员在信息安全风险评估中的任务。
信息安全风险评估过程的输出文档及其内容
阶段 |
输出文档 |
文档内容 |
信息安全风险评估准备 |
《信息安全风险评估计划书》 |
信息安全风险评估的目的、意义、范围、目标、组织结构、经费预算和进度安排等 |
《信息安全风险评估程序》 |
信息安全风险评估的工作流程、输入数据和输出结果等 |
|
《入选信息安全风险评估方法和工具列表》 |
合适的信息安全风险评估方法和工具类别 |
4.2. 项目启动
召开项目启动会议,评估方向被评估方介绍信息安全风险评估流程及评估组人员职责,项目启动。
4.3. 风险因素识别
a)识别需要保护的资产。
依据《系统调研报告》识别对机构使命具有关键和重要作用的需要保护的资产,形成《需要保护的资产清单》。
b)识别面临的威胁。
依据《系统调研报告》参照威胁库,识别机构的信息资产面临的威胁,形成《面临的威胁列表》。
c)识别存在的脆弱性。
依据《系统调研报告》参照漏洞库,识别机构的信息资产存在的脆弱性,形成《存在的脆弱性列表》。
d)风险因素的识别方式:
风险因素的识别方式包括文档审查、人员访谈、现场考察、辅助工具等多种形式,可以根据实际情况灵活采用和结合使用。
* 问卷:分发问卷给被评估单位的工作人员;
* 访谈:跟被评估单位的领导、部门负责人、技术人员面谈;
* 查阅文档:查阅被评估单位信息安全方面和保密工作方面的文档;
* 辅助工具:利用专业检查工具对信息安全系统进行检查检测。
信息安全风险评估过程的输出文档及其内容
阶段 |
输出文档 |
文档内容 |
风险因素识别 |
《需要保护的资产清单》 |
对机构使命具有关键和重要作用的需要保护的资产清单 |
《面临的威胁列表》 |
机构的信息资产面临的威胁列表 |
|
《存在的脆弱性列表》 |
机构的信息资产存在的脆弱性列表 |
4.4. 风险程度分析
a)确认已有的安全措施。
依据《系统调研报告》确认已有的安全措施,包括技术层面(即物理平台、系统平台、通信平台、网络平台和应用平台)的安全功能、组织层面(即结构、岗位和人员)的安全控制和管理层面(即策略、规章和制度)的安全对策,形成《已有安全措施分析报告》。
b)分析威胁源的动机。
依据《系统调研报告》和《面临的威胁列表》,从利益、复仇、好奇和自负等驱使因素,分析威胁源动机的强弱,形成《威胁源分析报告》。
c)分析威胁行为的能力。
依据《系统调研报告》和《面临的威胁列表》,从攻击的强度、广度、速度和深度等方面,分析威胁行为能力的高低,形成《威胁行为分析报告》。
d)分析脆弱性的被利用性。
依据《系统调研报告》、《面临的威胁列表》和《存在的脆弱性列表》,按威胁/脆弱性对,分析脆弱性被威胁利用的难易程度,形成《脆弱性分析报告》。
e)分析资产的价值。
依据《系统调研报告》和《需要保护的资产清单》,从敏感性、关键性和昂贵性等方面,分析资产价值的大小,形成《资产价值分析报告》。
f)分析影响的程度。
依据《系统调研报告》和《需要保护的资产清单》,从资产损失、使命妨碍和人员伤亡等方面,分析影响程度的深浅,形成《影响程度分析报告》。
信息安全风险评估过程的输出文档及其内容
阶段 |
输出文档 |
文档内容 |
风险程度分析 |
《已有安全措施分析报告》 |
确认已有的安全措施,包括技术层面(即物理平台、系统平台、通信平台、网络平台和应用平台)的安全功能、组织层面(即结构、岗位和人员)的安全控制和管理层面(即策略、规章和制度)的安全对策 |
《威胁源分析报告》 |
从利益、复仇、好奇和自负等驱使因素,分析威胁源动机的强弱 |
|
《威胁行为分析报告》 |
从攻击的强度、广度、速度和深度等方面,分析威胁行为能力的高低 |
|
《脆弱性分析报告》 |
按威胁/脆弱性对,分析脆弱性被威胁利用的难易程度 |
|
《资产价值分析报告》 |
从敏感性、关键性和昂贵性等方面,分析资产价值的大小 |
|
《影响程度分析报告》 |
从资产损失、使命妨碍和人员伤亡等方面,分析影响程度的深浅 |
4.5. 风险等级评价
a)评价威胁源动机的等级。
依据《威胁源分析报告》,给出威胁源动机的等级,形成《威胁源等级列表》。
b)评价威胁行为能力的等级。
依据《威胁行为分析报告》,给出威胁行为能力的等级,形成《威胁行为等级列表》。
c)评价脆弱性被利用的等级。
依据《脆弱性分析报告》,给出脆弱性被利用的等级,形成《脆弱性等级类别》。
d)评价资产价值的等级。
依据《资产价值分析报告》,给出资产价值的等级,形成《资产价值等级列表》。
e)评价影响程度的等级。
依据《影响程度分析报告》,给出影响程度的等级,形成《影响程度等级列表》。
f)综合评价风险的等级。
汇总上述分析报告和等级列表,从信息安全风险评估算法库中选择合适的信息安全风险评估算法,综合评价风险的等级,形成《信息安全风险评估报告》。信息安全风险评估算法库是各种信息安全风险评估算法的汇集,包括公认算法和自创算法。
评价等级级数可以根据评价对象的特性和实际评估的需要而定,如(高、中、低)三级,(很高、较高、中等、较低、很低)五级等。
信息安全风险评估过程的输出文档及其内容
阶段 |
输出文档 |
文档内容 |
风险等级评价 |
《威胁源等级列表》 |
威胁源动机的等级列表 |
《威胁行为等级列表》 |
威胁行为能力的等级列表 |
|
《脆弱性等级列表》 |
脆弱性被利用的等级列表 |
|
《资产价值等级列表》 |
资产价值的等级列表 |
|
《影响程度等级列表》 |
影响程度的等级列表 |
|
《信息安全风险评估报告》 |
汇总上述分析报告和等级列表,综合评价风险的等级 |
4.6. 控制及规划
在分析阶段完成之后,信息安全风险评估项目组将根据风险分析的结果,结合国家有关的法律、法规和标准,总结出被评估信息系统当前的安全需求,并根据安全需求的轻重缓急以及相关标准和机构保障框架的要求,制定出适合的安全规划方案,为进一步的安全建设提供参考。
风险控制过程的输出文档及其内容
阶段 |
输出文档 |
文档内容 |
控制目标确立 |
《风险控制需求分析报告》 |
从技术层面(即物理平台、系统平台、网络平台和应用平台)、组织层面(即结构、岗位和人员)和管理层面(即策略、规章和制度),分析风险控制的需求 |
《风险控制目标列表》 |
风险控制目标的列表,包括控制对象及其最低保护等级 |
4.7. 总结汇报
召开项目总结会议,向领导小组汇报信息安全风险评估情况,在描述安全风险之后表述出采取何种对策防范威胁、减少脆弱性,并将问题的轻重缓急描述清楚。
风险控制过程的输出文档及其内容
阶段 |
输出文档 |
文档内容 |
控制措施实施 |
《风险控制实施计划书》 |
风险控制的范围、对象、目标、组织结构、成本预算和进度安排等 |
4.8. 验收
总结汇报经过领导小组认可后,双方进行项目验收工作,交接文档,签字验收,填写客户满意度调查表。
提交的信息安全风险评估记录是根据信息安全风险评估程序,要求信息安全风险评估过程中的各种现场记录可复现评估过程,并作为产生歧义后解决问题的依据。