風險評估簡要介紹

風險評估

評估目標

風險評估服務是通過對資訊資產的識別與賦值、威脅評估、系統脆弱點評估、現有安全措施評估、綜合風險分析等若干環節，對資訊系統的安全風險進行半定量分析，清晰的展現資訊系統當前的安全現狀，提供公正、客觀、翔實的資料作為決策參考，為下一步控制和降低安全風險、改善安全狀況、實施資訊系統的風險管理提供依據。

等級保護是一項針對資訊系統進行分等級防護的資訊保安管理制度。等級測評的目的決不僅僅是檢驗資訊系統安全保護措施與安全標準的符合性，更大程度上是希望通過各類調研手段和測評技術手段，判斷資訊系統的真實安全狀況，從而為資訊系統的安全建設、整改、執行、維護提供依據。通過資訊保安風險評估對資訊系統的安全等級保護情況進行評估，依據已確定等級的相關保護要求，對系統的保護效果、潛在風險進行評估，從風險管理的角度有針對性地提出抵禦威脅的安全等級防護對策和整改措施，從而最大限度地減少經濟損失和負面影響。

因此，等級測評工作在等保符合性測評的基礎上，開展全面的資訊系統安全風險評估，特別是對於檢驗發現的標準不符合項，更要充分評估對應的脆弱點和安全威脅，判斷系統安全風險的影響和可能性，全面掌控資訊系統的風險狀況，從而提供安全決策支援。

作為資訊系統的運營使用單位，在資訊系統滿足等級保護標準要求的前提下，需要綜合考慮系統面向的安全風險和安全防護成本，做出消除風險、緩解風險、接受風險的不同決策，從而充分貫徹等級保護實施過程中的重點保護原則和動態調整原則。因此，風險評估是等級測評工作中的關鍵環節，風險評估的結果將作為等級測評最終結論的重要依據。

適用物件

《國家資訊化領導小組關於加強資訊保安保障工作的意見》（中辦發[2003]27號）中明確規定國家的電子政務網路、重點業務資訊系統、基礎資訊庫以及相關支撐體系等國家電子政務工程建設專案，應開展資訊保安風險評估工作。

風險評估服務適用於有以下需求的單位及企業：

● 需要了解當前資產潛在風險的使用者；

● 需要了解當前安全建設投入後實際效果的使用者；

● 需要了解資訊保安對業務系統影響程度的使用者；

● 需要跟蹤資訊保安延續性建設並獲取後續建設參考依據的使用者；

● 需要了解當前資產實際脆弱性的使用者；

● 需要了解當前資訊資產價值優先順序的使用者等。

評估依據

● gb/t 20984-2007《資訊保安技術資訊保安風險評估規範》

● gb/t 18336《資訊科技安全技術資訊科技安全性評估準則》

● gb 17859－1999《計算機資訊系統安全保護等級劃分準則》

● gb/t 19716－2005《資訊科技資訊保安管理適用規則》

● gb/t22080-2008《資訊科技安全技術資訊保安管理體系要求》

● gb/t22081-2008《資訊科技安全技術資訊保安管理實用規則》

● gb/t 20274《資訊系統安全保障評估框架》

評估內容

資訊保安風險評估的主要內容包括：分析資訊系統資產的重要程度，評估資訊系統面臨的安全威脅、存在的脆弱性、已有的安全措施和殘餘風險的影響等。風險評估服務內容主要包括以下幾個環節：

● 資訊資產的識別和賦值

確定組織資訊資產的範圍，對資訊資產進行識別、分組和分類，並根據其安全特性（機密性、完整性、可用性）進行賦值，建立資訊資產列表。

● 威脅評估

對組織的資產引起不期望事件而造成的損害的潛在可能性進行分析。包括潛在威脅分析、威脅審計和日誌分析，得到對組織資訊系統的安全威脅綜合分析報告。

● 脆弱性評估

通過技術檢測，實驗和審計等方式尋找使用者的資訊資產中可能存在的弱點，並對弱點的嚴重性進行估值。包括技術性弱點檢測、網路架構和業務流程分析、策略與安全控制審計，得到對組織資訊系統的安全弱點綜合分析報告。

● 現有安全措施評估

對組織目前已經採取的用於控制風險的技術和管理手段效果的評估，在針對性、有效性、整合特性、標準特性、可管理特性、可規劃特性等方面進行評價，得到對組織資訊系統的現有安全措施綜合分析報告。

● 綜合風險分析

依據前面的評估結果和國家工程中心根據國際、國內標準和工程經驗建立的風險評估模型，對組織的資訊系統的風險進行評價和評級，得到對組織資訊系統的安全風險綜合評估報告和資訊保安現狀報告。

評估流程

評估方法

● 訪談

訪談是指測評人員與被測評組織內的有關人員就測評所關注的問題進行有針對性的詢問和交流的過程，該過程可以幫助評估者了解現狀、澄清疑問或獲得證據。

訪談深度（即訪談內容的詳細程度）以及訪談的廣度（即對被測評組織中員工角色型別以及每種型別中人數的覆蓋程度）由測評人員依據不同的測評需要進行選擇和判斷。

● 核查

核查是指對測評物件（如規範、機制或行為）進行觀察、調查、評審、分析的過程。與訪談類似，該過程可以幫助評估者了解現狀、澄清疑問或獲得證據。

比較典型的檢查行為包括：對安全配置的核查、對安全策略的分析和評審、安全日誌核查等。

● 測試

測試是指在特定環境中執行乙個或多個評估物件（限於機制或行為）並將實際結果與預期結果進行比較的過程。測試的目標是判定物件是否符合預定的一組規格。測試過程可以幫助評估者獲得證據。

評估成果

風險評估服務可幫助使用者系統降低安全風險，具體將帶來以下價值：

風險評估服務可以幫助使用者系統明確資產的配置和分布、業務執行模式、網路體系結構、技術基礎結構、資產環境（周邊控制、安全措施）以及資訊保安策略和制度等資訊，準確了解企業的網路和系統現狀。

風險評估服務將全面給出使用者資訊系統每個層面上的安全隱患和脆弱性報告，使使用者對資訊保安各個層次的安全性狀況和整體安全狀況有全面具體的了解。

風險評估從管理制度和安全控制措施等方面對使用者資訊系統的安全問題進行分析評估，為使用者進行資訊保安決策和管理提供依據，從而盡可能在安全事故爆發之前避免、減少或轉移風險。

風險評估可以重點針對資訊系統在符合性檢驗中所發現的標準不符合項，充分了解對應的脆弱點和安全威脅，判斷真實安全風險的影響和可能性，結合安全防護成本提供系統安全決策支援，充分貫徹等級保護實施過程中的重點保護原則和動態調整原則。

輸出成果：《風險評估報告》

風險評估簡要介紹

風險評估之風險識別

MTO工藝流程簡要介紹

IT網路營銷課程簡要介紹

風險評估簡要介紹

風險評估之風險識別

MTO工藝流程簡要介紹

IT網路營銷課程簡要介紹

相關推薦