資訊保安風險評估流程

2022-09-17 17:33:05 字數 2028 閱讀 1425

1.概述

風險管理是辨別出本公司潛在的風險,對其進行評估,並採取措施將其降低到可以接受的水平的過程, 而風險評估是其中最重要的環節。

2.目的

本規定旨在為本公司資訊保安人員執行週期性的資訊保安風險評估提供標準,幫助其正確判斷出漏洞區域,並採取適當的補救措施。

3.範圍

本規定適用於本公司資訊保安人員對本公司資訊系統(包括應用程式,伺服器,網路及任何管理和維護這些系統的流程)所做的一切風險評估。

4.規定

4.1. 一般規定

4.1.1. 每6個月對本公司重要的資訊系統進行一次風險評估;

4.1.2. 對重要的現在系統作了重大更改後或重要的新系統上線時必須進行風險評估;

4.1.3. 被評估系統的開發人員和維護人員必須跟本公司資訊保安人員密切合作,以準確評估該系統的漏洞,威脅,控制措施,開發出有效的補救措施;

4.1.4. 風險評估結果必須以書面形式提交相關部門主管;

4.2. 風險評估流程

4.2.1. 弄清系統情況

4.2.1.1. 收集系統資訊的方法:

* 問卷:分發問卷給被評估系統的開發和維護人員;

* 面談:跟被評估系統的開發和維護人員面談;

* 查閱文件:查閱被評估系統的系統方面和安全方面的文件;

4.2.1.2. 需要收集的系統資訊:

* 主要資訊:硬體,軟體,系統介面,資料和資訊,支援人員和使用者,系統的功能,系統和資料的關鍵性和敏感性;

* 額外資訊:功能要求,使用者,安全制度,安全架構,網路結構,資訊儲存保護,資訊流,技術控制,管理控制,操作控制,物理安全環境,

環境安全;

4.2.2. 找出系統面臨的威脅

4.2.2.1. 通過實地檢視可以找出自然的和環境的威脅;

4.2.2.2. 通過查閱被評估系統的系統安全事故記錄,安全違反報告,意外事件報告,及跟系統維護人員和系統使用者面談可以收集到人為的威脅;

4.2.2.3. 找出系統面臨的自然的,人為的和環境的威脅,並整理出乙個威脅陳述列表;

4.2.3. 找出系統漏洞

4.2.3.1 通過查閱網上的漏洞列表,安全建議,廠商建議以了解當前流行的漏洞;

4.2.3.2 通過查閱被評估系統以前的風險評估報告,審計報告,系統異常報告及對其進行安全測試以收集被評估系統的漏洞;

4.2.3.3 整理出乙個系統漏洞列表;

4.2.4. 分析系統現有的控制措施

4.2.4.1 通過跟被評估系統的開發和維護人員面談,及登入系統實地檢視系統安全配置以收集系統的安全控制措施;

4.2.4.2 判斷現有的控制措施是否充分,如不充分,應該增加哪些補救措施;

4.2.4.3 將當前的控制措施和計畫增加的補救措施整理為乙個控制措施列表;

4.2.5. 判斷發生安全事故的可能性

4.2.5.1 安全事故可能性定義:

高:威脅源很有能力而且決心很大,而控制措施卻不夠充分;

中:威脅源有能力而且決心大,但控制措施能夠阻止對漏洞的成功利用;

低:威脅源缺乏能力或決心,而控制措施卻很充分;

4.2.5.2 綜合考慮威脅源的動機和能力,漏洞的特徵,現存控制措施的有效性,判斷出發生安全事故的可能性(高,中,低)

4.2.6. 分析安全事故的影響

4.2.6.1 通過綜合分析被評估系統的任務,其本身及其資料的關鍵性和敏感性,判斷其發生安全事故對本公司的影響程度(高,中,低)

4.2.7. 判斷風險大小

4.2.7.1. 風險級別矩陣

風險等級: 高 ( >50 to 100); 中 ( >10 to 50);低 (1 to 10)

4.2.7.2. 綜合考慮威脅發生可能性和影響程度判斷出風險等級(高,中,低)

4.2.8. 推薦補救措施

4.2.8.1. 考慮如下因素:

* 推薦措施的有效性;

是否符合本公司的系統和安全制度;

對系統運作的影響;

安全和可靠性;

4.2.9. 書寫評估報告

4.2.9.1. 評估報告的內容應:

* 描述威脅和漏洞;

衡量風險;

提供推薦的補救措施;

資訊保安風險評估報告

系統名稱 xx 送檢單位 xx合同編號 評估時間 2011年10月10日 2011年10月25日威脅是一種客觀存在的,對組織及其資產構成潛在破壞的可能性因素,通過對 xx資訊系統 關鍵資產進行調查,對威脅 內部 外部 主觀 不可抗力等 威脅方式 發生的可能性等進行分析,如下表所示 資訊系統配置異常流...

資訊保安風險評估方案

某單位資訊保安風險評估投標書 技術部分 北京啟明星辰資訊保安技術 中國石油天然氣股份 管道分公司 簡稱某單位 隸屬於中國石油天然氣股份 主要負責長輸油氣管道的運營管理 建設和科研。公司下轄大慶 長春等26個輸油 氣 單位以及管道工程專案經理部 管道科技中心等單位,所屬單位和人員分布在全國17個省 自...

資訊保安風險評估報告格式

附件 國家電子政務工程建設專案非涉密資訊系統 專案名稱 專案建設單位 風險評估單位 年月日目錄 一 風險評估專案概述 1 1.1 工程專案概況 1 1.1.1 建設專案基本資訊 1 1.1.2 建設單位基本資訊 1 1.1.3承建單位基本資訊 2 1.2 風險評估實施單位基本情況 2 二 風險評估活...