信息安全风险自评估.doc

文件名称信息安全风险自评估密级文件编号版 本 号编写部门编 写 人审 批 人发布时间信息安全风险自评估网络运行维护事业部II目录一. 概述11.1 目标11.2 术语和定义11.3 风险评估参考依据1二. 信息安全自评估原则22.1 标准性原则22.2 可控性原则22.3 评估人员多样原则22.4 最小影响原则22.5 与第三方评估相结合原则2三. 信息安全自评估实施步骤33.1 确定自评估计划33.2 确定自评估小组人员33.3 评估信息获取33.4 分析与计算风险43.5 生成报告4四. 附录44.1 附录1安全风险分析计算过程44.2 附录2 XX平台风险现状分析报告44.3 附录3 XX平台风险评估报告54.4 附录4信息安全不可接受风险处置计划5信息安全风险自评估一. 概述1.1 目标本文件是业务平台部进行信息安全风险自评估的重要指导依据，依照本文件的要求，业务平台能够基于自身力量，及时识别信息安全风险、通过对风险的可能性和影响进行评估，从而最终及时有效地处置风险，最后起到加强内蒙古电信业务平台信息安全保障能力，提高整体的网络与信息安全水平，保证业务系统的正常运营，提高服务质量的作用。1.2 术语和定义信息安全风险：某种特定的威胁利用资产或一组资产的脆弱点，导致这些资产受损或破坏的潜在可能。信息资产：通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。资产价值：资产是有价值的，资产价值可通过资产的敏感程度、重要程度或关键程度来表示。威胁：一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果等。脆弱性：信息资产及其安全措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。1.3 风险评估参考依据电信网和互联网安全风险评估实施指南ISO/IEC 27005:2008 信息技术安全技术信息安全风险管理；ISO/IEC13335-3:1998IT安全管理技术；二. 信息安全自评估原则2.1 标准性原则风险自评估工作的标准性原则，指遵循业务平台相关标准开展安全风险自评估工作。2.2 可控性原则 在评估过程中，保证参与评估的人员、使用的技术和工具、评估过程都是可控的。2.3 评估人员多样原则除信息安全相关责任人、运维人员以外，尽可能获取其他相关部门的支持和配合，以确保自评估工作能够尽可能以风险为中心，以业务为导向。2.4 最小影响原则从管理层面和技术层面，将自评估工作对相关系统正常运行可能造成的影响降低到最低限度。2.5 与第三方评估相结合原则自评估工作通常面临评估人员知识/技能不足的现状，其中评估的关键环节，如渗透测试等可考虑与第三方评估相结合。三. 信息安全自评估实施步骤3.1 确定自评估计划各业务平台信息安全责任人根据业务平台特点，制定自评估计划，自评估计划中需明确自评估的范围、侧重点（技术/管理）、频度，3.2 确定自评估小组人员确定自评估计划后，信息安全责任人基于业务平台资产、业务特点，组件风险自评估小组，小组成员尽可能覆盖主要的业务流程和IT流程。3.3 评估信息获取信息安全责任人组织自评估小组人员对评估过程中的重要要素，如资产、威胁、脆弱性进行识别，其中：资产识别包括对主要的信息、硬件、软件、组织、场所、人员等进行信息收集、分类、统计，形成资产列表，确定重要资产列表。安全威胁分析主要针对已识别的系统重要资产，从系统合法用户、系统非法用户、系统组件和物理环境四种威胁来源，分析重要资产面临的威胁，对威胁的严重性（影响）进行分级标识。脆弱性识别主要针对信息系统重要资产面临的威胁来源，从管理和技术层面识别系统的安全薄弱点。物理层包括机房与设施安全、机房控制、环境与人员安全；网络层主要对网络拓扑结构、网络隔离与边界控制、主要网络设备安全配置、网络通信与传输安全等进行分析；系统层评估的对象是针对重要服务器操作系统及部分终端操作系统、数据库服务器系统；应用层从典型应用系统的信息流出发，评估信息处理流程中的各类安全机制；管理层主要针对现有的业务流程、策略文档进行评审，从运行控制、管理制度等方面评估系统的保障措施。综合上述各个层面的评估结果，对系统各主要资产的脆弱性被威胁利用的可能性和影响性进行分析，为安全风险评估提供重要依据。根据对系统资产识别，威胁分析，脆弱性评估的情况及收集的数据，定性和定量地评估系统安全现状及风险状况，评价现有保障措施的运行效能及对风险的抵御程度。3.4 分析与计算风险通过对资产、脆弱性和威胁的赋值，最终形成对业务平台造成的影响与威胁发生（或脆弱点被利用）发生的可能性，两者将决定最终的风险值，最终计算方法可参考附录1安全风险分析计算过程和附录2风险3.5 生成报告自评估小组通过可能性和影响最终掌握业务平台的风险值后，应结合业务平台的需求和处置成本，确定信息安全不可接受风险，并最终向业务平台主管提交下列文档，具体可参考附录2、3、4：XX平台风险现状分析