XX公司风险评估服务实施规范

1、XX公司风险评估服务实施规范XXX服务有限公司目录TOC o 1-5 h z HYPERLINK l bookmark0 o Current Document 一、风险评估服务概述1 HYPERLINK l bookmark2 o Current Document 二、风险评估服务原则22.1标准性原则22.2关键业务原则22.3可控性原则2 HYPERLINK l bookmark4 o Current Document 2.4最小影晌原则3 HYPERLINK l bookmark6 o Current Document 三、风险评估服务流程4 HYPERLINK l bookmark8

2、o Current Document 3.1准备阶段53.1.1确定目标及范围53.1.2资产调研53.1.3确定依据63.1.4方案编制6 HYPERLINK l bookmark10 o Current Document 3.2识别阶段73.2.1资产识别73.2.2威胁识别73.2.3脆弱性识别8 HYPERLINK l bookmark12 o Current Document 3.3现场评估阶段83.3.1技术措施确认93.3.2管理措施确认93.3.3工具测试103.3.4结果确认及资料归还103.4分析与报告编制阶段103.4.1资产分析103.4.2威胁分析113.4.3脆弱性

3、分析113.4.4风险分析113.4.5结论形成113.4.6报告编制11四、风险评估过程风险规避134.1存在的风险134.2风险的规避13 HYPERLINK l bookmark14 o Current Document 五、风险评估输出成果16 HYPERLINK l bookmark16 o Current Document 附件1171.资产分类17 HYPERLINK l bookmark18 o Current Document 2.资产赋值182.1资产保密性赋值182.2资产完整性赋值182.3资产可用性赋值192.4资产价值计算20 HYPERLINK l bookmar

4、k20 o Current Document 附件2211.威胁分类21 HYPERLINK l bookmark22 o Current Document 2.威胁赋值22 一、风险评估服务概述随着政府部门、企事业单位以及各行各业对信息系统依赖程度的日益增强，信息安全问题受到普遍关注。网络安全法第三十八条和关键信息基础设施安全保护条例（征求意见稿）第二十八条规定，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。运用风险评估去识别安全风险，解决信息安全问题

5、已是现阶段必要的安全措施。二、风险评估服务原则2.1标准性原则信息安全风险评估应按照GB/T20984-2007中规定的评估流程进行实施，包括各阶段性的评估工作。2.2关键业务原则信息安全风险评估应以被评估组织的关键业务作为评估工作的核心，把涉及这些业务的相关网络与系统，包括基础网络、业务网络、应用基础平台、业务应用平台等作为评估的重点。2.3可控性原则1）服务可控性。评估方应事先在评估工作沟通会议中向用户介绍评估服务流程，明确需要得到被评估组织协作的工作内容，确保安全评估服务工作的顺利进行。2）人员与信息可控性。所有参与评估的人员应签署保密协议，以保证项目信息的安全:应对工作过程数据和结果数

6、据严格管理，未经授权不得泄露给任何单位和个人。3）过程可控性。应按照项目管理要求，成立项目实施团队，项自组长负责制，达到项目过程的可控。4）工具可控性。安全评估人员所使用的评估工具应该事先通告用户，并在项目实施前获得用户的许可，包括产品本身、测试策略等。2.4最小影晌原则对于在线业务系统的风险评估，应采用最小影响原则，即首要保障业务系统的稳定运行，对于需要进行攻击性测试的工作内容，需与用户沟通并进行应急备份，同时选择避开业务的高峰时间进行。三、风险评估服务流程信息安全风险评估服务包括四个基本评估阶段：准备阶段、识别阶段、现场评估阶段、分析与报告编制阶段，而相关方之间的沟通与洽谈应贯穿整个风险评

7、估过程。每一评估活动有一组确定的工作任务信息安全风险评估服务流程如下图所示：确定目标及范围资产调硏确走依据方龛编制磁逓瞬L技术措施碓认管理指施養认工S测试结畢确认及资斜归还r-资Ftff，折頤性分折J风脸分析结W成抿告红制瞬Wfc阶段风险刚古分析与报告编制阶段tm阶段准备阶段3.1准备阶段准备阶段的目标是顺利启动风险评估项目，确定本次风险评估目标及范围，收集目标相关资料，准备评估所需资料，最后根据实际情况编制风险评估方案。准备阶段包括确定目标及范围、资产调研、确定依据和方案编制4项主要任务。3.1.1确定目标及范围风险评估目标可根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容，识

8、别现有信息系统及管理上的不足等进行设定。风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。3.1.2资产调研资产调研是确定被评估对象的过程，风险评估小组应进行充分的资产调研，为风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容包括：业务战略及管理制度；主要的业务功能和要求；网络结构与网络环境，包括内部连接和外部连接；系统边界；主要的硬件、软件；A数据和信息；系统和数据的敏感性；支持和使用系统的人员；其他。资产调研采取问卷调查、现场面谈相结合的方式进行。调查问卷是一套关于管理或操作控制的问题表

9、格，供系统技术或管理人员填写;现场面谈则是由评估人员到现场观察并收集系统在物理、环境和操作方面的信息。3.1.3确定依据根据资产调研结果，确定评估依据和评估方法。评估依据包括：现行国际标准、国家标准、行业标准；行业主管机关的业务系统的要求和制度；系统安全保护等级要求；系统互联单位的安全要求；系统本身的实时性或性能要求等。根据评估依据，应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方法，并依据业务实施对系统安全运行的需求，确定相关的判断依据，使之能够与组织环境和安全要求相适应。3.1.4方案编制风险评估方案的目的是为后面的风险评估实施活动提供一个总体计划，用于指导实施方开

10、展后续工作。风险评估方案的内容一般包括：团队组织：包括评估团队成员、组织结构、角色、责任等内容；工作计划：风险评估各阶段的工作计划，包括工作内容、工作形式、工作成果等内容；时间进度安排:项目实施的时间进度安排。评估方法：现场采用的评估方式及工具测试方法3.2识别阶段识别阶段的目标是对评估对象的资产、威胁及脆弱性进行识别，并根据科学有效的算法进行赋值计算。识别阶段包括资产识别、威胁识别和脆弱性识别3项主要工作。3.2.1资产识别保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程

11、度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此，应对组织中的资产进行识别。资产识别的具体办法详见附件1。3.2.2威胁识别威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其他物理因素。威胁作用形式可以是对信息系统直接或间接的攻击在保密性、完整性和可用性等方面造成损害;也可能是偶发的或蓄意的事件在对威胁进行分类前，应考虑威胁的来源。为此，应对组织中的威胁进行识别。

12、威胁识别的具体办法详见附件2。3.2.3脆弱性识别脆弱性是资产本身存在的，如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成损害。如果系统足够强健，严重的威胁也不会导致安全事件发生，并造成损失。脆弱性识别以资产为核心，从物理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起来。脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理安全、网络安全、主机系统安全、应用系统安全、数据安全5个层面的技术安全问题，管理脆弱性涉及安全管理机构、安全管理策略、安全管理制度、人员安全管理、系统运维管理5个层面的管理安全问题。3.3现场评估阶段现场评估阶段通过进行沟通和协调，为现场评估的顺利开展

13、打下良好基础，依据风险评估方案实施现场评估工作，将评估方案和方法等内容具体落实到现场评估活动中。现场评估工作应取得报告编制活动的所需的、足够的证据和资料。现场评估活动包括技术措施确认、管理措施确认、工具测试、结果确认及资料归还4项主要任务。3.3.1技术措施确认技术措施确认涉及物理层、网络层、系统层、应用层等各个层面的安全问题。具体确认内容如下：技术措施确认对象技术措施确认内容物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行确认。网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全

14、配置等方面进行确认。系统软件（含操作系统及系统服务）从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置（初始化）、注册表加固、网络安全、系统管理等方面进行确认。数据库软件从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行确认。应用中间件从协议安全、交易完整性、数据完整性等方面进行确认。应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行确认。3.3.2管理措施确认管理措施确认涉及技术管理和组织管理的安全问题。具体确认内容如下：管理措施确认对象管理措施确认内容技术管理从物理和环境安全、通

15、信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行确认。组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行确认。3.3.3工具测试工具测试是利用基于主机的扫描器、数据库脆弱性扫描器、分布式网络扫描器、基于网络的扫描器等脆弱性扫描工具完成操作系统、数据库系统、网络协议、网络服务等的安全脆弱性检测。为检测已发现的脆弱性是否真正会给系统或网络带来影响，利用黑客工具、脚本文件等渗透性测试工具对脆弱性扫描工具扫描的结果进行模拟攻击测试，判断被非法访问者利用的可能性。通常渗透性工具与脆弱性扫描工具一起使用，可能会对被评估系统的运行带来一定影响。3.3.4结果确认及资料归还将

16、评估过程中得到的证据源记录进行确认，并将评估过程中借阅的文档归还。项目组在现场完成评估工作之后，应首先汇总现场评估的结果记录，对漏掉和需要进一步验证的内容实施补充测试评估。同时归还评估过程中借阅的所有文档资料，并由文档资料提供者确认。3.4分析与报告编制阶段3.4.1资产分析本阶段资产分析是前期资产识别的补充与增加，包括实施阶段采购的软硬件资产、系统运行过程中生成的信息资产、相关的人员与服务等。3.4.2威胁分析本阶段全面分析威胁的可能性和影响程度。对非故意威胁导致安全事件的评估可以参照安全事件的发生频率;对故意威胁导致安全事件的评估主要就威胁的各个影响因素做出专业判断。3.4.3脆弱性分析本

17、阶段是全面的脆弱性评估，包括运行环境中物理、网络、系统、应用、安全保障设备、管理等各方面的脆弱性。技术脆弱性评估可以采取核查、扫描、案例验证、渗透性测试的方式实施;安全保障设备的脆弱性评估，应考虑安全功能的实现情况和安全保障设备本身的脆弱性;管理脆弱性评估可以采取文档、记录核查等方式进行验证。3.4.4风险分析根据本标准的相关方法，对重要资产的风险进行定性或定量的风险分析，描述不同资产的风险高低状况。3.4.5结论形成风险评估人员在风险评估结果汇总的基础上，找出系统保护现状与风险评估基本要求之间的差距，并形成风险评估结论。3.4.6报告编制风险评估人员对整个风险评估过程和结果进行总结，详细说明

18、被评估对象、风险评估方法、风险评估结果，形成风险评估报告。4.1存在的风险1）信息系统敏感信息泄漏。泄漏被评估单位信息系统状态信息，如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。2）验证测试对运行系统可能会造成影响。在现场评估时，需要对设备和系统进行一定的验证测试工作，部分测试内容需要上机查看特定信息，这就可能对系统的运行造成影响，甚至存在误操作的可能。3）工具测试对运行系统可能会造成影响。在现场评估时，会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测试可能会对系统的负载造成一定的影响，漏洞扫描测试和渗透测试可能对服务器和网络通讯造成一定影响甚至伤害。

19、4.2风险的规避1）签署保密协议。风险评估双方应签署完善的、合乎法律规范的保密协议，以约束风险评估双方现在及将来的行为。保密协议规定了风险评估双方保密方面的权利与义务。风险评估工作的成果属被风险评估系统运营、使用单位所有，风险评估机构对其的引用与公开应得到被风险评估系统运营、使用单位的授权，否则被风险评估系统运营、使用单位将按照保密协议的要求追究风险评估机构的法律责任。2）签署委托风险评估协议。在风险评估工作正式开始之前，风险评估方和被风险评估系统运营、使用单位需要以委托风险评估协议的方式明确评估工作的目标、范围、人员组成、计划安排、执行步骤和要求、以及双方的责任和义务等。使得风险评估双方对风

20、险评估过程中的基本问题达成共识，后续的工作以此为基础，避免以后工作出现大的分歧。3）现场评估工作风险的规避。进行验证测试和工具测试时，风险评估机构需要与风险评估委托单位充分的协调，安排好测试时间，尽量避开业务高峰期，在系统资源处于空闲状态时进行，并需要被风险评估系统运营、使用单位对整个测试过程进行监督；在进行验证测试和工具测试前，需要对关键数据做好备份工作，并对可能出现的影响制定相应的处理方案；上机验证测试原则上由被风险评估系统运营使用单位相应的技术人员进行操作，风险评估人员根据情况提出需要操作的内容，并进行查看和验证，避免由于风险评估人员对某些专用设备不熟悉造成误操作；风险评估机构使用的测试

21、工具在使用前应事先告知被风险评估系统运营、使用单位，并详细介绍这些工具的用途以及可能对信息系统造成的影响，征得其同意。4）规范化的实施过程。为保证按计划高质量地完成风险评估工作，应当明确风险评估记录和风险评估报告要求，明确风险评估过程中每一阶段需要产生的相关文档，使风险评估有章可循。在委托风险评估协议、现场风险评估授权书和风险评估方案中，需要明确双方的人员职责、风险评估对象、时间计划、风险评估内容要求等。5）沟通与交流。为避免风险评估工作中可能出现的争议，在风险评估开始前与风险评估过程中，双方需要进行积极有效的沟通和交流，及时解决风险评估中出现的问题，这对保证风险评估的过程质量和结果质量有重要

22、的作用。五、风险评估输出成果项目启动会议输出文档：XXX项目启动会议记要项目前期准备输出文档：XXX项目访谈表单XXX项目保密协议XXX项目授权书现场实施阶段输出文档：XXX项目XXX人工评估过程文档XXX项目XXX漏洞扫描过程文档XXX项目XXX渗透测试过程文档静态评估阶段输出文档：XXX项目XXX人工评估报告XXX项目XXX漏洞扫描报告XXX项目XXX渗透测试报告XXX项目安全评估综合报告XXX项目整改建议书(整体加固解决方案)XXX项目总结(PPT)评估阶段验收输出文档：XXX项目验收成果书XXX项目会议记要附件11.资产分类在一个组织中，资产有多种表现形式;同样的两个资产也因属于不同的

23、信息系统而重要性不同，而且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。首先将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。具体的资产分类方法如下表所示：分类详细示例数据保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等软件系统软件：操作系统、语句包、工具软件、各种库等应用软件：外部购买的应用软件，外包开发的应用软件等源程序：各种共享源代码、自行或合作开发的各种代码等硬件网络设备：路由器、网关、交换机等计算机设备：大型机、小型机、服务器、工作站、台式计算机、移动计算机等存储设备：磁带机、磁盘阵列、磁带、光

24、盘、软盘、移动硬盘等传输线路：光纤、双绞线等保障设备：动力保障设备（UPS、变电设备等）、空调、保险柜、文件柜、门禁、消防设施等安全保障设备：防火墙、入侵检测系统、身份验证等其他：打印机、复印机、扫描仪、传真机等服务办公服务：为提咼效率而开发的管理信息系统（MIS），包括各种内部配置管理、文件流转管理等服务网络服务：各种网络设备、设施提供的网络连接服务信息服务：对外依赖该系统开展的各类服务文档纸质的各种文件，如传真、电报、财务报告、发展计划等人员掌握重要信息和核心业务的人员，及应用项目经理等如主机维护主管、网络维护主管其它企业形象，客户关系等2.资产赋值2.1资产保密性赋值根据资产在保密性上的

25、不同要求，将其分为五个不同的等级，分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。具体赋值方法如下表所示：赋值标识定义5很高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害1很低可对社会公开的信息，公用的信息处理设备和系统资源等2.2资产完整性赋值根据资产在完整性仁的不同要求，将其分为五个不同的等级，分别对应资产

26、在完整性上缺失时对整个组织的影响。具体赋值方法如下表所示：赋值标识定义5很高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补。4高完整性价值较咼，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补。3中等完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补。2低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补。1很低完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略。2.3资产可用性赋值根据资产在可用性上的不

27、同要求，将其分为五个不同的等级，分别对应资产在可用性上应达成的不同程度。具体赋值方法如下表所示：赋值标识定义5很高可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上，或系统不允许中断。4高可用性价值较咼，合法使用者对信息及信息系统的可用度达到每天90%以上，或系统允许中断时间小于10分钟。3中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上，或系统允许中断时间小于30分钟。2低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或系统允许中断时间小于60分钟。1很低可用性价值可以忽略，合法使用者对信息及信息系统

28、的可用度在正常工作时间低于25%。2.4资产价值计算资产价值依据资产在保密性、完整性和可用性上的赋值等级，经过综合评定得出，选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果。资产等级含义如下表所示：等级标识描述5很高非常重要，其安全属性破坏后可能对组织造成非常严重的损失。4高重要，其安全属性破坏后可能对组织造成比较严重的损失。3中比较重要，其安全属性破坏后可能对组织造成中等程度的损失。2低不太重要，其安全属性破坏后可能对组织造成较低的损失。1很低不重要，其安全属性破坏后对组织造成导很小的损失，甚至忽略不计。附件21.威胁分类按照信息安全技术信息安全风险评估规范

29、(GB/T20984-2007)威胁分类方法，基于表现形式对威胁进行分类，将威胁分为软硬件故障、物理环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖11类。具体的威胁分类方法如下表所示：种类描述威胁子类软硬件故障由于设备硬件故障、通讯链路中断、系统本身或软件缺陷造成对业务实施、系统稳定运行的影响。设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障。物理环境影响断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题或自然灾害。无作为或操作失误由于应该执行而没有执行相应的操作，或无意地执行了错误的操