(风险管理)风险评估实施步骤

风险评估实施步骤—风评预备确定风险评估的目标确定风险评估的范围组建适当的评估治理与实施团队进展系统调研，实行问卷调查、现场询问等方式，至少包括以下内容：业务战略及治理制度主要的业务功能和要求网络构造与网络环境，包括内部链接好外部链接系统边界主要的硬件、软件数据和信息系统和数据的敏感性支持和使用系统的人员制定方案，为之后的风评实施供给一个总体打算，至少包括：确定实施评估团队成员工作打算准时间进度安排获得最高治理者对风险评估工作的支持二资产识别资产的价值是依据资产在保密性完整性和可用性上到达的程度或者其未到达时造成的影响程度来打算资产分类依据资产的表现形式，可将资产分为数据、软件、硬件、文档、效劳、人员等类资产的赋值〔五个等级：可无视、低、中等、高、极高〕保密性赋值程度或者密保性缺失时对整个组织的影响，划分为五个不同的等级完整性赋值组织的影响，划分为五个不同的等级可用性赋值程度，划分为五个不同的等级•资产重要性等级〔五个等级：很低、低、中、高、很高〕资产价值应依据资产在机密性、完整性和可用性上的赋值等级，经过综合评定得出。综同重要程度对其赋值进展加权计算而得到资产的最终赋值确定。三威逼识别威逼是一种对组织及其资产构成潜在破坏的可能性因素，是客观存在的。威逼的分类依据威逼的来源，威逼可分为软硬件故障、物理环境威逼、无作为或操作失误、治理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改、抵赖威逼的赋值〔五个等级：很低、低、中、高、很高〕〔或有关的统计数中各种威逼消灭的频率：〔1)以往安全大事报告中消灭过的威逼及其频率的统计；〔2)实际环境中通过检测工具以及各种日志觉察的威逼及其频率的统计；〔3)近一两年来国际组织公布的对于整个社会或特定行业的威逼及其频率统计，以及公布的威逼预警。四脆弱性识别才可能造成危害。措施本身就可能是一个弱点。域的专家和软硬件方面的专业等人员。脆弱性识别所承受的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。脆弱性识别体技术活动相关，后者与治理环境相关。脆弱性赋值〔五个等级：很低、低、中、高、很高〕虑这些弱点，最终确定这一方面的脆弱性严峻程度。弱性赋值还应参考技术治理和组织治理脆弱性的严峻程度。五已有安全措施确实认被取消，或者用更适宜的安全措施替代。六风险分析风险计算方法安全大事发生的可能性=L(威逼消灭频率，脆弱性)安全大事的损失=F(资产重要程度，脆弱性严峻程度)风险值=R(安全大事发生的可能性，安全大事的损失)用相乘法可以将安全大事发生的可能性与安全大事的损失相乘得到风险值。风险结果判定〔五个等级：很低、低、中、高、很高〕组织应当综合考虑风险掌握本钱与风险造成的影响，提出一个可承受风险阈值，七风险评估文件记录风险评估文件记录的要求记录风险评估过程的相关文件，应当符合以下要求〔但不仅限于此：确保文件公布前是得到批准的；确保文件的更改和现行修订状态是可识别的；确保在使用时可获得有关版本的适用文件；确保文件的分发得到适当的掌握；防止作废文件的非预期使用，假设因任何目的需保存作废文件时，应对这些文件进展适当的标识。对于风险评估过程中形成的相关文件，还应规定其标识、储存、保护、检索、保存期限以及处置所需的掌握。相关文件是否需要以及详略程度由治理过程来打算。风险评估文件风险评估文件包括在整个风险评估过程中产生的评估过程文档和评估结果文档，包括〔但不仅限于此：风险评估量划：阐述风险评估的目标、范围、团队、评估方法、评估结果的形式和实施进度等；风险评估程序：明确评估的目的、职责、过程、相关的文件要求，并且预备实施评估需要的文档；资产识别清单：依据组织在风险评估程序文件中所确定的资产分类方法进展资产识别，形成资产识别清单，清单中应明确各资产的责任人/部门；重要资产清单：依据资产识别和赋值的结果，形成重要资产列表，包括重要资产名称、描述、类型、重要程度、责任人/部门等；威逼列表：依据威逼识别和赋值的结果，形成威逼列表，包括威逼名称、种类、来源、动机及消灭的频率等；脆弱性列表：依据脆弱性识别和赋值的结果，形成脆弱性列表，包括脆弱性名称、描述、类型及严峻程度等；已有安全措施确认表：依据已实行的安全措施确认的结果，形成已有安全措施确认表，包括已有安全措施名称、类型、功能描述及实施效果等；风险评估报告：对整个风险评估过程和结果进展总结，具体说明被评估对象，风险评估方法，资产、威逼、脆弱性的识别结果，风险分析、风险统计和结论等内容；风险处理打算：对评估结果中不行承受的风险制定风险处理打算，选择适当的控制目标及安全措施，明确责任、进度、资源，并通过对剩余风险的评价确保所选择安全措施的有效性；评估内容重要效劳器的安全配置登录安全检测；用户及口令安全检测；共享资检测。安全设备包括防火墙、入侵检测系统、网闸、防病毒、桌面治理、审计、配置的有效性。路由器检查操作系统是否存在安全漏洞；配置方面，检测端口开放、管进展备份和导出；关键位置路由器是否有冗余配置。物理环境UPS、变电设备、空调、门禁等。交换机VLAN令设置和治理，口令文件的安全存储形式；配置文件的备份。风险评估预备资产识别风险评估预备资产识别威逼识别脆弱性识别已有安全措施确实认评估过程文档风险分析风险计算评估过程文档是保持已有的安全措施风险是否承受…否选择适当的安全措施并评估剩余风险是否承受剩余风险否评估结果文档是实施风险治理风险评估文件记录〔包括现有掌握措施确认、风险综合分析以及风险掌握打算六个阶段。威逼识别威逼识别威逼消灭的频率安全大事的可能性脆弱性识别脆弱性的严峻程度风险值安全大事的损失资产识别资产价值系统调研是生疏和了解组织和系统的根本状况，对组织IT战略，业务目标、业务类型和业务流程以及所依靠的信息系统根底架构的根本状况和安全需求等进展调研和诊断。资产识别是对系统中涉及的重要资产进展识别，并对其等级进展评估，形成主机名、IP地址、硬件型号、操作系统类型及版本、数据库类型及版本、应用系统类型及版本等。威逼识别析、实时入侵大事分析几个方面。脆弱性识别是对系统中涉及的重要资产可能被对应威逼利用的脆弱性进展是依据对系统资产识别，威逼分析，脆弱性评估的状况及收集IT战略和业务连续性目标，确定系统不行承受风险范围。是针对风险评估中识别的安全风险，特别是不行承受风险，制内。———————————————————————————————————————ISO27001建立信息安全治理体系的根底，是PDCA循环的筹划阶段的主要工作内容，依据风险评估结果来从ISO17799中选择掌握目标与掌握方式。风险评估是建立S的根底，处于1的第一个环节打算阶段，也为风险治理供给依据；2700127001的掌握域局部要求，二者是可以相融合的PISMS(PLAN)ISMS的范围ISMS策略定义系统的风险评估途径识别风险评估风险识别并评价风险处理措施选择用于风险处理的掌握目标和掌握预备适用性声明〔SoA〕取得治理层对残留风险的成认，并授权实施和操作ISMS信息安全风险评估工程工序与流程一、工程启动双方召开工程启动会议，确定各自接口负责人。==工作输出一、工程启动双方召开工程启动会议，确定各自接口负责人。==工作输出1．《业务安全评估相关成员列表》〔包括双方人员〕《报告蓝图》==备注1．务必请指定业务实施负责人作为工程接口和协调人；列出人员的号码和电子邮件帐号以备联络。二、确定工作范围请局方按合同范围供给《资产表》，也即扫描评估范围。请局方指定需进展人工评估的资产，确定人工评估范围。请局方给全部资产赋值〔双方确认资产赋值〕请局方指定安全治理问卷调查〔访谈〕人员，治理、员工、安全主管各一人。==工作输出1．《会议备忘》〔要求签字确认〕2．《资产表》〔包括人工评估标记和资产值〕==备注资产数量正负不超过15%；给资产编排序号，以便利事后检查。给人工评估资产做标记，以便利事后检查。资产值是评估报告的重要数据。三、制定整体实施打算依据工作范围制定整个工程的总体打算，包括现场预备、扫描评估、人工评估、问卷调查、加固实施等各阶段。2．与接口负责人共同确定针对各相关资产进展治理评估，入侵检测系统实施扫描评估、人工评估的日期和时间段。==工作输出1．《总体工程进度甘特图》《评估阶段工作打算表》==备注1．扫描评估、人工评估、问卷调查在可能的状况下可以同期进展；《工作打算表》交工程经理参考，以便协作。2．确定日期以便于制定工作打算；确定时间段〔白天、晚间、夜间甚至钟点〕对加固阶段具体打算确实定更重要。四、治理评估阶段1．供给现有的安全治理标准和治理制度。供给对应业务的系统信息，包括拓扑图、业务功能说明、业务流程说明〔如能供给系统设计方案更佳〕。供给对应业务的系统信息，包括拓扑图、业务功能说明、业务流程说明〔如能供给系统设计方案更佳〕。对应业务的治理、员工、安全主管进展访谈。对现有安全治理制度的实行状况进展审计。对评估中需要的其他策略文档进展收集。==工作输出1．《资料接收单》2．《安全访谈记录单》==备注1．对供给的电子或纸质文档进展严格的保密和内部使用掌握，资料接收时需要填写《资料接收单》并签字。访谈记录单内容需要与被访谈人进展确认及签字。对于觉察的重要状况，均须与对应协作人员进展确认，重大内容需要双方签字。五、技术评估阶段提出扫描申请每日制定其次天的日工作打算，包括扫描评估、人工评估、问卷调查等具体打算。进展扫描评估〔每次扫描完成后，应有扫描确认，需用户方签字〕。进展人工评估〔每次人工评估完成后，应有人工评估确认，需用户方签字〕。双方协商布置在网络关键节点上布置入侵检测系统〔一般放置3天〕。在整个工程技术局部根本完毕时，双方协商进展渗透测试。每日进展记录和总结。逢周末进展周工作总结。==工作输出《扫描申请报告》/《原始弱点报告》《日工作打算》《工作确认单》评估数据《入侵检测系统布置申请报告》《入侵检测系统日志分析报告》《渗透测试申请报告》/《渗透测试报告》《日工作记录》《周工作总结》==备注1．签字确认。清楚明确的日工作打算才能