风险评估实施步骤终审稿

文稿归稿存档编号：[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-MG129]文稿归稿存档编号：[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-MG129]风险评定实施环节【典型资料，ＷＯＲＤ文档，可编辑修改】【典型考试资料，答案附后，看后必过，ＷＯＲＤ文档，可修改】风险评定实施环节一风评准备1.拟定风险评定的目的2.拟定风险评定的范畴3.组建适宜的评定管理与实施团体4.进行系统调研，采用问卷调查、现场询问等方式，最少涉及下列内容：业务战略及管理制度重要的业务功效和规定网络构造与网络环境，涉及内部链接好外部链接系统边界重要的硬件、软件数据和信息系统和数据的敏感性支持和使用系统的人员5.制订方案，为之后的风评实施提供一种总体计划，最少涉及：拟定实施评定团体组员工作计划及时间进度安排6.获得最高管理者对风险评定工作的支持二资产识别资产的价值是按照资产在保密性、完整性和可用性上达成的程度或者其未达届时造成的影响程度来决定1.资产分类根据资产的体现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类2.资产的赋值（五个等级：可无视、低、中档、高、极高）保密性赋值：根据资产在保密性上的不同规定，对应资产在保密性上应达成的不同程度或者密保性缺失时对整个组织的影响，划分为五个不同的等级完整性赋值：根据资产在完整性上的不同规定，对应资产在完整性上缺失时对整个组织的影响，划分为五个不同的等级可用性赋值：根据资产在可用性上的不同规定，对应资产在可用性上应达成的不同程度，划分为五个不同的等级3.资产重要性等级（五个等级：很低、低、中、高、很高）资产价值应根据资产在机密性、完整性和可用性上的赋值等级，通过综合评定得出。综合评定办法，能够根据组织本身的特点，选择对资产机密性、完整性和可用性最为重要的一种属性的赋值等级作为资产的最后赋值成果，也能够根据资产机密性、完整性和可用性的不同重要程度对其赋值进行加权计算而得到资产的最后赋值。加权办法可根据组织的业务特点拟定。三威胁识别威胁是一种对组织及其资产构成潜在破坏的可能性因素，是客观存在的。1.威胁的分类根据威胁的来源，威胁可分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改、抵赖2.威胁的赋值（五个等级：很低、低、中、高、很高）判断威胁出现的频率是威胁识别的重要工作，评定者应根据经验和（或）有关的统计数据来进行判断。在风险评定过程中，还需要综合考虑下列三个方面，以形成在某种评定环境中多个威胁出现的频率：（1)以往安全事件报告中出现过的威胁及其频率的统计；（2)实际环境中通过检测工具以及多个日志发现的威胁及其频率的统计；（3)近一两年来国际组织公布的对于整个社会或特定行业的威胁及其频率统计，以及公布的威胁预警。四脆弱性识别脆弱性是对一种或多个资产弱点的总称。脆弱性识别也称为弱点识别，弱点是资产本身存在的，如果没有对应的威胁发生，单纯的弱点本身不会对资产造成损害。并且如果系统足够强健，再严重的威胁也不会造成安全事件，并造成损失。即，威胁总是要运用资产的弱点才可能造成危害。资产的脆弱性含有隐蔽性，有些弱点只有在一定条件和环境下才干显现，这是脆弱性识别中最为困难的部分。需要注意的是，不对的的、起不到应有作用的或没有对的实施的安全方法本身就可能是一种弱点。脆弱性识别将针对每一项需要保护的资产，找出可能被威胁运用的弱点，并对脆弱性的严重程度进行评定。脆弱性识别时的数据应来自于资产的全部者、使用者，以及有关业务领域的专家和软硬件方面的专业等人员。脆弱性识别所采用的办法重要有：问卷调查、工具检测、人工核查、文档查阅、渗入性测试等。1.脆弱性识别脆弱性识别重要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动有关，后者与管理环境有关。2.脆弱性赋值（五个等级：很低、低、中、高、很高）能够根据对资产损害程度、技术实现的难易程度、弱点流行程度，采用等级方式对已识别的脆弱性的严重程度进行赋值。脆弱性由于诸多弱点反映的是同首先的问题，应综合考虑这些弱点，最后拟定这首先的脆弱性严重程度。对某个资产，其技术脆弱性的严重程度受到组织的管理脆弱性的影响。因此，资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。五已有安全方法确实认组织应对已采用的安全方法的有效性进行确认，对有效的安全方法继续保持，以避免不必要的工作和费用，避免安全方法的重复实施。对于确认为不适宜的安全方法应核算与否应被取消，或者用更适宜的安全方法替代。六风险分析1.风险计算办法安全事件发生的可能性=L(威胁出现频率，脆弱性)安全事件的损失=F(资产重要程度，脆弱性严重程度)风险值=R(安全事件发生的可能性，安全事件的损失)评定者可根据本身状况选择对应的风险计算办法计算风险值。如矩阵法或相乘法，通过构造经验函数，矩阵法可形成安全事件发生的可能性与安全事件的损失之间的二维关系；运用相乘法能够将安全事件发生的可能性与安全事件的损失相乘得到风险值。2.风险成果鉴定（五个等级：很低、低、中、高、很高）组织应当综合考虑风险控制成本与风险造成的影响，提出一种可接受风险阈值，七风险评定文献统计1.风险评定文献统计的规定统计风险评定过程的有关文献，应当符合下列规定（但不仅限于此）：（1）确保文献公布前是得到同意的；（2）确保文献的更改和现行修订状态是可识别的；（3）确保在使用时可获得有关版本的合用文献；（4）确保文献的分发得到适宜的控制；（5）避免作废文献的非预期使用，若因任何目的需保存作废文献时，应对这些文献进行适宜的标记。对于风险评定过程中形成的有关文献，还应规定其标记、储存、保护、检索、保存期限以及处置所需的控制。有关文献与否需要以及详略程度由管理过程来决定。2.风险评定文献风险评定文献涉及在整个风险评定过程中产生的评定过程文档和评定成果文档，涉及（但不仅限于此）：（1）风险评预计划：叙述风险评定的目的、范畴、团体、评定办法、评定成果的形式和实施进度等；（2）风险评定程序：明确评定的目的、职责、过程、有关的文献规定，并且准备实施评定需要的文档；（3）资产识别清单：根据组织在风险评定程序文献中所拟定的资产分类办法进行资产识别，形成资产识别清单，清单中应明确各资产的负责人/部门；（4）重要资产清单：根据资产识别和赋值的成果，形成重要资产列表，涉及重要资产名称、描述、类型、重要程度、负责人/部门等；（5）威胁列表：根据威胁识别和赋值的成果，形成威胁列表，涉及威胁名称、种类、来源、动机及出现的频率等；（6）脆弱性列表：根据脆弱性识别和赋值的成果，形成脆弱性列表，涉及脆弱性名称、描述、类型及严重程度等；（7）已有安全方法确认表：根据已采用的安全方法确认的成果，形成已有安全方法确认表，涉及已有安全方法名称、类型、功效描述及实施效果等；（8）风险评定报告：对整个风险评定过程和成果进行总结，具体阐明被评定对象，风险评定办法，资产、威胁、脆弱性的识别成果，风险分析、风险统计和结论等内容；（9）风险解决计划：对评定成果中不可接受的风险制订风险解决计划，选择适宜的控制目的及安全方法，明确责任、进度、资源，并通过对残存风险的评价确保所选择安全方法的有效性；（10）风险评定统计：根据组织的风险评定程序文献，统计对重要资产的风险评定过程。评定内容重要服务器的安全配备登录安全检测；顾客及口令安全检测；共享资源安全检测；系统服务安全检测；系统安全补丁检测；日志统计审计检测；木马检测。安全设备涉及防火墙、入侵检测系统、网闸、防病毒、桌面管理、审计、加密机、身份鉴别等；查看安全设备的布署状况。查看安全设备的配备方略；查看安全的日志统计；通过漏洞扫描系统对安全进行扫描。通过渗入性测试检安全配备的有效性。路由器检查操作系统与否存在安全漏洞；配备方面，检测端口开放、管理员口令设立与管理、口令文献安全存储形式、访问控制表；与否能对配备文献进行备份和导出；核心位置路由器与否有冗余配备。物理环境涉及UPS、变电设备、空调、门禁等。交换机检查安全漏洞和补丁的升级状况，各VLAN间的访问控制方略；口令设立和管理，口令文献的安全存储形式；配备文献的备份。风险评定流程风险评定流程涉及系统调研、资产识别、威胁识别、脆弱性识别（涉及现有控制方法确认）、风险综合分析以及风险控制计划六个阶段。系统调研是熟悉和理解组织和系统的基本状况，对组织IT战略，业务目的、业务类型和业务流程以及所依赖的信息系统基础架构的基本状况和安全需求等进行调研和诊疗。资产识别是对系统中涉及的重要资产进行识别，并对其等级进行评定，形成资产识别表。资产信息最少涉及：资产名称、资产类别、资产价值、资产用途、主机名、IP地址、硬件型号、操作系统类型及版本、数据库类型及版本、应用系统类型及版本等。威胁识别是对系统中涉及的重要资产可能碰到的威胁进行识别，并对其等级进行评定，形成威胁识别表。识别的过程重要涉及威胁源分析、历史安全事件分析、实时入侵事件分析几个方面。脆弱性识别是对系统中涉及的重要资产可能被对应威胁运用的脆弱性进行识别，并对其等级进行评定，形成脆弱性识别表。脆弱性识别又具体分为物理安全、网络安全、主机系统安全、应用安全、数据安全、安全管理六个方面的内容。风险综合分析是根据对系统资产识别，威胁分析，脆弱性评定的状况及收集的数据，定性和定量地评定系统安全现状及风险状况，评价现有保障方法的运行效能及对风险的抵抗程度。结合系统的IT战略和业务持续性目的，拟定系统不可接受风险范畴。风险控制计划是针对风险评定中识别的安全风险，特别是不可接受风险，制订风险控制和解决计划，选择有效的风险控制方法将残存风险控制在可接受范畴内。———————————————————————————————————————风险评定是按照ISO27001建立信息安全管理体系的基础，是PDCA循环的策划阶段的重要工作内容，根据风险评定成果来从ISO17799中选择控制目的与控制方式。风险评定是建立ISMS的基础，处在27001的第一种环节计划阶段（P），也为风险管理提供根据；等级保护理论上和27001没有直接关系，但是现在等保的管理安全部分借鉴了27001的控制域部分规定，两者是能够相融合的P阶段：建立ISMS(PLAN)定义ISMS的范畴定义ISMS方略定义系统的风险评定途径识别风险评定风险识别并评价风险解决方法选择用于风险解决的控制目的和控制准备合用性声明（SoA）获得管理层对残留风险的承认，并授权实施和操作ISMS信息安全风险评定项目工序与流程一、项目启动1．双方召开项目启动会议，拟定各自接口负责人。==工作输出1．《业务安全评定有关组员列表》（涉及双方人员）2．《报告蓝图》==备注1．务必请指定业务实施负责人作为项目接口和协调人；列出人员的电话号码和电子邮件帐号以备联系。二、拟定工作范畴1．请局方按合同范畴提供《资产表》，也即扫描评定范畴。2．请局方指定需进行人工评定的资产，拟定人工评定范畴。3．请局方给全部资产赋值（双方确认资产赋值）4．请局方指定安全管理问卷调查（访谈）人员，管理、员工、安全主管各一人。==工作输出1．《会议备忘》（规定签字确认）2．《资产表》（涉及人工评定标记和资产值）==备注1．资产数量正负不超出15%；给资产编排序号，以方便事后检查。2．给人工评定资产做标记，以方便事后检查。3．资产值是评定报告的重要数据。三、制订整体实施计划1．按照工作范畴制订整个项目的总体计划，涉及现场准备、扫描评定、人工评定、问卷调查、加固实施等各阶段。2．与接口负责人共同拟定针对各有关资产进行管理评定，入侵检测系统实施扫描评定、人工评定的日期和时间段。==工作输出1．《总体项目进度甘特图》2．《评定阶段工作计划表》==备注1．扫描评定、人工评定、问卷调查在可能的状况下能够同期进行；《工作计划表》交项目经理参考，方便配合。2．拟定日期方便于制订工作计划；拟定时间段（白天、晚间、夜间甚至钟点）对加固阶段具体计划的拟定更重要。四、管理评定阶段1．提供现有的安全管理规范和管理制度。2．提供对应业务的系统信息，涉及拓扑图、业务功效阐明、业务流程阐明（如能提供系统设计方案更佳）。3．对应业务的管理、员工、安全主管进行访谈。4．对现有安全管理制度的实施状况进行审计。5．对评定中需要的其它方略文档进行收集。==工作输出1．《资料接受单》2．《安全访谈统计单》==备注1．对提供的电子或纸质文档进行严格的保密和内部使用控制，资料接受时需要填写《资料接受单》并签字。2．访谈统计单内容需要与被访谈人进行确认及签字。3．对于发现的重要状况，均须与对应配合人员进