2022年信息安全风险评估服务手册资料 .pdf
《2022年信息安全风险评估服务手册资料 .pdf》由会员分享,可在线阅读,更多相关《2022年信息安全风险评估服务手册资料 .pdf(32页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、_ 信息安全风险评估服务手册_ 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 32 页 - - - - - - - - - 目录第 1 章风险评估的重要性 . 41.1.风险评估背景 . 41.2.风险评估目的 . 51.3.风险评估方式 . 5第 2 章信息安全服务产品介绍 . 62.1.服务产品概述 . 62.2.服务产品功能 . 72.2.1.资产评估 . 72.2.2.威胁评估 . 82.2.3.脆弱性评估 . 82.2.4.风险综合分析 . 82.2.5.风险
2、处置计划 . 92.3.服务产品交付 . 102.3.1.风险评估综合报告 . 102.3.2.资产赋值列表 . 102.3.3.威胁赋值列表 . 102.3.4.脆弱性赋值列表 . 102.3.5.风险处置计划 . 112.4.服务产品收益 . 112.4.1.资产识别 . 112.4.2.平衡安全风险与成本 . 112.4.3.风险识别 . 112.4.4.建设指导 . 122.4.5.业务保障 . 12第 3 章信息安全服务产品规格 . 143.1.服务评估模型 . 143.1.1.评估模型 . 143.1.2.评估标准 . 153.2.服务评估方法 . 163.2.1.访谈调研 . 1
3、63.2.2.人工审计 . 163.2.3.工具扫描 . 173.2.4.渗透测试 . 173.3.服务评估范围 . 183.3.1.技术评估 . 183.3.2.管理评估 . 19第 4 章信息安全服务产品流程 . 204.1.服务流程蓝图 . 20名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 32 页 - - - - - - - - - 4.2.服务流程阶段 . 204.2.1.服务启动 . 204.2.2.资产评估 . 214.2.3.威胁评估 . 224.2.4
4、.脆弱评估 . 244.2.5.风险分析 . 264.2.6.风险处置 . 274.2.7.服务验收 . 284.3.服务流程管理 . 294.3.1.管理概述 . 294.3.2.管理组成 . 29第 5 章信息安全服务产品优势 . 315.1.公司整体优势 . 315.2.服务发展优势 . 315.3.服务资质优势 . 315.4.团队保障优势 . 31第 6 章信息安全服务成功案例 . 316.1.重点案例列表 . 316.2.重点案例简介 . 316.2.1.金融案例 . 316.2.2.电信案例 . 316.2.3.能源案例 . 316.2.4.政府案例 . 31第 7 章附录术语定
5、义. 31名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 32 页 - - - - - - - - - 第1章 风险评估的重要性1.1.风险评估背景随着政府部门、企事业单位以及各行各业对信息系统依赖程度的日益增强,信息安全问题受到普遍关注。 运用风险评估方法去识别安全风险,解决信息安全问题得到了广泛的认识和应用。信息安全风险评估就是从风险管理角度,运用科学的方法和手段, 系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的
6、抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地保障信息安全提供科学依据。信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段,是信息安全等级保护制度建设的重要科学方法之一。国内风险评估推进工作情况如下:时间具体推进事件历程2003 年关于加强信息安全保障工作的意见(中办发 200327号)中明确提出“要重视信息安全风险评估工作”。2004 年为贯彻落实27 号文件精神,原国信办组织有关单位和专家编写了信息安全风险评估指南 。2005 年原国信办在北京、上海、云南、黑龙江2 市 2
7、 省区和银行、电力、税务3 个行业组织了信息安全风险评估试点。2006 年原国信办召开了信息安全风险评估推进工作会议。国家部委、各省信息办依据中办发2006 5 号、 9 号文件,开展重要行业安全风险评估工作。 2007 年为保障十七大,在国家基础信息网络和重要信息系统范围内,全面展开了自评估工作。 (中国移动、电力、税务、证券)至今经过多年实践,风险评估是“一种度量信息安全状况的科学方法”,通过对网络和信息系统潜在风险要素的识别、分析、评价,发现网络和信息系统的安全风险,通过安全加固,使高风险降低到可接受的水平,从而提高信息安全风险管理的水平。”表-1 名师资料总结 - - -精品资料欢迎下
8、载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 32 页 - - - - - - - - - 1.2.风险评估目的风险评估是对网络与信息系统相关方面风险进行辨识和分析的过程,是依据国际/国家/地方有关信息安全技术标准,评估信息系统的脆弱性、面临的威胁以及脆弱性被威胁源利用的可能性和利用后对信息系统及由其处理、传输和存储的信息的保密性、 完整性和可用性所产生的实际负面影响,并以此识别信息系统的安全风险的过程。风险评估目的是分析信息系统及其所依托的网络信息系统的安全状况,全面了解和掌握该系统面临的信息安全威胁和风
9、险,明确采取何种有效措施, 降低威胁事件发生的可能性或者其所造成的影响,减少信息系统的脆弱性, 从而将风险降低到可接受的水平; 同时,可以定期了解信息系统的安全防护水平并为后期安全规划建设的提出提供原始依据,并作为今后其他工作的参考。1.3.风险评估方式自评估是由被评估信息系统的拥有者发起,依靠自身的力量参照国家法规与标准,对其自身的信息系统进行的风险评估活动。检查评估检查评估则通常是被评估信息系统的拥有者的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的,具有强制意味的检查活动,是通过行政手段加强信息安全的重要措施。委托评估是由被评估信息系统的拥有者发起,委托专业的服务机
10、构, 参照国家法规与标准,对其维护的信息系统进行的风险评估活动。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 32 页 - - - - - - - - - 第2章 信息安全服务产品介绍2.1.服务产品概述信息安全风险评估服务信息安全风险永远存在,安全产品不能解决所有的问题。信息安全工作本身是一个过程,它的本质是风险管理。风险管理工作不仅仅是一个简单的理论、方法,更需要在实践中检验发展。信息安全强调安全必须为业务服务,以最佳实践作为信息安全工作的落脚点,通过有效的安全服务
11、,让安全技术有效地发挥作用。信息安全为客户提供全面的信息安全咨询与风险评估服务。信息安全认为,风险评估是风险管理的基石,安全管理监控是风险管理的过程化实施。单纯的技术评估不能全面揭示信息安全风险所在,脱离细致技术检查手段的管理评估也似无本之木,技术和管理是密不可分的两个方面。同时,应用系统自身的安全性也是风险管理的重要组成部分。信息安全风险评估服务基于技术方面的安全评估、基于管理方面管理评估和综合两者的全面评估, 客户可以全面了解组织内部的信息安全状况,尽早发现存在的问题。同时,根据安全专家的建议,客户可以在降低风险、承受风险、转移风险等方面做出正确的选择。信息安全风险评估服务综合国内外相关标
12、准与业界最佳实践,为客户清晰的展现信息系统当前的安全现状、安全风险,提供公正、客观数据作为决策参考,为客户下一步控制和降低安全风险、改善安全状况、 实施信息系统的风险管理提供依据,从而引起相关领导关注和重视,为客户后续信息安全工作争取支持,为客户后续信息安全顺利开展争取资源和地位,风险评估能够帮助客户从技术、管理方面或全面摸清家底、做到知己知彼,顺利进行信息系统安全规划、设计、建设。加强组织各层面对于信息安全工作的认识和理解程度,提高组织各层面的信息安全保障意识,对于规范和系统化提高信息安全保障水平提供了有效的方法。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - -
13、- - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 32 页 - - - - - - - - - 2.2.服务产品功能资产分类资产赋值业务调研资产评估威胁分析威胁赋值威胁识别威胁评估脆弱性评估技术脆弱性识别管理脆弱性识别12风险综合分析3脆弱性赋值4风险综合识别风险接收准则风险模型计算风险处置计划5风险综合评价控制措施预期效果实施条件进度安排责任部门图-12.2.1. 资产评估资产是构成整个系统的各种元素的组合,它直接的表现了这个系统的业务或任务的重要性,这种重要性进而转化为资产应具有的保护价值。资产评估是与风险评估相关联的重要任务之一,资产评估主要是
14、对资产进行相对估价,而其估价准则就是依赖于对其影响的分析,主要从保密性、完整性、可用性三方面的安全属性进行影响分析,从资产的相对价值中体现了威胁的严重程度;这样,威胁评估就成了对资产所受威胁发生可能性的评估,主要从发生的可能性、发生成功的可能性以及发生成功后的严重性三方面安全属性进行分析;目的是要对组织的归类资产做潜在价值分析,了解其资产利用、维护和管理现状。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 32 页 - - - - - - - - - 明确各类资产具备的保
15、护价值和需要的保护层次,从而使组织更合理的利用现有资产,更有效地进行资产管理, 更有针对性的进行资产保护,更有合理性的进行新的资产投入。2.2.2. 威胁评估威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要因素,威胁是一个客观存在的事物, 无论对于多么安全的信息系统, 它都存在。威胁评估采用的方法是问卷调查、问询、数据取样、日志分析。在这一过程中, 首先要对组织需要保护的每一项关键资产进行威胁识别。在威胁评估过程中,应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断,一项资产可能面临着多个威胁, 同样一个威胁可能对不同的资产造成影响。识别出威胁由谁或什么事物引发以及威
16、胁影响的资产是什么,即确认威胁的主体和客体。2.2.3. 脆弱性评估脆弱性是指资产或资产组中能被威胁所利用的弱点,它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面,这些都可能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的业务系统。脆弱性评估将针对每一项需要保护的信息资产,找出每一种威胁所能利用的脆弱性, 并对脆弱性的严重程度进行评估,就是对脆弱性被威胁利用的可能性进行评估,最终为其赋相对等级值。在进行脆弱性评估时, 提供的数据应该来自于这些资产的拥有者或使用者, 来自于相关业务领域的专家以及软硬件信息系统方面的专业人员。 在评估中,从技术脆弱性
17、和安全管理脆弱性两个方面进行脆弱性检查。2.2.4. 风险综合分析风险是指特定的威胁利用资产的一种或一组脆弱性,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。风险只能预防、避名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 32 页 - - - - - - - - - 免、降低、转移和接受,但不可能完全被消灭。在完成资产、威胁和脆弱性的评估后,进入安全风险的评估阶段。在这个过程中, 采用最新的方法表述威胁源采用何种威胁方法,利用了系统的何种脆弱性
18、,对哪一类资产, 产生了什么样的影响,并描述采取何种对策来防范威胁,减少脆弱性。风险分析中要涉及资产、 威胁、脆弱性三个基本要素。每个要素有各自的属性,资产的属性是资产价值; 威胁的属性可以是威胁主体、 影响对象、 出现频率、动机等;脆弱性的属性是资产弱点的严重程度。风险分析原来如下图所示:威胁出现的频率脆弱性的严重程度资产价值风险值安全事件的可能性安全事件造成损失威胁识别脆弱性识别资产识别图-2 2.2.5. 风险处置计划风险处置目的是为风险管理过程中对不同风险的直观比较,以确定组织安全策略。对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中应明确采取的弥补脆弱性的安全
19、措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应从管理与技术两个方面考虑风险处置是一种系统化方法,可通过多种方式实现:风险接受:接受潜在的风险并继续运行信息系统,不对风险进行处理。风险降低:通过实现安全措施来降低风险,从而将脆弱性被威胁源利用后可能带来的不利影响最小化风险规避:不介入风险,通过消除风险的原因和/ 或后果来规避风险。风险转移:通过使用其它措施来补偿损失,从而转移风险,如购买保险。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 32 页 - -
20、 - - - - - - - 2.3.服务产品交付资产评估资产赋值列表威胁赋值列表脆弱性赋值列表风险评估综合报告风险处置计划威胁评估脆弱性评估风险综合分析风险处置计划图-3 2.3.1. 风险评估综合报告主体报告,描述被评估信息系统得信息安全现状,对评估范围内的业务资产进行风险分析,明确出威胁源采用何种威胁方法,利用了哪些脆弱性,对范围内的哪些资产产生了什么影响,采取何种对策进行防范威胁,减少脆弱性;并对风险评估作出总结,总结出哪些问题需要当前解决,哪些问题可以分步分期解决。2.3.2. 资产赋值列表综合报告的子报告, 描述了在资产识别后,对资产进行分类整理,并依据其所受破坏后所造成的影响,分
21、析出其影响权值及其重要性。2.3.3. 威胁赋值列表综合报告的子报告,描述总结出评估范围内业务资产所面临的威胁源,以及其所采用的方法。2.3.4. 脆弱性赋值列表综合报告的子报告, 描述出通过安全管理调查、工具扫描、手工检查进行专名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 32 页 - - - - - - - - - 业分析后,总结出评估范围内业务资产自身存在的脆弱性。通过工具扫描之后,对评估范围内的资产脆弱性进行统计,重在描述高风险、中风险、低风险的数量以及百分比
22、等情况。2.3.5. 风险处置计划综合报告后的辅助报告, 通过综合分析, 了解了当前的安全现状, 提出了针对当前问题的 信息系统 总体安全解决方案。2.4.服务产品收益2.4.1. 资产识别帮助客户对组织内资产进行梳理,针对在传统资产清理过程中,比较容易被忽略的数据资产,服务资产等,使客户从原有的固定资产保护,提升为信息资产保护。帮助客户进行组织内资产的分级管理,通过定量分析,明确各信息系统对客户的重要程度,通过有效整合信息系统的安全需求,在有限的资源环境下,更好的提高客户的信息安全水平。2.4.2. 平衡安全风险与成本帮助客户在安全建设过程中综合平衡安全风险与成本代价,信息安全工作的核心目标
23、就是实现在最低资源消耗的情况下,达到最大的安全水平。通过对发现的问题和风险进行管理,并最优化的方案建议,使客户避免投入大量资源,但安全工作仍迟迟不见起色的现象。2.4.3. 风险识别对客户的关键信息资产进行全面梳理,识别资产的重要性;清晰自身所面临的威胁及其威胁方式方法,便于有针对性地防护。认识自身存在的脆弱性不足,能够有目的性的进行补遗整改。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 32 页 - - - - - - - - - 帮助客户了解网络与信息系统的安全状
24、况,通过如工具扫描,渗透测试,人工审计等多种技术手段, 全面分析客户信息系统和网络中存在的各种安全问题,同时将发现的安全问题与信息资产的重要程度相关联,明确当前的安全风险。帮助客户了解自身存在信息安全管理漏洞,再好的设备,也是由人进行操作的,通过访谈、问卷等多种手段,协助客户管理层了解当前的信息安全管理制度是否存在漏洞,已经正式发布的安全管理制度是否得到了落实和执行。2.4.4. 建设指导通过专业的安全技术和专业人员及时全面的掌握客户IT 环境的安全现状和面临的风险,并提出改进建议,降低风险。为客户进行信息安全规划建设、安全技术体系建设、安全管理体系建设、安全风险管理奠定基石。通过对网络与信息
25、系统漏洞产生的威胁进行分析,能够提供有效的安全加固和改进措施建议。在国际国内专业技术分析的支持下,安全服务团队能够获得第一手的信息系统或网络的漏洞信息,在此基础上,为客户提供及时、有效地网络和信息系统的漏洞发掘服务,并针对漏洞,提供有效的加固建议和改进措施建议。定期风险评估,帮助客户了解组织信息安全改进情况与发展方向,为以后的信息系统安全规划建设提供依据和参考。通过对安全风险的分析和识别,同时平衡安全风险与安全成本,提供专业的信息安全规划和建设建议,对于客户未来的信息安全工作,提供重要参考和依据。帮助客户建立信息安全风险管理机制。为客户对网络与信息系统进行安全风险管理奠定基石,帮助客户在降低风
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年信息安全风险评估服务手册资料 2022 信息 安全 风险 评估 服务 手册 资料
限制150内