风险评估实施方案.docx

该【风险评估实施方案 】是由【夜紫儿】上传分享，文档一共【14】页，该文档可以免费在线阅读，需要了解更多关于【风险评估实施方案 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。风险评估实施方案
一、风险评估概述
1、风险效劳的重要性
对于构建一套良好的信息安全系统，需要对整个系统的安全风险有一个清 晰的生疏。只有清楚的了解了自身的弱点和风险的来源，才能够真正的解决和 减弱它，并以此来构建有着对性的、合理有效的安全策略，而风险评估既是安 全策略规划的第一步，同时也是实施其他安全策略的必要前提。
近几年随着几次计算机蠕虫病毒的大规模肆虐攻击，很对用户的网络都遭 受了不同程度的攻击，认真分析就会觉察，几乎全部的用户都部署了防病毒软 件和类似的安全防护系统，越来越多的用户觉察淡村的安全产品已经不能满足 现在的安全防护体系的需求了。
安全是整体的体系建设过程，依据安全的木桶原理，组织网络的整个安全 最大强度取决于最短最脆弱的那根木头，所以说在安全建设的过程中，假设不 认真的找到最短的那根木头，而盲目的在外面加钉子，并不能改善整体强度。 信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决
策机制，只有通过全面的风险评估，才能让客户对自身信息安全的状况做出准 确的推断。
2、风险评估效劳的目的及其意义
信息安全风险是指人为或自然的威逼利用信息系统及其团里体系中存在的 脆弱性导致安全大事的发生及其对组织造成的影响。
信息安全风险评估是指依据有关信息安全技术与治理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进展评价的过程。他要评估资产面临的威逼以及威逼利用脆弱性导致安全大事的可能性， 并结合安全大事所涉及的资产价值来推断安全大事一旦发生对组造成的影响。
信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法， 其结果为信息安全更显治理供给依据。
3、风险评估效劳机制
在信息系统生命周期里，有很多种状况必需对信息系统所涉及的人员、技
术环境、物理环境进展风险评估：
在设计规划或升级的信息系统时；
给目前的信息系统增加应用时；
在与其他组织〔部门〕进展网络互联时；
在技术平台进展大规模更〔例如，从 Linux 系统移植到Sliaris
系统〕时；
在发生计算机安全大事之后，或疑心可能会发生安全大事时；
关心组织现有的信息安全措施是否充分或食后具有相应的安全
效力时；
在组织具有构造变动〔例如：组织合并〕时：
在需要对信息系统的安全状况进展定期或不定期的聘雇、已查看
是否满足组织持续运营需要时等。
4、风险评估效劳的收益
风险评估可以帮助客户：
准确了解租住的信息安全现状；
明晰组织的信息安全需求；
制定组织信息系统的安全策略和风险解决方案；
指导组织将来的信息安全建设和投入；
建立组织自身的信息安全治理框架。
二、风险评估效劳介绍
本公司遵循公认的 ISO 27001、GB/T 20984-2007 信息安全风险评估标准以及国际信息安全等级保护指南等安全标准知道风险评估的工作，针对资产重要程度分别供给不同的频率和方式的风险评估，帮助客户了解客观真实的自身网络系统安全现状，规划适合自己网络系统环境的安全策略，并依据科学合理的安全策略来实施后续的安全效劳、选型与部署安全产品以及建立有效的安全治理规章制度，从而全面完整的解决可能存在的各种风险隐患。
1、风险评估效劳遵循标准
效劳器系统
桌面主机
网络设备〔路由器、交换机〕
应用系统安全性评估
通用应用效劳〔WEB、FTP、Mail、DNS 等〕
专用业务系统〔B/S、C/S〕
数据库
机密数据安全掌握保障评估〔机密信息的生成、传递、存储 等过程〕
信息安全治理组织架构和理性评估
信息安全治理制度及安全性评估
人员安全治理状况评估
安全产品和技术应用状况有效性及合理性评
对应重大紧急安全大事的处理力量评估
〔8〕 ……
4、风险评估方法
为了精准、真实地反映信息系统现状，本公司在风险评估过程中使用到的 方法有参谋访谈、工具扫描、专家阅历分析、实地勘察、渗透测试、策略审查 六种，如以下图所示：
图 风险评估方法
5、成果输出
《风险评估安全现状综合分析报告》
《风险评估安全解决方案》
四、风险评估效劳框架及流程 1、风险要素关系
信息是一种资产，资产全部者应对信息资产进展保护，通过分析信息资产 的脆弱性来确定威逼可能利用那些弱点来破坏其安全性。风险评估要识别资产 相关要素的关系，从而推断资产面临的风险大小。
风险评估中各个要素的关系如以下图所示：
图 风险要素关系示意图
图中方框局部的内容为风险评估的根本要素，椭圆局部的内容是与这些要 素相关的属性。风险评估围绕其根本要素开放，在对这些要素的评价过程中需 要充分考虑业务战略、资产价值、安全需求、安全大事、剩余风险等与这些基 本要素相关的各类属性。
图中的风险要素及属性之间存在着以下关系：
业务战略依靠资产趋去实现；
析产是有价值的，组织的业务战略对资产的依靠度越高，资产价
值就越大；
资产价值越大则其面临的风险越大；
风险是由威逼引发的，资产面临的威逼越多测风险越大，并可能
演化成安全大事；
弱点越多，威逼利用脆弱性导致安全大事的可能性越大；
脆弱性时未被满足的安全需求，威逼要通过利用脆弱性来危害资
产，从而形成风险；
风险的存在及对风险的生疏导出安全需求；
安全需求可通过安全措施得以满足，需要结合资产价值考虑实施 本钱；
安全措施可抵挡威逼，降低安全大事的发生的可能性，并削减影
响；
风险不行能也没有必要降为零，在实施了安全措施后还会有残留 下来的风险，有些剩余风险来自于安全措施可能不当或无效，在以后需 要连续掌握，而有些参与风险则是在综合考虑了安全本钱与效益后为控 制的风险，是可以被承受的；
参与风险应受到亲热监视，他可能会在将来有发心的安全大事。
2、风险分析
风险分析示意图如以下图所示：
图
风险评估分析中主要涉及资产、威逼、脆弱性等根本要素。每个要素有各 自的属性，资产的属性是资产价值；威逼的属性是威逼消灭的频率；脆弱性的 属性是资产弱点的严峻程度。风险分析主要内容为：
对资产进展识别，并对资产的重要性进展赋值；
对威逼进展识别，描述威逼的属性，并对威逼消灭的频率赋值；
对资产的脆弱性进展识别，并对具体资产的脆弱性的严峻程度赋值； 依据威逼和脆弱性的识别结果推断安全大事；
依据脆弱性的严峻程度及安全大事所作用资产的重要性计算安全大事的损
失；
依据安全大事发生的可能性以及安全大事的损失，计算安全大事一旦发生 对组的影响，即风险值。
3、风险评估实施流程
本公司在进展风险评估效劳过程中，将严格参照 GB/T 20984-2007《信息安全风险评估标准》国家标准所定义的效劳流程标准来实施，整个实施流程如以下图所示：
信息安全风险评估实施流程
〔1〕 预备阶段
风险评估的预备过程是进展风险评估的根底，是整个风险评估过程有效性的保证。风险评估作为一种战略型的考虑，其结果将受到组织的业务需求及战略目标、文化、业务流程、安全要求/规模和构造的影响。不同组织对 于风险评估的实施过程可能存在不同的要求，因此在风险评估实施前，需要做好以下预备工作：