信息安全风险评估 一、风险评估概述 信息安全风险评估是明确安全现状，规划安全工作，制订安全策略，形成安 全解决方案的基础，风险评估是一个识别、控制、降低或消除可能影响信息系统 的安全风险的过程。风险评估可帮助组织完成其信息系统风险管理过程中的鉴 定、分析、评价和处理等任务，分析业务运作和组织管理方面存在的安全缺陷， 评估重要业务应用系统自身存在的安全风险，评价业务安全风险承担能力，并给 出风险等级，利用风险评估管理系统扩展评估过程和评估结果，为组织提出建立 风险控制建议，有利于组织对信息系统实施风险管理。 二、风险评估的要素 三、风险评估的标准 信息安全风险评估时主要参考如下标准： lBS7799-1（ISO/IEC17799:2005） lISO/IECTR13335 l信息技术安全评估公共标准CC lAS/NZS4360风险管理标准 lNISTSP800-53/60 lCOBIT lGB／T20984—2007《信息安全技术信息安全风险评估规范》 l《信息安全风险评估指南》 l……等等 四、风险评估的方法 1.定制个性化的评估方法 虽然已经有许多标准评估方法和流程，但在实践过程中，根据企业的特点及 安全风险评估的能力，进行“基因”重组，定制个性化的评估方法，使得评估服务 具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、 边界评估、网络结构评估、脆弱性扫描、管理评估、策略评估、业务系统风险评 估等。 2.安全整体框架的设计 风险评估的目的，不仅在于明确风险，更重要的是为管理风险提供基础和依 据。作为评估直接输出，用于进行风险管理的安全整体框架，至少应该明确。但 是由于不同企业环境差异、需求差异，加上在操作层面可参考的模板很少，使得 整体框架应用较少。但是，企业至少应该完成近期1～2年内框架，这样才能做 到有律可依。 3.多用户决策评估 不同层面的用户能看到不同的问题，要全面了解风险，必须进行多用户沟通 评估。将评估过程作为多用户“决策”过程，对于了解风险、理解风险、管理风险、 落实行动，具有极大的意义。事实证明，多用户参与的效果非常明显。多用户“决 策”评估，也需要一个具体的流程和方法。 4.敏感性分析 由于企业的系统越发复杂且互相关联，使得风险越来越隐蔽。要提高评估效 果，必须进行深入关联分析，比如对一个老漏洞，不是简单地分析它的影响和解 决措施，而是要推断出可能相关的其他技术和管理漏洞，找出病“根”，开出有效 的“处方”。 五、风险评估的流程 安全现状分析报告 一、确定评估范围阶段评估范围确定 资产评估报告 二、资产识别和等级划分阶段资产识别与等级划分 安全工具扫描 技术脆弱性评估报告 三、脆弱性评估阶段人工审计 渗透测试 管理脆弱性评估报告 安全制度审计 安全策略评估策略脆弱性评估报告 威胁评估报告 四、安全威胁评估阶段安全威胁识别与等级划分 风险分析报告 五、风险分析阶段分析系统风险 风险控制策略报告 六、风险管理阶段制定风险控制策略 安全风险评估报告 七、形成最终报告书建立最终风险评估报告 六、特点 l符合国际、国内、行业的风险评估和管理标准； l涉及IT运维和IT治理的各个层面； l定制化的服务，帮助客户迅速发现信息安全的关键点 七、适用范围 l需要了解企业安全现状的客户； l当企业进行IT规划设计时 l在企业发生计算机安全事件后，或怀疑可能会发生安全事件时； l关心组织现有的信息安全措施是否有效时； l当需要对组织安全状况进行周期性评估，以查看是否满足组织持续 运营时。 八、用户收益 风险评估服务可以帮助客户明确资产的配置和分布、业务运行模式、网络体 系结构、技术基础结构、资产环境以及信息安全策略和制度等信息，准确了解企 业的网络、系统以及管理的安全现状。 全面给出业务系统面临的安全隐患和脆弱性报告，使用户对信息安全各个层 次的安全性状况和整体安全状况有全面具体的了解。 清晰的展现信息系统当前的安全现状，提供公正、客观、翔实的数据作为决 策参考，企业可以在投资提升安全、降低风险、承受风险、转移风险等方面做出 正确的选择。