信息安全风险评估
- 风险评估流程
- 一.评估准备
- 1.1确定评估目标
- 1.2确定评估范围
- 1.3组建评估团队
- 1.4评估工作启动会议
- 1.5系统调研
- 1.6确定评估依据
- 1.7确定评估工具
- 1.8制定评估方案
- 二.风险要素识别
- 2.1实施流程
- 2.2资产识别
- 2.2.1资产调查
- 2.2.2资产分类
- 2.2.3资产赋值
- 2.3威胁识别
- 2.3.1威胁评估
- 2.3.2威胁分类
- 2.3.3威胁赋值
- 2.4脆弱性识别
- 2.4.1脆弱性评估
- 2.4.2脆弱性赋值
- 2.5已有安全措施确认
- 三.风险分析
- 3.1风险分析模型
- 3.2风险计算方法
- 3.2.1计算安全事件可能性
- 3.2.2计算安全事件严重性
- 3.2.3安全风险赋值
- 3.2.4 风险结果判定
- 3.3风险评估报告
- 四.风险处理
- 4.1风险处理原则
- 4.2风险整改建议
- 4.3组织评审会
- 4.3.1概述
- 4.3.2评审文档
- 4.4残余风险处理
风险评估流程
本文内容参考国家标准:
《GBT 31509-2015 信息安全技术 信息安全风险评估实施指南》
《GBT 20984-2007 信息安全技术 信息安全风险评估规范》
一.评估准备
1.1确定评估目标
风险评估应贯穿于信息系统生命周期的各阶段中,由于信息系统生命周期各阶段中风险评估实施的内容、对象、安全需求均不同,因此被评估组织应首先根据当前信息系统的实际情况来确定在信息系统生命周期中所处的阶段,并以此来明确风险评估目标。
1.2确定评估范围
在确定风险评估所处的阶段及相应目标之后,应进一步明确风险评估的评估范围,可以是组织全部信息及与信息处理相关的各类资产、管理机构,也可以是某个独立信息系统、关键业务流程等。在确定评估范围时,应结合已确定的评估目标和组织的实际信息系统建设情况,合理定义评估对象和评估范围边界,可以参考以下依据来作为评估范围边界的划分原则:
a)业务系统的业务逻辑边界;
b) 网络及设备载体边界;
c) 物理环境边界;
d)组织管理权限边界;
e) 其他。
1.3组建评估团队
风险评估实施团队应由被评估组织、评估机构等共同组建风险评估小组;由被评估组织领导、相关部门负责人,以及评估机构相关人员成立风险评估领导小组;聘请相关专业的技术专家和技术骨干组成专家组。
风险评估小组应完成评估前的表格、文档、检测工具等各项准备工作;进行风险评估技术培训和保密教育;制定风险评估过程管理相关规定;编制应急预案等。双方应签署保密协议,适情签署个人保密协议。
1.4评估工作启动会议
为保障风险评估工作的顺利开展,确立工作目标、统一思想、协调各方资源,应召开风险评估工作启动会议。启动会一般由风险评估领导小组负责人组织召开,参与人员应该包括评估小组全体人员,相关业务部门主要负责人,如有必要可邀请相关专家组成员参加。
启动会主要内容主要包括:被评估组织领导宣布此次评估工作的意义、目的、目标,以及评估工作中的责任分工;被评估组织项目组长说明本次评估工作的计划和各阶段工作任务,以及需配合的具体事项;评估机构项目组长介绍评估工作一般性方法和工作内容等。
通过启动会可对被评估组织参与评估人员以及其他相关人员进行评估方法和技术培训,使全体人员了解和理解评估工作的重要性,以及各工作阶段所需配合的工作内容。
1.5系统调研
系统调研是了解、熟悉被评估对象的过程,风险评估小组应进行充分的系统调研,以确定风险评估的依据和方法。调研内容应包括:
a)系统安全保护等级;
b)主要的业务功能和要求;
c)网络结构与网络环境,包括内部连接和外部连接;
d)系统边界,包括业务逻辑边界、网络及设备载体边界、物理环境边界、组织管理权限边界等;
e)主要的硬件、软件;
f) 数据和信息;
g)系统和数据的敏感性;
h)支持和使用系统的人 员;
i)信息安全管理组织建设和人员配备情况;
j)信息安全管理制度;
k)法律法规及服务合同;
l)其他。
系统调研可采取问卷调查、现场面谈相结合的方式进行。
1.6确定评估依据
根据风险评估目标以及系统调研结果,确定评估依据和评估方法。评估依据应包括:.
a)适用的法律 、法规;
b)现有国际标准、国家标准、行业标准;
c)行业主管机关的业务系统的要求和制度;
d)与信息系统安全保护等级相应的基本要求;
e) 被评估组织的安全要求;
f)系统自身的实时性或性能要求等。
根据评估依据,应根据被评估对象的安全需求来确定风险计算方法,使之能够与组织环境和安全要求相适应。
1.7确定评估工具
根据评估对象和评估内容合理选择相应的评估工具,评估工具的选择和使用应遵循以下原则:
a)对于系统脆弱性评估工具,应具备全面的已知系统脆弱性核查与检测能力;
b)评估工具的检测规则库应具备更新功能,能够及时更新;
c)评估工具使用的检测策略和检测方式不应对信息系统造成不正常影响;
d)可采用多种评估工具对同一测试对象进行检测,如果出现检测结果不一致的情况,应进一步采
用必要的人工检测和关联分析,并给出与实际情况最为相符的结果判定。评估工具的选择和使用必须符合国家有关规定。
1.8制定评估方案
风险评估方案是评估工作实施活动总体计划,用于管理评估工作的开展,使评估各阶段工作可控,并作为评估项目验收的主要依据之一。风险评估方案应得到被评估组织的确认和认可。风险评估方案的内容应包括:
a)风险评估工作框架:包括评估目标、评估范围、评估依据等;
b)评估团队组织:包括评估小组成员、组织结构,角色、责任;如有必要还应包括风险评估领导小组和专家组组建介绍等;
c) 评估工作计划:包括各阶段工作内容、工作形式、工作成果等;
d)风险规避:包括保密协议、评估工作环境要求、评估方法、工具选择、应急预案等;
e)时间进度安排:评估工作实施的时间进度安排;
f)项目验收方式:包括 验收方式、验收依据、验收结论定义等。
二.风险要素识别
2.1实施流程
2.2资产识别
资产是直接赋予了价值因而需要保护的东西。它可能是以多种形式存在,有无形的、有有形的,有硬件、有软件,有文档、代码,也有服务、企业形象等。通常信息资产的保密性、完整性和可用性是公认的能够反映资产安全特性的三个要素。信息资产安全特性的不同也决定了其信息价值的不同,以及存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。因此,有必要对被评估方网络环境中的信息资产进行科学和系统地识别,以便于进行后期的信息资产抽样、制定风险评估策略、分析安全功能需求等活动。
2.2.1资产调查
资产调查是评估小组对评估范围内的信息系统进行资产调查和识别。主要采用实地勘查、资料检阅、人员访谈等手段,调查内容主要包括:
1)业务战略及管理制度;
2)主要的业务功能和要求;
3)网络结构与网络环境,包括内部连接和外部连接;
4)系统边界;
5)主要的硬件、软件;
6)数据和信息;
7)系统和数据的敏感性;
8)支持和使用系统的人员;
9)其他。
该阶段工作可以在准备阶段的系统调研阶段完成,也可以现场实施时进行。
2.2.2资产分类
风险评估范围内的所有资产必须予以确认,包括数据、服务、声誉、硬件和软件、通讯、程序界面、物理资产、支持设施、人员和访问控制措施等有形和无形资产。与应用系统有关的信息或服务、组件(包括与组件相关的软硬件)、人员、物理环境等都是组织的资产—应用系统的子资产,从而使得子资产与应用系统之间更加具有关联性。据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类型,如下表所示:
分类 | 内容描述 |
---|---|
数据 | 保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等 |
软件 | 系统软件:操作系统、语言包、工具软件、各种库等 应用软件:外部购买的应用软件,外包开发的应用软件等 源程序:各种共享源代码、自行或合作开发的各种代码等 |
硬件 | 网络设备:路由器、网关、交换机等 计算机设备:大型机、小型机、服务器、工作站、台式计算机、移动计算机等 存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等 传输线路:光纤、双绞线等 保障设备:动力保障设备(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等 安全保障设备:防火墙、入侵检测系统、身份验证等 其他:打印机、复印机、扫描仪、传真机等 |
服务 | 办公服务:为提高效率而开发的管理信息系统(MIS),包括各种内部配置管理、文件流转管理等服务 网络服务:各种网络设备、设施提供的网络连接服务 信息服务:对外依赖该系统开展的各类服务 |
文档 | 纸质的各种文件、传真、电报、财务报告、发展计划等 |
人员 | 掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等 |
其他 | 企业形象,客户关系等 |
2.2.3资产赋值
信息资产分别具有不同的安全属性,即保密性、完整性和可用性,分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。对信息资产进行赋值的目的是为了更好地反映资产的价值,以便于进一步考察资产相关的威胁、脆弱性和风险属性,并进行量化。
(1)保密性赋值
根据资产保密性属性的不同,将它分为5个不同的等级,分别对应资产在保密性方面的价值或者在保密性方面受到损失时对整个评估的影响。
赋值 | 标识 | 定义 |
---|---|---|
5 | 很高 | 包含组织最重要的机密,关系组织未来发展的前途命运,对组织根本利益有着决定性影响,如果泄漏会造成灾难性的损害 |
4 | 高 | 包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害 |
3 | 中 | 组织的一般性秘密,其泄露会使组织的安全和利益受到损害 |
2 | 低 | 仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害 |
1 | 很低 | 可对社会公开的信息,公用的信息处理设备和系统资源等 |
(2)完整性赋值
根据资产完整性属性的不同,将它分为5个不同的等级,分别对应资产在完整性方面的价值或者在完整性方面受到损失时对整个评估的影响。
赋值 | 标识 | 定义 |
---|---|---|
5 | 很高 | 完整性价值非常关键,未经授权的修改或破坏会对评估体造成重大的或无法接受、特别不愿接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补 |
4 | 高 | 完整性价值较高,未经授权的修改或破坏会对评估体造成重大影响,对业务冲击严重,比较难以弥补 |
3 | 中 | 完整性价值中等,未经授权的修改或破坏会对评估体造成影响,对业务冲击明显,但可以弥补 |
2 | 低 | 完整性价值较低,未经授权的修改或破坏会对评估体造成轻微影响,可以忍受,对业务冲击轻微,容易弥补 |
1 | 很低 | 完整性价值非常低,未经授权的修改或破坏会对评估体造成的影响可以忽略,对业务冲击可以忽略。 |
(3)资产可用性赋值
根据资产可用性属性的不同,将它分为5个不同的等级,分别对应资产在可用性方面的价值或者在可用性方面受到损失时对整个评估系统的影响。
赋值 | 标识 | 定义 |
---|---|---|
5 | 很高 | 可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断 |
4 | 高 | 可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10分钟 |
3 | 中 | 可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30分钟 |
2 | 低 | 可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60分钟 |
1 | 很低 | 可用性价值可以忽略,法使用者对信息及信息系统的可用度在正常工作时间低于25%。 |
(4)资产重要性价值
根据实际经验,三个安全属性中属性值最高的一个对最终的资产价值影响最大。换而言之,整体安全属性的赋值并不随着三个属性值的增加而线性增加,较高的属性值具有较大的权重。为此,一般使用下面的公式来计算资产价值赋值:LOG((2G+2H+2^I)/3,2)其中,G代表保密性赋值;H代表完整性赋值;I代表可用性赋值。
根据资产的保密性、完整性、可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。因此,通常资产赋值也可以划分为 5 个等级。
赋值 | 标识 | 定义 |
---|---|---|
5 | 很高 | 非常重要,其安全属性破坏后可能对组织造成非常严重的损失 |
4 | 高 | 重要,其安全属性破坏后可能对组织造成比较严重的损失 |
3 | 中 | 比较重要,其安全属性破坏后可能对组织造成中等程度的损失 |
2 | 低 | 不太重要,其安全属性破坏后可能对组织造成较低的损失 |
1 | 很低 | 不重要,其安全属性破坏后可能对组织造成很小的损失,甚至忽略不计 |
对应文档:
1)《资产识别清单》
2)《资产赋值表》
2.3威胁识别
威胁是指对系统或资产的保密性、完整性及可用性构成潜在损害,以致影响系统或资产正常使用及操作的任何事件或行动。威胁分析主要指在明确组织关键资产、描述关键资产的安全需求的情况下,标识关键资产面临的威胁,并界定发生威胁的可能性及破坏系统或资产的潜力。
2.3.1威胁评估
在威胁评估过程中,风险评估小组主要通过安全策略文档查看、业务流程分析、网络拓扑分析、调查问卷、人员访谈的方式对被评估方需要保护的每一项关键资产进行威胁识别,并根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断。一项资产可能面临着多个威胁,同样一个威胁可能对不同的资产造成影响。
2.3.2威胁分类
威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,在保密性、完整性或可用性等方面造成损害;也可能是偶发的、或蓄意的事件。
对安全威胁进行分类的方式有多种多样,针对被评估方用户,评估小组将威胁分为以下几个种类:
威胁种类 | 威胁描述 | 威胁子类 |
---|---|---|
软硬件故障 | 由于设备硬件故障、通讯链路中断、系统本身或软件缺陷造成对业务实施、系统稳定运行的影响。 | 设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障。 |
物理环境影响 | 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题或自然灾害 | |
无作为或操作失误 | 由于应该执行而没有执行相应的操作,或无意地执行了错误的操作,对系统造成的影响。 | 维护错误、操作失误 |
管理不到位 | 安全管理无法落实,不到位,造成安全管理不规范,或者管理混乱,从而破坏信息系统正常有序运行。 | |
恶意代码和病毒 | 具有自我复制、自我传播能力,对信息系统构成破坏的程序代码 | 恶意代码、木马后门、网络病毒、间谍软件、窃听软件 |
越权或滥用 | 通过采用一些措施,超越自己的权限访问了本来无权访问的资源;或者滥用自己的职权,做出破坏信息系统的行为。 | 未授权访问网络资源、未授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息 |
网络攻击 | 利用工具和技术,例如侦察、密码破译、安装后门、嗅探、伪造和欺骗、拒绝服务等手段,对信息系统进行攻击和入侵 | 网络探测和信息采集、漏洞探测、嗅探(账户、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏 |
物理攻击 | 通过物理的接触造成对软件、硬件、数据的破坏。 | 物理接触、物理破坏、盗窃 |
泄密 | 信息泄漏给不应了解的他人 | 内部信息泄露、外部信息泄露 |
篡改 | 非法修改信息,破坏信息的完整性,使系统的安全性降低或信息不可用 | 篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息 |
抵赖 | 不承认收到的信息和所作的操作和交易 | 原发抵赖、接收抵赖、第三方抵赖 |
2.3.3威胁赋值
威胁的评估就是综合了威胁种类和因素后得到的威胁,并对列表中的威胁发生可能性的评估。最终威胁的赋值采用定性的相对等级的方式。威胁的等级划分为五级,从1到5分别代表五个级别的威胁发生可能性。等级数值越大,威胁发生的可能性越大。如下表所示:
赋值 | 标识 | 定义 |
---|---|---|
5 | 很高 | 出现的频率很高(或≥1次/周),或在大多数情况下几乎不可避免;或可以证实经常发生过。 |
4 | 高 | 出现的频率较高(或≥1次/月),或在大多数情况下很有可能会发生;或可以证实多次发生过。 |
3 | 中 | 出现的频率中等(或>1次/半年);或在某种情况下可能会发生;或被证实曾经发生过。 |
2 | 低 | 出现的频率较小,或一般不太可能发生;或没有被证实发生过。 |
1 | 很低 | 威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。 |
风险评估小组通过鉴别被评估单位信息系统有关的网络,分析可能遭受的内部人员和/或外部人员的无意和/或故意威胁,通过召集技术发展部相关技术人员召开会议,查阅安全设备日志和以往的安全事件记录,分析本系统在物理环境、网络、人员、设备故障、恶意代码及病毒等方面可能出现的情况,参照国际通行做法和我公司科技丰富经验,形成威胁识别表,在风险评估项目过程中可根据实际情况对威胁内容进行调整。
对应文档:
《威胁赋值表》
2.4脆弱性识别
脆弱性是对一个或多个资产弱点的总称。脆弱性识别也称为弱点识别,是风险评估中重要的内容。弱点是资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。
2.4.1脆弱性评估
脆弱性主要从技术和管理两个方面进行评估,涉及物理层、网络层、系统层、应用层、管理层等各个层面的安全问题。
对不同的评估对象,其脆弱性评估的具体要求应参照相应的技术或管理标准实施。例如,对物理环境的脆弱性识别应按GB/T 9361中的技术指标实施;对操作系统、数据库应按GB 17859-1999中的技术指标实施。对管理脆弱性识别方面应按GB/T 19716-2005的要求对安全管理制度及其执行情况进行检查,发现管理漏洞和不足。脆弱性评估内容参考如下:
脆弱性分类 | 名称 | 内容 |
---|---|---|
技术和操作脆弱性 | 物理环境 | 从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。 |
网络结构 | 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。 | |
系统软件 (含操作系统及系统服务) | 从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别。 | |
应用中间件 | 从协议安全、交易完整性、数据完整性等方面进行识别 | |
应用系统 | 从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别 | |
操作方面 | 软件和系统在配置、操作、使用中的缺陷,包括人员日常工作中的不良习惯,审计或备份的缺乏进行识别。 | |
管理脆弱性 | 技术管理 | 从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别 |
组织管理 | 从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别 |
在脆弱性评估中,风险评估小组采用的主要方法有:实地勘查、人员访谈、工具扫描、手动检查、文档审查等。
2.4.2脆弱性赋值
脆弱性赋值将针对每一项需要保护的信息资产,找出每一种威胁可能利用的脆弱性,并对脆弱性的严重程度进行赋值,换句话说,就是对脆弱性被威胁利用的可能性进行赋值。
可以根据对资产的损害程度、技术实现的难易程度、弱点的流行程度,采用等级方式对已识别的脆弱性的严重程度进行赋值。脆弱性严重程度可以进行等级化处理,不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高,如下表所示。
赋值 | 标识 | 定义 |
---|---|---|
5 | 很高 | 如果被威胁利用,将对资产造成完全损害。 |
4 | 高 | 如果被威胁利用,将对资产造成重大损害。 |
3 | 中 | 如果被威胁利用,将对资产造成一般损害。 |
2 | 低 | 如果被威胁利用,将对资产造成较小损害。 |
1 | 很低 | 如果被威胁利用,将对资产造成的损害可以忽略。 |
对应文档:
《工具测试报告》
《脆弱性赋值表》
2.5已有安全措施确认
在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正,或用更合适的安全措施替代。
安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。
已有安全措施确认与脆弱性识别存在-定的联系。一般来说,安全措施的使用将减少系统技术或管理.上的脆弱性,但安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的脆弱性,而是一类具体措施的集合,为风险处理计划的制定提供依据和参考。
安全措施分类 | 包含的内容 |
---|---|
管理性 | 对系统的开发、维护和使用实施管理的措施,包括安全策略、程序管理、风险管理、安全保障、系统生命周期管理等。 |
操作性 | 用来保护系统和应用操作的流程和机制,包括人员职责、应急响应、事件处理、意识培训、系统支持和操作、物理和环境安全等。 |
技术性 | 身份识别与认证、逻辑访问控制、日志审计、加密等。 |
对应文档:
《已有安全措施确认表》
三.风险分析
3.1风险分析模型
3.2风险计算方法
3.2.1计算安全事件可能性
根据威胁出现频率及弱点的状况,计算威胁利用脆弱性导致安全事件发生的可能性,即: 安全事件发生的可能性=L(威胁出现频率,脆弱性)=L(T,V ) 在具体评估中,应综合攻击者技术能力(专业技术程度、攻击设备等)、脆弱性被利用的难易程度(可访问时间、设计和操作知识公开程度等)、资产吸引力等因素来判断安全事件发生的可能性。
3.2.2计算安全事件严重性
根据资产价值及脆弱性严重程度,计算安全事件一旦发生后的损失,即: 安全事件的损失=F(资产价值,脆弱性严重程度)=F(Ia,Va ) 部分安全事件的发生造成的损失不仅仅是针对该资产本身,还可能影响业务的连续性;不同安全事件的发生对组织造成的影响也是不一样的。在计算某个安全事件的损失时,应将对组织的影响也考虑在内。 部分安全事件损失的判断还应参照安全事件发生可能性的结果,对发生可能性极小的安全事件(如处于非地震带的地震威胁、在采取完备供电措施状况下的电力故障威胁等)可以不计算其损失。
3.2.3安全风险赋值
根据计算出的安全事件发生的可能性以及安全事件的损失,计算风险值,即: 风险值=R(安全事件发生的可能性,安全事件造成的损失)=R(L(T,V),F(Ia,Va )) 评估者可根据自身情况选择相应的风险计算方法计算风险值,如矩阵法或相乘法。矩阵法通过构造一个二维矩阵,形成安全事件发生的可能性与安全事件的损失之间的二维关系;相乘法通过构造经验函数,将安全事件发生的可能性与安全事件的损失进行运算得到风险值。
3.2.4 风险结果判定
确定风险数值的大小不是组织风险评估的最终目的,重要的是明确不同威胁对资产所产生的风险的相对值,即要确定不同风险的优先次序或等级,对于风险级别高的资产应被优先分配资源进行保护。
风险等级建议从1到5划分为五级。等级越大,风险越高。如下表所示:
等级 | 标识 | 描述 |
---|---|---|
5 | 很高 | 一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的正常经营,经济损失重大、社会影响恶劣。 |
4 | 高 | 一旦发生将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害。 |
3 | 中 | 一旦发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大。 |
2 | 低 | 一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解决。 |
1 | 很低 | 一旦发生造成的影响几乎不存在,通过简单的措施就能弥补。 |
对应文档:
《安全风险分析表》
3.3风险评估报告
评估人员通过对评估结果分析和形成的安全风险分析结果,编制风险评估报告。风险评估报告应包括但不局限于以下内容:项目概述、评估范围、评估依据和标准、评估方法、资产识别与赋值、威胁分析与赋值、脆弱性识别与赋值、已有安全措施识别、综合风险分析等。其中,概述部分描述被评估系统的总体情况、本次评估的主要评估目的和依据;被评估系统描述、评估对象、评估依据、评估方法等部分内容编制时可以参考评估方案相关部分内容,有改动的地方应根据实际评估情况进行修改。风险评估报告编制主要过程:
1) 评估人员整理前面几项任务的工作结果记录,编制评估报告相应部分。一个评估委托单位应形成一份评估报告。
2) 列表给出现场评估的文档清单和评估记录,以及对安全风险结果判定情况。
3) 风险评估报告编制完成后,评估机构应根据评估协议书、评估委托单位提交的相关文档、评估原始记录和其他辅助信息,对评估报告进行评审。
4) 评审通过后,由项目负责人签字确认并提交给评估委托单位。
对应文档:
《信息安全风险评估报告》
四.风险处理
4.1风险处理原则
风险处理依据风险评估结果,针对风险分析阶段输出的风险评估报告进行风险处理。
风险处理的基本原则是适度接受风险,根据组织可接受的处置成本将残余安全风险控制在可以接受的范围内。
依据国家行业主管部门发布的信息安全建设要求进行的风险处理,应严格执行相关规定。如依据等级保护相关要求实施的安全风险加固工作,应满足等级保护相应等级的安全技术和管理要求;对于因不能够满足该等级安全要求产生的风险则不能够适用适度接受风险的原则。对于有着行业主管部门特殊安全要求的风险处理工作,同样不适用该原则。
4.2风险整改建议
风险处理方式一般包括接受、消减、转移、规避等。安全整改是风险处理中常用的风险消减方法。风险评估需提出安全整改建议。
安全整改建议需根据安全风险的严重程度、加固措施实施的难易程度、降低风险的时间紧迫程度、所投入的人员力量及资金成本等因素综合考虑。
a)对于非常严重、需立即降低且加固措施易于实施的安全风险,建议被评估组织立即采取安全整改措施。
b)对于非常严重、需立即降低,但加固措施不便于实施的安全风险,建议被评估组织立即制定安全整改实施方案,尽快实施安全整改;整改前应对相关安全隐患进行严密监控,并作好应急预案。
c)对于比较严重、需降低且加固措施不易于实施的安全风险,建议被评估组织制定限期实施的整改方案;整改前应对相关安全隐患进行监控。
4.3组织评审会
4.3.1概述
组织召开评审会是评估活动结束的重要标志。评审会应由被评估组织组织,评估机构协助。评审会参与人员一般包括:被评估组织,评估机构及专家等。
a)被评估组织包括:单位信息安全主管领导 .相关业务部门主管人员、信息技术部门主管人员、参与评估活动的主要人员等;
b)评估机构包括:项 目组长.主要评估人员;
c)专家包括:被评估组织行业信息安全专家,信息安全专业领域专家等。
4.3.2评审文档
工作阶段 | 输出文档 |
---|---|
准备阶段 | 《系统调研报告》 《风险评估方案》 |
识别阶段 | 《资产价值分析报告》 《威胁分析报告》 《安全技术脆弱性分析报告》 《安全管理脆弱性分析报告》 《已有安全措施分析报告》 |
分析阶段 | 《风险分析报告》 |
处理阶段 | 《风险整改建议》 |
4.4残余风险处理
残余风险处理是风险评估活动的延续,是被评估组织按照安全整改建议全部或部分实施整改工作后,对仍然存在的安全风险进行识别、控制和管理的活动。
对于已完成安全加固措施的信息系统,为确保安全措施的有效性,可进行残余风险评估,评估流程及内容可做有针对性的剪裁。
残余风险评估的目的是对信息系统仍在在的残余风险进行识别、控制和管理。如某些风险在完成了适当的安全揩施后,残余风险的结果仍处于不可接受的风险范围内,应考虑进一步增强相应的安全措施。