1. 总体概述
1.1 项目概述
为了更好的了解信息安全状况,根据《信息安全风险评估指南》和GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》要求,总体评估公司信息化建设风险。
2.风险评估方案
2.1风险评估现场实施流程
风险评估的实施流程见下图所示
2.2 风险评估使用工具
测评过程中所使用的工具见下表所示:
2.3 风险评估方法
2.3.1资产识别
2.3.1.1资产分类
首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类型。
一种基于表现形式的资产分类方法
2.3.1.2资产赋值
2.3.1.2.1保密性赋值
根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响。
资产机密性赋值表
2.3.1.2.2完整性赋值
根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响。
资产完整性赋值表
2.3.1.2.3可用性赋值
根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上应达成的不同程度。
资产可用性赋值表
2.3.1.2.4资产重要性等级
资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。根据最终赋值将资产划分为五级,级别越高表示资产越重要,确定重要资产的范围,并主要围绕重要资产进行下一步的风险评估。
资产等级及含义描述
2.3.2威胁识别
2.3.2.1威胁分类
对威胁进行分类的方式有多种,针对上表的威胁来源,可以根据其表现形式将威胁分为以下几类。
一种基于表现形式的威胁分类表
2.3.2.2威胁赋值
判断威胁出现的频率是威胁赋值的重要内容,根据有关的统计数据来进行判断。对威胁出现的频率进行等级化处理,不同等级分别代表威胁出现的频率的高低。等级数值越大,威胁出现的频率越高。
威胁赋值表
2.3.3脆弱性识别
2.3.3.1脆弱性识别内容
脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估;从物理、网络、系统、应用等层次进行识别,然后与资产、威胁对应起来。脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、
文档查阅、渗透性测试等。
脆弱性识别内容表
2.3.3.2脆弱性赋值
可以根据对资产的损害程度、技术实现的难易程度、弱点的流行程度,采用等级方式对已识别的脆弱性的严重程度进行赋值。
脆弱性严重程度可以进行等级化处理,不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。
脆弱性严重程度赋值表
2.3.4已有安全措施确认
在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正,或用更合适的安全措施替代。
2.3.5风险分析
为实现对风险的控制与管理,可以对风险评估的结果进行等级化处理。可以将风险划分为五级,等级越高,风险越高。
根据所采用的风险计算方法,计算每种资产面临的风险值,根据风险值的分布状况,为每个等级设定风险值范围,并对所有风险计算结果进行等级处理。每个等级代表了相应风险的严重程度。
风险等级划分表
1. 总体概述
1.1 项目概述
为了更好的了解信息安全状况,根据《信息安全风险评估指南》和GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》要求,总体评估公司信息化建设风险。
2.风险评估方案
2.1风险评估现场实施流程
风险评估的实施流程见下图所示
2.2 风险评估使用工具
测评过程中所使用的工具见下表所示:
2.3 风险评估方法
2.3.1资产识别
2.3.1.1资产分类
首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类型。
一种基于表现形式的资产分类方法
2.3.1.2资产赋值
2.3.1.2.1保密性赋值
根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响。
资产机密性赋值表
2.3.1.2.2完整性赋值
根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响。
资产完整性赋值表
2.3.1.2.3可用性赋值
根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上应达成的不同程度。
资产可用性赋值表
2.3.1.2.4资产重要性等级
资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。根据最终赋值将资产划分为五级,级别越高表示资产越重要,确定重要资产的范围,并主要围绕重要资产进行下一步的风险评估。
资产等级及含义描述
2.3.2威胁识别
2.3.2.1威胁分类
对威胁进行分类的方式有多种,针对上表的威胁来源,可以根据其表现形式将威胁分为以下几类。
一种基于表现形式的威胁分类表
2.3.2.2威胁赋值
判断威胁出现的频率是威胁赋值的重要内容,根据有关的统计数据来进行判断。对威胁出现的频率进行等级化处理,不同等级分别代表威胁出现的频率的高低。等级数值越大,威胁出现的频率越高。
威胁赋值表
2.3.3脆弱性识别
2.3.3.1脆弱性识别内容
脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估;从物理、网络、系统、应用等层次进行识别,然后与资产、威胁对应起来。脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、
文档查阅、渗透性测试等。
脆弱性识别内容表
2.3.3.2脆弱性赋值
可以根据对资产的损害程度、技术实现的难易程度、弱点的流行程度,采用等级方式对已识别的脆弱性的严重程度进行赋值。
脆弱性严重程度可以进行等级化处理,不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。
脆弱性严重程度赋值表
2.3.4已有安全措施确认
在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正,或用更合适的安全措施替代。
2.3.5风险分析
为实现对风险的控制与管理,可以对风险评估的结果进行等级化处理。可以将风险划分为五级,等级越高,风险越高。
根据所采用的风险计算方法,计算每种资产面临的风险值,根据风险值的分布状况,为每个等级设定风险值范围,并对所有风险计算结果进行等级处理。每个等级代表了相应风险的严重程度。
风险等级划分表