《第5章 信息安全风险评估实施流程》由会员分享，可在线阅读，更多相关《第5章 信息安全风险评估实施流程(25页珍藏版)》请在人人文库网上搜索。

1、第第5章章 信息安全风险信息安全风险评估评估 实施实施流程流程 赵赵 刚刚 信 息 安 全 管 理 与 风 险 评 估 5.1 风险评估准备 1. 确定风险评估的目标确定风险评估的目标 2. 确定风险评估的确定风险评估的范围范围 3. 组建评估团队组建评估团队 4. 进行系统调研进行系统调研 5. 确定评估依据和方法确定评估依据和方法 6. 制定评估方案制定评估方案 7. 获得最高管理者获得最高管理者支持支持 信 息 安 全 管 理 与 风 险 评 估 5.2 资产识别 5.2.1 工作内容 1. 回顾评估范围内的业务回顾评估范围内的业务 2. 识别信息资产，进行合理分类识别信息资产，进行合理。

2、分类 3. 确定每类信息资产的安全需求确定每类信息资产的安全需求 4. 为每类信息资产的重要性为每类信息资产的重要性赋值赋值 信 息 安 全 管 理 与 风 险 评 估 5.2.2 参与人员 5.2.3 工作方式 1 . 评估评估范围之内的业务范围之内的业务识别识别 2. 资产的识别与分类资产的识别与分类 3. 安全需求分析安全需求分析 4. 资产赋值资产赋值 5.2 资产识别 信 息 安 全 管 理 与 风 险 评 估 5.2 资产识别 分类示例 数据保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管 理规程、计划、报告、用户手册等。 软件系统软件：操作系统、语言包、工。

3、具软件、各种库等； 应用软件：外部购买的应用软件、外包开发的应用软件等； 源程序：各种共享源代码、自行或合作开发的各种代码等。 硬件网络设备：路由器、网关、交换机等； 计算机设备：大型机、小型机、服务器、工作站、台式计算机、移动计算机等； 存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等； 传输线路：光纤、双绞线等； 保障设备：动力保障设备(UPS、变电设备等)、空调、保险柜、文件柜、门禁、 消防设施等； 安全保障设备：防火墙、入侵检测系统、身份验证等； 其他：打印机、复印机、扫描仪、传真机等。 服务办公服务：为提高效率而开发的管理信息系统，包括各种内部配置管理、文件流转 管理等服务；。

4、 网络服务：各种网络设备、设施提供的网络连接服务； 信息服务：对外依赖该系统开展的各类服务。 文档纸质的各种文件，如传真、电报、财务报告、发展计划等。 人员掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目负责 人等。 其它企业形象、客户关系等。 信 息 安 全 管 理 与 风 险 评 估 5.2.4 工具及资料 1. 自动化工具自动化工具 2. 手工记录手工记录表格表格 3. 辅助辅助材料材料 5.2 资产识别 信 息 安 全 管 理 与 风 险 评 估 资产识别记录表 项目名称或编号 表格编号 资产识别活动信息 日期 起止时间 访谈者 访谈对象及说明 地点说明 记录信息 。

5、所属业务 业务编号 所属类别 类别编号 资产名称 资产编号 IP地址 物理位置 功能描述 保密性要求 完整性要求 可用性要求 重要程度 安全控制措施 负责人 备注 信 息 安 全 管 理 与 风 险 评 估 5.2 资产识别 5.2.5 输出结果 资产及评价报告 信 息 安 全 管 理 与 风 险 评 估 5.3 威胁识别 5.3.1 工作内容 1. 威胁识别威胁识别 2. 威胁威胁分类分类 3. 威胁威胁赋值赋值 4. 构建威胁构建威胁场景场景 5.3.2 参与人员 信 息 安 全 管 理 与 风 险 评 估 5.3.3 工作方式 1. 威胁识别威胁识别 (1)针对实际威胁的识别活动 (2)。

6、针对潜在威胁的识别活动 2. 威胁威胁分类分类 3. 构建构建威胁威胁场景场景 4. 威胁赋值威胁赋值 5.3.4 工具及资料 5.3 威胁识别 信 息 安 全 管 理 与 风 险 评 估 来源描述 环境因素 由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、 火灾、地震等环境条件或自然灾害，意外事故或软件、硬件、数据、 通讯线路方面的故障 人为 因素 恶意人员 不满的或有预谋的内部人员对信息系统进行恶意破坏； 采用自主或内外勾结的方式盗窃机密信息或进行篡改，获取利益； 外部人员利用信息系统的脆弱性，对网络或系统的保密性、完整性 和可用性进行破坏，以获取利益或炫耀能力 非恶意人员 内。

7、部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵 循规章制度和操作流程而导致故障或信息损坏； 内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导 致信息系统故障或被攻击 信 息 安 全 管 理 与 风 险 评 估 5.3.5 输出结果 威胁列表； 关键资产的威胁场景。 5.3 威胁识别 信 息 安 全 管 理 与 风 险 评 估 5.4.1 工作内容 5.4.2 参与人员 序号活动名称 参与人员 来自于评估单位来自于被评估单位 1脆弱性识别 项目负责人 脆弱性识别小组 项目负责人 识别活动中配合人员 或访谈对象 2脆弱性识别结果整理与展现脆弱性识别小组 3脆弱性赋值脆弱性识别小。

8、组 5.4 脆弱性识别 信 息 安 全 管 理 与 风 险 评 估 5.4.3 工作方式 1. 脆弱性脆弱性识别识别方法方法 2. 脆弱性识别脆弱性识别原则原则 (1)全面考虑和突出重点相结合的原则 (2)局部与整体相结合的原则 (3)层次化原则 (4)手工与自动化工具相结合的原则 3. 脆弱性识别内容脆弱性识别内容 5.4 脆弱性识别 信 息 安 全 管 理 与 风 险 评 估 信 息 安 全 管 理 与 风 险 评 估 5.4.3 工作方式 4. 脆弱性脆弱性赋值赋值 5. 脆弱性分类的脆弱性分类的设计设计 5.4 脆弱性识别 信 息 安 全 管 理 与 风 险 评 估 5.4.4 工具及。

9、资料 1. 漏洞漏洞扫描扫描工具工具 2. 各类检查各类检查列表列表 3. 渗透渗透测试测试 5.4.5 输出结果 1. 原始原始的识别的识别结果结果 2. 漏洞漏洞分析报告分析报告 5.4 脆弱性识别 信 息 安 全 管 理 与 风 险 评 估 5.5 已有安全措施确认 5.5.1 工作内容 5.5.2 参与人员 序 号 活动名称 参与人员 来自于评估单位来自于被评估单位 1 技术控制措施 的识别与确认 项目负责人 安全控制措施识别小组 项目负责人 识别活动中配合人员或访谈对 象，主要包括被评估组织的安 全主管、负责安全的管理员 2 管理和操作控 制措施的识别 与确认 项目负责人 安全控制措。

10、施识别小组 项目负责人 被评估组织的安全主管 信 息 安 全 管 理 与 风 险 评 估 5.5.3 工作方式 1. 技术技术控制措施的识别与控制措施的识别与确认确认 2. 管理和操作控制措施的识别与管理和操作控制措施的识别与确认确认 3. 分析与分析与统计统计 5.5.4 工具及资料 5.5.5 输出结果 5.5 已有安全措施确认 信 息 安 全 管 理 与 风 险 评 估 5.6 风险分析 5.6.1 风险计算原理 1. 计算安全事件发生的计算安全事件发生的可能性可能性 安全事件的可能性=L(威胁出现频率，脆弱性) = L(T, V) 2. 计算安全事件发生后造成的计算安全事件发生后造成的。

11、损失损失 安全事件造成的损失=F(资产价值，脆弱性严重程度) = F(Ia, Va) 3. 计算风险值计算风险值 风险值= R(安全事件的可能性，安全事件造成的损失) = R(L(T, V), F(Ia, Va) (1)风险计算：相乘法 (2)风险计算：矩阵法 信 息 安 全 管 理 与 风 险 评 估 5.7 风险处理计划 图5-2 风险管理方法图 信 息 安 全 管 理 与 风 险 评 估 5.7.1 现存风险判断 5.7.2 控制目标确定 5.7.3 控制措施选择 1. 接受风险接受风险 2. 避免避免风险风险 3. 转移转移风险风险 4. 降低降低风险风险 5. 处置残留风险处置残留风。

12、险 5.7 风险处理计划 信 息 安 全 管 理 与 风 险 评 估 5.8 风险评估报告 信 息 安 全 管 理 与 风 险 评 估 封皮封皮XXXX信息安全风险评估报告信息安全风险评估报告 被评估的系统： 被评估单位： 评估类别： 负责人： 评估时间： 目录目录 第一章第一章综述 介绍评估准备的相关内容。介绍评估准备的相关内容。 第第2章章识别并评价资产 介绍资产的识别和评价结果。介绍资产的识别和评价结果。 第第3章章识别并评估威胁 介绍威胁的识别和评价结果。介绍威胁的识别和评价结果。 第第4章章识别并评估脆弱性 介绍脆弱性的识别和评价结果。介绍脆弱性的识别和评价结果。 第第5章章识别安全。

13、措施 介绍已有安全措施的识别和分析结果。介绍已有安全措施的识别和分析结果。 第第6章章分析可能性和影响 介绍可能性和影响的分析结果。介绍可能性和影响的分析结果。 第第7章章风险计算 介绍风险的计算结果。介绍风险的计算结果。 第第8章章风险控制 介绍需控制的风险及控制措施。介绍需控制的风险及控制措施。 第第9章章总结 对本次评估进行总结。对本次评估进行总结。 信 息 安 全 管 理 与 风 险 评 估 思考题思考题 简单叙述“风险评估准备”阶段的主要工作内容。 简单叙述“资产识别”的工作内容和工作方式。 简单叙述“威胁识别”的工作内容和参与人员。 叙述“针对潜在威胁的识别活动”的主要内容。 如何构建威胁场景？ 简单叙述“脆弱性识别”的工作方式。 叙述“风险计算原理”。。