某信息安全技術(shù)公司風(fēng)險評估概述課件_第1頁
某信息安全技術(shù)公司風(fēng)險評估概述課件_第2頁
某信息安全技術(shù)公司風(fēng)險評估概述課件_第3頁
某信息安全技術(shù)公司風(fēng)險評估概述課件_第4頁
某信息安全技術(shù)公司風(fēng)險評估概述課件_第5頁
已閱讀5頁,還剩129頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

風(fēng)險評估101藍盾信息安全技術(shù)股份有限公司程曉峰2009年11月1日風(fēng)險評估101藍盾信息安全技術(shù)股份有限公司2009年11月1什么是風(fēng)險評估?——從深夜一個回家的女孩開始講起……什么是風(fēng)險評估?——從深夜一個回家的女孩開始講起……風(fēng)險評估3風(fēng)險

風(fēng)險管理(RiskManagement)就是以可接受的代價,識別、控制、減少或消除可能影響信息系統(tǒng)的安全風(fēng)險的過程。在信息安全領(lǐng)域,風(fēng)險(Risk)就是指各種威脅導(dǎo)致安全事件發(fā)生的可能性及其對組織所造成的負面影響。風(fēng)險管理

風(fēng)險評估(RiskAssessment)就是對各方面風(fēng)險進行辨識和分析的過程,它包括風(fēng)險分析和風(fēng)險評價,是確認安全風(fēng)險及其大小的過程。風(fēng)險評估3風(fēng)險風(fēng)險管理(RiskManagemen風(fēng)險評估的基本概念風(fēng)險評估的基本概念資產(chǎn)影響威脅弱點風(fēng)險錢被偷100塊沒飯吃小偷打瞌睡服務(wù)器黑客軟件漏洞被入侵數(shù)據(jù)失密通俗的比喻資產(chǎn)影響威脅弱點風(fēng)險錢被偷100塊沒飯吃小偷打瞌睡服務(wù)器黑客風(fēng)險RISKRISKRISKRISK風(fēng)險原有風(fēng)險采取措施后的剩余風(fēng)險影響威脅脆弱性影響威脅脆弱性風(fēng)險管理的目標風(fēng)險RISKRISKRISKRISK風(fēng)險原有風(fēng)險采取措施后的風(fēng)險評估和風(fēng)險管理的關(guān)系風(fēng)險評估是風(fēng)險管理的關(guān)鍵環(huán)節(jié),在風(fēng)險管理循環(huán)中,必須依靠風(fēng)險評估來確定隨后的風(fēng)險控制與改進活動。風(fēng)險評估和風(fēng)險管理的關(guān)系風(fēng)險評估是風(fēng)險管理的關(guān)鍵環(huán)節(jié),在風(fēng)險信息安全屬性保密性CONFIDENTIALATY確保信息只能由那些被授權(quán)使用的人獲取完整性INTEGRITY保護信息及其處理方法的準確性和完整性可用性AVAILABILITY確保被授權(quán)使用人在需要時可以獲取信息和使用相關(guān)的資產(chǎn)信息安全屬性保密性CONFIDENTIALATY可用性確保獲得授權(quán)的用戶可訪問信息并使用相關(guān)信息資產(chǎn)

完整性保護信息和處理方法的準確和完整

確保只有獲得授權(quán)的人才能訪問信息

保密性進不來拿不走改不了跑不了看不懂可審查不可抵賴曾經(jīng)完成的操作和承諾不可抵賴性可控制網(wǎng)絡(luò)信息傳播及內(nèi)容可控性確保硬件、軟件、環(huán)境各方面的可靠運行可靠性信息安全之屬性可用性確保獲得授權(quán)的用戶可訪問信息并使用相關(guān)信息資產(chǎn)完整性風(fēng)險計算體系風(fēng)險計算體系風(fēng)險評價確定風(fēng)險的等級,有兩個關(guān)鍵因素要考慮(定性風(fēng)險評估):威脅對信息資產(chǎn)造成的影響(后果)威脅發(fā)生的可能性影響可以通過資產(chǎn)的價值(重要性)評估來確定??赡苄钥梢愿鶕?jù)對威脅因素和弱點因素的綜合考慮來確定。按照風(fēng)險分析模型計算得出風(fēng)險水平。風(fēng)險評價確定風(fēng)險的等級,有兩個關(guān)鍵因素要考慮(定性風(fēng)險評風(fēng)險評價示例風(fēng)險評價示例13確定風(fēng)險處置策略降低風(fēng)險(ReduceRisk)——采取適當(dāng)?shù)目刂拼胧﹣斫档惋L(fēng)險,包括技術(shù)手段和管理手段,如安裝防火墻,殺毒軟件,或是改善不規(guī)范的工作流程、制定業(yè)務(wù)連續(xù)性計劃,等等。避免風(fēng)險(AvoidRisk)——通過消除可能導(dǎo)致風(fēng)險發(fā)生的條件來避免風(fēng)險的發(fā)生,如將公司內(nèi)外網(wǎng)隔離以避免來自互聯(lián)網(wǎng)的攻擊,或是將機房安置在不可能造成水患的位置,等等。轉(zhuǎn)移風(fēng)險(TransferRisk)——將風(fēng)險全部或者部分地轉(zhuǎn)移到其他責(zé)任方,例如購買商業(yè)保險。接受風(fēng)險(AcceptRisk)——在實施了其他風(fēng)險應(yīng)對措施之后,對于殘留的風(fēng)險,組織可以有意識地選擇接受。13確定風(fēng)險處置策略降低風(fēng)險(ReduceRisk)—14評價殘留風(fēng)險絕對安全(即零風(fēng)險)是不可能的。實施安全控制后會有殘留風(fēng)險或殘存風(fēng)險(ResidualRisk)。為了確保信息安全,應(yīng)該確保殘留風(fēng)險在可接受的范圍內(nèi):殘留風(fēng)險Rr=原有的風(fēng)險R0-控制ΔR

殘留風(fēng)險Rr≤可接受的風(fēng)險Rt

對殘留風(fēng)險進行確認和評價的過程其實就是風(fēng)險接受的過程。決策者可以根據(jù)風(fēng)險評估的結(jié)果來確定一個閥值,以該閥值作為是否接受殘留風(fēng)險的標準。14評價殘留風(fēng)險絕對安全(即零風(fēng)險)是不可能的。ISO27001信息安全管理體系建立ISO27001信息安全管理體系建立ISO17799:2005業(yè)務(wù)連續(xù)性管理(Businesscontinuitymanagement)信息安全事故管理(Informationsecurityincidentmanagement)訪問控制(Accesscontrol)人力資源安全(Humanresources

security)物理和環(huán)境安全(Physicaland

environmental

security)通信和操作安全(Communications

andoperationsManagement)信息系統(tǒng)采集開發(fā)和維護(Informationsystem

acquisition,development

andmaintenance)資產(chǎn)管理(Assetmanagement)信息安全的組織(Organizinginformationsecurity)安全策略(SecurityPolicy)ISO17799:2005業(yè)務(wù)連續(xù)性管理(Business基于ISO27001的信息安全管理體系架構(gòu)A15合規(guī)性相關(guān)方要求實施(D)策劃(P)改進(A)檢查(C)相關(guān)方滿意A14業(yè)務(wù)連續(xù)性管理A13信息安全事件管理A7資產(chǎn)管理A6組織信息安全A5安全方針A11訪問控制A8人力資源安全A9物理/環(huán)境安全A10通訊運營管理A12信息系統(tǒng)獲取、開發(fā)及維護人員技術(shù)信息流程環(huán)境注:11控制域,39控制目標,133控制措施基于ISO27001的信息安全管理體系架構(gòu)A15合規(guī)性相等保測評與風(fēng)險評估的區(qū)別目的不同等級測評:以是否符合等級保護基本要求為目的照方抓藥風(fēng)險評估:以PDCA循環(huán)持續(xù)推進風(fēng)險管理為目的對癥下藥等保測評與風(fēng)險評估的區(qū)別目的不同等保測評與風(fēng)險評估的區(qū)別參照標準不同等級測評:GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》GA/T387-2002《計算機信息系統(tǒng)安全等級保護網(wǎng)絡(luò)技術(shù)要求》GA388-2002《計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術(shù)要求》GA/T389-2002《計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求》GA/T390-2002《計算機信息系統(tǒng)安全等級保護通用技術(shù)要求》GA391-2002《計算機信息系統(tǒng)安全等級保護管理要求》…風(fēng)險評估:BS7799ISO17799ISO27001ISO27002GBT20984-2007《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》…等保測評與風(fēng)險評估的區(qū)別參照標準不同等保測評與風(fēng)險評估的區(qū)別可以簡單的理解為等保是標準或體系,風(fēng)險評估是一種針對性的手段。等保測評與風(fēng)險評估的區(qū)別可以簡單的理解為等保是標準或體系,風(fēng)為什么需要進行風(fēng)險評估?——該買辣椒水呢還是請保鏢?為什么需要進行風(fēng)險評估?——該買辣椒水呢還是請保鏢?什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?兩個基本問題什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?兩個基本什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?風(fēng)險分析風(fēng)險管理基本問題的答案什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?風(fēng)險分析潛在損失在可以承受范圍之內(nèi)的系統(tǒng)風(fēng)險分析安全決策風(fēng)險管理兩個答案的相關(guān)性潛在損失在可以承受范圍之內(nèi)的系統(tǒng)風(fēng)險分析安全決策風(fēng)險管理兩個信息安全的演化信息安全的演化概念的演化和技術(shù)的演化同步概念的演化和技術(shù)的演化同步可信是保障概念的延續(xù)可信是保障概念的延續(xù)信息安全的事實廣泛安全是一個廣泛的主題,它涉及到許多不同的區(qū)域(物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理等),每個區(qū)域都有其相關(guān)的風(fēng)險、威脅及解決方法。動態(tài)相對絕對的信息安全是不存在的。信息安全問題的解決只能通過一系列的規(guī)劃和措施,把風(fēng)險降低到可被接受的程度,同時采取適當(dāng)?shù)臋C制使風(fēng)險保持在此程度之內(nèi)。當(dāng)信息系統(tǒng)發(fā)生變化時應(yīng)當(dāng)重新規(guī)劃和實施來適應(yīng)新的安全需求。人信息系統(tǒng)的安全往往取決于系統(tǒng)中最薄弱的環(huán)節(jié)-人。人是信息安全中最關(guān)鍵的因素,同時也應(yīng)該清醒的認識到人也是信息安全中最薄弱的環(huán)節(jié)。僅僅依賴于安全產(chǎn)品的堆積來應(yīng)對迅速發(fā)展變化的各種攻擊手段是不能持續(xù)有效的。信息安全建設(shè)是一項復(fù)雜的系統(tǒng)工程,要從觀念上進行轉(zhuǎn)變,規(guī)劃、管理、技術(shù)等多種因素相結(jié)合使之成為一個可持續(xù)的動態(tài)發(fā)展的過程。信息安全的事實廣泛安全是一個廣泛的主題,它涉及到許多不同的區(qū)

安全保障體系建設(shè)安全成本效率

安全

-效率曲線

安全-

成本曲線要研究建設(shè)信息安全的綜合成本與信息安全風(fēng)險之間的平衡,而不是要片面追求不切實際的安全不同的信息系統(tǒng),對于安全的要求不同,不是“越安全越好”安全保障體系建設(shè)安成本安全-效率曲線信息安全保障能力成長階段成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源:GartnerInc.2006年1月30%50%15%5%信息安全保障能力成長階段成熟度時間盲目自信認知階段改進階段卓能力成長階段的劃分盲目自信階段普遍缺乏安全意識,對企業(yè)安全狀況不了解,未意識到信息安全風(fēng)險的嚴重性認知階段通過信息安全風(fēng)險評估等,企業(yè)意識到自身存在的信息安全風(fēng)險,開始采取一些措施提升信息安全水平改進階段意識到局部的、單一的信息安全控制措施難以明顯改善企業(yè)信息安全狀況,開始進行全面的信息安全架構(gòu)設(shè)計,有計劃的建設(shè)信息安全保障體系卓越運營階段信息安全改進項目完成后,在擁有較為全面的信息安全控制能力基礎(chǔ)上,建立持續(xù)改進的機制,以應(yīng)對安全風(fēng)險的變化,不斷提升安全控制能力能力成長階段的劃分盲目自信階段各個階段的主要工作任務(wù)成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源:GartnerInc.2006年1月30%50%15%5%基本安全產(chǎn)品部署主要人員的培訓(xùn)教育建立安全團隊制定安全方針政策評估并了解現(xiàn)狀各個階段的主要工作任務(wù)成熟度時間盲目自信認知階段改進階段卓越各個階段的主要工作任務(wù)成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源:GartnerInc.2006年1月30%50%15%5%啟動信息安全戰(zhàn)略項目設(shè)計信息安全架構(gòu)建立信息安全流程完成信息安全改進項目各個階段的主要工作任務(wù)成熟度時間盲目自信認知階段改進階段卓越各個階段的主要工作任務(wù)成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源:GartnerInc.2006年1月30%50%15%5%信息安全流程的持續(xù)改進追蹤技術(shù)和業(yè)務(wù)的變化各個階段的主要工作任務(wù)成熟度時間盲目自信認知階段改進階段卓越怎么做風(fēng)險評估?——怎么做風(fēng)險評估?——可能的攻擊信息的價值可能的損失風(fēng)險評估簡要版可能的攻擊信息的價值可能的損失風(fēng)險評估簡要版資產(chǎn)威脅影響弱點控制可能性+=當(dāng)前的危險級別風(fēng)險分析方法示意圖資產(chǎn)威脅影響弱點控制可能性+=當(dāng)前的危險級別風(fēng)險分析方法示意損失的量化必須圍繞用戶的核心價值,用戶的核心業(yè)務(wù)流程如何量化損失損失的量化必須圍繞用戶的核心價值,用戶的核心業(yè)務(wù)流程如何量化風(fēng)險管理趨勢IT安全風(fēng)險成為企業(yè)運營風(fēng)險中最為重要的一個組成部分,業(yè)務(wù)連續(xù)性逐漸與安全并行考慮來源:Gartner風(fēng)險管理趨勢IT安全風(fēng)險成為企業(yè)運營風(fēng)險中最為重要的一個組成否是否是風(fēng)險評估的準備已有安全措施的確認風(fēng)險計算風(fēng)險是否接受保持已有的控制措施施施施選擇適當(dāng)?shù)目刂拼胧┎⒃u估殘余風(fēng)險實施風(fēng)險管理脆弱性識別威脅識別資產(chǎn)識別是否接受殘余風(fēng)險

風(fēng)險識別評估過程文檔評估過程文檔風(fēng)險評估結(jié)果記錄評估結(jié)果文檔…否是否是風(fēng)險評估的準備已有安全措施的確認風(fēng)險計算風(fēng)險是否接受等級保護下風(fēng)險評估實施框架保護對象劃分和定級網(wǎng)絡(luò)系統(tǒng)劃分和定級資產(chǎn)脆弱性威脅風(fēng)險分析基本安全要求等級保護管理辦法、指南信息安全政策、標準、法律法規(guī)安全需求風(fēng)險列表安全規(guī)劃風(fēng)險評估等級保護下風(fēng)險評估實施框架保護對象劃分和定級網(wǎng)絡(luò)系統(tǒng)劃分和定4242風(fēng)險評估項目實施過程計劃準備實施報告跟蹤4242風(fēng)險評估項目實施過程計劃準備實施報告跟蹤4343評估工作各角色的責(zé)任評估組長評估員電網(wǎng)公司安全專責(zé)負責(zé)管理問卷訪談和運維問卷訪談;組織評估活動,控制協(xié)調(diào)進度,保證按計劃完成評估任務(wù);組織召開評估會議;代表評估小組與受評估方管理層接觸;組織撰寫風(fēng)險評估報告、現(xiàn)狀報告和安全改進建議提交評估報告。

負責(zé)風(fēng)險評估技術(shù)部分的內(nèi)容包括:網(wǎng)絡(luò)、主機系統(tǒng)、應(yīng)用和數(shù)據(jù)庫評估熟悉必要的文件和程序;準備風(fēng)險評估技術(shù)評估工具;撰寫每單位的評估報告;配合支持評估組長的工作,有效完成評估任務(wù);收存和保護與評估有關(guān)的文件。

負責(zé)配合顧問提供風(fēng)險評估相關(guān)的工作環(huán)境、評估實現(xiàn)條件;備份系統(tǒng)數(shù)據(jù);配合評估顧問完成資產(chǎn)分類、賦值、弱點威脅發(fā)現(xiàn)和賦值、風(fēng)險處理意見等工作;掌握風(fēng)險評估方法;收存和保護與評估有關(guān)的文件。完成掃描后,檢查風(fēng)險評估后系統(tǒng)的安全性和穩(wěn)定性4343評估工作各角色的責(zé)任評估組長評估員電網(wǎng)公司安全專責(zé)負4444風(fēng)險評估項目實施過程計劃準備實施報告跟蹤4444風(fēng)險評估項目實施過程計劃準備實施報告跟蹤4545制定評估計劃

評估計劃分年度計劃和具體的實施計劃,前者通常是評估策劃階段就需要完成的,是整個評估活動的總綱,而具體的評估實施計劃則是遵照年度評估計劃而對每次的評估活動所作的實施安排。

評估計劃通常應(yīng)該包含以下內(nèi)容:目的:申明組織實施內(nèi)部評估的目標。

時間安排:評估時間避免與重要業(yè)務(wù)活動發(fā)生沖突。

評估類型:集中方式(本次項目采用集中評估方式)

其他考慮因素:范圍、評估組織、評估要求、特殊情況等。評估實施計劃是對特定評估活動的具體安排,內(nèi)容通常包括:目的、范圍、準則、評估組成員及分工、評估時間和地點、首末次會議及報告時間評估計劃應(yīng)以文件形式頒發(fā),評估實施計劃應(yīng)該有評估組長簽名并得到主管領(lǐng)導(dǎo)的批準。4545制定評估計劃評估計劃分年度計劃和具體的實施計劃,4646風(fēng)險評估計劃示例評估目的評價信息安全管理體系運行的符合性和有效性評估范圍××××××××××××××××××評估準則《廣東電網(wǎng)公司信息安全管理辦法》《ISO27001信息安全管理體系》。評估小組評估組長×××評估組員×××××××××××××××評估活動

時間負責(zé)人備注填寫信息資產(chǎn)采集表X月上旬×××

實施風(fēng)險評估過程X月中旬×××

不符合項及高危風(fēng)險糾正X月末各相關(guān)部門負責(zé)人

跟蹤驗證X月上旬評估小組

召開風(fēng)險評估整改會議X月下旬信息部領(lǐng)導(dǎo)

編制編寫者×××?xí)r間×××年×月×日評估評估者×××(信息按照專責(zé)簽字)時間×××年×月×日批準批準者×××(信息部門領(lǐng)導(dǎo)簽字)時間×××年×月×日4646風(fēng)險評估計劃示例評估目的評價信息安全管理體系運行的符4747風(fēng)險評估實施計劃示例評估目的對ISMS進行內(nèi)部評估,為體系糾正提供依據(jù),為管理評審提供輸入評估范圍××××××××××××××評估準則《廣東電網(wǎng)公司信息安全管理辦法》《ISO27001信息安全管理體系》。評估方式集中式評估評估時間X年X月X-X月X日評估組織評估組長×××評估組員第一小組×××××××××第二小組×××××××××評估安排日期時間評估區(qū)域評估內(nèi)容第一小組第二小組第一小組第二小組X9:00-9:30會議室首次會議9:30-12:00

14:00-17:00

17:00-18:00

X9:00-11:00

11:00-12:00會議室評估小組會議14:00-15:00會議室末次會議編制編寫者×××?xí)r間×××年×月×日評估評估者×××(信息安全專責(zé)簽字)時間×××年×月×日批準批準者×××(信息部管理者簽字)時間×××年×月×日4747風(fēng)險評估實施計劃示例評估目的對ISMS進行內(nèi)部評估,4848風(fēng)險評估項目實施過程計劃準備實施報告跟蹤4848風(fēng)險評估項目實施過程計劃準備實施報告跟蹤4949檢查列表的四要素去哪里?找誰?查什么?如何查?4949檢查列表的四要素去哪里?找誰?查什么?如何查?5050風(fēng)險評估常用方法

檢查列表:評估員根據(jù)自己的需要,事先編制針對某方面問題的檢查列表,然后逐項檢查符合性,在確認檢查列表應(yīng)答時,評估員可以采取調(diào)查問卷、文件審查、現(xiàn)場觀察和人員訪談等方式。

文件評估:評估員在現(xiàn)場評估之前,應(yīng)該對受評估方與信息安全管理活動相關(guān)的所有文件進行審查,包括安全方針和目標、程序文件、作業(yè)指導(dǎo)書和記錄文件。

現(xiàn)場觀察:評估員到現(xiàn)場參觀,可以觀察并獲取關(guān)于現(xiàn)場物理環(huán)境、信息系統(tǒng)的安全操作和各類安全管理活動的第一手資料。

人員訪談:與受評估方人員進行面談,評估員可以了解其職責(zé)范圍、工作陳述、基本安全意識、對安全管理獲知的程度等信息。評估員進行人員訪談時要做好記錄和總結(jié),必要時要和訪談對象進行確認。

技術(shù)評估:評估員可以采用各種技術(shù)手段,對技術(shù)性控制的效力及符合性進行評估。這些技術(shù)性措施包括:自動化的掃描工具、網(wǎng)絡(luò)拓撲結(jié)構(gòu)分析、本地主機審查、滲透測試等。5050風(fēng)險評估常用方法檢查列表:評估員根據(jù)自己的需要,5151評估員檢查工具——檢查列表

檢查列表(Checklist)是評估員進行評估時必備的自用工具,是評估前需準備的一個重要工作文件。

在實施評估之前,評估員將根據(jù)分工情況來準備各自在現(xiàn)場評估所需的檢查列表,檢查列表的內(nèi)容,取決于評估主題和被評估部門的職能、范圍、評估方法及要求。

檢查列表在信息安全管理體系內(nèi)部評估中起著以下重要作用:

明確與評估目標有關(guān)的抽樣問題;

使評估程序規(guī)范化,減少評估工作的隨意性和盲目性;

保證評估目標始終明確,突出重點,避免在評估過程中因迷失方向而浪費時間;

更好地控制評估進度;

檢查列表、評估計劃和評估報告一起,都作為評估記錄而存檔。5151評估員檢查工具——檢查列表檢查列表(Checkl5252

檢查列表編寫的依據(jù),是評估準則,也就是信息安全管理標準、組織信息安全方針手冊等文件的要求

針對受評估部門的特點,重點選擇某些應(yīng)該格外關(guān)注的信息安全問題

信息的收集和驗證的方法應(yīng)該多種多樣,包括面談、觀察、文件和記錄的收集和匯總分析、從其他信息源(客戶反饋、外部報告等)收集信息等

檢查列表應(yīng)該具有可操作性

檢查列表內(nèi)容應(yīng)該能夠覆蓋體系所涉及的全部范圍和安全要求

如果采用了技術(shù)性評估,可在檢查列表中列出具體方法和工具

檢查列表的形式和詳略程度可采取靈活方式檢查列表要經(jīng)過信息安全主管人員審查無誤后才能使用檢查列表編寫注意事項5252檢查列表編寫的依據(jù),是評估準則,也就是信息安全管53風(fēng)險評估技術(shù)工具清單

技術(shù)漏洞掃描工具綠盟漏洞掃描器安信通數(shù)據(jù)庫掃描器

Nessus掃描器RatioanlAppscan53風(fēng)險評估技術(shù)工具清單技術(shù)漏洞掃描工具5454風(fēng)險評估項目實施過程計劃準備實施報告跟蹤5454風(fēng)險評估項目實施過程計劃準備實施報告跟蹤5555召開首次會議

在完成全部評估準備工作之后,評估小組就可以按照預(yù)先的計劃實施現(xiàn)場評估了,現(xiàn)場評估開始于首次會議,評估小組全體成員和受評估方領(lǐng)導(dǎo)及相關(guān)人員共同參加。

首次會議由評估組長主持,評估小組要向組織的相關(guān)人員介紹評估計劃、具體內(nèi)容、評估方法,并協(xié)調(diào)、澄清有關(guān)問題。

召開首次會議時,與會者應(yīng)該做好正式記錄。5555召開首次會議在完成全部評估準備工作之后,評估小組5656首次會議議程及內(nèi)容5656首次會議議程及內(nèi)容57風(fēng)險評估原則

在風(fēng)險評估前,需要對技術(shù)評估的風(fēng)險進行重審。

被評估方應(yīng)在接受技術(shù)評估前對業(yè)務(wù)系統(tǒng)備份。

在技術(shù)掃描過程中,需要系統(tǒng)管理員全程陪同。參考最近一年的風(fēng)險評估記錄.

在遇到異常情況時,及時通知管理員,并且停止評估。

技術(shù)評估安排在對系統(tǒng)影響較小的時間進行57風(fēng)險評估原則在風(fēng)險評估前,需要對技術(shù)評估的風(fēng)險進行重5858實施現(xiàn)場評估

首次會議之后,即可進入現(xiàn)場評估?,F(xiàn)場評估按計劃進行,評估內(nèi)容參照事先準備好的檢查列表。

評估期間,評估員應(yīng)該做好筆記和記錄,這些記錄是評估員提出報告的真憑實據(jù)。記錄的格式可以是“筆記式”,也可以是“記錄表式”,一般來說,內(nèi)審活動都應(yīng)該有統(tǒng)一的“現(xiàn)場評估記錄表”,便于規(guī)范化管理。

評估進行到適當(dāng)階段,評估組長應(yīng)該主持召開評估小組會議,借此了解各個評估員的工作進展,提出下一步工作要求,協(xié)調(diào)有關(guān)活動,并對已獲得的評估證據(jù)和評估發(fā)現(xiàn)展開分析和討論。5858實施現(xiàn)場評估首次會議之后,即可進入現(xiàn)場評估。現(xiàn)場5959對不符合項進行描述

無論是嚴重不符合項還是輕微不符合項,評估員都應(yīng)該將其記錄到不符合項報告中。不符合項報告是對現(xiàn)場評估得到的評估發(fā)現(xiàn)進行評審并經(jīng)過受評估方確認的對不符合項的陳述,是最終的評估報告的一部分,是評估小組提交給委托方或受評估方的正式文件。不符合項描述應(yīng)該明確以下內(nèi)容:在哪里發(fā)現(xiàn)的?描述相關(guān)區(qū)域、文件、記錄、設(shè)備發(fā)現(xiàn)了什么?客觀描述發(fā)現(xiàn)的事實有誰在場?或者和誰有關(guān)?描述相關(guān)人員、職位為什么不合格?描述不符合原因,所違背的標準或文件條款在對不符合項進行描述時,應(yīng)該注意:不符合項描述務(wù)必清楚明白,便于追溯描述語句務(wù)必正規(guī),采用標準術(shù)語5959對不符合項進行描述無論是嚴重不符合項還是輕微不符60現(xiàn)場工作時間安排(一)60現(xiàn)場工作時間安排(一)現(xiàn)場工作時間安排(二)現(xiàn)場工作時間安排(二)6262召開評估小組會議

現(xiàn)場評估結(jié)束后,末次會議召開之前,評估小組應(yīng)該召開內(nèi)部碰頭會。或者是在整個評估過程中,定期(每天結(jié)束時)召開評估小組碰頭會

同一評估小組的成員參加

會議期間討論當(dāng)前的評估結(jié)果

溝通評估信息、線索

協(xié)調(diào)評估方向,控制評估實施按計劃進行

評估組長作評估總結(jié)準備。在末次會議之前的評估組會議中,評估組長要對評估的觀察結(jié)果作一次匯總分析:

從發(fā)現(xiàn)的風(fēng)險進行分析(發(fā)生的部門、要素、性質(zhì)、類型)

從技術(shù)漏洞的趨勢分析(不同業(yè)務(wù)系統(tǒng)的比較)

從體系運行狀況對影響情況進行分析

總結(jié)各項安全措施落實的優(yōu)缺點6262召開評估小組會議現(xiàn)場評估結(jié)束后,末次會議召開之前6363召開末次會議

現(xiàn)場評估之后,評估組長應(yīng)該主持召開末次會議,有評估小組、受評估方領(lǐng)導(dǎo)和各相關(guān)部門負責(zé)人共同參加。

末次會議的任務(wù)在于:向受評估方介紹評估的情況;報告評估發(fā)現(xiàn)(重大風(fēng)險點)和評估結(jié)論;提出后續(xù)工作的建議(糾正措施等);結(jié)束現(xiàn)場評估。6363召開末次會議現(xiàn)場評估之后,評估組長應(yīng)該主持召開末6464末次會議議程及內(nèi)容6464末次會議議程及內(nèi)容電力行業(yè)典型系統(tǒng)構(gòu)架電力行業(yè)典型系統(tǒng)構(gòu)架資產(chǎn)識別模型網(wǎng)絡(luò)層機房、通信鏈路網(wǎng)絡(luò)設(shè)備1操作系統(tǒng)、主機設(shè)備軟件OA人員、文檔、制度業(yè)務(wù)層物理層主機層應(yīng)用層管理層EAI/EIP工程管理物資管理生產(chǎn)管理營銷系統(tǒng)人力資源綜合管理操作系統(tǒng)、主機設(shè)備網(wǎng)絡(luò)設(shè)備2數(shù)據(jù)軟件軟件軟件數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)層資產(chǎn)識別模型網(wǎng)絡(luò)層機房、通信鏈路網(wǎng)絡(luò)設(shè)備1操作系統(tǒng)、主機設(shè)備謝謝!某信息安全技術(shù)公司風(fēng)險評估概述課件風(fēng)險評估101藍盾信息安全技術(shù)股份有限公司程曉峰2009年11月1日風(fēng)險評估101藍盾信息安全技術(shù)股份有限公司2009年11月1什么是風(fēng)險評估?——從深夜一個回家的女孩開始講起……什么是風(fēng)險評估?——從深夜一個回家的女孩開始講起……風(fēng)險評估70風(fēng)險

風(fēng)險管理(RiskManagement)就是以可接受的代價,識別、控制、減少或消除可能影響信息系統(tǒng)的安全風(fēng)險的過程。在信息安全領(lǐng)域,風(fēng)險(Risk)就是指各種威脅導(dǎo)致安全事件發(fā)生的可能性及其對組織所造成的負面影響。風(fēng)險管理

風(fēng)險評估(RiskAssessment)就是對各方面風(fēng)險進行辨識和分析的過程,它包括風(fēng)險分析和風(fēng)險評價,是確認安全風(fēng)險及其大小的過程。風(fēng)險評估3風(fēng)險風(fēng)險管理(RiskManagemen風(fēng)險評估的基本概念風(fēng)險評估的基本概念資產(chǎn)影響威脅弱點風(fēng)險錢被偷100塊沒飯吃小偷打瞌睡服務(wù)器黑客軟件漏洞被入侵數(shù)據(jù)失密通俗的比喻資產(chǎn)影響威脅弱點風(fēng)險錢被偷100塊沒飯吃小偷打瞌睡服務(wù)器黑客風(fēng)險RISKRISKRISKRISK風(fēng)險原有風(fēng)險采取措施后的剩余風(fēng)險影響威脅脆弱性影響威脅脆弱性風(fēng)險管理的目標風(fēng)險RISKRISKRISKRISK風(fēng)險原有風(fēng)險采取措施后的風(fēng)險評估和風(fēng)險管理的關(guān)系風(fēng)險評估是風(fēng)險管理的關(guān)鍵環(huán)節(jié),在風(fēng)險管理循環(huán)中,必須依靠風(fēng)險評估來確定隨后的風(fēng)險控制與改進活動。風(fēng)險評估和風(fēng)險管理的關(guān)系風(fēng)險評估是風(fēng)險管理的關(guān)鍵環(huán)節(jié),在風(fēng)險信息安全屬性保密性CONFIDENTIALATY確保信息只能由那些被授權(quán)使用的人獲取完整性INTEGRITY保護信息及其處理方法的準確性和完整性可用性AVAILABILITY確保被授權(quán)使用人在需要時可以獲取信息和使用相關(guān)的資產(chǎn)信息安全屬性保密性CONFIDENTIALATY可用性確保獲得授權(quán)的用戶可訪問信息并使用相關(guān)信息資產(chǎn)

完整性保護信息和處理方法的準確和完整

確保只有獲得授權(quán)的人才能訪問信息

保密性進不來拿不走改不了跑不了看不懂可審查不可抵賴曾經(jīng)完成的操作和承諾不可抵賴性可控制網(wǎng)絡(luò)信息傳播及內(nèi)容可控性確保硬件、軟件、環(huán)境各方面的可靠運行可靠性信息安全之屬性可用性確保獲得授權(quán)的用戶可訪問信息并使用相關(guān)信息資產(chǎn)完整性風(fēng)險計算體系風(fēng)險計算體系風(fēng)險評價確定風(fēng)險的等級,有兩個關(guān)鍵因素要考慮(定性風(fēng)險評估):威脅對信息資產(chǎn)造成的影響(后果)威脅發(fā)生的可能性影響可以通過資產(chǎn)的價值(重要性)評估來確定??赡苄钥梢愿鶕?jù)對威脅因素和弱點因素的綜合考慮來確定。按照風(fēng)險分析模型計算得出風(fēng)險水平。風(fēng)險評價確定風(fēng)險的等級,有兩個關(guān)鍵因素要考慮(定性風(fēng)險評風(fēng)險評價示例風(fēng)險評價示例80確定風(fēng)險處置策略降低風(fēng)險(ReduceRisk)——采取適當(dāng)?shù)目刂拼胧﹣斫档惋L(fēng)險,包括技術(shù)手段和管理手段,如安裝防火墻,殺毒軟件,或是改善不規(guī)范的工作流程、制定業(yè)務(wù)連續(xù)性計劃,等等。避免風(fēng)險(AvoidRisk)——通過消除可能導(dǎo)致風(fēng)險發(fā)生的條件來避免風(fēng)險的發(fā)生,如將公司內(nèi)外網(wǎng)隔離以避免來自互聯(lián)網(wǎng)的攻擊,或是將機房安置在不可能造成水患的位置,等等。轉(zhuǎn)移風(fēng)險(TransferRisk)——將風(fēng)險全部或者部分地轉(zhuǎn)移到其他責(zé)任方,例如購買商業(yè)保險。接受風(fēng)險(AcceptRisk)——在實施了其他風(fēng)險應(yīng)對措施之后,對于殘留的風(fēng)險,組織可以有意識地選擇接受。13確定風(fēng)險處置策略降低風(fēng)險(ReduceRisk)—81評價殘留風(fēng)險絕對安全(即零風(fēng)險)是不可能的。實施安全控制后會有殘留風(fēng)險或殘存風(fēng)險(ResidualRisk)。為了確保信息安全,應(yīng)該確保殘留風(fēng)險在可接受的范圍內(nèi):殘留風(fēng)險Rr=原有的風(fēng)險R0-控制ΔR

殘留風(fēng)險Rr≤可接受的風(fēng)險Rt

對殘留風(fēng)險進行確認和評價的過程其實就是風(fēng)險接受的過程。決策者可以根據(jù)風(fēng)險評估的結(jié)果來確定一個閥值,以該閥值作為是否接受殘留風(fēng)險的標準。14評價殘留風(fēng)險絕對安全(即零風(fēng)險)是不可能的。ISO27001信息安全管理體系建立ISO27001信息安全管理體系建立ISO17799:2005業(yè)務(wù)連續(xù)性管理(Businesscontinuitymanagement)信息安全事故管理(Informationsecurityincidentmanagement)訪問控制(Accesscontrol)人力資源安全(Humanresources

security)物理和環(huán)境安全(Physicaland

environmental

security)通信和操作安全(Communications

andoperationsManagement)信息系統(tǒng)采集開發(fā)和維護(Informationsystem

acquisition,development

andmaintenance)資產(chǎn)管理(Assetmanagement)信息安全的組織(Organizinginformationsecurity)安全策略(SecurityPolicy)ISO17799:2005業(yè)務(wù)連續(xù)性管理(Business基于ISO27001的信息安全管理體系架構(gòu)A15合規(guī)性相關(guān)方要求實施(D)策劃(P)改進(A)檢查(C)相關(guān)方滿意A14業(yè)務(wù)連續(xù)性管理A13信息安全事件管理A7資產(chǎn)管理A6組織信息安全A5安全方針A11訪問控制A8人力資源安全A9物理/環(huán)境安全A10通訊運營管理A12信息系統(tǒng)獲取、開發(fā)及維護人員技術(shù)信息流程環(huán)境注:11控制域,39控制目標,133控制措施基于ISO27001的信息安全管理體系架構(gòu)A15合規(guī)性相等保測評與風(fēng)險評估的區(qū)別目的不同等級測評:以是否符合等級保護基本要求為目的照方抓藥風(fēng)險評估:以PDCA循環(huán)持續(xù)推進風(fēng)險管理為目的對癥下藥等保測評與風(fēng)險評估的區(qū)別目的不同等保測評與風(fēng)險評估的區(qū)別參照標準不同等級測評:GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》GA/T387-2002《計算機信息系統(tǒng)安全等級保護網(wǎng)絡(luò)技術(shù)要求》GA388-2002《計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術(shù)要求》GA/T389-2002《計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求》GA/T390-2002《計算機信息系統(tǒng)安全等級保護通用技術(shù)要求》GA391-2002《計算機信息系統(tǒng)安全等級保護管理要求》…風(fēng)險評估:BS7799ISO17799ISO27001ISO27002GBT20984-2007《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》…等保測評與風(fēng)險評估的區(qū)別參照標準不同等保測評與風(fēng)險評估的區(qū)別可以簡單的理解為等保是標準或體系,風(fēng)險評估是一種針對性的手段。等保測評與風(fēng)險評估的區(qū)別可以簡單的理解為等保是標準或體系,風(fēng)為什么需要進行風(fēng)險評估?——該買辣椒水呢還是請保鏢?為什么需要進行風(fēng)險評估?——該買辣椒水呢還是請保鏢?什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?兩個基本問題什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?兩個基本什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?風(fēng)險分析風(fēng)險管理基本問題的答案什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?風(fēng)險分析潛在損失在可以承受范圍之內(nèi)的系統(tǒng)風(fēng)險分析安全決策風(fēng)險管理兩個答案的相關(guān)性潛在損失在可以承受范圍之內(nèi)的系統(tǒng)風(fēng)險分析安全決策風(fēng)險管理兩個信息安全的演化信息安全的演化概念的演化和技術(shù)的演化同步概念的演化和技術(shù)的演化同步可信是保障概念的延續(xù)可信是保障概念的延續(xù)信息安全的事實廣泛安全是一個廣泛的主題,它涉及到許多不同的區(qū)域(物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理等),每個區(qū)域都有其相關(guān)的風(fēng)險、威脅及解決方法。動態(tài)相對絕對的信息安全是不存在的。信息安全問題的解決只能通過一系列的規(guī)劃和措施,把風(fēng)險降低到可被接受的程度,同時采取適當(dāng)?shù)臋C制使風(fēng)險保持在此程度之內(nèi)。當(dāng)信息系統(tǒng)發(fā)生變化時應(yīng)當(dāng)重新規(guī)劃和實施來適應(yīng)新的安全需求。人信息系統(tǒng)的安全往往取決于系統(tǒng)中最薄弱的環(huán)節(jié)-人。人是信息安全中最關(guān)鍵的因素,同時也應(yīng)該清醒的認識到人也是信息安全中最薄弱的環(huán)節(jié)。僅僅依賴于安全產(chǎn)品的堆積來應(yīng)對迅速發(fā)展變化的各種攻擊手段是不能持續(xù)有效的。信息安全建設(shè)是一項復(fù)雜的系統(tǒng)工程,要從觀念上進行轉(zhuǎn)變,規(guī)劃、管理、技術(shù)等多種因素相結(jié)合使之成為一個可持續(xù)的動態(tài)發(fā)展的過程。信息安全的事實廣泛安全是一個廣泛的主題,它涉及到許多不同的區(qū)

安全保障體系建設(shè)安全成本效率

安全

-效率曲線

安全-

成本曲線要研究建設(shè)信息安全的綜合成本與信息安全風(fēng)險之間的平衡,而不是要片面追求不切實際的安全不同的信息系統(tǒng),對于安全的要求不同,不是“越安全越好”安全保障體系建設(shè)安成本安全-效率曲線信息安全保障能力成長階段成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源:GartnerInc.2006年1月30%50%15%5%信息安全保障能力成長階段成熟度時間盲目自信認知階段改進階段卓能力成長階段的劃分盲目自信階段普遍缺乏安全意識,對企業(yè)安全狀況不了解,未意識到信息安全風(fēng)險的嚴重性認知階段通過信息安全風(fēng)險評估等,企業(yè)意識到自身存在的信息安全風(fēng)險,開始采取一些措施提升信息安全水平改進階段意識到局部的、單一的信息安全控制措施難以明顯改善企業(yè)信息安全狀況,開始進行全面的信息安全架構(gòu)設(shè)計,有計劃的建設(shè)信息安全保障體系卓越運營階段信息安全改進項目完成后,在擁有較為全面的信息安全控制能力基礎(chǔ)上,建立持續(xù)改進的機制,以應(yīng)對安全風(fēng)險的變化,不斷提升安全控制能力能力成長階段的劃分盲目自信階段各個階段的主要工作任務(wù)成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源:GartnerInc.2006年1月30%50%15%5%基本安全產(chǎn)品部署主要人員的培訓(xùn)教育建立安全團隊制定安全方針政策評估并了解現(xiàn)狀各個階段的主要工作任務(wù)成熟度時間盲目自信認知階段改進階段卓越各個階段的主要工作任務(wù)成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源:GartnerInc.2006年1月30%50%15%5%啟動信息安全戰(zhàn)略項目設(shè)計信息安全架構(gòu)建立信息安全流程完成信息安全改進項目各個階段的主要工作任務(wù)成熟度時間盲目自信認知階段改進階段卓越各個階段的主要工作任務(wù)成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源:GartnerInc.2006年1月30%50%15%5%信息安全流程的持續(xù)改進追蹤技術(shù)和業(yè)務(wù)的變化各個階段的主要工作任務(wù)成熟度時間盲目自信認知階段改進階段卓越怎么做風(fēng)險評估?——怎么做風(fēng)險評估?——可能的攻擊信息的價值可能的損失風(fēng)險評估簡要版可能的攻擊信息的價值可能的損失風(fēng)險評估簡要版資產(chǎn)威脅影響弱點控制可能性+=當(dāng)前的危險級別風(fēng)險分析方法示意圖資產(chǎn)威脅影響弱點控制可能性+=當(dāng)前的危險級別風(fēng)險分析方法示意損失的量化必須圍繞用戶的核心價值,用戶的核心業(yè)務(wù)流程如何量化損失損失的量化必須圍繞用戶的核心價值,用戶的核心業(yè)務(wù)流程如何量化風(fēng)險管理趨勢IT安全風(fēng)險成為企業(yè)運營風(fēng)險中最為重要的一個組成部分,業(yè)務(wù)連續(xù)性逐漸與安全并行考慮來源:Gartner風(fēng)險管理趨勢IT安全風(fēng)險成為企業(yè)運營風(fēng)險中最為重要的一個組成否是否是風(fēng)險評估的準備已有安全措施的確認風(fēng)險計算風(fēng)險是否接受保持已有的控制措施施施施選擇適當(dāng)?shù)目刂拼胧┎⒃u估殘余風(fēng)險實施風(fēng)險管理脆弱性識別威脅識別資產(chǎn)識別是否接受殘余風(fēng)險

風(fēng)險識別評估過程文檔評估過程文檔風(fēng)險評估結(jié)果記錄評估結(jié)果文檔…否是否是風(fēng)險評估的準備已有安全措施的確認風(fēng)險計算風(fēng)險是否接受等級保護下風(fēng)險評估實施框架保護對象劃分和定級網(wǎng)絡(luò)系統(tǒng)劃分和定級資產(chǎn)脆弱性威脅風(fēng)險分析基本安全要求等級保護管理辦法、指南信息安全政策、標準、法律法規(guī)安全需求風(fēng)險列表安全規(guī)劃風(fēng)險評估等級保護下風(fēng)險評估實施框架保護對象劃分和定級網(wǎng)絡(luò)系統(tǒng)劃分和定109109風(fēng)險評估項目實施過程計劃準備實施報告跟蹤4242風(fēng)險評估項目實施過程計劃準備實施報告跟蹤110110評估工作各角色的責(zé)任評估組長評估員電網(wǎng)公司安全專責(zé)負責(zé)管理問卷訪談和運維問卷訪談;組織評估活動,控制協(xié)調(diào)進度,保證按計劃完成評估任務(wù);組織召開評估會議;代表評估小組與受評估方管理層接觸;組織撰寫風(fēng)險評估報告、現(xiàn)狀報告和安全改進建議提交評估報告。

負責(zé)風(fēng)險評估技術(shù)部分的內(nèi)容包括:網(wǎng)絡(luò)、主機系統(tǒng)、應(yīng)用和數(shù)據(jù)庫評估熟悉必要的文件和程序;準備風(fēng)險評估技術(shù)評估工具;撰寫每單位的評估報告;配合支持評估組長的工作,有效完成評估任務(wù);收存和保護與評估有關(guān)的文件。

負責(zé)配合顧問提供風(fēng)險評估相關(guān)的工作環(huán)境、評估實現(xiàn)條件;備份系統(tǒng)數(shù)據(jù);配合評估顧問完成資產(chǎn)分類、賦值、弱點威脅發(fā)現(xiàn)和賦值、風(fēng)險處理意見等工作;掌握風(fēng)險評估方法;收存和保護與評估有關(guān)的文件。完成掃描后,檢查風(fēng)險評估后系統(tǒng)的安全性和穩(wěn)定性4343評估工作各角色的責(zé)任評估組長評估員電網(wǎng)公司安全專責(zé)負111111風(fēng)險評估項目實施過程計劃準備實施報告跟蹤4444風(fēng)險評估項目實施過程計劃準備實施報告跟蹤112112制定評估計劃

評估計劃分年度計劃和具體的實施計劃,前者通常是評估策劃階段就需要完成的,是整個評估活動的總綱,而具體的評估實施計劃則是遵照年度評估計劃而對每次的評估活動所作的實施安排。

評估計劃通常應(yīng)該包含以下內(nèi)容:目的:申明組織實施內(nèi)部評估的目標。

時間安排:評估時間避免與重要業(yè)務(wù)活動發(fā)生沖突。

評估類型:集中方式(本次項目采用集中評估方式)

其他考慮因素:范圍、評估組織、評估要求、特殊情況等。評估實施計劃是對特定評估活動的具體安排,內(nèi)容通常包括:目的、范圍、準則、評估組成員及分工、評估時間和地點、首末次會議及報告時間評估計劃應(yīng)以文件形式頒發(fā),評估實施計劃應(yīng)該有評估組長簽名并得到主管領(lǐng)導(dǎo)的批準。4545制定評估計劃評估計劃分年度計劃和具體的實施計劃,113113風(fēng)險評估計劃示例評估目的評價信息安全管理體系運行的符合性和有效性評估范圍××××××××××××××××××評估準則《廣東電網(wǎng)公司信息安全管理辦法》《ISO27001信息安全管理體系》。評估小組評估組長×××評估組員×××××××××××××××評估活動

時間負責(zé)人備注填寫信息資產(chǎn)采集表X月上旬×××

實施風(fēng)險評估過程X月中旬×××

不符合項及高危風(fēng)險糾正X月末各相關(guān)部門負責(zé)人

跟蹤驗證X月上旬評估小組

召開風(fēng)險評估整改會議X月下旬信息部領(lǐng)導(dǎo)

編制編寫者×××?xí)r間×××年×月×日評估評估者×××(信息按照專責(zé)簽字)時間×××年×月×日批準批準者×××(信息部門領(lǐng)導(dǎo)簽字)時間×××年×月×日4646風(fēng)險評估計劃示例評估目的評價信息安全管理體系運行的符114114風(fēng)險評估實施計劃示例評估目的對ISMS進行內(nèi)部評估,為體系糾正提供依據(jù),為管理評審提供輸入評估范圍××××××××××××××評估準則《廣東電網(wǎng)公司信息安全管理辦法》《ISO27001信息安全管理體系》。評估方式集中式評估評估時間X年X月X-X月X日評估組織評估組長×××評估組員第一小組×××××××××第二小組×××××××××評估安排日期時間評估區(qū)域評估內(nèi)容第一小組第二小組第一小組第二小組X9:00-9:30會議室首次會議9:30-12:00

14:00-17:00

17:00-18:00

X9:00-11:00

11:00-12:00會議室評估小組會議14:00-15:00會議室末次會議編制編寫者×××?xí)r間×××年×月×日評估評估者×××(信息安全專責(zé)簽字)時間×××年×月×日批準批準者×××(信息部管理者簽字)時間×××年×月×日4747風(fēng)險評估實施計劃示例評估目的對ISMS進行內(nèi)部評估,115115風(fēng)險評估項目實施過程計劃準備實施報告跟蹤4848風(fēng)險評估項目實施過程計劃準備實施報告跟蹤116116檢查列表的四要素去哪里?找誰?查什么?如何查?4949檢查列表的四要素去哪里?找誰?查什么?如何查?117117風(fēng)險評估常用方法

檢查列表:評估員根據(jù)自己的需要,事先編制針對某方面問題的檢查列表,然后逐項檢查符合性,在確認檢查列表應(yīng)答時,評估員可以采取調(diào)查問卷、文件審查、現(xiàn)場觀察和人員訪談等方式。

文件評估:評估員在現(xiàn)場評估之前,應(yīng)該對受評估方與信息安全管理活動相關(guān)的所有文件進行審查,包括安全方針和目標、程序文件、作業(yè)指導(dǎo)書和記錄文件。

現(xiàn)場觀察:評估員到現(xiàn)場參觀,可以觀察并獲取關(guān)于現(xiàn)場物理環(huán)境、信息系統(tǒng)的安全操作和各類安全管理活動的第一手資料。

人員訪談:與受評估方人員進行面談,評估員可以了解其職責(zé)范圍、工作陳述、基本安全意識、對安全管理獲知的程度等信息。評估員進行人員訪談時要做好記錄和總結(jié),必要時要和訪談對象進行確認。

技術(shù)評估:評估員可以采用各種技術(shù)手段,對技術(shù)性控制的效力及符合性進行評估。這些技術(shù)性措施包括:自動化的掃描工具、網(wǎng)絡(luò)拓撲結(jié)構(gòu)分析、本地主機審查、滲透測試等。5050風(fēng)險評估常用方法檢查列表:評估員根據(jù)自己的需要,118118評估員檢查工具——檢查列表

檢查列表(Checklist)是評估員進行評估時必備的自用工具,是評估前需準備的一個重要工作文件。

在實施評估之前,評估員將根據(jù)分工情況來準備各自在現(xiàn)場評估所需的檢查列表,檢查列表的內(nèi)容,取決于評估主題和被評估部門的職能、范圍、評估方法及要求。

檢查列表在信息安全管理體系內(nèi)部評估中起著以下重要作用:

明確與評估目標有關(guān)的抽樣問題;

使評估程序規(guī)范化,減少評估工作的隨意性和盲目性;

保證評估目標始終明確,突出重點,避免在評估過程中因迷失方向而浪費時間;

更好地控制評估進度;

檢查列表、評估計劃和評估報告一起,都作為評估記錄而存檔。5151評估員檢查工具——檢查列表檢查列表(Checkl119119

檢查列表編寫的依據(jù),是評估準則,也就是信息安全管理標準、組織信息安全方針手冊等文件的要求

針對受評估部門的特點,重點選擇某些應(yīng)該格外關(guān)注的信息安全問題

信息的收集和驗證的方法應(yīng)該多種多樣,包括面談、觀察、文件和記錄的收集和匯總分析、從其他信息源(客戶反饋、外部報告等)收集信息等

檢查列表應(yīng)該具有可操作性

檢查列表內(nèi)容應(yīng)該能夠覆蓋體系所涉及的全部

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論