CISP總結(jié)-風(fēng)險(xiǎn)評(píng)價(jià)

1、1.風(fēng)險(xiǎn)評(píng)估在27號(hào)文件中有，風(fēng)險(xiǎn)評(píng)估等級(jí)與平安等級(jí)之間 的關(guān)系。通常要比等級(jí)保護(hù)級(jí)低。風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)的 上下可以判斷等級(jí)保護(hù)的超前滯后性。標(biāo)準(zhǔn)在執(zhí)行過(guò)程中 都是彈性的。2 .評(píng)估承當(dāng)單位：涉密：保密局。非密：測(cè)評(píng)中心、國(guó)家信 息技術(shù)平安研究中心、公安部信息平安等級(jí)保護(hù)中心。3 .一次測(cè)評(píng)工作，提交兩個(gè)測(cè)評(píng)報(bào)告，即風(fēng)險(xiǎn)評(píng)估報(bào)告和等 保測(cè)評(píng)報(bào)告4 .識(shí)別：平安控制措施、資產(chǎn)、威脅、漏洞。5 .一個(gè)簡(jiǎn)化的風(fēng)險(xiǎn)評(píng)估流程：準(zhǔn)備(Readiness)、識(shí)別(Realization)、計(jì)算(Calculation)威脅概率、事件影響、風(fēng)險(xiǎn)定級(jí)卜 報(bào)告(Report)6 .威脅：威脅源、威脅目標(biāo)、威脅方

2、式。威脅分為人為和自 然兩類7 .風(fēng)險(xiǎn)衡量的方法？威脅的概率、脆弱性的概率、資產(chǎn)識(shí)別 的概率。計(jì)算時(shí)：脆弱性乘兩次。即風(fēng)險(xiǎn)值=(資產(chǎn)值*脆弱性)* (脆弱性*威脅)資產(chǎn)*脆弱=資產(chǎn)的損失值脆弱性*威脅=每年發(fā)生損失的概率8 .定量分析：制定資產(chǎn)價(jià)值。單一預(yù)期損失ALE , 136009 .計(jì)算題要考。10 .平安投資收益：(實(shí)施控制前的ALE)(實(shí)施控制后的ALE-平安投資本錢11. GB/T 20274-2006信息系統(tǒng)平安保障評(píng)估框架12 . GB/T 20984-2007信息平安風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)13 . GB/T 18336-2001信息技術(shù)平安性評(píng)估準(zhǔn)那么14 .好的風(fēng)險(xiǎn)管理過(guò)程具有本錢效

3、益性，遵循PDCA15 .正確的風(fēng)險(xiǎn)管理方法是前瞻性風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)管理的結(jié)合。16 .資產(chǎn)是對(duì)組織有價(jià)值的東西，重要性等級(jí)由資產(chǎn)所有者確 定，存在多種形式。17 .平安風(fēng)險(xiǎn)的可能性是威脅利用脆弱造成后果的可能性。是 兩個(gè)結(jié)合的結(jié)果。18 .信息平安風(fēng)險(xiǎn)是一一信息平安風(fēng)險(xiǎn)是指一種特定的威脅利 用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性。19 .風(fēng)險(xiǎn)管理包括四個(gè)階段兩個(gè)過(guò)程20 .風(fēng)險(xiǎn)處置包括減低、轉(zhuǎn)移、躲避、接受風(fēng)險(xiǎn)。21 .?國(guó)家網(wǎng)絡(luò)與信息平安協(xié)調(diào)小組關(guān)于開(kāi)展信息平安風(fēng)險(xiǎn)評(píng) 估工作的意見(jiàn)?國(guó)信辦20065號(hào)，規(guī)定了風(fēng)險(xiǎn)評(píng)估工作的 的相關(guān)要求。22 .信息平安風(fēng)險(xiǎn)工作貫穿信息系統(tǒng)全生命周

4、期。23 .發(fā)改高技20212071號(hào)文件?關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程 建設(shè)工程信息平安風(fēng)險(xiǎn)評(píng)估工作的通知?提出了 “信息安全審計(jì)24 .風(fēng)險(xiǎn)評(píng)估一般由業(yè)主單位組織，全面細(xì)致，但執(zhí)行力較差， 檢查評(píng)估一般由上級(jí)單位組織，范圍小，粒度粗但有力度。等級(jí)保護(hù)測(cè)評(píng)是按照等級(jí)保護(hù)要求的合規(guī)性測(cè)評(píng)。25 .威脅分為自然和人為威脅。人為分為成心和非成心威脅。26 .平安控制措施：防護(hù)性措施、威懾性措施、預(yù)警性措施、 檢測(cè)性措施、應(yīng)急處理性措施27 .風(fēng)險(xiǎn)值=R(L(T,V),F(la,Va)風(fēng)險(xiǎn)值=R(A,T,V) = R(L(T , V),F(Ia, Va)。其中，R表示平安風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示 資產(chǎn)；T表

5、示威脅；V表示脆弱性；Ia表示平安事件所作 用的資產(chǎn)價(jià)值；Va表示脆弱性嚴(yán)重程度；L表示威脅利用 資產(chǎn)的脆弱性導(dǎo)致平安事件的可能性；F表示平安事件發(fā)生后造成的損失。28 .定量分析集中在資產(chǎn)價(jià)值和環(huán)節(jié)的風(fēng)險(xiǎn)，具有本錢效益計(jì) 算的特點(diǎn)，但執(zhí)行難度較大；定性分析以主觀為主，實(shí)用 性較好，但缺乏本錢分析。29 . ALE=SLE*ARO=A V*EF*ARO30 . GB/Z24364信息平安風(fēng)險(xiǎn)管理指南：四個(gè)階段，兩個(gè)貫穿建立背景【風(fēng)險(xiǎn)管理準(zhǔn)備(確定風(fēng)險(xiǎn)管理對(duì)象責(zé)任單位、單一業(yè)務(wù)、系統(tǒng)元素如主機(jī)等,組建風(fēng)險(xiǎn)管理團(tuán)隊(duì)， 制定風(fēng)險(xiǎn)管理方案，獲得支持)、信息系統(tǒng)調(diào)查(業(yè)務(wù)目標(biāo)， 業(yè)務(wù)特性，技術(shù)特性，管理

6、特性)、信息系統(tǒng)分析()、信息平安分析】、風(fēng)險(xiǎn)評(píng)估【風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)要素識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)結(jié)果判定】、風(fēng)險(xiǎn)處理、批準(zhǔn)監(jiān)督；監(jiān) 控審查、溝通咨詢。31 .風(fēng)險(xiǎn)管理貫穿系統(tǒng)全生命周期32 .規(guī)劃階段一一明確平安方針、平安需求分析、風(fēng)險(xiǎn)評(píng)估準(zhǔn) 那么達(dá)成一致、平安實(shí)現(xiàn)論證分析33 .設(shè)計(jì)階段一一設(shè)計(jì)方案分析論證、平安技術(shù)選擇、平安產(chǎn) 品選擇、自開(kāi)發(fā)軟件設(shè)計(jì)風(fēng)險(xiǎn)處理；實(shí)現(xiàn)結(jié)構(gòu)和實(shí)施方案34 .實(shí)施階段一一平安測(cè)試、檢查與配置、人員培訓(xùn)、授權(quán)系 統(tǒng)運(yùn)行35 .廢棄階段確定廢棄對(duì)象、廢棄對(duì)象的風(fēng)險(xiǎn)評(píng)估、廢棄 過(guò)程的風(fēng)險(xiǎn)處理、廢棄后的評(píng)審36 .?國(guó)家網(wǎng)絡(luò)與信息平安協(xié)調(diào)小組關(guān)于開(kāi)展信息平安風(fēng)險(xiǎn) 評(píng)估工作的

7、意見(jiàn)?國(guó)信辦【2006】5號(hào)文信息平安風(fēng)險(xiǎn) 評(píng)估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全生命周期。37 .發(fā)改委要求：風(fēng)險(xiǎn)評(píng)估一次測(cè)評(píng)工作，提交兩個(gè)測(cè)評(píng)報(bào)告， 即風(fēng)險(xiǎn)評(píng)估報(bào)告和等保測(cè)評(píng)報(bào)告38 .等保測(cè)評(píng)、平安檢查都是在既定平安基線的根底上開(kāi)展的 符合性測(cè)評(píng)，其中等保測(cè)評(píng)是符合國(guó)家平安要求的測(cè)評(píng)，平安檢查是符合行業(yè)主管平安要求的符合性測(cè)評(píng)。而風(fēng)險(xiǎn) 評(píng)估是在國(guó)家、行業(yè)平安要求的根底上，以被評(píng)估系統(tǒng)特 定平安要求為目標(biāo)而開(kāi)展的風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)活動(dòng)。39 .威脅三問(wèn) “敵人在哪兒？效果如何？如何取證？40 .脆弱性三性三性：隱蔽性、欺騙性、復(fù)雜性41 .資產(chǎn)的三性一一保密性，完整性，可用性42 .平安管理

8、保障三要素一一技術(shù)、管理、工程43 .風(fēng)險(xiǎn)評(píng)估根本要素一一威脅、脆弱性、資產(chǎn)44 . IATF個(gè)核心要素一一人、技術(shù)、操作45 .個(gè)人計(jì)算機(jī)犯罪的三個(gè)條件一一技術(shù)、動(dòng)機(jī)、工具或手段46 .種鑒別方式-你知道的what you口令；你有什么what you have智能卡；你是什么what you are特征。47 .應(yīng)急響應(yīng)措施一一人力、物質(zhì)、技術(shù)48 .安息平安分級(jí)要素一一信息重要程度、系統(tǒng)損失、社會(huì)影響49 .等保分級(jí)要素一一重要程度、危害程度50 .平安控制措施一一預(yù)防、檢查、糾正法律法規(guī)1.?國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息平安保障工作的意見(jiàn)? 中辦發(fā)200327號(hào)2 .主要任務(wù)重點(diǎn)加強(qiáng)

9、的平安保障工作實(shí)行信息平安等級(jí)保護(hù)加強(qiáng)以密碼技術(shù)為根底的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)建設(shè)和完善信息平安監(jiān)控體系重視信息平安應(yīng)急處理工作加強(qiáng)信息平安技術(shù)研究開(kāi)發(fā)，推進(jìn)信息平安產(chǎn)業(yè)開(kāi)展加強(qiáng)信息平安法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)加快信息平安人才培養(yǎng)，增強(qiáng)全民信息平安意識(shí)保證信息平安資金加強(qiáng)對(duì)信息平安保障工作的領(lǐng)導(dǎo)，建立健全信息平安管理責(zé)任制3 .關(guān)于加強(qiáng)政府信息系統(tǒng)平安和保密管理工作的通知國(guó)辦發(fā)202117號(hào)：誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)等保要求，誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)4 .平安事件：4級(jí)，7類5 .關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)工程信息平安風(fēng)險(xiǎn)評(píng)估工作 的通知發(fā)改高技20212071號(hào)：涉密系統(tǒng)“分級(jí)保護(hù)； 非涉密系統(tǒng)“等級(jí)保護(hù)o6 . GB強(qiáng)制性國(guó)家標(biāo)準(zhǔn)；GB/T推薦性國(guó)家標(biāo)準(zhǔn)；GB/Z國(guó)家標(biāo) 準(zhǔn)化指導(dǎo)性技術(shù)文件7 .國(guó)標(biāo)委高新函20041號(hào)文決定，自2004年1月起，各有關(guān)部門在申報(bào)信息平安國(guó)家標(biāo)準(zhǔn)方案工程時(shí)，必須經(jīng)信息平安標(biāo)委會(huì)提出工作意見(jiàn)，協(xié)調(diào)一致后由信息平安標(biāo)委會(huì)組織中報(bào)；在國(guó)家標(biāo)準(zhǔn)制定過(guò)程中，標(biāo)準(zhǔn)工作組或主要起草單位要與信息平安標(biāo)委會(huì)積極合作，并由信息平安標(biāo)委會(huì)完成國(guó)家