信息安全風(fēng)險(xiǎn)評估培訓(xùn)

1、信息安全風(fēng)險(xiǎn)評估.什么是風(fēng)險(xiǎn)評估？什么是風(fēng)險(xiǎn)評估？從深夜一個回家的女孩開始講起.風(fēng)險(xiǎn)評估的基本概念.各安全組件之間的關(guān)系.資產(chǎn)影響威脅弱點(diǎn)風(fēng)險(xiǎn)錢被偷100塊沒飯吃小偷打瞌睡服務(wù)器黑客軟件漏洞被入侵?jǐn)?shù)據(jù)失密通俗的比喻.6 概概 述述. 相關(guān)概念u 資產(chǎn)（資產(chǎn)（Asset） 任何對企業(yè)具有價(jià)值的東西任何對企業(yè)具有價(jià)值的東西，包括計(jì)算機(jī)硬件、通信設(shè)施、建筑物、數(shù)據(jù)庫、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。u 威脅（威脅（Threat） 可能對資產(chǎn)或企業(yè)造成損害的某種安全事件發(fā)生的潛在原因，通常需要識別出威脅源（Threat source）或威脅代理（Threat agent）

2、。u 弱點(diǎn)（弱點(diǎn)（Vulnerability） 也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點(diǎn)，弱點(diǎn)一旦被利用，就可能對資產(chǎn)造成損害。u 風(fēng)險(xiǎn)（風(fēng)險(xiǎn)（Risk） 特定威脅利用資產(chǎn)弱點(diǎn)給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性。u 可能性（可能性（Likelihood） 對威脅發(fā)生幾率（Probability）或頻率（Frequency）的定性描述。u 影響（影響（Impact） 后果（Consequence），意外事件發(fā)生給企業(yè)帶來的直接或間接的損失或傷害。u 安全措施（安全措施（Safeguard） 控制措施（control）或?qū)Σ撸╟ountermeasure），即通過防范威脅、減

3、少弱點(diǎn)、限制意外事件帶來影響等途徑來消減風(fēng)險(xiǎn)的機(jī)制、方法和措施。u 殘留風(fēng)險(xiǎn)（殘留風(fēng)險(xiǎn)（Residual Risk） 在實(shí)施安全措施之后仍然存在的風(fēng)險(xiǎn)。.風(fēng)險(xiǎn)風(fēng)險(xiǎn)RISKRISKRISKRISKRISKRISKRISKRISK風(fēng)險(xiǎn)風(fēng)險(xiǎn)原有風(fēng)險(xiǎn)原有風(fēng)險(xiǎn)采取措施后的剩余風(fēng)險(xiǎn)采取措施后的剩余風(fēng)險(xiǎn)脆弱性脆弱性.資產(chǎn)分類方法分分類類示例示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料,包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、 計(jì)劃、報(bào)告、用戶手冊、各類紙質(zhì)的文檔等軟件系統(tǒng)軟件:操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、語句包、開發(fā)系統(tǒng)等 應(yīng)用軟件:辦公軟件、數(shù)據(jù)庫軟件、各類工具軟件等 源程序:各種共享源代碼、自行或合作開

4、發(fā)的各種代碼等硬件網(wǎng)絡(luò)設(shè)備:路由器、網(wǎng)關(guān)、交換機(jī)等計(jì)算機(jī)設(shè)備:大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺式計(jì)算機(jī)、便攜計(jì)算機(jī)等存儲設(shè)備:磁帶機(jī)、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等傳輸線路:光纖、雙絞線等保障設(shè)備: UPS、變電設(shè)備等、空調(diào)、保險(xiǎn)柜、文件柜、門禁、消防設(shè)施等安全保障：防火墻、入侵檢測系統(tǒng)、身份鑒別等其他:打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等.資產(chǎn)分類方法分分類類示例示例服務(wù)信息服務(wù):對外依賴該系統(tǒng)開展的各類服務(wù) 網(wǎng)絡(luò)服務(wù):各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù) 辦公服務(wù):為提高效率而開發(fā)的管理信息系統(tǒng),包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)人員掌握重要信息和核心業(yè)務(wù)的人員,如主機(jī)維護(hù)主管

5、、網(wǎng)絡(luò)維護(hù)主管及應(yīng)用項(xiàng)目經(jīng)理等其它企業(yè)形象、客戶關(guān)系等.資產(chǎn)識別模型網(wǎng)絡(luò)層機(jī)房、通信鏈路網(wǎng)絡(luò)設(shè)備1操作系統(tǒng)、主機(jī)設(shè)備軟件OA人員、文檔、制度業(yè)務(wù)層物理層主機(jī)層應(yīng)用層管理層EAI/EIP 工程管理物資管理生產(chǎn)管理營銷系統(tǒng)人力資源綜合管理操作系統(tǒng)、主機(jī)設(shè)備網(wǎng)絡(luò)設(shè)備2數(shù)據(jù)軟件軟件軟件數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)層.資產(chǎn)價(jià)值的評估.信息安全屬性 保密性CONFIDENTIALATY確保信息只能由那些被授權(quán)使用的人獲取 完整性INTEGRITY保護(hù)信息及其處理方法的準(zhǔn)確性和完整性 可用性AVAILABILITY確保被授權(quán)使用人在需要時可以獲取信息和使用相關(guān)的資產(chǎn).資產(chǎn)等級計(jì)算公式 AV=F(AC,A

6、I,AA) 例1：AV=MAX(AC,AI,AA) 例2：AV=AC+AI+AA 例3：AV=ACAIAA.威脅來源列表來源來源描述描述環(huán)境因素?cái)嚯?、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震、意外 事故等環(huán)境危害或自然災(zāi)害,以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障人為因素惡意人員不滿的或有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進(jìn)行惡意破壞;采用自主或內(nèi)外勾結(jié)的方式 盜竊機(jī)密信息或進(jìn)行篡改,獲取利益外部人員利用信息系統(tǒng)的脆弱性,對網(wǎng)絡(luò)或系統(tǒng)的機(jī)密性、完整性和可用性進(jìn)行破 壞,以獲取利益或炫耀能力非惡意人員內(nèi)部人員由于缺乏責(zé)任心,或者由于不關(guān)心和不專注,或者沒有遵循規(guī)章制度和操 作流程而導(dǎo)

7、致故障或信息損壞;內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗 位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊。.威脅分類表.脆弱性識別內(nèi)容表.威脅與脆弱性之間的關(guān)系.風(fēng)險(xiǎn)分析原理.定性風(fēng)險(xiǎn)分析.風(fēng)險(xiǎn)值=R(A,T,V)= R(L(T,V),F(Ia,Va )其中,R 表示安全風(fēng)險(xiǎn)計(jì)算函數(shù);A 表示資產(chǎn);T 表示威脅;V 表示脆弱性; Ia 表示安全事件所作用的資產(chǎn)價(jià)值;Va 表示脆弱性嚴(yán)重程度;L 表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性;F 表示安全事件發(fā)生后產(chǎn)生的損失。一般風(fēng)險(xiǎn)計(jì)算方法：矩陣法和相乘法.矩陣法.01000200030004000500060007000邊界人員，攻擊混合病毒

8、好奇員工，攻擊內(nèi)部外部人員誤操作普通員工，濫用網(wǎng)絡(luò)病毒內(nèi)部外部人員惡意基礎(chǔ)服務(wù)失效交換機(jī)硬件失效災(zāi)難服務(wù)器硬件失效雷擊漏水服務(wù)器軟件失效電源失效交換機(jī)軟件失效溫度、濕度、灰塵、靜電等郵件病毒鏈路失效介質(zhì)病毒完整性風(fēng)險(xiǎn)機(jī)密性風(fēng)險(xiǎn)可用性風(fēng)險(xiǎn).31u 降低風(fēng)險(xiǎn)（降低風(fēng)險(xiǎn)（Reduce Risk） 采取適當(dāng)?shù)目刂拼胧﹣斫档惋L(fēng)險(xiǎn)，包括技術(shù)手段和管理手段，如安裝防火墻，殺毒軟件，或是改善不規(guī)范的工作流程、制定業(yè)務(wù)連續(xù)性計(jì)劃，等等。u 避免風(fēng)險(xiǎn)（避免風(fēng)險(xiǎn)（Avoid Risk） 通過消除可能導(dǎo)致風(fēng)險(xiǎn)發(fā)生的條件來避免風(fēng)險(xiǎn)的發(fā)生，如將公司內(nèi)外網(wǎng)隔離以避免來自互聯(lián)網(wǎng)的攻擊，或是將機(jī)房安置在不可能造成水患的位置，等

9、等。u 轉(zhuǎn)移風(fēng)險(xiǎn)（轉(zhuǎn)移風(fēng)險(xiǎn)（Transfer Risk） 將風(fēng)險(xiǎn)全部或者部分地轉(zhuǎn)移到其他責(zé)任方，例如購買商業(yè)保險(xiǎn)。u 接受風(fēng)險(xiǎn)（接受風(fēng)險(xiǎn)（Accept Risk） 在實(shí)施了其他風(fēng)險(xiǎn)應(yīng)對措施之后，對于殘留的風(fēng)險(xiǎn)，組織可以有意識地選擇接受。.32u 絕對安全（即零風(fēng)險(xiǎn)）是不可能的。u 實(shí)施安全控制后會有殘留風(fēng)險(xiǎn)或殘存風(fēng)險(xiǎn)（Residual Risk）。 u 為了確保信息安全，應(yīng)該確保殘留風(fēng)險(xiǎn)在可接受的范圍內(nèi)： 殘留風(fēng)險(xiǎn)Rr 原有的風(fēng)險(xiǎn)R0 控制R 殘留風(fēng)險(xiǎn)Rr 可接受的風(fēng)險(xiǎn)Rtu 對殘留風(fēng)險(xiǎn)進(jìn)行確認(rèn)和評價(jià)的過程其實(shí)就是風(fēng)險(xiǎn)接受的過程。決策者可以根據(jù)風(fēng)險(xiǎn)評估的結(jié)果來確定一個閥值，以該閥值作為是否接受

10、殘留風(fēng)險(xiǎn)的標(biāo)準(zhǔn)。 .等保測評與風(fēng)險(xiǎn)評估的區(qū)別 目的不同 等級測評：以是否符合等級保護(hù)基本要求為目的照方抓藥 風(fēng)險(xiǎn)評估：以PDCA循環(huán)持續(xù)推進(jìn)風(fēng)險(xiǎn)管理為目的對癥下藥.等保測評與風(fēng)險(xiǎn)評估的區(qū)別 參照標(biāo)準(zhǔn)不同 等級測評： GB 17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GA/T 387-2002計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)技術(shù)要求GA 388-2002 計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)技術(shù)要求GA/T 389-2002計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求GA/T 390-2002計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求GA 391-2002 計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)管理要

11、求 風(fēng)險(xiǎn)評估：BS7799 ISO17799 ISO27001 ISO 27002 GBT 20984-2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范 .等保測評與風(fēng)險(xiǎn)評估的區(qū)別可以簡單的理解為等保是標(biāo)準(zhǔn)或體系，風(fēng)險(xiǎn)評估是一種針對性的手段。.為什么需要進(jìn)行風(fēng)險(xiǎn)評估？為什么需要進(jìn)行風(fēng)險(xiǎn)評估？該買辣椒水呢還是請保鏢？.什么樣的信息系統(tǒng)才是安全的什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全如何確保信息系統(tǒng)的安全?兩個基本問題.什么樣的信息系統(tǒng)才是安全的什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全如何確保信息系統(tǒng)的安全?風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理基本問題的答案.潛在損失潛在損失在可以承

12、受在可以承受范圍范圍之內(nèi)的系統(tǒng)之內(nèi)的系統(tǒng)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析安全決策安全決策風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理兩個答案的相關(guān)性.信息安全的演化.概念的演化和技術(shù)的演化同步.可信是保障概念的延續(xù).信息安全的事實(shí)廣泛廣泛n安全是一個廣泛的主題，它涉及到許多不同的區(qū)域（物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理等），每個區(qū)域都有其相關(guān)的風(fēng)險(xiǎn)、威脅及解決方法。動態(tài)動態(tài)相對相對n絕對的信息安全是不存在的。信息安全問題的解決只能通過一系列的規(guī)劃和措施，把風(fēng)險(xiǎn)降低到可被接受的程度，同時采取適當(dāng)?shù)臋C(jī)制使風(fēng)險(xiǎn)保持在此程度之內(nèi)。當(dāng)信息系統(tǒng)發(fā)生變化時應(yīng)當(dāng)重新規(guī)劃和實(shí)施來適應(yīng)新的安全需求。人人n信息系統(tǒng)的安全往往取決于系統(tǒng)中最薄弱的環(huán)節(jié)-人。人是信息安

13、全中最關(guān)鍵的因素，同時也應(yīng)該清醒的認(rèn)識到人也是信息安全中最薄弱的環(huán)節(jié)。n僅僅依賴于安全產(chǎn)品的堆積來應(yīng)對迅速發(fā)展變化的各種攻擊手段是不能持續(xù)有效的。信息安全建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程，要從觀念上進(jìn)行轉(zhuǎn)變，規(guī)劃、管理、技術(shù)等多種因素相結(jié)合使之成為一個可持續(xù)的動態(tài)發(fā)展的過程。. 安全保障體系建設(shè)安全保障體系建設(shè)安安全全成本成本 效率效率 安全安全 - 效率曲線效率曲線 安全安全 - 成本曲線成本曲線要研究建設(shè)信息要研究建設(shè)信息安全的綜合成本安全的綜合成本與信息安全風(fēng)險(xiǎn)與信息安全風(fēng)險(xiǎn)之間的平衡，而之間的平衡，而不是要片面追求不是要片面追求不切實(shí)際的安全不切實(shí)際的安全不同的信息系統(tǒng)，不同的信息系統(tǒng)，對于安

14、全的要求對于安全的要求不同，不是不同，不是“ 越安全越好越安全越好”.信息系統(tǒng)矛盾三角.三類操作系統(tǒng)舉例.信息安全保障能力成長階段盲目自信盲目自信階段階段認(rèn)知階段認(rèn)知階段改進(jìn)階段改進(jìn)階段卓越運(yùn)營卓越運(yùn)營階段階段福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布來源：Gartner Inc. 2006年1月.能力成長階段的劃分 盲目自信階段 普遍缺乏安全意識，對企業(yè)安全狀況不了解，未意識到信息安全風(fēng)險(xiǎn)的嚴(yán)重性 認(rèn)知階段 通過信息安全風(fēng)險(xiǎn)評估等，企業(yè)意識到自身存在的信息安全風(fēng)險(xiǎn)，開始采取一些措施提升信息安全水平 改進(jìn)階段 意識到局部的、單一的信息安全控制措施難以明顯改善企業(yè)信息安全狀況，開始進(jìn)行全面的信息

15、安全架構(gòu)設(shè)計(jì)，有計(jì)劃的建設(shè)信息安全保障體系 卓越運(yùn)營階段 信息安全改進(jìn)項(xiàng)目完成后，在擁有較為全面的信息安全控制能力基礎(chǔ)上，建立持續(xù)改進(jìn)的機(jī)制，以應(yīng)對安全風(fēng)險(xiǎn)的變化，不斷提升安全控制能力.各個階段的主要工作任務(wù)盲目自信盲目自信階段階段認(rèn)知階段認(rèn)知階段改進(jìn)階段改進(jìn)階段卓越運(yùn)營卓越運(yùn)營階段階段福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布來源：Gartner Inc. 2006年1月基本安全產(chǎn)品部署主要人員的培訓(xùn)教育建立安全團(tuán)隊(duì)制定安全方針政策評估并了解現(xiàn)狀.各個階段的主要工作任務(wù)盲目自信盲目自信階段階段認(rèn)知階段認(rèn)知階段改進(jìn)階段改進(jìn)階段卓越運(yùn)營卓越運(yùn)營階段階段福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布來

16、源：Gartner Inc. 2006年1月啟動信息安全戰(zhàn)略項(xiàng)目設(shè)計(jì)信息安全架構(gòu)建立信息安全流程完成信息安全改進(jìn)項(xiàng)目.各個階段的主要工作任務(wù)盲目自信盲目自信階段階段認(rèn)知階段認(rèn)知階段改進(jìn)階段改進(jìn)階段卓越運(yùn)營卓越運(yùn)營階段階段福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布來源：Gartner Inc. 2006年1月信息安全流程的持續(xù)改進(jìn)追蹤技術(shù)和業(yè)務(wù)的變化.怎么做風(fēng)險(xiǎn)評估？怎么做風(fēng)險(xiǎn)評估？評估到底買辣椒水還是請保鏢更合適.可能的攻擊可能的攻擊信息的價(jià)值信息的價(jià)值可能的損失可能的損失風(fēng)險(xiǎn)評估簡要版.資產(chǎn)資產(chǎn)弱點(diǎn)弱點(diǎn)影響影響弱點(diǎn)弱點(diǎn)威脅威脅可能性可能性+=當(dāng)前的風(fēng)險(xiǎn)級別當(dāng)前的風(fēng)險(xiǎn)級別風(fēng)險(xiǎn)分析方法示意圖.損

17、失的量化必須圍繞損失的量化必須圍繞用戶的用戶的核心價(jià)值核心價(jià)值，用，用戶的戶的核心業(yè)務(wù)流程核心業(yè)務(wù)流程！如何量化損失.企 業(yè) 風(fēng) 險(xiǎn) 管 理企 業(yè) 風(fēng) 險(xiǎn) 管 理 （ E R M ）信 用 風(fēng) 險(xiǎn)信 用 風(fēng) 險(xiǎn)市 場 風(fēng) 險(xiǎn)市 場 風(fēng) 險(xiǎn)運(yùn) 營 風(fēng) 險(xiǎn)運(yùn) 營 風(fēng) 險(xiǎn)IT 風(fēng) 險(xiǎn)風(fēng) 險(xiǎn)項(xiàng) 目 風(fēng) 險(xiǎn)項(xiàng) 目 風(fēng) 險(xiǎn)設(shè) 施 風(fēng) 險(xiǎn)設(shè) 施 風(fēng) 險(xiǎn)法 律 風(fēng) 險(xiǎn)法 律 風(fēng) 險(xiǎn)安 全安 全業(yè) 務(wù) 連 續(xù) 性業(yè) 務(wù) 連 續(xù) 性項(xiàng) 目項(xiàng) 目等 等等 等運(yùn) 營 風(fēng) 險(xiǎn) 關(guān) 注運(yùn) 營 風(fēng) 險(xiǎn) 關(guān) 注 ：怎 么 做怎 么 做 ？核 心 風(fēng) 險(xiǎn) 關(guān) 注核 心 風(fēng) 險(xiǎn) 關(guān) 注 ：做 什 么做 什 么 ？內(nèi) 部 欺 詐內(nèi)

18、 部 欺 詐外 部 欺 詐外 部 欺 詐產(chǎn) 品產(chǎn) 品交 付交 付客 戶客 戶物 理 資 產(chǎn) 的 損 失物 理 資 產(chǎn) 的 損 失工 作 場 所 安 全工 作 場 所 安 全業(yè) 務(wù) 行 為業(yè) 務(wù) 行 為員 工 行 為員 工 行 為風(fēng)險(xiǎn)管理趨勢IT安全風(fēng)險(xiǎn)成為企業(yè)運(yùn)營風(fēng)險(xiǎn)中最為重要的一個組成部分，業(yè)務(wù)連續(xù)性逐漸與安全并行考慮來源：來源：Gartner.否是否是風(fēng)險(xiǎn)評估的準(zhǔn)備已有安全措施的確認(rèn)風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)是否接受保持已有的控制措施施施施選擇適當(dāng)?shù)目刂拼胧┎⒃u估殘余風(fēng)險(xiǎn)實(shí)施風(fēng)險(xiǎn)管理脆弱性識別威脅識別資產(chǎn)識別是否接受殘余風(fēng)險(xiǎn) 風(fēng)險(xiǎn)識別評估過程文檔評估過程文檔風(fēng)險(xiǎn)評估結(jié)果記錄評估結(jié)果文檔 風(fēng)險(xiǎn)評估流程.等

19、級保護(hù)下風(fēng)險(xiǎn)評估實(shí)施框架保護(hù)對象劃分和定級保護(hù)對象劃分和定級網(wǎng)絡(luò)系統(tǒng)劃分和定級網(wǎng)絡(luò)系統(tǒng)劃分和定級資產(chǎn)脆弱性威脅風(fēng)險(xiǎn)分析基本安全要求等級保護(hù)管理辦法、指南信息安全政策、標(biāo)準(zhǔn)、法律法規(guī)安全需求風(fēng)險(xiǎn)列表安全規(guī)劃風(fēng)險(xiǎn)評估.結(jié)合等保測評的風(fēng)險(xiǎn)評估流程.6060.6161評估組長評估組長評估員評估員XX公司安全專責(zé)公司安全專責(zé)p負(fù)責(zé)管理問卷訪談和運(yùn)維負(fù)責(zé)管理問卷訪談和運(yùn)維問卷訪談；問卷訪談；p組織評估活動，控制協(xié)調(diào)組織評估活動，控制協(xié)調(diào)進(jìn)度，保證按計(jì)劃完成評估進(jìn)度，保證按計(jì)劃完成評估任務(wù)；任務(wù)；p組織召開評估會議；組織召開評估會議；p代表評估小組與受評估方代表評估小組與受評估方管理層接觸；管理層接觸；p組

20、織撰寫風(fēng)險(xiǎn)評估報(bào)告、組織撰寫風(fēng)險(xiǎn)評估報(bào)告、現(xiàn)狀報(bào)告和安全改進(jìn)建議現(xiàn)狀報(bào)告和安全改進(jìn)建議p提交評估報(bào)告。提交評估報(bào)告。p 負(fù)責(zé)風(fēng)險(xiǎn)評估技術(shù)部分的內(nèi)負(fù)責(zé)風(fēng)險(xiǎn)評估技術(shù)部分的內(nèi)容包括：網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)容包括：網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用和數(shù)據(jù)庫評估用和數(shù)據(jù)庫評估p 熟悉必要的文件和程序；熟悉必要的文件和程序；p準(zhǔn)備風(fēng)險(xiǎn)評估技術(shù)評估工具；準(zhǔn)備風(fēng)險(xiǎn)評估技術(shù)評估工具；p 撰寫每單位的評估報(bào)告；撰寫每單位的評估報(bào)告；p 配合支持評估組長的工作，配合支持評估組長的工作，有效完成評估任務(wù)；有效完成評估任務(wù)；p收存和保護(hù)與評估有關(guān)的文件。收存和保護(hù)與評估有關(guān)的文件。 p 負(fù)責(zé)配合顧問提供風(fēng)負(fù)責(zé)配合顧問提供風(fēng)險(xiǎn)評估相關(guān)的工

21、作環(huán)境、險(xiǎn)評估相關(guān)的工作環(huán)境、評估實(shí)現(xiàn)條件；評估實(shí)現(xiàn)條件；p備份系統(tǒng)數(shù)據(jù)備份系統(tǒng)數(shù)據(jù);p配合評估顧問完成資產(chǎn)配合評估顧問完成資產(chǎn)分類、賦值、弱點(diǎn)威脅發(fā)分類、賦值、弱點(diǎn)威脅發(fā)現(xiàn)和賦值、風(fēng)險(xiǎn)處理意見現(xiàn)和賦值、風(fēng)險(xiǎn)處理意見等工作；等工作；p掌握風(fēng)險(xiǎn)評估方法；掌握風(fēng)險(xiǎn)評估方法；p收存和保護(hù)與評估有關(guān)收存和保護(hù)與評估有關(guān)的文件。的文件。 p完成掃描后完成掃描后,檢查風(fēng)險(xiǎn)評檢查風(fēng)險(xiǎn)評估后系統(tǒng)的安全性和穩(wěn)定估后系統(tǒng)的安全性和穩(wěn)定性性.6262.6363u 評估計(jì)劃分年度計(jì)劃和具體的實(shí)施計(jì)劃，前者通常是評估策劃階段就需評估計(jì)劃分年度計(jì)劃和具體的實(shí)施計(jì)劃，前者通常是評估策劃階段就需要完成的，是整個評估活動的總綱

22、，而具體的評估實(shí)施計(jì)劃則是遵照年度要完成的，是整個評估活動的總綱，而具體的評估實(shí)施計(jì)劃則是遵照年度評估計(jì)劃而對每次的評估活動所作的實(shí)施安排。評估計(jì)劃而對每次的評估活動所作的實(shí)施安排。u 評估計(jì)劃通常應(yīng)該包含以下內(nèi)容：評估計(jì)劃通常應(yīng)該包含以下內(nèi)容： 目的：申明組織實(shí)施內(nèi)部評估的目標(biāo)。：申明組織實(shí)施內(nèi)部評估的目標(biāo)。 時間安排：評估時間避免與重要業(yè)務(wù)活動發(fā)生沖突。：評估時間避免與重要業(yè)務(wù)活動發(fā)生沖突。 評估類型：集中方式（本次項(xiàng)目采用集中評估方式）：集中方式（本次項(xiàng)目采用集中評估方式） 其他考慮因素：范圍、評估組織、評估要求、特殊情況等。：范圍、評估組織、評估要求、特殊情況等。u 評估實(shí)施計(jì)劃是對特

23、定評估活動的具體安排，內(nèi)容通常包括：評估實(shí)施計(jì)劃是對特定評估活動的具體安排，內(nèi)容通常包括： 目的、范圍、準(zhǔn)則、評估組成員及分工、評估時間和地點(diǎn)、首末次會議及報(bào)告時間目的、范圍、準(zhǔn)則、評估組成員及分工、評估時間和地點(diǎn)、首末次會議及報(bào)告時間u 評估計(jì)劃應(yīng)以文件形式頒發(fā)，評估實(shí)施計(jì)劃應(yīng)該有評估組長簽名并得到評估計(jì)劃應(yīng)以文件形式頒發(fā)，評估實(shí)施計(jì)劃應(yīng)該有評估組長簽名并得到主管領(lǐng)導(dǎo)的批準(zhǔn)。主管領(lǐng)導(dǎo)的批準(zhǔn)。 .6464評估目的評估目的評價(jià)信息安全管理體系運(yùn)行的符合性和有效性評價(jià)信息安全管理體系運(yùn)行的符合性和有效性評估范圍評估范圍評估準(zhǔn)則評估準(zhǔn)則XXXX公司信息安全管理辦法公司信息安全管理辦法ISO27001

24、ISO27001信息安全管理體系信息安全管理體系。評估小組評估小組評估組長評估組長評估組員評估組員 評估活動評估活動時間時間負(fù)責(zé)人負(fù)責(zé)人備注備注填寫信息資產(chǎn)采集表填寫信息資產(chǎn)采集表X X月上旬月上旬實(shí)施風(fēng)險(xiǎn)評估過程實(shí)施風(fēng)險(xiǎn)評估過程X X月中旬月中旬不符合項(xiàng)及高危風(fēng)險(xiǎn)糾不符合項(xiàng)及高危風(fēng)險(xiǎn)糾正正X X月末月末各相關(guān)部門負(fù)責(zé)人各相關(guān)部門負(fù)責(zé)人跟蹤驗(yàn)證跟蹤驗(yàn)證X X月上旬月上旬評估小組評估小組召開風(fēng)險(xiǎn)評估整改會議召開風(fēng)險(xiǎn)評估整改會議X X月下旬月下旬信息部領(lǐng)導(dǎo)信息部領(lǐng)導(dǎo)編制編制編寫者編寫者時間時間年年月月日日評估評估評估者評估者（信息按照專責(zé)簽字）（信息按照專責(zé)簽字）時間時間年年月月日日批準(zhǔn)批準(zhǔn)批準(zhǔn)者

25、批準(zhǔn)者（信息部門領(lǐng)導(dǎo)簽字）（信息部門領(lǐng)導(dǎo)簽字）時間時間年年月月日日.6565評估目的評估目的對對ISMSISMS進(jìn)行內(nèi)部評估，為體系糾正提供依據(jù)，為管理評審提供輸入進(jìn)行內(nèi)部評估，為體系糾正提供依據(jù)，為管理評審提供輸入評估范圍評估范圍評估準(zhǔn)則評估準(zhǔn)則XXXX公司信息安全管理辦法公司信息安全管理辦法ISO27001ISO27001信息安全管理體系信息安全管理體系。評估方式評估方式集中式評估集中式評估評估時間評估時間X X年年X X月月X XX X月月X X日日評估組織評估組織評估組長評估組長評估組員評估組員第一小組第一小組 第二小組第二小組 評估安排評估安排日期日期時間時間評估區(qū)域評估區(qū)域評估內(nèi)容

26、評估內(nèi)容第一小組第一小組第二小組第二小組第一小組第一小組第二小組第二小組X9:00-9:309:00-9:30會議室會議室首次會議首次會議9:30-12:009:30-12:0014:00-17:0014:00-17:0017:00-18:0017:00-18:00X9:00-11:009:00-11:0011:00-12:0011:00-12:00會議室會議室評估小組會議評估小組會議14:00-15:0014:00-15:00會議室會議室末次會議末次會議編制編制編寫者編寫者 時間時間 年年月月日日 評估評估評估者評估者（信息安全專責(zé)簽字）（信息安全專責(zé)簽字） 時間時間 年年月月日日 批準(zhǔn)批準(zhǔn)

27、批準(zhǔn)者批準(zhǔn)者（信息部管理者簽字）（信息部管理者簽字） 時間時間 年年月月日日 .6666.6767.6868u 檢查列表：評估員根據(jù)自己的需要，事先編制針對某方面問題的檢查列表，然：評估員根據(jù)自己的需要，事先編制針對某方面問題的檢查列表，然后逐項(xiàng)檢查符合性，在確認(rèn)檢查列表應(yīng)答時，評估員可以采取調(diào)查問卷、文件審查、后逐項(xiàng)檢查符合性，在確認(rèn)檢查列表應(yīng)答時，評估員可以采取調(diào)查問卷、文件審查、現(xiàn)場觀察和人員訪談等方式。現(xiàn)場觀察和人員訪談等方式。u 文件評估：評估員在現(xiàn)場評估之前，應(yīng)該對受評估方與信息安全管理活動相關(guān)：評估員在現(xiàn)場評估之前，應(yīng)該對受評估方與信息安全管理活動相關(guān)的所有文件進(jìn)行審查，包括安全

28、方針和目標(biāo)、程序文件、作業(yè)指導(dǎo)書和記錄文件。的所有文件進(jìn)行審查，包括安全方針和目標(biāo)、程序文件、作業(yè)指導(dǎo)書和記錄文件。u 現(xiàn)場觀察：評估員到現(xiàn)場參觀，可以觀察并獲取關(guān)于現(xiàn)場物理環(huán)境、信息系統(tǒng)：評估員到現(xiàn)場參觀，可以觀察并獲取關(guān)于現(xiàn)場物理環(huán)境、信息系統(tǒng)的安全操作和各類安全管理活動的第一手資料。的安全操作和各類安全管理活動的第一手資料。u 人員訪談：與受評估方人員進(jìn)行面談，評估員可以了解其職責(zé)范圍、工作陳述、：與受評估方人員進(jìn)行面談，評估員可以了解其職責(zé)范圍、工作陳述、基本安全意識、對安全管理獲知的程度等信息。評估員進(jìn)行人員訪談時要做好記錄基本安全意識、對安全管理獲知的程度等信息。評估員進(jìn)行人員訪談

29、時要做好記錄和總結(jié)，必要時要和訪談對象進(jìn)行確認(rèn)。和總結(jié)，必要時要和訪談對象進(jìn)行確認(rèn)。u 技術(shù)評估：評估員可以采用各種技術(shù)手段，對技術(shù)性控制的效力及符合性進(jìn)行：評估員可以采用各種技術(shù)手段，對技術(shù)性控制的效力及符合性進(jìn)行評估。這些技術(shù)性措施包括：自動化的掃描工具、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析、本地主機(jī)審評估。這些技術(shù)性措施包括：自動化的掃描工具、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析、本地主機(jī)審查、滲透測試等。查、滲透測試等。 .6969u 檢查列表（檢查列表（Checklist）是評估員進(jìn)行評估時必備的自用工具，是評估前）是評估員進(jìn)行評估時必備的自用工具，是評估前需準(zhǔn)備的一個重要工作文件。需準(zhǔn)備的一個重要工作文件。u 在實(shí)施評估

30、之前，評估員將根據(jù)分工情況來準(zhǔn)備各自在現(xiàn)場評估所需的在實(shí)施評估之前，評估員將根據(jù)分工情況來準(zhǔn)備各自在現(xiàn)場評估所需的檢查列表，檢查列表的內(nèi)容，取決于評估主題和被評估部門的職能、范圍、檢查列表，檢查列表的內(nèi)容，取決于評估主題和被評估部門的職能、范圍、評估方法及要求。評估方法及要求。u 檢查列表在信息安全管理體系內(nèi)部評估中起著以下重要作用：檢查列表在信息安全管理體系內(nèi)部評估中起著以下重要作用： 明確與評估目標(biāo)有關(guān)的抽樣問題；明確與評估目標(biāo)有關(guān)的抽樣問題； 使評估程序規(guī)范化，減少評估工作的隨意性和盲目性；使評估程序規(guī)范化，減少評估工作的隨意性和盲目性； 保證評估目標(biāo)始終明確，突出重點(diǎn)，避免在評估過程中

31、因迷失方向而浪費(fèi)時間；保證評估目標(biāo)始終明確，突出重點(diǎn)，避免在評估過程中因迷失方向而浪費(fèi)時間； 更好地控制評估進(jìn)度；更好地控制評估進(jìn)度； 檢查列表、評估計(jì)劃和評估報(bào)告一起，都作為評估記錄而存檔。檢查列表、評估計(jì)劃和評估報(bào)告一起，都作為評估記錄而存檔。.7070u 檢查列表編寫的依據(jù)，是評估準(zhǔn)則，也就是信息安全管理標(biāo)準(zhǔn)、組織信檢查列表編寫的依據(jù)，是評估準(zhǔn)則，也就是信息安全管理標(biāo)準(zhǔn)、組織信息安全方針手冊等文件的要求息安全方針手冊等文件的要求u 針對受評估部門的特點(diǎn)，重點(diǎn)選擇某些應(yīng)該格外關(guān)注的信息安全問題針對受評估部門的特點(diǎn)，重點(diǎn)選擇某些應(yīng)該格外關(guān)注的信息安全問題u 信息的收集和驗(yàn)證的方法應(yīng)該多種多樣

32、，包括面談、觀察、文件和記錄信息的收集和驗(yàn)證的方法應(yīng)該多種多樣，包括面談、觀察、文件和記錄的收集和匯總分析、從其他信息源（客戶反饋、外部報(bào)告等）收集信息等的收集和匯總分析、從其他信息源（客戶反饋、外部報(bào)告等）收集信息等u 檢查列表應(yīng)該具有可操作性檢查列表應(yīng)該具有可操作性u 檢查列表內(nèi)容應(yīng)該能夠覆蓋體系所涉及的全部范圍和安全要求檢查列表內(nèi)容應(yīng)該能夠覆蓋體系所涉及的全部范圍和安全要求u 如果采用了技術(shù)性評估，可在檢查列表中列出具體方法和工具如果采用了技術(shù)性評估，可在檢查列表中列出具體方法和工具u 檢查列表的形式和詳略程度可采取靈活方式檢查列表的形式和詳略程度可采取靈活方式u 檢查列表要經(jīng)過信息安全

33、主管人員審查無誤后才能使用檢查列表要經(jīng)過信息安全主管人員審查無誤后才能使用.71u 技術(shù)漏洞掃描工具技術(shù)漏洞掃描工具Nessus 掃描器掃描器Nmap端口掃描工具端口掃描工具綠盟極光漏洞掃描器綠盟極光漏洞掃描器安信通數(shù)據(jù)庫掃描器安信通數(shù)據(jù)庫掃描器WireShark /EtherealIBM Appscan .7272.7373u 在完成全部評估準(zhǔn)備工作之后，評估小組就可以按照預(yù)先在完成全部評估準(zhǔn)備工作之后，評估小組就可以按照預(yù)先的計(jì)劃實(shí)施現(xiàn)場評估了，現(xiàn)場評估開始于首次會議，評估小組的計(jì)劃實(shí)施現(xiàn)場評估了，現(xiàn)場評估開始于首次會議，評估小組全體成員和受評估方領(lǐng)導(dǎo)及相關(guān)人員共同參加。全體成員和受評估方

34、領(lǐng)導(dǎo)及相關(guān)人員共同參加。u 首次會議由評估組長主持，評估小組要向組織的相關(guān)人員首次會議由評估組長主持，評估小組要向組織的相關(guān)人員介紹評估計(jì)劃、具體內(nèi)容、評估方法，并協(xié)調(diào)、澄清有關(guān)問題。介紹評估計(jì)劃、具體內(nèi)容、評估方法，并協(xié)調(diào)、澄清有關(guān)問題。 u 召開首次會議時，與會者應(yīng)該做好正式記錄。召開首次會議時，與會者應(yīng)該做好正式記錄。 .7474.75風(fēng)險(xiǎn)評估原則風(fēng)險(xiǎn)評估原則u 在風(fēng)險(xiǎn)評估前，需要對技術(shù)評估的風(fēng)險(xiǎn)進(jìn)行重審。在風(fēng)險(xiǎn)評估前，需要對技術(shù)評估的風(fēng)險(xiǎn)進(jìn)行重審。u 被評估方應(yīng)在接受技術(shù)評估前對業(yè)務(wù)系統(tǒng)備份。被評估方應(yīng)在接受技術(shù)評估前對業(yè)務(wù)系統(tǒng)備份。u 在技術(shù)掃描過程中，需要系統(tǒng)管理員全程陪同。在技術(shù)

35、掃描過程中，需要系統(tǒng)管理員全程陪同。u 參考最近一年的風(fēng)險(xiǎn)評估記錄參考最近一年的風(fēng)險(xiǎn)評估記錄.u 在遇到異常情況時，及時通知管理員，并且停止評估。在遇到異常情況時，及時通知管理員，并且停止評估。u 技術(shù)評估安排在對系統(tǒng)影響較小的時間進(jìn)行技術(shù)評估安排在對系統(tǒng)影響較小的時間進(jìn)行.7676u 首次會議之后，即可進(jìn)入現(xiàn)場評估?，F(xiàn)場評估按計(jì)劃進(jìn)行，首次會議之后，即可進(jìn)入現(xiàn)場評估。現(xiàn)場評估按計(jì)劃進(jìn)行，評估內(nèi)容參照事先準(zhǔn)備好的檢查列表。評估內(nèi)容參照事先準(zhǔn)備好的檢查列表。u 評估期間，評估員應(yīng)該做好筆記和記錄，這些記錄是評估評估期間，評估員應(yīng)該做好筆記和記錄，這些記錄是評估員提出報(bào)告的真憑實(shí)據(jù)。記錄的格式可以

36、是員提出報(bào)告的真憑實(shí)據(jù)。記錄的格式可以是“筆記式筆記式”，也可，也可以是以是“記錄表式記錄表式”，一般來說，內(nèi)審活動都應(yīng)該有統(tǒng)一的，一般來說，內(nèi)審活動都應(yīng)該有統(tǒng)一的“現(xiàn)現(xiàn)場評估記錄表場評估記錄表”，便于規(guī)范化管理。，便于規(guī)范化管理。u 評估進(jìn)行到適當(dāng)階段，評估組長應(yīng)該主持召開評估小組會評估進(jìn)行到適當(dāng)階段，評估組長應(yīng)該主持召開評估小組會議，借此了解各個評估員的工作進(jìn)展，提出下一步工作要求，議，借此了解各個評估員的工作進(jìn)展，提出下一步工作要求，協(xié)調(diào)有關(guān)活動，并對已獲得的評估證據(jù)和評估發(fā)現(xiàn)展開分析和協(xié)調(diào)有關(guān)活動，并對已獲得的評估證據(jù)和評估發(fā)現(xiàn)展開分析和討論。討論。 .7777u 無論是嚴(yán)重不符合項(xiàng)還是輕微不符合項(xiàng)，評估員都應(yīng)該將其記錄到不符無論是嚴(yán)重不符合項(xiàng)還是輕微不符合項(xiàng)，評估員都應(yīng)該將其記錄到不符合項(xiàng)報(bào)告中。不符合項(xiàng)報(bào)告是對現(xiàn)場評估得到的評估發(fā)現(xiàn)進(jìn)行評審并合項(xiàng)報(bào)告中。不符合項(xiàng)報(bào)告是對現(xiàn)場評估得到的評估發(fā)現(xiàn)進(jìn)行評審并經(jīng)過受評估方確認(rèn)的對不符合項(xiàng)的陳述，是最終的評估報(bào)告的一部分，是評估的對不符合項(xiàng)的陳述，是最終的評估報(bào)告的一部分，是評估小組提交給委托方或受評估方的正式文件。小組提交給委托方或受評估方的正式文件。u 不符合項(xiàng)描述應(yīng)該明確以下內(nèi)容：不符合項(xiàng)描述應(yīng)該明確以下內(nèi)容： 在哪里發(fā)現(xiàn)的？描述相關(guān)區(qū)域、文件、記錄、設(shè)備在哪里發(fā)現(xiàn)的？描述相關(guān)