




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
風(fēng)險(xiǎn)評(píng)估101藍(lán)盾信息安全技術(shù)股份有限公司2009年11月1日什么是風(fēng)險(xiǎn)評(píng)估?——從深夜一個(gè)回家的女孩開始講起……風(fēng)險(xiǎn)評(píng)估3風(fēng)險(xiǎn)
風(fēng)險(xiǎn)管理(RiskManagement)就是以可接受的代價(jià),識(shí)別、控制、減少或消除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過程。在信息安全領(lǐng)域,風(fēng)險(xiǎn)(Risk)就是指各種威脅導(dǎo)致安全事件發(fā)生的可能性及其對(duì)組織所造成的負(fù)面影響。風(fēng)險(xiǎn)管理
風(fēng)險(xiǎn)評(píng)估(RiskAssessment)就是對(duì)各方面風(fēng)險(xiǎn)進(jìn)行辨識(shí)和分析的過程,它包括風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià),是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過程。風(fēng)險(xiǎn)評(píng)估的基本概念資產(chǎn)影響威脅弱點(diǎn)風(fēng)險(xiǎn)錢被偷100塊沒飯吃小偷打瞌睡服務(wù)器黑客軟件漏洞被入侵?jǐn)?shù)據(jù)失密通俗的比喻風(fēng)險(xiǎn)RISKRISKRISKRISK風(fēng)險(xiǎn)原有風(fēng)險(xiǎn)采取措施后的剩余風(fēng)險(xiǎn)影響威脅脆弱性影響威脅脆弱性風(fēng)險(xiǎn)管理的目標(biāo)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的關(guān)系風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的關(guān)鍵環(huán)節(jié),在風(fēng)險(xiǎn)管理循環(huán)中,必須依靠風(fēng)險(xiǎn)評(píng)估來確定隨后的風(fēng)險(xiǎn)控制與改進(jìn)活動(dòng)。信息安全屬性保密性CONFIDENTIALATY確保信息只能由那些被授權(quán)使用的人獲取完整性INTEGRITY保護(hù)信息及其處理方法的準(zhǔn)確性和完整性可用性AVAILABILITY確保被授權(quán)使用人在需要時(shí)可以獲取信息和使用相關(guān)的資產(chǎn)可用性確保獲得授權(quán)的用戶可訪問信息并使用相關(guān)信息資產(chǎn)
完整性保護(hù)信息和處理方法的準(zhǔn)確和完整
確保只有獲得授權(quán)的人才能訪問信息
保密性進(jìn)不來拿不走改不了跑不了看不懂可審查不可抵賴曾經(jīng)完成的操作和承諾不可抵賴性可控制網(wǎng)絡(luò)信息傳播及內(nèi)容可控性確保硬件、軟件、環(huán)境各方面的可靠運(yùn)行可靠性信息安全之屬性風(fēng)險(xiǎn)計(jì)算體系風(fēng)險(xiǎn)評(píng)價(jià)確定風(fēng)險(xiǎn)的等級(jí),有兩個(gè)關(guān)鍵因素要考慮(定性風(fēng)險(xiǎn)評(píng)估):威脅對(duì)信息資產(chǎn)造成的影響(后果)威脅發(fā)生的可能性影響可以通過資產(chǎn)的價(jià)值(重要性)評(píng)估來確定??赡苄钥梢愿鶕?jù)對(duì)威脅因素和弱點(diǎn)因素的綜合考慮來確定。按照風(fēng)險(xiǎn)分析模型計(jì)算得出風(fēng)險(xiǎn)水平。風(fēng)險(xiǎn)評(píng)價(jià)示例13確定風(fēng)險(xiǎn)處置策略降低風(fēng)險(xiǎn)(ReduceRisk)——采取適當(dāng)?shù)目刂拼胧﹣斫档惋L(fēng)險(xiǎn),包括技術(shù)手段和管理手段,如安裝防火墻,殺毒軟件,或是改善不規(guī)范的工作流程、制定業(yè)務(wù)連續(xù)性計(jì)劃,等等。避免風(fēng)險(xiǎn)(AvoidRisk)——通過消除可能導(dǎo)致風(fēng)險(xiǎn)發(fā)生的條件來避免風(fēng)險(xiǎn)的發(fā)生,如將公司內(nèi)外網(wǎng)隔離以避免來自互聯(lián)網(wǎng)的攻擊,或是將機(jī)房安置在不可能造成水患的位置,等等。轉(zhuǎn)移風(fēng)險(xiǎn)(TransferRisk)——將風(fēng)險(xiǎn)全部或者部分地轉(zhuǎn)移到其他責(zé)任方,例如購買商業(yè)保險(xiǎn)。接受風(fēng)險(xiǎn)(AcceptRisk)——在實(shí)施了其他風(fēng)險(xiǎn)應(yīng)對(duì)措施之后,對(duì)于殘留的風(fēng)險(xiǎn),組織可以有意識(shí)地選擇接受。14評(píng)價(jià)殘留風(fēng)險(xiǎn)絕對(duì)安全(即零風(fēng)險(xiǎn))是不可能的。實(shí)施安全控制后會(huì)有殘留風(fēng)險(xiǎn)或殘存風(fēng)險(xiǎn)(ResidualRisk)。為了確保信息安全,應(yīng)該確保殘留風(fēng)險(xiǎn)在可接受的范圍內(nèi):殘留風(fēng)險(xiǎn)Rr=原有的風(fēng)險(xiǎn)R0-控制ΔR
殘留風(fēng)險(xiǎn)Rr≤可接受的風(fēng)險(xiǎn)Rt
對(duì)殘留風(fēng)險(xiǎn)進(jìn)行確認(rèn)和評(píng)價(jià)的過程其實(shí)就是風(fēng)險(xiǎn)接受的過程。決策者可以根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來確定一個(gè)閥值,以該閥值作為是否接受殘留風(fēng)險(xiǎn)的標(biāo)準(zhǔn)。ISO27001信息安全管理體系建立ISO17799:2005業(yè)務(wù)連續(xù)性管理(Businesscontinuitymanagement)信息安全事故管理(Informationsecurityincidentmanagement)訪問控制(Accesscontrol)人力資源安全(Humanresources
security)物理和環(huán)境安全(Physicaland
environmental
security)通信和操作安全(Communications
andoperationsManagement)信息系統(tǒng)采集開發(fā)和維護(hù)(Informationsystem
acquisition,development
andmaintenance)資產(chǎn)管理(Assetmanagement)信息安全的組織(Organizinginformationsecurity)安全策略(SecurityPolicy)基于ISO27001的信息安全管理體系架構(gòu)A15合規(guī)性相關(guān)方要求實(shí)施(D)策劃(P)改進(jìn)(A)檢查(C)相關(guān)方滿意A14業(yè)務(wù)連續(xù)性管理A13信息安全事件管理A7資產(chǎn)管理A6組織信息安全A5安全方針A11訪問控制A8人力資源安全A9物理/環(huán)境安全A10通訊運(yùn)營管理A12信息系統(tǒng)獲取、開發(fā)及維護(hù)人員技術(shù)信息流程環(huán)境注:11控制域,39控制目標(biāo),133控制措施等保測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的區(qū)別目的不同等級(jí)測(cè)評(píng):以是否符合等級(jí)保護(hù)基本要求為目的照方抓藥風(fēng)險(xiǎn)評(píng)估:以PDCA循環(huán)持續(xù)推進(jìn)風(fēng)險(xiǎn)管理為目的對(duì)癥下藥等保測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的區(qū)別參照標(biāo)準(zhǔn)不同等級(jí)測(cè)評(píng):GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》
GA/T387-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求》
GA388-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求》
GA/T389-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求》
GA/T390-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》
GA391-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求》…風(fēng)險(xiǎn)評(píng)估:BS7799ISO17799ISO27001ISO27002GBT20984-2007《信息安全技術(shù)
信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》…等保測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的區(qū)別可以簡單的理解為等保是標(biāo)準(zhǔn)或體系,風(fēng)險(xiǎn)評(píng)估是一種針對(duì)性的手段。為什么需要進(jìn)行風(fēng)險(xiǎn)評(píng)估?——該買辣椒水呢還是請(qǐng)保鏢?什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?兩個(gè)基本問題什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)管理基本問題的答案潛在損失在可以承受范圍之內(nèi)的系統(tǒng)風(fēng)險(xiǎn)分析安全決策風(fēng)險(xiǎn)管理兩個(gè)答案的相關(guān)性信息安全的演化概念的演化和技術(shù)的演化同步可信是保障概念的延續(xù)信息安全的事實(shí)廣泛安全是一個(gè)廣泛的主題,它涉及到許多不同的區(qū)域(物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理等),每個(gè)區(qū)域都有其相關(guān)的風(fēng)險(xiǎn)、威脅及解決方法。動(dòng)態(tài)相對(duì)絕對(duì)的信息安全是不存在的。信息安全問題的解決只能通過一系列的規(guī)劃和措施,把風(fēng)險(xiǎn)降低到可被接受的程度,同時(shí)采取適當(dāng)?shù)臋C(jī)制使風(fēng)險(xiǎn)保持在此程度之內(nèi)。當(dāng)信息系統(tǒng)發(fā)生變化時(shí)應(yīng)當(dāng)重新規(guī)劃和實(shí)施來適應(yīng)新的安全需求。人信息系統(tǒng)的安全往往取決于系統(tǒng)中最薄弱的環(huán)節(jié)-人。人是信息安全中最關(guān)鍵的因素,同時(shí)也應(yīng)該清醒的認(rèn)識(shí)到人也是信息安全中最薄弱的環(huán)節(jié)。僅僅依賴于安全產(chǎn)品的堆積來應(yīng)對(duì)迅速發(fā)展變化的各種攻擊手段是不能持續(xù)有效的。信息安全建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程,要從觀念上進(jìn)行轉(zhuǎn)變,規(guī)劃、管理、技術(shù)等多種因素相結(jié)合使之成為一個(gè)可持續(xù)的動(dòng)態(tài)發(fā)展的過程。
安全保障體系建設(shè)安全成本效率
安全
-效率曲線
安全-
成本曲線要研究建設(shè)信息安全的綜合成本與信息安全風(fēng)險(xiǎn)之間的平衡,而不是要片面追求不切實(shí)際的安全不同的信息系統(tǒng),對(duì)于安全的要求不同,不是“越安全越好”信息安全保障能力成長階段成熟度時(shí)間盲目自信階段認(rèn)知階段改進(jìn)階段卓越運(yùn)營階段福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布來源:GartnerInc.2006年1月30%50%15%5%能力成長階段的劃分盲目自信階段普遍缺乏安全意識(shí),對(duì)企業(yè)安全狀況不了解,未意識(shí)到信息安全風(fēng)險(xiǎn)的嚴(yán)重性認(rèn)知階段通過信息安全風(fēng)險(xiǎn)評(píng)估等,企業(yè)意識(shí)到自身存在的信息安全風(fēng)險(xiǎn),開始采取一些措施提升信息安全水平改進(jìn)階段意識(shí)到局部的、單一的信息安全控制措施難以明顯改善企業(yè)信息安全狀況,開始進(jìn)行全面的信息安全架構(gòu)設(shè)計(jì),有計(jì)劃的建設(shè)信息安全保障體系卓越運(yùn)營階段信息安全改進(jìn)項(xiàng)目完成后,在擁有較為全面的信息安全控制能力基礎(chǔ)上,建立持續(xù)改進(jìn)的機(jī)制,以應(yīng)對(duì)安全風(fēng)險(xiǎn)的變化,不斷提升安全控制能力各個(gè)階段的主要工作任務(wù)成熟度時(shí)間盲目自信階段認(rèn)知階段改進(jìn)階段卓越運(yùn)營階段福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布來源:GartnerInc.2006年1月30%50%15%5%基本安全產(chǎn)品部署主要人員的培訓(xùn)教育建立安全團(tuán)隊(duì)制定安全方針政策評(píng)估并了解現(xiàn)狀各個(gè)階段的主要工作任務(wù)成熟度時(shí)間盲目自信階段認(rèn)知階段改進(jìn)階段卓越運(yùn)營階段福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布來源:GartnerInc.2006年1月30%50%15%5%啟動(dòng)信息安全戰(zhàn)略項(xiàng)目設(shè)計(jì)信息安全架構(gòu)建立信息安全流程完成信息安全改進(jìn)項(xiàng)目各個(gè)階段的主要工作任務(wù)成熟度時(shí)間盲目自信階段認(rèn)知階段改進(jìn)階段卓越運(yùn)營階段福布斯2000強(qiáng)企業(yè)在不同階段的百分比分布來源:GartnerInc.2006年1月30%50%15%5%信息安全流程的持續(xù)改進(jìn)追蹤技術(shù)和業(yè)務(wù)的變化怎么做風(fēng)險(xiǎn)評(píng)估?——可能的攻擊信息的價(jià)值可能的損失風(fēng)險(xiǎn)評(píng)估簡要版資產(chǎn)威脅影響弱點(diǎn)控制可能性+=當(dāng)前的危險(xiǎn)級(jí)別風(fēng)險(xiǎn)分析方法示意圖損失的量化必須圍繞用戶的核心價(jià)值,用戶的核心業(yè)務(wù)流程如何量化損失風(fēng)險(xiǎn)管理趨勢(shì)IT安全風(fēng)險(xiǎn)成為企業(yè)運(yùn)營風(fēng)險(xiǎn)中最為重要的一個(gè)組成部分,業(yè)務(wù)連續(xù)性逐漸與安全并行考慮來源:Gartner否是否是風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備已有安全措施的確認(rèn)風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)是否接受保持已有的控制措施施施施選擇適當(dāng)?shù)目刂拼胧┎⒃u(píng)估殘余風(fēng)險(xiǎn)實(shí)施風(fēng)險(xiǎn)管理脆弱性識(shí)別威脅識(shí)別資產(chǎn)識(shí)別是否接受殘余風(fēng)險(xiǎn)
風(fēng)險(xiǎn)識(shí)別評(píng)估過程文檔評(píng)估過程文檔風(fēng)險(xiǎn)評(píng)估結(jié)果記錄評(píng)估結(jié)果文檔…等級(jí)保護(hù)下風(fēng)險(xiǎn)評(píng)估實(shí)施框架保護(hù)對(duì)象劃分和定級(jí)網(wǎng)絡(luò)系統(tǒng)劃分和定級(jí)資產(chǎn)脆弱性威脅風(fēng)險(xiǎn)分析基本安全要求等級(jí)保護(hù)管理辦法、指南信息安全政策、標(biāo)準(zhǔn)、法律法規(guī)安全需求風(fēng)險(xiǎn)列表安全規(guī)劃風(fēng)險(xiǎn)評(píng)估4242風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施過程計(jì)劃準(zhǔn)備實(shí)施報(bào)告跟蹤4343評(píng)估工作各角色的責(zé)任評(píng)估組長評(píng)估員電網(wǎng)公司安全專責(zé)負(fù)責(zé)管理問卷訪談和運(yùn)維問卷訪談;組織評(píng)估活動(dòng),控制協(xié)調(diào)進(jìn)度,保證按計(jì)劃完成評(píng)估任務(wù);組織召開評(píng)估會(huì)議;代表評(píng)估小組與受評(píng)估方管理層接觸;組織撰寫風(fēng)險(xiǎn)評(píng)估報(bào)告、現(xiàn)狀報(bào)告和安全改進(jìn)建議提交評(píng)估報(bào)告。
負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估技術(shù)部分的內(nèi)容包括:網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用和數(shù)據(jù)庫評(píng)估熟悉必要的文件和程序;準(zhǔn)備風(fēng)險(xiǎn)評(píng)估技術(shù)評(píng)估工具;撰寫每單位的評(píng)估報(bào)告;配合支持評(píng)估組長的工作,有效完成評(píng)估任務(wù);收存和保護(hù)與評(píng)估有關(guān)的文件。
負(fù)責(zé)配合顧問提供風(fēng)險(xiǎn)評(píng)估相關(guān)的工作環(huán)境、評(píng)估實(shí)現(xiàn)條件;備份系統(tǒng)數(shù)據(jù);配合評(píng)估顧問完成資產(chǎn)分類、賦值、弱點(diǎn)威脅發(fā)現(xiàn)和賦值、風(fēng)險(xiǎn)處理意見等工作;掌握風(fēng)險(xiǎn)評(píng)估方法;收存和保護(hù)與評(píng)估有關(guān)的文件。完成掃描后,檢查風(fēng)險(xiǎn)評(píng)估后系統(tǒng)的安全性和穩(wěn)定性4444風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施過程計(jì)劃準(zhǔn)備實(shí)施報(bào)告跟蹤4545制定評(píng)估計(jì)劃
評(píng)估計(jì)劃分年度計(jì)劃和具體的實(shí)施計(jì)劃,前者通常是評(píng)估策劃階段就需要完成的,是整個(gè)評(píng)估活動(dòng)的總綱,而具體的評(píng)估實(shí)施計(jì)劃則是遵照年度評(píng)估計(jì)劃而對(duì)每次的評(píng)估活動(dòng)所作的實(shí)施安排。
評(píng)估計(jì)劃通常應(yīng)該包含以下內(nèi)容:目的:申明組織實(shí)施內(nèi)部評(píng)估的目標(biāo)。
時(shí)間安排:評(píng)估時(shí)間避免與重要業(yè)務(wù)活動(dòng)發(fā)生沖突。
評(píng)估類型:集中方式(本次項(xiàng)目采用集中評(píng)估方式)
其他考慮因素:范圍、評(píng)估組織、評(píng)估要求、特殊情況等。評(píng)估實(shí)施計(jì)劃是對(duì)特定評(píng)估活動(dòng)的具體安排,內(nèi)容通常包括:目的、范圍、準(zhǔn)則、評(píng)估組成員及分工、評(píng)估時(shí)間和地點(diǎn)、首末次會(huì)議及報(bào)告時(shí)間評(píng)估計(jì)劃應(yīng)以文件形式頒發(fā),評(píng)估實(shí)施計(jì)劃應(yīng)該有評(píng)估組長簽名并得到主管領(lǐng)導(dǎo)的批準(zhǔn)。4646風(fēng)險(xiǎn)評(píng)估計(jì)劃示例評(píng)估目的評(píng)價(jià)信息安全管理體系運(yùn)行的符合性和有效性評(píng)估范圍××××××××××××××××××評(píng)估準(zhǔn)則《廣東電網(wǎng)公司信息安全管理辦法》《ISO27001信息安全管理體系》。評(píng)估小組評(píng)估組長×××評(píng)估組員×××××××××××××××評(píng)估活動(dòng)
時(shí)間負(fù)責(zé)人備注填寫信息資產(chǎn)采集表X月上旬×××
實(shí)施風(fēng)險(xiǎn)評(píng)估過程X月中旬×××
不符合項(xiàng)及高危風(fēng)險(xiǎn)糾正X月末各相關(guān)部門負(fù)責(zé)人
跟蹤驗(yàn)證X月上旬評(píng)估小組
召開風(fēng)險(xiǎn)評(píng)估整改會(huì)議X月下旬信息部領(lǐng)導(dǎo)
編制編寫者×××?xí)r間×××年×月×日評(píng)估評(píng)估者×××(信息按照專責(zé)簽字)時(shí)間×××年×月×日批準(zhǔn)批準(zhǔn)者×××(信息部門領(lǐng)導(dǎo)簽字)時(shí)間×××年×月×日4747風(fēng)險(xiǎn)評(píng)估實(shí)施計(jì)劃示例評(píng)估目的對(duì)ISMS進(jìn)行內(nèi)部評(píng)估,為體系糾正提供依據(jù),為管理評(píng)審提供輸入評(píng)估范圍××××××××××××××評(píng)估準(zhǔn)則《廣東電網(wǎng)公司信息安全管理辦法》《ISO27001信息安全管理體系》。評(píng)估方式集中式評(píng)估評(píng)估時(shí)間X年X月X-X月X日評(píng)估組織評(píng)估組長×××評(píng)估組員第一小組×××××××××第二小組×××××××××評(píng)估安排日期時(shí)間評(píng)估區(qū)域評(píng)估內(nèi)容第一小組第二小組第一小組第二小組X9:00-9:30會(huì)議室首次會(huì)議9:30-12:00
14:00-17:00
17:00-18:00
X9:00-11:00
11:00-12:00會(huì)議室評(píng)估小組會(huì)議14:00-15:00會(huì)議室末次會(huì)議編制編寫者×××?xí)r間×××年×月×日評(píng)估評(píng)估者×××(信息安全專責(zé)簽字)時(shí)間×××年×月×日批準(zhǔn)批準(zhǔn)者×××(信息部管理者簽字)時(shí)間×××年×月×日4848風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施過程計(jì)劃準(zhǔn)備實(shí)施報(bào)告跟蹤4949檢查列表的四要素去哪里?找誰?查什么?如何查?5050風(fēng)險(xiǎn)評(píng)估常用方法
檢查列表:評(píng)估員根據(jù)自己的需要,事先編制針對(duì)某方面問題的檢查列表,然后逐項(xiàng)檢查符合性,在確認(rèn)檢查列表應(yīng)答時(shí),評(píng)估員可以采取調(diào)查問卷、文件審查、現(xiàn)場(chǎng)觀察和人員訪談等方式。
文件評(píng)估:評(píng)估員在現(xiàn)場(chǎng)評(píng)估之前,應(yīng)該對(duì)受評(píng)估方與信息安全管理活動(dòng)相關(guān)的所有文件進(jìn)行審查,包括安全方針和目標(biāo)、程序文件、作業(yè)指導(dǎo)書和記錄文件。
現(xiàn)場(chǎng)觀察:評(píng)估員到現(xiàn)場(chǎng)參觀,可以觀察并獲取關(guān)于現(xiàn)場(chǎng)物理環(huán)境、信息系統(tǒng)的安全操作和各類安全管理活動(dòng)的第一手資料。
人員訪談:與受評(píng)估方人員進(jìn)行面談,評(píng)估員可以了解其職責(zé)范圍、工作陳述、基本安全意識(shí)、對(duì)安全管理獲知的程度等信息。評(píng)估員進(jìn)行人員訪談時(shí)要做好記錄和總結(jié),必要時(shí)要和訪談對(duì)象進(jìn)行確認(rèn)。
技術(shù)評(píng)估:評(píng)估員可以采用各種技術(shù)手段,對(duì)技術(shù)性控制的效力及符合性進(jìn)行評(píng)估。這些技術(shù)性措施包括:自動(dòng)化的掃描工具、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析、本地主機(jī)審查、滲透測(cè)試等。5151評(píng)估員檢查工具——檢查列表
檢查列表(Checklist)是評(píng)估員進(jìn)行評(píng)估時(shí)必備的自用工具,是評(píng)估前需準(zhǔn)備的一個(gè)重要工作文件。
在實(shí)施評(píng)估之前,評(píng)估員將根據(jù)分工情況來準(zhǔn)備各自在現(xiàn)場(chǎng)評(píng)估所需的檢查列表,檢查列表的內(nèi)容,取決于評(píng)估主題和被評(píng)估部門的職能、范圍、評(píng)估方法及要求。
檢查列表在信息安全管理體系內(nèi)部評(píng)估中起著以下重要作用:
明確與評(píng)估目標(biāo)有關(guān)的抽樣問題;
使評(píng)估程序規(guī)范化,減少評(píng)估工作的隨意性和盲目性;
保證評(píng)估目標(biāo)始終明確,突出重點(diǎn),避免在評(píng)估過程中因迷失方向而浪費(fèi)時(shí)間;
更好地控制評(píng)估進(jìn)度;
檢查列表、評(píng)估計(jì)劃和評(píng)估報(bào)告一起,都作為評(píng)估記錄而存檔。5252
檢查列表編寫的依據(jù),是評(píng)估準(zhǔn)則,也就是信息安全管理標(biāo)準(zhǔn)、組織信息安全方針手冊(cè)等文件的要求
針對(duì)受評(píng)估部門的特點(diǎn),重點(diǎn)選擇某些應(yīng)該格外關(guān)注的信息安全問題
信息的收集和驗(yàn)證的方法應(yīng)該多種多樣,包括面談、觀察、文件和記錄的收集和匯總分析、從其他信息源(客戶反饋、外部報(bào)告等)收集信息等
檢查列表應(yīng)該具有可操作性
檢查列表內(nèi)容應(yīng)該能夠覆蓋體系所涉及的全部范圍和安全要求
如果采用了技術(shù)性評(píng)估,可在檢查列表中列出具體方法和工具
檢查列表的形式和詳略程度可采取靈活方式檢查列表要經(jīng)過信息安全主管人員審查無誤后才能使用檢查列表編寫注意事項(xiàng)53風(fēng)險(xiǎn)評(píng)估技術(shù)工具清單
技術(shù)漏洞掃描工具綠盟漏洞掃描器安信通數(shù)據(jù)庫掃描器
Nessus掃描器RatioanlAppscan5454風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施過程計(jì)劃準(zhǔn)備實(shí)施報(bào)告跟蹤5555召開首次會(huì)議
在完成全部評(píng)估準(zhǔn)備工作之后,評(píng)估小組就可以按照預(yù)先的計(jì)劃實(shí)施現(xiàn)場(chǎng)評(píng)估了,現(xiàn)場(chǎng)評(píng)估開始于首次會(huì)議,評(píng)估小組全體成員和受評(píng)估方領(lǐng)導(dǎo)及相關(guān)人員共同參加。
首次會(huì)議由評(píng)估組長主持,評(píng)估小組要向組織的相關(guān)人員介紹評(píng)估計(jì)劃、具體內(nèi)容、評(píng)估方法,并協(xié)調(diào)、澄清有關(guān)問題。
召開首次會(huì)議時(shí),與會(huì)者應(yīng)該做好正式記錄。5656首次會(huì)議議程及內(nèi)容57風(fēng)險(xiǎn)評(píng)估原則
在風(fēng)險(xiǎn)評(píng)估前,需要對(duì)技術(shù)評(píng)估的風(fēng)險(xiǎn)進(jìn)行重審。
被評(píng)估方應(yīng)在接受技術(shù)評(píng)估前對(duì)業(yè)務(wù)系統(tǒng)備份。
在技術(shù)掃描過程中,需要系統(tǒng)管理員全程陪同。參考最近一年的風(fēng)險(xiǎn)評(píng)估記錄.
在遇到異常情況時(shí),及時(shí)通知管理員,并且停止評(píng)估。
技術(shù)評(píng)估安排在對(duì)系統(tǒng)影響較小的時(shí)間進(jìn)行5858實(shí)施現(xiàn)場(chǎng)評(píng)估
首次會(huì)議之后,即可進(jìn)入現(xiàn)場(chǎng)評(píng)估?,F(xiàn)場(chǎng)評(píng)估按計(jì)劃進(jìn)行,評(píng)估內(nèi)容參照事先準(zhǔn)備好的檢查列表。
評(píng)估期間,評(píng)估員應(yīng)該做好筆記和記錄,這些記錄是評(píng)估員提出報(bào)告的真憑實(shí)據(jù)。記錄的格式可以是“筆記式”,也可以是“記錄表式”,一般來說,內(nèi)審活動(dòng)都應(yīng)該有統(tǒng)一的“現(xiàn)場(chǎng)評(píng)估記錄表”,便于規(guī)范化管理。
評(píng)估進(jìn)行到適當(dāng)階段,評(píng)估組長應(yīng)該主持召開評(píng)估小組會(huì)議,借此了解各個(gè)評(píng)估員的工作進(jìn)展,提出下一步工作要求,協(xié)調(diào)有關(guān)活動(dòng),并對(duì)已獲得的評(píng)估證據(jù)和評(píng)估發(fā)現(xiàn)展開分析和討論。5959對(duì)不符合項(xiàng)進(jìn)行描述
無論是嚴(yán)重不符合項(xiàng)還是輕微不符合項(xiàng),評(píng)估員都應(yīng)該將其記錄到
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 高一英語學(xué)案:預(yù)習(xí)導(dǎo)航Themeparks-SectionⅡ
- 2024年銅陵市中醫(yī)醫(yī)院招聘真題
- 2024年黔西市市屬事業(yè)單位考試真題
- 2024年邳州農(nóng)村商業(yè)銀行招聘真題
- 趣味課堂-創(chuàng)意無限卡通模板
- 2024年江蘇師范大學(xué)科文學(xué)院招聘專職輔導(dǎo)員真題
- 2024年廣安市前鋒區(qū)定向選聘社區(qū)工作者真題
- 技術(shù)入股合作協(xié)議書(2025年版)
- 人教初中地理八下八年級(jí)地理期末試題1
- 物品采購合同范本藥品
- 壁紙施工協(xié)議書范本
- 2025年遼寧沈陽地鐵集團(tuán)有限公司所屬分公司招聘筆試參考題庫附帶答案詳解
- 學(xué)校健身俱樂部的盈利模式探索
- 2025年浙江嘉興市海寧實(shí)康水務(wù)有限公司招聘筆試參考題庫含答案解析
- 4-6歲幼兒同伴交往能力量表
- 人教版 數(shù)學(xué)一年級(jí)下冊(cè) 第三單元 100以內(nèi)數(shù)的認(rèn)識(shí)綜合素養(yǎng)評(píng)價(jià)(含答案)
- 無錫諾宇醫(yī)藥科技有限公司放射性藥物開發(fā)及核藥裝備研制項(xiàng)目報(bào)告表
- 2025年中考道德與法治仿真模擬測(cè)試卷(含答案)
- 工程造價(jià)司法鑒定與糾紛調(diào)解典型案例-記錄
- 2025年河南藝術(shù)職業(yè)學(xué)院單招職業(yè)技能測(cè)試題庫及參考答案
- 2025年度馬鈴薯種薯產(chǎn)業(yè)扶貧與鄉(xiāng)村振興合作合同4篇
評(píng)論
0/150
提交評(píng)論