信息安全風(fēng)險評估內(nèi)容與實施流程

信息安全風(fēng)險評估內(nèi)容與實施流程XXXX重要依據(jù)，并且是信息系統(tǒng)安全等級確定過程中不行或缺的技術(shù)手段。風(fēng)險評估標(biāo)準(zhǔn)〔試行〔。為協(xié)作《評估標(biāo)準(zhǔn)》的落實，XXXXXXXX公司以往安全評估實踐的根底上，編制本指南以有效指導(dǎo)、標(biāo)準(zhǔn)公司進(jìn)展安全評估工作。場工作流程是評估的核心局部。評估內(nèi)容XXXX性評估和現(xiàn)有安全措施評估。資產(chǎn)評估〔缺失時，資產(chǎn)賦值等內(nèi)容。資產(chǎn)識別的風(fēng)險治理的預(yù)備工作。施細(xì)則〔ISO/IECTR資產(chǎn)依據(jù)下面的方法分類：類別信息軟件人員類別信息軟件人員系統(tǒng)解釋以物理或電子的方式記錄的數(shù)據(jù)，或者用于完成組織任務(wù)的學(xué)問產(chǎn)權(quán)。信息資產(chǎn)本質(zhì)上是無形的，與系統(tǒng)資產(chǎn)嚴(yán)密聯(lián)系。系統(tǒng)存儲、處理和傳輸驅(qū)動組織的關(guān)鍵信息。因此，當(dāng)組織建立策略和打算以保護(hù)系統(tǒng)資產(chǎn)時，同時也保護(hù)了組織的關(guān)鍵信息，及其軟硬件資產(chǎn)。軟件應(yīng)用程序和效勞、如操作系統(tǒng)、數(shù)據(jù)庫應(yīng)用程序、網(wǎng)絡(luò)軟件、辦公應(yīng)用程序、客戶應(yīng)用程序等，用于處理、存儲和傳輸信息。信息技術(shù)的物理設(shè)備，例如工作站、效勞器等。通常強(qiáng)調(diào)單獨考慮這些物理設(shè)備的替代價值。指組織中擁有獨絕技能、學(xué)問和閱歷的，他人難以替代的人。當(dāng)人被標(biāo)識維護(hù)、治理的關(guān)鍵系統(tǒng)，或者他們?yōu)槠渌褂谜吖┙o的信息。處理和存儲信息的信息系統(tǒng)，代表一組信息、軟件和硬件資產(chǎn)。系統(tǒng)是一個整體動身，其任一組件都無法代表其整體，因此，對系統(tǒng)的評估需要完整的考慮系統(tǒng)的各個局部，并進(jìn)展綜合考慮。資產(chǎn)的分類狀況充分了解評估范圍內(nèi)資產(chǎn)安全狀態(tài)是資產(chǎn)識別的主要內(nèi)容之一。安全屬性來調(diào)整對資產(chǎn)評估。資產(chǎn)安全要求識別依據(jù)資產(chǎn)組成確定各局部的安全性要求。流程如下：41資產(chǎn)安全要求識別流程資產(chǎn)賦值通過對資產(chǎn)的安全要求的判定，確定其重要程度。下：系統(tǒng)資產(chǎn)屬性機(jī)密性完整性可用性

4.2系統(tǒng)安全屬性說明說明未經(jīng)授權(quán)不能使用、掃瞄、查看系統(tǒng)上的信息系統(tǒng)上的信息只能由獲得授權(quán)的人進(jìn)展修改、刪除等操作在任何需要的時候，系統(tǒng)中的信息都必需是可用的信息資產(chǎn)屬性機(jī)密性完整性可用性

4.3信息資產(chǎn)安全屬性說明說明未經(jīng)授權(quán)不能使用、掃瞄、查看信息信息只能由獲得授權(quán)的人進(jìn)展修改、刪除等操作在任何需要的時候，信息都必需是可用的軟件資產(chǎn)屬性機(jī)密性完整性可用性說明未經(jīng)授權(quán)不能使用軟件資產(chǎn)屬性機(jī)密性完整性可用性說明未經(jīng)授權(quán)不能使用軟件只有經(jīng)過授權(quán)才能對軟件進(jìn)展修改、刪除等操作在需要的時候，軟件必需是可用的硬件資產(chǎn)屬性完整性可用性

4.5硬件資產(chǎn)安全屬性說明說明指硬件的完整性，不被毀壞或盜竊，不被非授權(quán)更改配置在需要時，獲得授權(quán)的客體和主體可以使用、訪問硬件人員資產(chǎn)屬性可用性說明在需要時，人員能夠憑借其把握的技能供給網(wǎng)絡(luò)與系統(tǒng)的治理、運維效勞表資產(chǎn)屬性可用性說明在需要時，人員能夠憑借其把握的技能供給網(wǎng)絡(luò)與系統(tǒng)的治理、運維效勞要求進(jìn)展評定的過程，對資產(chǎn)各屬性賦值按如下規(guī)定進(jìn)展：資產(chǎn)機(jī)密性賦值賦值標(biāo)識5極高4賦值標(biāo)識5極高4高3中等2低1定義包含組織最重要的隱秘，關(guān)系將來進(jìn)展的前途命運，對組織根本利益有著打算性影響，假設(shè)泄漏會造成災(zāi)難性的損害包含組織的重要隱秘，其泄露會使組織的安全和利益患病嚴(yán)峻損害組織的一般性隱秘，其泄露會使組織的安全和利益受到損害僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外集中有可能對組織的利益造成稍微損害可無視可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等資產(chǎn)完整性賦值賦值標(biāo)識5極高4賦值標(biāo)識5極高4高3中等2低1定義完整性價值格外關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法承受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴(yán)峻的業(yè)務(wù)中斷，難以彌補完整性價值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務(wù)沖擊嚴(yán)峻，比較難以彌補對業(yè)務(wù)沖擊明顯，但可以彌補完整性價值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成稍微影響，可以忍受，對業(yè)務(wù)沖擊稍微，簡潔彌補完整性價值格外低，未經(jīng)授權(quán)的修改或破壞對組織造成的影可無視響可以無視，對業(yè)務(wù)沖擊可以無視資產(chǎn)可用性賦值賦值標(biāo)識5極高4賦值標(biāo)識5極高4高定義可用性價值格外高，合法使用者對信息及信息系統(tǒng)的可用度99.9%以上，或系統(tǒng)不允許中斷；可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)90%10分鐘；3中等可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用度在70%30分鐘；2低可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在25%60分鐘；1可無視可用性價值可以無視，合法使用者對信息及信息系統(tǒng)的可用25%；級別進(jìn)展明確的定義、各級別間應(yīng)當(dāng)有顯著的差異。威逼評估對這幾局部進(jìn)展統(tǒng)一的威逼推斷。威逼識別結(jié)果中提取具體資產(chǎn)面臨的主要威逼列表的過程。威逼賦值密性的威逼、涉及可用性的威逼和涉及完整性的威逼，分別進(jìn)展賦值。評估中，對威逼的兩個屬性依據(jù)如下定義進(jìn)展賦值：威逼可能性4.10威逼可能性賦值表標(biāo)識賦值解釋大5威逼發(fā)生幾乎不行避開較大4威逼發(fā)生可能性很大中3威逼有可能發(fā)生較低2威逼發(fā)生的可能性很小低1威逼發(fā)生可能性很低威逼嚴(yán)峻程度4.11威逼嚴(yán)峻程度賦值表標(biāo)識賦值解釋大5威逼后果所產(chǎn)生的負(fù)面影響無法容忍，難以承受較大4威逼后果所產(chǎn)生的負(fù)面影響很嚴(yán)峻，損失難以彌補中3威逼后果所產(chǎn)生的負(fù)面影響較大，但損失可以彌補較低2威逼后果所產(chǎn)生的負(fù)面影響可以容忍，損失較簡潔彌補低1威逼后果產(chǎn)生不了什么負(fù)面影響3次評估中，資產(chǎn)、威逼、脆弱性賦值的級別數(shù)量應(yīng)全都。脆弱性評估估開展的。脆弱性識別然后綜合評價該資產(chǎn)或資產(chǎn)組〔系統(tǒng)〕的脆弱性?！惨娨韵聢D度。4-2技術(shù)、運維和治理相關(guān)狀況運維和治理缺陷主要通過訪談和調(diào)查問卷來覺察。此外，對以往的安全大事的統(tǒng)計和分析也是確定脆弱性的主要方法。脆弱性識別的內(nèi)容依據(jù)評估選擇的策略〔見《評估標(biāo)準(zhǔn)》中的定義〕或種脆弱性識別內(nèi)容的參考：防護(hù)對象技術(shù)漏洞運維缺陷治理缺陷根底通信設(shè)施防護(hù)對象技術(shù)漏洞運維缺陷治理缺陷根底通信設(shè)施安全域邊界設(shè)施內(nèi)部業(yè)務(wù)運行環(huán)境根底性安全治理網(wǎng)絡(luò)構(gòu)造配置記錄治理目標(biāo)網(wǎng)絡(luò)設(shè)備變更記錄安全策略網(wǎng)管措施安全策略執(zhí)行證據(jù)人員技能人員安排、職責(zé)安全意識邊界設(shè)備配置記錄治理目標(biāo)訪問掌握機(jī)制變更記錄安全策略設(shè)備部署狀況安全策略執(zhí)行證據(jù)人員技能人員安排、職責(zé)安全意識業(yè)務(wù)系統(tǒng)安全機(jī)制配置記錄治理目標(biāo)業(yè)務(wù)局域網(wǎng)絡(luò)環(huán)境變更記錄安全策略主機(jī)安全安全策略執(zhí)行證據(jù)人員技能通用應(yīng)用配置人員安排、職責(zé)安全意識安全防護(hù)措施資產(chǎn)治理配置記錄治理目標(biāo)工程工程審核變更記錄安全策略評估機(jī)制安全策略執(zhí)行證據(jù)人員技能應(yīng)急機(jī)制人員安排、職責(zé)物理環(huán)境安全機(jī)制組織機(jī)構(gòu)設(shè)置安全策略體系脆弱性賦值〔包括被威逼利用的可能性和難易程度弱性對安全屬性的哪方面產(chǎn)生了破壞。響程度，從而為解決系統(tǒng)安全問題供給合理、科學(xué)的手段供給數(shù)據(jù)根底。下表是脆弱性賦值表：4.13脆弱性賦值表標(biāo)識等級定義很高5假設(shè)被威逼利用，將對資產(chǎn)造成完全損害高4假設(shè)被威逼利用，將對資產(chǎn)造成重大損害中3假設(shè)被威逼利用，將對資產(chǎn)造成一般損害低2假設(shè)被威逼利用，將對資產(chǎn)造成較小損害很低1假設(shè)被威逼利用，將對資產(chǎn)造成的損害可以無視〔威逼利用脆弱性需要對相關(guān)的威逼因素進(jìn)展考慮。標(biāo)識賦值大1較大標(biāo)識賦值大1較大1.5中2較弱2.5弱3解釋兩類脆弱性相互影響很大，修正A類缺陷將直接使B類缺陷消逝兩類脆弱性相互影響較大，修正A類的缺陷將大量削減B類缺陷的數(shù)量兩類脆弱性有肯定的相互影響，長遠(yuǎn)來說，修正A類B類缺陷的數(shù)量兩類脆弱性相互影響較小，修正A類的缺陷能少量削減B類缺陷的數(shù)量兩類脆弱性相互影響很小，修正A類的缺陷幾乎不會B類缺陷的數(shù)量理念，對建立有效的安全保障機(jī)制有較大的促進(jìn)作用?，F(xiàn)有安全措施評估通過對系統(tǒng)中現(xiàn)有的安全措施的評估可判別出已部署的和已經(jīng)規(guī)劃的安全地降低了系統(tǒng)的脆弱性，抵擋了威逼。對現(xiàn)有安全措施的評估主要包括三個方面：評估安全措施的部署、使用和治理狀況〔可在脆弱性評估中進(jìn)展；確定這些措施所保護(hù)的資產(chǎn)范圍；評估這些防護(hù)措施對系統(tǒng)面臨風(fēng)險