信息安全風(fēng)險評估的基本過程教學(xué)課件

第七章信息安全風(fēng)險評估的基本過程信息安全風(fēng)險評估是對信息在產(chǎn)生、存儲、傳輸?shù)冗^程中其機密性、完整性、可用性遭到破壞的可能性及由此產(chǎn)生的后果所做的估計或估價,是組織確定信息安全需求的過程。71信息安全風(fēng)險評估的過程依據(jù)GB/T20984-2019《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》,同時參照SO/ECTR13335-3NISTSP800-30等標準,風(fēng)險評佔過程都會涉及到以下階段:識別要評估的資產(chǎn),確定資產(chǎn)的威脅、脆弱點及相關(guān)問題,評價風(fēng)險,推薦對策信息安全風(fēng)險評估完整的過程如圖7-1所示評怙準備識別并評價資產(chǎn)評估威肋評估脆弱評估控制措施評價鳳險推薦對策7.2評估準備信息安全風(fēng)險評估的準備,是實施風(fēng)險評估的前提。為了保證評估過程的可控性以及評估結(jié)果的客觀性,在信息安全風(fēng)險評估實施前應(yīng)進行充分的準備和計劃,信息安全風(fēng)險評估的準備活動包括(1)確定信息安全風(fēng)險評估的目標(2)確定信息安全風(fēng)險評估的范圍;(3)組建適當?shù)脑u估管理與實施團隊(4)進行系統(tǒng)調(diào)研(5)確定信息安全風(fēng)險評估依據(jù)和方法;(6)制定信息安全風(fēng)險評估方案(⑦)獲得最高管理者對信息安全風(fēng)險評估工作的支持7.21確定信息安全風(fēng)險評估的目標在信息安全風(fēng)險評估準備階段應(yīng)明確風(fēng)險評估的目標,為信息安全風(fēng)險評估的過程提供導(dǎo)向。信息安全需求是一個組織為保證其業(yè)務(wù)正常、有效運轉(zhuǎn)而必須達到的信息安全要求,通過分析組織必須符合的相關(guān)法律法規(guī)、組織在業(yè)務(wù)流程中對信息安全等的保密性、完整性、可用性等方面的需求,來確定信息安全風(fēng)險評估的目標722確定信息安全風(fēng)險評估的范圍既定的信息安全風(fēng)險評估可能只針對組織全部資產(chǎn)的一個子集,評估范圍必須明確。描述范圍最重要的是對于評估邊界的描述。評估的范圍可能是單個系統(tǒng)或者是多個關(guān)聯(lián)的系統(tǒng)。比較好的方法是按照物理邊界和邏輯邊界來描述某次風(fēng)險評估的范圍7.23組建適當?shù)脑u估管理與實施團隊在評估的準備階段,評估組織應(yīng)成立專門的評估團隊,具體執(zhí)行組織的信息安全風(fēng)險評估。團隊成員應(yīng)包括評估單位領(lǐng)導(dǎo)、信息安全風(fēng)險評估專家、技術(shù)專家,還應(yīng)該包括管理層、業(yè)務(wù)部門、人力資源、丌T系統(tǒng)和來自用戶的代表7.24進行系統(tǒng)調(diào)研系統(tǒng)調(diào)研是確定被評估對象的過程。風(fēng)險評估團隊應(yīng)進杯在甭簍定篇息肉糝望您烈方法的選擇(1)業(yè)務(wù)戰(zhàn)略及管理制度(2)主要的業(yè)務(wù)功能和要求;()網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境,包括內(nèi)部連接和外部連接;(4)系統(tǒng)邊界(5)主要的硬件、軟件;(6)數(shù)據(jù)和信息(⑦)系統(tǒng)和數(shù)據(jù)的敏感性(8)支持和使用系統(tǒng)的人員。7.25確定信息安全風(fēng)險評估依據(jù)和方法信息安全風(fēng)險評估依據(jù)包括現(xiàn)有國際或國家有關(guān)信息安全標準、組織的行業(yè)主管機關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度、組織的信息系統(tǒng)互聯(lián)單位的安全要求組織的信息系統(tǒng)本身的實時性或性能要求等根據(jù)信息安全評估風(fēng)險依據(jù),并綜合考慮信息安全風(fēng)險評估的目的、范圍、時間、效果、評估人員素質(zhì)等因