形容敏捷含有手的成语一、风险评估准备阶段
1.确定风险评估的目标
根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容,识别现有信息系统及管理上的不足,以及可能造成的风险大小。
2.确定风险评估的范围
风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。
3.组建适当的评估管理与实施团队
风险评估实施团队,由管理层、相关业务骨干、IT技术等人员组成风险评估小组。必要时,可组建由评估方、被评估方领导和相关部门负责人参加的风险评估领导小组,聘请相关专业的技术专家和技术骨干组成专家小组。
评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作,进行风险评估技术
培训和保密教育,制定风险评估过程管理相关规定。可根据被评估方要求,双方签署保密合同,适情签署个人保密协议。
4.进行系统调研
建立评估团队后,由评估工作人员进行现场调研,由被评估方介绍网络构建情况,安全管理制度和采取的安全防护措施以及业务运行情况。评估工作小组根据调研情况撰写信息安全风险评估工作方案。
5.确定评估依据和方法
a)现有国际标准、国家标准、行业标准;
b)行业主管机关的业务系统的要求和制度;
c)系统安全保护等级要求;
d)系统互联单位的安全要求;大众双离合变速箱油多久换
e)系统本身的实时性或性能要求等。
6.制定风险评估方案
对信息系统风险评估项目目标、范围、项目交付文件、项目实施方案、工作方式、评估成果提交形式讨论确定。形成完整的《风险评估实施方案》。
7.获得最高管理者对风险评估工作的支持
务必请指定业务实施负责人作为项目接口和协调人;列出人员的电话号码和账号以备联络。
==工作输出
1.《业务安全评估相关成员列表》(包括双方人员)
2. 《风险评估实施方案》
二、资产识别阶段
1.资产分类
世界上最大的海洋是什么海洋资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在,有无形的、有有形的,有硬件、有软件,有文档、代码,也有服务、企业形象等。通常信息资产的保密性、完整性和可用性是公认的能够反映资产安全特性的三个要素。
评估团队将调研到的资产可分为数据、软件、硬件、服务、人员、其他(企业形象、客户关系等)等类型。在实际工作中,具体的资产分类方法可根据具体的评估对象和要求,由评估者灵活把握。
2.安心亚资产赋值
根据资产在保密性、完整性、可用性上的不同要求,对资产进行保密性赋值、完整性赋值、可用性赋值。
肉蒲团主演资产价值应依据资产在保密性、完整性、可用性上的赋值等级,经过综合评定得出。
==工作输出
1.《资产表》(包括人工评估标记和资产值)
2. 《资产分类报告》
3. 《资产三性登记表》
4. 《重要资产赋值表》
三、威胁识别阶段
在识别威胁时,应根据资产目前所处的环境条件和以前的记录情况来判断,威胁识别主要通过采集入侵检测系统(IDS)的报警信息、威胁问卷调查和对技术人员做顾问访谈的方式。为了确保收集到的威胁信息客观准确,威胁问卷调查的对象要覆盖被评估对象的领导层、技术主管、网络管理人员、系统管理人员、安全管理人员和普通员工等。顾问访谈要针对不同的访谈对象制订不同的访谈提纲。
威胁识别的关键在于确认引发威胁的人或事物,威胁源可能是蓄意也可能是 偶然的因素,通常包括人、系统和自然环境等。一项资产可能面临多个威胁,而一个威胁也可能对不同的资产造成影响。威胁识别完成后还应该对威胁发生的可能性进行评估,列出威胁清单,描述威胁属性,并对威胁出现的频率赋值。
威胁分类
在威胁评估过程中,首先就要对组织需要保护的每一项关键资产进行威胁识别。
威胁类别包含软硬件故障、物理环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖等。
在威胁识别过程中,应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断。一项资产可能面临着多个威胁,同样一个威胁可能对不同的资产造成影响。
威胁赋值
赋值参考:
a)以往安全事件报告中出现过的威胁及其频率的统计;
b)实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;
c)近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。
==工作输出
1.《威胁分析报告和赋值表》
四、脆弱性识别阶段
也称为弱点评估,是安全风险评估中重要的内容。弱点是资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害。
弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。
。
脆弱性主要从技术和管理两个方面进行评估,涉及物理层、网络层、系统层、应用层、管理层等各个层面的安全问题。其中;。
1.脆弱性识别内容
✓技术脆弱性:物理环境、网络结构、系统软件、应用中间件、应用系统等。
✓在技术方面主要是通过远程和本地两种方式进行系统扫描、对网络设备和主机等进行人工抽查,以保证技术脆弱性评估的全面性和有效性。通过提出扫描申请并进行扫描评估(每次扫描完成后,应有扫描确认,需用户方签字),在整个项目技术部分基本结束时,双方协商进行渗透测试。
✓管理脆弱性:技术管理 组织管理
✓管理脆弱性评估方面可以按照BS 7799、ISO17799等标准的安全管理要求对现有的安全管理制度及其执行情况进行检查,发现其中的管理漏洞和不足,进行人工评估(每次人工评估完成后,应有人工评估确认,需用户方签字)。
✓脆弱性评估所采用的方法主要为:问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。
2.脆弱性赋值
根据对资产的损害程度、技术实现的难易程度、弱点的流行程度,采用等级方式对已识别的脆弱性的严重程度进行赋值。
五、已有措施安全分析阶段
安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。
机构应对已采取的控制措施进行识别并对控制措施的有效性进行确认,将有效的安全控制措施继续保持,以避免不必要的工作和费用,防止控制措施的重复实施。对于那些确认为不适当的控制应核查是否应被取消,或者用更合适的控制代替。安全控制可以分为预防性控制措施和保护性控制措施(如业务持续性计划、商业保险等)两种,预防性控制措施可以降低威胁发生的可能性和减少安全脆弱性,而保护性控制措施可以减少因威胁发生所造成的影响。
==工作输出
1.《风险评估与应对措施表》
2.《安全措施有效性分析表》
3.《网络安全建议报告》
六、风险分析阶段
1.风险计算:
1.1计算安全事件发生可能性
1)构建安全事件发生可能性矩阵;
2)根据威胁赋值和脆弱性严重程度值在矩阵中进行对照,确定安全事件发生可能性值;
3)对计算得到的安全风险事件发生可能性进行等级划分
1.2计算安全事件的损失
1)构建安全事件损失矩阵;
2)根据资产价值和脆弱性严重程度值在矩阵中进行对照,确定安全事件损失值;
3)对计算得到的安全事件损失进行等级划分。
1.3计算风险值
1)构建风险矩阵;
2)根据安全事件发生可能性和安全事件损失在矩阵中进行对照,确定安全事件风险值。
3)然后在风险值和风险等级表中可以到相应的风险等级。
2.风险结果判定
根据安全事件发生可能性等级和安全事件损失等级在矩阵中进行对照,确定风险值。然后在风险值和风险等级表中可以到相应的风险等级。
3.风险处理计划
风险处理计划中应明确采取的弥补脆弱性的安全措施、预期效果、实施条件、进度安排、责任部门等。
4.残余风险评估。
5.安全整改建议
安全风险整改是根据风险决策提出的风险处理计划,结合资产面临的威胁和存在的脆弱性,经过合理的统计归纳,形成安全解决方案建议报告的过程。
安全建议报告应包含安全建议阶段的所有工作内容,具体如下:
(1)需求分析:需求分析根据风险分析的结论将北京市委网信办信息系统的防护需求进行归纳和总结,并根据评估结果进行了现状分析、可行性分析和紧迫性分析;
(2)安全建议:根据需求分析的结论针对不同评估节点提出安全防护措施;
(3)实施计划:根据可行性分析和紧迫性分析结论提出安全建议的实施计划。
==工作输出
1. 《资产风险计算结果-等级化处理》
2.《计算模型分析》
3.《风险计算结果》
4. 《风险计算结果及影响》
5. 《风险评估》
交付风险评估文档记录
==工作输出
1.《风险评估方案》
2. 《资产识别清单》
3.《重要资产清单》
4.《威胁列表》
5. 《脆弱性列表》
6. 《已有安全措施确认表》
7. 《风险评估报告热爱祖国演讲稿》
发布评论