最新信息安全風險評估服務資料

1、1、風險評估概述1.1 風險評估概念 信息安全風險評估是參照風險評估標準和管理規(guī)范， 對信息系統(tǒng) 的資產價值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護措施等進行分析， 判斷安全事件發(fā)生的概率以及可能造成的損失， 提出風險管理措施的 過程。當風險評估應用于 IT 領域時，就是對信息安全的風險評估。 風險評估從早期簡單的漏洞掃描、 人工審計、 滲透性測試這種類型的 純技術操作，逐漸過渡到目前普遍采用國際標準的 BS7799、ISO17799、 國家標準信息系統(tǒng)安全等級評測準則等方法，充分體現(xiàn)以資產為 出發(fā)點、以威脅為觸發(fā)因素、 以技術/ 管理/ 運行等方面存在的脆弱性 為誘因的信息安全風險評估綜合方法及操

2、作模型。1.2 風險評估相關 資產，任何對組織有價值的事物。 威脅，指可能對資產或組織造成損害的事故的潛在原因。例如， 組織的網(wǎng)絡系統(tǒng)可能受到來自計算機病毒和黑客攻擊的威脅。脆弱點， 是指資產或資產組中能背威脅利用的弱點。 如員工缺乏 信息安全意思， 使用簡短易被猜測的口令、 操作系統(tǒng)本身有安全漏洞 等。風險，特定的威脅利用資產的一種或一組薄弱點， 導致資產的丟 失或損害餓潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結 合。 風險評估，對信息和信息處理設施的威脅、影響和脆弱點 及三者發(fā)生的可能性評估。風險評估也稱為風險分析，就是確認安全風險及其大小的過程， 即利用適當?shù)娘L險評估工具， 包括定

3、性和定量的方法， 去頂資產風險 等級和優(yōu)先控制順序。2、風險評估的發(fā)展現(xiàn)狀2.1 信息安全風險評估在美國的發(fā)展第一階段（ 60-70 年代）以計算機為對象的信息保密階段1067年11月到 1970年2月，美國國防科學委員會委托蘭德公 司、邁特公司（MITIE）及其它和國防工業(yè)有關的一些公司對當時的 大型機、遠程終端進行了研究，分析。作為第一次比較大規(guī)模的風險 評估。 特點：僅重點針對了計算機系統(tǒng)的保密性問題提出要求， 對安全的評估 只限于保密性，且重點在于安全評估，對風險問題考慮不多。 第二階段（ 80-90 年代）以計算機和網(wǎng)絡為對象的信息系統(tǒng)安全保護 階段評估對象多為產品， 很少延拓至系統(tǒng)

4、， 嬰兒在嚴格意義上扔不是 全面的風險評估。第三階段（ 90 年代末， 21 世紀初）以信息系統(tǒng)為對象的信息保障階 段隨著信息保障的研究的深入，保障對象明確為信息和信息系統(tǒng)； 保障能力明確來源于技術、 管理和人員三個方面； 逐步形成了風險評 估、自評估、認證認可的工作思路。2.2 我國風險評估發(fā)展 2002年在 863 計劃中首次規(guī)劃了系統(tǒng)安全風險分析和評估方法 研究課題 2003 年 8 月至 2010 年在國信辦直接指導下， 組成了風險評估課題 組 2004 年，國家信息中心風險評估指南 ，風險管理指南 2005 年全國風險評估試點 在試點和調研基礎上，由國信辦會同公安部，安全部，等起草了

5、關于開展信息安全風險評估工作的意見征求意見稿 2006 年，所有的部委和所有省市選擇 1-2 單位開展本地風險評估 試點工作 2015 年，國家能源局根據(jù) 電力監(jiān)控系統(tǒng)安全防護規(guī)定 （國家發(fā) 展和改革委員會令 2014年第 14 號）制定了電力監(jiān)控系統(tǒng)安全防護 總體方案（國能安全 201536 號）等安全防護方案和評估方案，其 中相關規(guī)定明確風險評估在電力系統(tǒng)中的需要 2017 年 7 月，中華人民共和國網(wǎng)絡安全法頒布， 其中第二章第 十七條“國家推進網(wǎng)絡安全社會化服務體系建設，鼓勵有關企業(yè)、機 構開展網(wǎng)絡安全認證、檢測和風險評估等安全服務” 。明確了需要社 會廣泛參與服務。4、風險評估流程確

6、定資產評估范圍資產的識別和影響威脅識別脆弱性評估威脅分析風險分析風險管理5、風險評估原則符合性原則標準性原則 規(guī)范性原則 可控性原則 保密性原則 整體性原則 重點突出原則 最小影響原則6、評估依據(jù)的標準和規(guī)范GB/T 20984-2007 信息安全技術 信息安全風險評估規(guī)范電力監(jiān)控系統(tǒng)安全防護規(guī)定 （發(fā)改委 14 號令）關于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)范的通知（國能安全 201536 號）GB/T18336-2001 信息技術 安全技術 信息技術安全性評估準 則ISO/IEC 27001:2005 信息安全管理體系標準GB/T22239-2008 信息安全技術 信息系

7、統(tǒng)安全等級保護基本要求GB/T22240-2008 信息安全技術 信息系統(tǒng)安全等級保護定級指南GB/T25058-2010 信息安全技術 信息系統(tǒng)安全等級保護實施指 南電力行業(yè)信息安全等級保護基本要求 （電監(jiān)信息 201262 號）關于開展電力行業(yè)信息系統(tǒng)安全等級保護定級工作的通知 （電 監(jiān)信息 200734 號）電力行業(yè)信息系統(tǒng)等級保護定級工作指導意見 （電監(jiān)信息 200744 號）7、風險評估的發(fā)展方向8.1 風險評估行業(yè)發(fā)展方向從 2003 年 7 月至今，我國信息安全風險評估工作大致經(jīng)歷了三 個階段，即調查研究階段、標準編制階段和試點工作階段。歷時兩年、經(jīng)過調查研究、 標準編制和試點工

8、作三個階段， 目前， 我國信息安全風險評估工作已取得階段性的成果， 此間也是關于開 展信息安全風險評估工作的意見政策文件，以及信息安全風險評 估指南和信息安全風險管理指南兩項標準歷經(jīng)醞釀、形成到不 斷完善的三個時期。信息安全風險是人為或自然的威脅利用系統(tǒng)存在的脆弱性引發(fā) 的安全事件，并由于受損信息資產的重要性而對機構造成的影響。 而 信息安全風險評估，則是指依據(jù)國家風險評估有關管理要求和技術標 準，對信息系統(tǒng)及由其存儲、處理和傳輸?shù)男畔⒌臋C密性、完整性和 可用性等安全屬性進行科學、公正的綜合評價的過程。通過對信息及 信息系統(tǒng)的重要性、面臨的威脅、其自身的脆弱性以及已采取安全措 施有效性的分析，

9、判斷脆弱性被威脅源利用后可能發(fā)生的安全事件以 及其所造成的負面影響程度來識別信息安全的安全風險。信息安全風險評估是信息安全保障體系建立過程中的重要的評 價方法和決策機制。沒有準確及時的風險評估，將使得各個機構無法 對其信息安全的狀況做出準確的判斷。所以，所謂安全的信息系統(tǒng)， 實際是指信息系統(tǒng)在實施了風險評估并做出風險控制后，仍然存在可被接受的殘余風險的信息系統(tǒng)。因此，需要運用信息安全風險評估的 思想和規(guī)范，對信息系統(tǒng)展開全面、完整的信息安全風險評估。信息安全風險評估在信息安全保障體系建設中具有不可替代的 地位和重要作用。風險評估既是實施信息系統(tǒng)安全等級保護的前提， 又是信息系統(tǒng)安全建設和安全管

10、理的基礎工作。 通過風險評估，能及 早發(fā)現(xiàn)和解決問題，防患于未然。當前，尤其迫切需要對我國信息化 發(fā)展過程中形成的基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)進行持續(xù)的風險評估，隨時掌握我國重要信 息系統(tǒng)和基礎信息網(wǎng)絡的安全狀態(tài)，及時采取有針對性的應對措施， 為建立全方位的國家信息安全保障體系提供服務。 通過風險評估可以 有助于認清信息安全環(huán)境和信息安全狀況，明確信息化建設中各級的 責任，采取或完善更加經(jīng)濟有效的安全保障措施， 保證信息安全策略 的一致性和持續(xù)性， 并進而服務于國家信息化發(fā)展， 促進信息安全保 障體系的建設，全面提高信息安全保障能力。其意義具體體現(xiàn)在于：

11、風險評估是信息安全建設和管理的關鍵環(huán)節(jié)， 它是需求主導和突出重 點原則的具體體現(xiàn)， 是分析確定風險的過程， 加強風險評估工作是信 息安全工作的客觀需要。國家信息安全風險評估政策文件和標準的即將出臺與頒布將為 我國信息安全風險評估工作的開展提供科學的政策和技術依據(jù)。 相信 在未來，我國信息安全風險評估的政策思路、標準規(guī)范、實踐經(jīng)驗將 會有進一步提升。8.2 公司自身的發(fā)展方向 就當前公司而言，最緊要的是對于信息安全風險評估資質的申 請，和人員技術的培訓。依托現(xiàn)有的省公司調度自動化處的合作，促 進與新型能源企事業(yè)合作， 大力開展光伏電站入網(wǎng)前的安全防護檢查 與檢測，同時拓展到風電、 水電和火電的并網(wǎng)后的定期檢查。在這個 方面，我司現(xiàn)在的業(yè)務水平尚有欠缺，技術方面還有不足。因此現(xiàn)在 在面臨這行業(yè)蓬勃發(fā)展的前提下，我們要在資質和技術上雙管齊下。 另外，在正式介入這