信息安全風險評估培訓課件

信息安全風險評估信息安全風險評估1什么是風險評估？——從深夜一個回家的女孩開始講起……什么是風險評估？——從深夜一個回家的女孩開始講起……2風險評估的基本概念風險評估的基本概念3各安全組件之間的關系各安全組件之間的關系4資產(chǎn)影響威脅弱點風險錢被偷100塊沒飯吃小偷打瞌睡服務器黑客軟件漏洞被入侵數(shù)據(jù)失密通俗的比喻資產(chǎn)影響威脅弱點風險錢被偷100塊沒飯吃小偷打瞌睡服務器黑客5風險評估6風險

風險管理（RiskManagement）就是以可接受的代價，識別、控制、減少或消除可能影響信息系統(tǒng)的安全風險的過程。在信息安全領域，風險（Risk）就是指各種威脅導致安全事件發(fā)生的可能性及其對組織所造成的負面影響。風險管理

風險評估（RiskAssessment）就是對各方面風險進行辨識和分析的過程，它包括風險分析和風險評價，是確認安全風險及其大小的過程。概述風險評估6風險風險管理（RiskManagemen6相關概念資產(chǎn)（Asset）——任何對企業(yè)具有價值的東西，包括計算機硬件、通信設施、建筑物、數(shù)據(jù)庫、文檔信息、軟件、信息服務和人員等，所有這些資產(chǎn)都需要妥善保護。威脅（Threat）——可能對資產(chǎn)或企業(yè)造成損害的某種安全事件發(fā)生的潛在原因，通常需要識別出威脅源（Threatsource）或威脅代理（Threatagent）。弱點（Vulnerability）——也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點，弱點一旦被利用，就可能對資產(chǎn)造成損害。風險（Risk）——特定威脅利用資產(chǎn)弱點給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性?？赡苄裕↙ikelihood）——對威脅發(fā)生幾率（Probability）或頻率（Frequency）的定性描述。影響（Impact）——后果（Consequence），意外事件發(fā)生給企業(yè)帶來的直接或間接的損失或傷害。安全措施（Safeguard）——控制措施（control）或?qū)Σ撸╟ountermeasure），即通過防范威脅、減少弱點、限制意外事件帶來影響等途徑來消減風險的機制、方法和措施。殘留風險（ResidualRisk）——在實施安全措施之后仍然存在的風險。相關概念資產(chǎn)（Asset）——任何對企業(yè)具有價值的7風險RISKRISKRISKRISK風險原有風險采取措施后的剩余風險影響威脅脆弱性影響威脅脆弱性風險管理的目標風險RISKRISKRISKRISK風險原有風險采取措施后的8資產(chǎn)分類方法分類示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料,包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行管理規(guī)程、計劃、報告、用戶手冊、各類紙質(zhì)的文檔等軟件系統(tǒng)軟件:操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、語句包、開發(fā)系統(tǒng)等應用軟件:辦公軟件、數(shù)據(jù)庫軟件、各類工具軟件等源程序:各種共享源代碼、自行或合作開發(fā)的各種代碼等硬件網(wǎng)絡設備:路由器、網(wǎng)關、交換機等計算機設備:大型機、小型機、服務器、工作站、臺式計算機、便攜計算機等存儲設備:磁帶機、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等傳輸線路:光纖、雙絞線等保障設備:UPS、變電設備等、空調(diào)、保險柜、文件柜、門禁、消防設施等安全保障：防火墻、入侵檢測系統(tǒng)、身份鑒別等其他:打印機、復印機、掃描儀、傳真機等資產(chǎn)分類方法分類示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料,包括9資產(chǎn)分類方法分類示例服務信息服務:對外依賴該系統(tǒng)開展的各類服務網(wǎng)絡服務:各種網(wǎng)絡設備、設施提供的網(wǎng)絡連接服務辦公服務:為提高效率而開發(fā)的管理信息系統(tǒng),包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務人員掌握重要信息和核心業(yè)務的人員,如主機維護主管、網(wǎng)絡維護主管及應用項目經(jīng)理等其它企業(yè)形象、客戶關系等資產(chǎn)分類方法分類示例服務信息服務:對外依賴該系統(tǒng)開展的各類服10資產(chǎn)識別模型網(wǎng)絡層機房、通信鏈路網(wǎng)絡設備1操作系統(tǒng)、主機設備軟件OA人員、文檔、制度業(yè)務層物理層主機層應用層管理層EAI/EIP工程管理物資管理生產(chǎn)管理營銷系統(tǒng)人力資源綜合管理操作系統(tǒng)、主機設備網(wǎng)絡設備2數(shù)據(jù)軟件軟件軟件數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)層資產(chǎn)識別模型網(wǎng)絡層機房、通信鏈路網(wǎng)絡設備1操作系統(tǒng)、主機設備11資產(chǎn)價值的評估資產(chǎn)價值的評估12信息安全屬性保密性CONFIDENTIALATY確保信息只能由那些被授權使用的人獲取完整性INTEGRITY保護信息及其處理方法的準確性和完整性可用性AVAILABILITY確保被授權使用人在需要時可以獲取信息和使用相關的資產(chǎn)信息安全屬性保密性CONFIDENTIALATY13信息安全風險評估培訓課件14信息安全風險評估培訓課件15信息安全風險評估培訓課件16資產(chǎn)等級計算公式AV=F(AC,AI,AA)例1：AV=MAX(AC,AI,AA)例2：AV=AC+AI+AA例3：AV=AC×AI×AA資產(chǎn)等級計算公式AV=F(AC,AI,AA)17信息安全風險評估培訓課件18威脅來源列表來源描述環(huán)境因素斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震、意外事故等環(huán)境危害或自然災害,以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障人為因素惡意人員不滿的或有預謀的內(nèi)部人員對信息系統(tǒng)進行惡意破壞;采用自主或內(nèi)外勾結(jié)的方式盜竊機密信息或進行篡改,獲取利益外部人員利用信息系統(tǒng)的脆弱性,對網(wǎng)絡或系統(tǒng)的機密性、完整性和可用性進行破壞,以獲取利益或炫耀能力非惡意人員內(nèi)部人員由于缺乏責任心,或者由于不關心和不專注,或者沒有遵循規(guī)章制度和操作流程而導致故障或信息損壞;內(nèi)部人員由于缺乏培訓、專業(yè)技能不足、不具備崗位技能要求而導致信息系統(tǒng)故障或被攻擊。威脅來源列表來源描述環(huán)境因素斷電、靜電、灰塵、潮濕、溫度、鼠19威脅分類表威脅分類表20信息安全風險評估培訓課件21脆弱性識別內(nèi)容表脆弱性識別內(nèi)容表22信息安全風險評估培訓課件23威脅與脆弱性之間的關系威脅與脆弱性之間的關系24風險分析原理風險分析原理25定性風險分析定性風險分析26風險計算方法風險值=R(A,T,V)=R(L(T,V),F(Ia,Va))其中,R表示安全風險計算函數(shù);A表示資產(chǎn);T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產(chǎn)價值;Va表示脆弱性嚴重程度;L表示威脅利用資產(chǎn)的脆弱性導致安全事件發(fā)生的可能性;F表示安全事件發(fā)生后產(chǎn)生的損失。一般風險計算方法：矩陣法和相乘法風險計算方法風險值=R(A,T,V)=R(L(T,V),F27矩陣法矩陣法28信息安全風險評估培訓課件29風險評價示例風險評價示例3031確定風險處置策略降低風險（ReduceRisk）——采取適當?shù)目刂拼胧﹣斫档惋L險，包括技術手段和管理手段，如安裝防火墻，殺毒軟件，或是改善不規(guī)范的工作流程、制定業(yè)務連續(xù)性計劃，等等。避免風險（AvoidRisk）——通過消除可能導致風險發(fā)生的條件來避免風險的發(fā)生，如將公司內(nèi)外網(wǎng)隔離以避免來自互聯(lián)網(wǎng)的攻擊，或是將機房安置在不可能造成水患的位置，等等。轉(zhuǎn)移風險（TransferRisk）——將風險全部或者部分地轉(zhuǎn)移到其他責任方，例如購買商業(yè)保險。接受風險（AcceptRisk）——在實施了其他風險應對措施之后，對于殘留的風險，組織可以有意識地選擇接受。31確定風險處置策略降低風險（ReduceRisk）—3132評價殘留風險絕對安全（即零風險）是不可能的。實施安全控制后會有殘留風險或殘存風險（ResidualRisk）。為了確保信息安全，應該確保殘留風險在可接受的范圍內(nèi)：殘留風險Rr＝原有的風險R0－控制ΔR殘留風險Rr≤可接受的風險Rt對殘留風險進行確認和評價的過程其實就是風險接受的過程。決策者可以根據(jù)風險評估的結(jié)果來確定一個閥值，以該閥值作為是否接受殘留風險的標準。32評價殘留風險絕對安全（即零風險）是不可能的。32等保測評與風險評估的區(qū)別目的不同等級測評：以是否符合等級保護基本要求為目的照方抓藥風險評估：以PDCA循環(huán)持續(xù)推進風險管理為目的對癥下藥等保測評與風險評估的區(qū)別目的不同33等保測評與風險評估的區(qū)別參照標準不同等級測評：GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》GA/T387-2002《計算機信息系統(tǒng)安全等級保護網(wǎng)絡技術要求》GA388-2002《計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術要求》GA/T389-2002《計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術要求》GA/T390-2002《計算機信息系統(tǒng)安全等級保護通用技術要求》GA391-2002《計算機信息系統(tǒng)安全等級保護管理要求》…風險評估：BS7799ISO17799ISO27001ISO27002GBT20984-2007《信息安全技術信息安全風險評估規(guī)范》…等保測評與風險評估的區(qū)別參照標準不同34等保測評與風險評估的區(qū)別可以簡單的理解為等保是標準或體系，風險評估是一種針對性的手段。等保測評與風險評估的區(qū)別可以簡單的理解為等保是標準或體系，風35為什么需要進行風險評估？——該買辣椒水呢還是請保鏢？為什么需要進行風險評估？——該買辣椒水呢還是請保鏢？36什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?兩個基本問題什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?兩個基本37什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?風險分析風險管理基本問題的答案什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?風險分析38潛在損失在可以承受范圍之內(nèi)的系統(tǒng)風險分析安全決策風險管理兩個答案的相關性潛在損失在可以承受范圍之內(nèi)的系統(tǒng)風險分析安全決策風險管理兩個39信息安全的演化信息安全的演化40概念的演化和技術的演化同步概念的演化和技術的演化同步41可信是保障概念的延續(xù)可信是保障概念的延續(xù)42信息安全的事實廣泛安全是一個廣泛的主題，它涉及到許多不同的區(qū)域（物理、網(wǎng)絡、系統(tǒng)、應用、管理等），每個區(qū)域都有其相關的風險、威脅及解決方法。動態(tài)相對絕對的信息安全是不存在的。信息安全問題的解決只能通過一系列的規(guī)劃和措施，把風險降低到可被接受的程度，同時采取適當?shù)臋C制使風險保持在此程度之內(nèi)。當信息系統(tǒng)發(fā)生變化時應當重新規(guī)劃和實施來適應新的安全需求。人信息系統(tǒng)的安全往往取決于系統(tǒng)中最薄弱的環(huán)節(jié)-人。人是信息安全中最關鍵的因素，同時也應該清醒的認識到人也是信息安全中最薄弱的環(huán)節(jié)。僅僅依賴于安全產(chǎn)品的堆積來應對迅速發(fā)展變化的各種攻擊手段是不能持續(xù)有效的。信息安全建設是一項復雜的系統(tǒng)工程，要從觀念上進行轉(zhuǎn)變，規(guī)劃、管理、技術等多種因素相結(jié)合使之成為一個可持續(xù)的動態(tài)發(fā)展的過程。信息安全的事實廣泛安全是一個廣泛的主題，它涉及到許多不同的區(qū)43

安全保障體系建設安全成本效率

安全-效率曲線

安全-成本曲線要研究建設信息安全的綜合成本與信息安全風險之間的平衡，而不是要片面追求不切實際的安全不同的信息系統(tǒng)，對于安全的要求不同，不是“越安全越好”安全保障體系建設安成本安全-效率曲線44信息系統(tǒng)矛盾三角信息系統(tǒng)矛盾三角45三類操作系統(tǒng)舉例三類操作系統(tǒng)舉例46信息安全保障能力成長階段成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源：GartnerInc.2006年1月30%50%15%5%信息安全保障能力成長階段成熟度時間盲目自信認知階段改進階段卓47能力成長階段的劃分盲目自信階段普遍缺乏安全意識，對企業(yè)安全狀況不了解，未意識到信息安全風險的嚴重性認知階段通過信息安全風險評估等，企業(yè)意識到自身存在的信息安全風險，開始采取一些措施提升信息安全水平改進階段意識到局部的、單一的信息安全控制措施難以明顯改善企業(yè)信息安全狀況，開始進行全面的信息安全架構(gòu)設計，有計劃的建設信息安全保障體系卓越運營階段信息安全改進項目完成后，在擁有較為全面的信息安全控制能力基礎上，建立持續(xù)改進的機制，以應對安全風險的變化，不斷提升安全控制能力能力成長階段的劃分盲目自信階段48各個階段的主要工作任務成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源：GartnerInc.2006年1月30%50%15%5%基本安全產(chǎn)品部署主要人員的培訓教育建立安全團隊制定安全方針政策評估并了解現(xiàn)狀各個階段的主要工作任務成熟度時間盲目自信認知階段改進階段卓越49各個階段的主要工作任務成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源：GartnerInc.2006年1月30%50%15%5%啟動信息安全戰(zhàn)略項目設計信息安全架構(gòu)建立信息安全流程完成信息安全改進項目各個階段的主要工作任務成熟度時間盲目自信認知階段改進階段卓越50各個階段的主要工作任務成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源：GartnerInc.2006年1月30%50%15%5%信息安全流程的持續(xù)改進追蹤技術和業(yè)務的變化各個階段的主要工作任務成熟度時間盲目自信認知階段改進階段卓越51怎么做風險評估？—評估到底買辣椒水還是請保鏢更合適怎么做風險評估？—評估到底買辣椒水還是請保鏢更合適52可能的攻擊信息的價值可能的損失風險評估簡要版可能的攻擊信息的價值可能的損失風險評估簡要版53資產(chǎn)弱點影響弱點威脅可能性+=當前的風險級別風險分析方法示意圖資產(chǎn)弱點影響弱點威脅可能性+=當前的風險級別風險分析方法示意54損失的量化必須圍繞用戶的核心價值，用戶的核心業(yè)務流程！如何量化損失損失的量化必須圍繞用戶的核心價值，用戶的核心業(yè)務流程！如何量55風險管理趨勢IT安全風險成為企業(yè)運營風險中最為重要的一個組成部分，業(yè)務連續(xù)性逐漸與安全并行考慮來源：Gartner風險管理趨勢IT安全風險成為企業(yè)運營風險中最為重要的一個組成56否是否是風險評估的準備已有安全措施的確認風險計算風險是否接受保持已有的控制措施施施施選擇適當?shù)目刂拼胧┎⒃u估殘余風險實施風險管理脆弱性識別威脅識別資產(chǎn)識別是否接受殘余風險

風險識別評估過程文檔評估過程文檔風險評估結(jié)果記錄評估結(jié)果文檔…風險評估流程否是否是風險評估的準備已有安全措施的確認風險計算風險是否接受57等級保護下風險評估實施框架保護對象劃分和定級網(wǎng)絡系統(tǒng)劃分和定級資產(chǎn)脆弱性威脅風險分析基本安全要求等級保護管理辦法、指南信息安全政策、標準、法律法規(guī)安全需求風險列表安全規(guī)劃風險評估等級保護下風險評估實施框架保護對象劃分和定級網(wǎng)絡系統(tǒng)劃分和定58結(jié)合等保測評的風險評估流程結(jié)合等保測評的風險評估流程596060風險評估項目實施過程計劃準備實施報告跟蹤6060風險評估項目實施過程計劃準備實施報告跟蹤606161評估工作各角色的責任評估組長評估員XX公司安全專責負責管理問卷訪談和運維問卷訪談；組織評估活動，控制協(xié)調(diào)進度，保證按計劃完成評估任務；組織召開評估會議；代表評估小組與受評估方管理層接觸；組織撰寫風險評估報告、現(xiàn)狀報告和安全改進建議提交評估報告。負責風險評估技術部分的內(nèi)容包括：網(wǎng)絡、主機系統(tǒng)、應用和數(shù)據(jù)庫評估熟悉必要的文件和程序；準備風險評估技術評估工具；撰寫每單位的評估報告；配合支持評估組長的工作，有效完成評估任務；收存和保護與評估有關的文件。負責配合顧問提供風險評估相關的工作環(huán)境、評估實現(xiàn)條件；備份系統(tǒng)數(shù)據(jù);配合評估顧問完成資產(chǎn)分類、賦值、弱點威脅發(fā)現(xiàn)和賦值、風險處理意見等工作；掌握風險評估方法；收存和保護與評估有關的文件。完成掃描后,檢查風險評估后系統(tǒng)的安全性和穩(wěn)定性6161評估工作各角色的責任評估組長評估員XX公司安全專責負616262風險評估項目實施過程計劃準備實施報告跟蹤6262風險評估項目實施過程計劃準備實施報告跟蹤626363制定評估計劃評估計劃分年度計劃和具體的實施計劃，前者通常是評估策劃階段就需要完成的，是整個評估活動的總綱，而具體的評估實施計劃則是遵照年度評估計劃而對每次的評估活動所作的實施安排。評估計劃通常應該包含以下內(nèi)容：目的：申明組織實施內(nèi)部評估的目標。

時間安排：評估時間避免與重要業(yè)務活動發(fā)生沖突。

評估類型：集中方式（本次項目采用集中評估方式）

其他考慮因素：范圍、評估組織、評估要求、特殊情況等。評估實施計劃是對特定評估活動的具體安排，內(nèi)容通常包括：目的、范圍、準則、評估組成員及分工、評估時間和地點、首末次會議及報告時間評估計劃應以文件形式頒發(fā)，評估實施計劃應該有評估組長簽名并得到主管領導的批準。6363制定評估計劃評估計劃分年度計劃和具體的實施計劃，636464風險評估計劃示例評估目的評價信息安全管理體系運行的符合性和有效性評估范圍××××××××××××××××××評估準則《XX公司信息安全管理辦法》《ISO27001信息安全管理體系》。評估小組評估組長×××評估組員×××××××××××××××評估活動

時間負責人備注填寫信息資產(chǎn)采集表X月上旬×××

實施風險評估過程X月中旬×××

不符合項及高危風險糾正X月末各相關部門負責人

跟蹤驗證X月上旬評估小組

召開風險評估整改會議X月下旬信息部領導

編制編寫者×××時間×××年×月×日評估評估者×××（信息按照專責簽字）時間×××年×月×日批準批準者×××（信息部門領導簽字）時間×××年×月×日6464風險評估計劃示例評估目的評價信息安全管理體系運行的符646565風險評估實施計劃示例評估目的對ISMS進行內(nèi)部評估，為體系糾正提供依據(jù)，為管理評審提供輸入評估范圍××××××××××××××評估準則《XX公司信息安全管理辦法》《ISO27001信息安全管理體系》。評估方式集中式評估評估時間X年X月X－X月X日評估組織評估組長×××評估組員第一小組×××××××××第二小組×××××××××評估安排日期時間評估區(qū)域評估內(nèi)容第一小組第二小組第一小組第二小組X9:00-9:30會議室首次會議9:30-12:00

14:00-17:00

17:00-18:00

X9:00-11:00

11:00-12:00會議室評估小組會議14:00-15:00會議室末次會議編制編寫者×××時間×××年×月×日評估評估者×××（信息安全專責簽字）時間×××年×月×日批準批準者×××（信息部管理者簽字）時間×××年×月×日6565風險評估實施計劃示例評估目的對ISMS進行內(nèi)部評估，656666風險評估項目實施過程計劃準備實施報告跟蹤6666風險評估項目實施過程計劃準備實施報告跟蹤666767檢查列表的四要素去哪里？找誰？查什么？如何查？6767檢查列表的四要素去哪里？找誰？查什么？如何查？676868風險評估常用方法

檢查列表：評估員根據(jù)自己的需要，事先編制針對某方面問題的檢查列表，然后逐項檢查符合性，在確認檢查列表應答時，評估員可以采取調(diào)查問卷、文件審查、現(xiàn)場觀察和人員訪談等方式。

文件評估：評估員在現(xiàn)場評估之前，應該對受評估方與信息安全管理活動相關的所有文件進行審查，包括安全方針和目標、程序文件、作業(yè)指導書和記錄文件。

現(xiàn)場觀察：評估員到現(xiàn)場參觀，可以觀察并獲取關于現(xiàn)場物理環(huán)境、信息系統(tǒng)的安全操作和各類安全管理活動的第一手資料。

人員訪談：與受評估方人員進行面談，評估員可以了解其職責范圍、工作陳述、基本安全意識、對安全管理獲知的程度等信息。評估員進行人員訪談時要做好記錄和總結(jié)，必要時要和訪談對象進行確認。

技術評估：評估員可以采用各種技術手段，對技術性控制的效力及符合性進行評估。這些技術性措施包括：自動化的掃描工具、網(wǎng)絡拓撲結(jié)構(gòu)分析、本地主機審查、滲透測試等。6868風險評估常用方法檢查列表：評估員根據(jù)自己的需要，686969評估員檢查工具——檢查列表檢查列表（Checklist）是評估員進行評估時必備的自用工具，是評估前需準備的一個重要工作文件。

在實施評估之前，評估員將根據(jù)分工情況來準備各自在現(xiàn)場評估所需的檢查列表，檢查列表的內(nèi)容，取決于評估主題和被評估部門的職能、范圍、評估方法及要求。檢查列表在信息安全管理體系內(nèi)部評估中起著以下重要作用：明確與評估目標有關的抽樣問題；使評估程序規(guī)范化，減少評估工作的隨意性和盲目性；保證評估目標始終明確，突出重點，避免在評估過程中因迷失方向而浪費時間；更好地控制評估進度；檢查列表、評估計劃和評估報告一起，都作為評估記錄而存檔。6969評估員檢查工具——檢查列表檢查列表（Checkl697070檢查列表編寫的依據(jù)，是評估準則，也就是信息安全管理標準、組織信息安全方針手冊等文件的要求針對受評估部門的特點，重點選擇某些應該格外關注的信息安全問題信息的收集和驗證的方法應該多種多樣，包括面談、觀察、文件和記錄的收集和匯總分析、從其他信息源（客戶反饋、外部報告等）收集信息等檢查列表應該具有可操作性檢查列表內(nèi)容應該能夠覆蓋體系所涉及的全部范圍和安全要求如果采用了技術性評估，可在檢查列表中列出具體方法和工具檢查列表的形式和詳略程度可采取靈活方式檢查列表要經(jīng)過信息安全主管人員審查無誤后才能使用檢查列表編寫注意事項7070檢查列表編寫的依據(jù)，是評估準則，也就是信息安全管7071常用技術工具清單技術漏洞掃描工具Nessus掃描器Nmap端口掃描工具綠盟極光漏洞掃描器安信通數(shù)據(jù)庫掃描器WireShark/EtherealIBMAppscan71常用技術工具清單技術漏洞掃描工具717272風險評估項目實施過程計劃準備實施報告跟蹤7272風險評估項目實施過程計劃準備實施報告跟蹤727373召開首次會議在完成全部評估準備工作之后，評估小組就可以按照預先的計劃實施現(xiàn)場評估了，現(xiàn)場評估開始于首次會議，評估小組全體成員和受評估方領導及相關人員共同參加。首次會議由評估組長主持，評估小組要向組織的相關人員介紹評估計劃、具體內(nèi)容、評估方法，并協(xié)調(diào)、澄清有關問題。召開首次會議時，與會者應該做好正式記錄。7373召開首次會議在完成全部評估準備工作之后，評估小組737474首次會議議程及內(nèi)容7474首次會議議程及內(nèi)容7475風險評估原則在風險評估前，需要對技術評估的風險進行重審。被評估方應在接受技術評估前對業(yè)務系統(tǒng)備份。在技術掃描過程中，需要系統(tǒng)管理員全程陪同。參考最近一年的風險評估記錄.在遇到異常情況時，及時通知管理員，并且停止評估。技術評估安排在對系統(tǒng)影響較小的時間進行75風險評估原則在風險評估前，需要對技術評估的風險進行重757676實施現(xiàn)場評估首次會議之后，即可進入現(xiàn)場評估?，F(xiàn)場評估按計劃進行，評估內(nèi)容參照事先準備好的檢查列表。評估期間，評估員應該做好筆記和記錄，這些記錄是評估員提出報告的真憑實據(jù)。記錄的格式可以是“筆記式”，也可以是“記錄表式”，一般來說，內(nèi)審活動都應該有統(tǒng)一的“現(xiàn)場評估記錄表”，便于規(guī)范化管理。評估進行到適當階段，評估組長應該主持召開評估小組會議，借此了解各個評估員的工作進展，提出下一步工作要求，協(xié)調(diào)有關活動，并對已獲得的評估證據(jù)和評估發(fā)現(xiàn)展開分析和討論。7676實施現(xiàn)場評估首次會議之后，即可進入現(xiàn)場評估?，F(xiàn)場767777對不符合項進行描述無論是嚴重不符合項還是輕微不符合項，評估員都應該將其記錄到不符合項報告中。不符合項報告是對現(xiàn)場評估得到的評估發(fā)現(xiàn)進行評審并經(jīng)過受評估方確認的對不符合項的陳述，是最終的評估報告的一部分，是評估小組提交給委托方或受評估方的正式文件。不符合項描述應該明確以下內(nèi)容：在哪里發(fā)現(xiàn)的？描述相關區(qū)域、文件、記錄、設備發(fā)現(xiàn)了什么？客觀描述發(fā)現(xiàn)的事實有誰在場？或者和誰有關？描述相關人員、職位為什么不合格？描述不符合原因，所違背的標準或文件條款在對不符合項進行描述時，應該注意：不符合項描述務必清楚明白，便于追溯描述語句務必正規(guī)，采用標準術語7777對不符合項進行描述無論是嚴重不符合項還是輕微不符7778現(xiàn)場工作時間安排（一）78現(xiàn)場工作時間安排（一）78現(xiàn)場工作時間安排（二）現(xiàn)場工作時間安排（二）798080召開評估小組會議現(xiàn)場評估結(jié)束后，末次會議召開之前，評估小組應該召開內(nèi)部碰頭會?；蛘呤窃谡麄€評估過程中，定期（每天結(jié)束時）召開評估小組碰頭會同一評估小組的成員參加會議期間討論當前的評估結(jié)果溝通評估信息、線索協(xié)調(diào)評估方向，控制評估實施按計劃進行評估組長作評估總結(jié)準備。在末次會議之前的評估組會議中，評估組長要對評估的觀察結(jié)果作一次匯總分析：從發(fā)現(xiàn)的風險進行分析（發(fā)生的部門、要素、性質(zhì)、類型）從技術漏洞的趨勢分析（不同業(yè)務系統(tǒng)的比較）從體系運行狀況對影響情況進行分析總結(jié)各項安全措施落實的優(yōu)缺點8080召開評估小組會議現(xiàn)場評估結(jié)束后，末次會議召開之前808181召開末次會議現(xiàn)場評估之后，評估組長應該主持召開末次會議，有評估小組、受評估方領導和各相關部門負責人共同參加。末次會議的任務在于：向受評估方介紹評估的情況；報告評估發(fā)現(xiàn)（重大風險點）和評估結(jié)論；提出后續(xù)工作的建議（糾正措施等）；結(jié)束現(xiàn)場評估。8181召開末次會議現(xiàn)場評估之后，評估組長應該主持召開末818282末次會議議程及內(nèi)容8282末次會議議程及內(nèi)容82等級保護測評中的風險分析風險分析和評價安全事件可能性分析安全事件后果分析風險分析和評價等級保護測評中的風險分析風險分析和評價83重點回顧風險評估基本概念(P5)資產(chǎn)賦值的一般方法(P11-P16)風險分析原理(P23)等級保護測評與風險評估的區(qū)別(P30)風險與投入的平衡(P41)風險評估流程(P54)等級保護測評中的風險分析(P80)重點回顧風險評估基本概念(P5)84信息安全風險評估培訓課件859、春去春又回，新桃換舊符。在那桃花盛開的地方，在這醉人芬芳的季節(jié)，愿你生活像春天一樣陽光，心情像桃花一樣美麗，日子像桃子一樣甜蜜。2022/11/222022/11/22Tuesday,November22,202210、人的志向通常和他們的能力成正比例。2022/11/222022/11/222022/11/2211/22/202212:35:54AM11、夫?qū)W須志也，才須學也，非學無以廣才，非志無以成學。2022/11/222022/11/222022/11/22Nov-2222-Nov-2212、越是無能的人，越喜歡挑剔別人的錯兒。2022/11/222022/11/222022/11/22Tuesday,November22,202213、志不立，天下無可成之事。2022/11/222022/11/222022/11/222022/11/2211/22/202214、ThankyouverymuchfortakingmewithyouonthatsplendidoutingtoLondon.ItwasthefirsttimethatIhadseentheToweroranyoftheotherfamoussights.IfI'dgonealone,Icouldn'thaveseennearlyasmuch,becauseIwouldn'thaveknownmywayabout.。22十一月20222022/11/222022/11/222022/11/2215、會當凌絕頂，一覽眾山小。十一月222022/11/222022/11/222022/11/2211/22/202216、如果一個人不知道他要駛向哪頭，那么任何風都不是順風。2022/11/222022/11/2222November202217、一個人如果不到最高峰，他就沒有片刻的安寧，他也就不會感到生命的恬靜和光榮。2022/11/222022/11/222022/11/222022/11/22謝謝觀看THEEND9、春去春又回，新桃換舊符。在那桃花盛開的地方，在這醉人芬芳86信息安全風險評估信息安全風險評估87什么是風險評估？——從深夜一個回家的女孩開始講起……什么是風險評估？——從深夜一個回家的女孩開始講起……88風險評估的基本概念風險評估的基本概念89各安全組件之間的關系各安全組件之間的關系90資產(chǎn)影響威脅弱點風險錢被偷100塊沒飯吃小偷打瞌睡服務器黑客軟件漏洞被入侵數(shù)據(jù)失密通俗的比喻資產(chǎn)影響威脅弱點風險錢被偷100塊沒飯吃小偷打瞌睡服務器黑客91風險評估92風險

風險管理（RiskManagement）就是以可接受的代價，識別、控制、減少或消除可能影響信息系統(tǒng)的安全風險的過程。在信息安全領域，風險（Risk）就是指各種威脅導致安全事件發(fā)生的可能性及其對組織所造成的負面影響。風險管理

風險評估（RiskAssessment）就是對各方面風險進行辨識和分析的過程，它包括風險分析和風險評價，是確認安全風險及其大小的過程。概述風險評估6風險風險管理（RiskManagemen92相關概念資產(chǎn)（Asset）——任何對企業(yè)具有價值的東西，包括計算機硬件、通信設施、建筑物、數(shù)據(jù)庫、文檔信息、軟件、信息服務和人員等，所有這些資產(chǎn)都需要妥善保護。威脅（Threat）——可能對資產(chǎn)或企業(yè)造成損害的某種安全事件發(fā)生的潛在原因，通常需要識別出威脅源（Threatsource）或威脅代理（Threatagent）。弱點（Vulnerability）——也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點，弱點一旦被利用，就可能對資產(chǎn)造成損害。風險（Risk）——特定威脅利用資產(chǎn)弱點給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性。可能性（Likelihood）——對威脅發(fā)生幾率（Probability）或頻率（Frequency）的定性描述。影響（Impact）——后果（Consequence），意外事件發(fā)生給企業(yè)帶來的直接或間接的損失或傷害。安全措施（Safeguard）——控制措施（control）或?qū)Σ撸╟ountermeasure），即通過防范威脅、減少弱點、限制意外事件帶來影響等途徑來消減風險的機制、方法和措施。殘留風險（ResidualRisk）——在實施安全措施之后仍然存在的風險。相關概念資產(chǎn)（Asset）——任何對企業(yè)具有價值的93風險RISKRISKRISKRISK風險原有風險采取措施后的剩余風險影響威脅脆弱性影響威脅脆弱性風險管理的目標風險RISKRISKRISKRISK風險原有風險采取措施后的94資產(chǎn)分類方法分類示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料,包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行管理規(guī)程、計劃、報告、用戶手冊、各類紙質(zhì)的文檔等軟件系統(tǒng)軟件:操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、語句包、開發(fā)系統(tǒng)等應用軟件:辦公軟件、數(shù)據(jù)庫軟件、各類工具軟件等源程序:各種共享源代碼、自行或合作開發(fā)的各種代碼等硬件網(wǎng)絡設備:路由器、網(wǎng)關、交換機等計算機設備:大型機、小型機、服務器、工作站、臺式計算機、便攜計算機等存儲設備:磁帶機、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等傳輸線路:光纖、雙絞線等保障設備:UPS、變電設備等、空調(diào)、保險柜、文件柜、門禁、消防設施等安全保障：防火墻、入侵檢測系統(tǒng)、身份鑒別等其他:打印機、復印機、掃描儀、傳真機等資產(chǎn)分類方法分類示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料,包括95資產(chǎn)分類方法分類示例服務信息服務:對外依賴該系統(tǒng)開展的各類服務網(wǎng)絡服務:各種網(wǎng)絡設備、設施提供的網(wǎng)絡連接服務辦公服務:為提高效率而開發(fā)的管理信息系統(tǒng),包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務人員掌握重要信息和核心業(yè)務的人員,如主機維護主管、網(wǎng)絡維護主管及應用項目經(jīng)理等其它企業(yè)形象、客戶關系等資產(chǎn)分類方法分類示例服務信息服務:對外依賴該系統(tǒng)開展的各類服96資產(chǎn)識別模型網(wǎng)絡層機房、通信鏈路網(wǎng)絡設備1操作系統(tǒng)、主機設備軟件OA人員、文檔、制度業(yè)務層物理層主機層應用層管理層EAI/EIP工程管理物資管理生產(chǎn)管理營銷系統(tǒng)人力資源綜合管理操作系統(tǒng)、主機設備網(wǎng)絡設備2數(shù)據(jù)軟件軟件軟件數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)層資產(chǎn)識別模型網(wǎng)絡層機房、通信鏈路網(wǎng)絡設備1操作系統(tǒng)、主機設備97資產(chǎn)價值的評估資產(chǎn)價值的評估98信息安全屬性保密性CONFIDENTIALATY確保信息只能由那些被授權使用的人獲取完整性INTEGRITY保護信息及其處理方法的準確性和完整性可用性AVAILABILITY確保被授權使用人在需要時可以獲取信息和使用相關的資產(chǎn)信息安全屬性保密性CONFIDENTIALATY99信息安全風險評估培訓課件100信息安全風險評估培訓課件101信息安全風險評估培訓課件102資產(chǎn)等級計算公式AV=F(AC,AI,AA)例1：AV=MAX(AC,AI,AA)例2：AV=AC+AI+AA例3：AV=AC×AI×AA資產(chǎn)等級計算公式AV=F(AC,AI,AA)103信息安全風險評估培訓課件104威脅來源列表來源描述環(huán)境因素斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震、意外事故等環(huán)境危害或自然災害,以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障人為因素惡意人員不滿的或有預謀的內(nèi)部人員對信息系統(tǒng)進行惡意破壞;采用自主或內(nèi)外勾結(jié)的方式盜竊機密信息或進行篡改,獲取利益外部人員利用信息系統(tǒng)的脆弱性,對網(wǎng)絡或系統(tǒng)的機密性、完整性和可用性進行破壞,以獲取利益或炫耀能力非惡意人員內(nèi)部人員由于缺乏責任心,或者由于不關心和不專注,或者沒有遵循規(guī)章制度和操作流程而導致故障或信息損壞;內(nèi)部人員由于缺乏培訓、專業(yè)技能不足、不具備崗位技能要求而導致信息系統(tǒng)故障或被攻擊。威脅來源列表來源描述環(huán)境因素斷電、靜電、灰塵、潮濕、溫度、鼠105威脅分類表威脅分類表106信息安全風險評估培訓課件107脆弱性識別內(nèi)容表脆弱性識別內(nèi)容表108信息安全風險評估培訓課件109威脅與脆弱性之間的關系威脅與脆弱性之間的關系110風險分析原理風險分析原理111定性風險分析定性風險分析112風險計算方法風險值=R(A,T,V)=R(L(T,V),F(Ia,Va))其中,R表示安全風險計算函數(shù);A表示資產(chǎn);T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產(chǎn)價值;Va表示脆弱性嚴重程度;L表示威脅利用資產(chǎn)的脆弱性導致安全事件發(fā)生的可能性;F表示安全事件發(fā)生后產(chǎn)生的損失。一般風險計算方法：矩陣法和相乘法風險計算方法風險值=R(A,T,V)=R(L(T,V),F113矩陣法矩陣法114信息安全風險評估培訓課件115風險評價示例風險評價示例116117確定風險處置策略降低風險（ReduceRisk）——采取適當?shù)目刂拼胧﹣斫档惋L險，包括技術手段和管理手段，如安裝防火墻，殺毒軟件，或是改善不規(guī)范的工作流程、制定業(yè)務連續(xù)性計劃，等等。避免風險（AvoidRisk）——通過消除可能導致風險發(fā)生的條件來避免風險的發(fā)生，如將公司內(nèi)外網(wǎng)隔離以避免來自互聯(lián)網(wǎng)的攻擊，或是將機房安置在不可能造成水患的位置，等等。轉(zhuǎn)移風險（TransferRisk）——將風險全部或者部分地轉(zhuǎn)移到其他責任方，例如購買商業(yè)保險。接受風險（AcceptRisk）——在實施了其他風險應對措施之后，對于殘留的風險，組織可以有意識地選擇接受。31確定風險處置策略降低風險（ReduceRisk）—117118評價殘留風險絕對安全（即零風險）是不可能的。實施安全控制后會有殘留風險或殘存風險（ResidualRisk）。為了確保信息安全，應該確保殘留風險在可接受的范圍內(nèi)：殘留風險Rr＝原有的風險R0－控制ΔR殘留風險Rr≤可接受的風險Rt對殘留風險進行確認和評價的過程其實就是風險接受的過程。決策者可以根據(jù)風險評估的結(jié)果來確定一個閥值，以該閥值作為是否接受殘留風險的標準。32評價殘留風險絕對安全（即零風險）是不可能的。118等保測評與風險評估的區(qū)別目的不同等級測評：以是否符合等級保護基本要求為目的照方抓藥風險評估：以PDCA循環(huán)持續(xù)推進風險管理為目的對癥下藥等保測評與風險評估的區(qū)別目的不同119等保測評與風險評估的區(qū)別參照標準不同等級測評：GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》GA/T387-2002《計算機信息系統(tǒng)安全等級保護網(wǎng)絡技術要求》GA388-2002《計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術要求》GA/T389-2002《計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術要求》GA/T390-2002《計算機信息系統(tǒng)安全等級保護通用技術要求》GA391-2002《計算機信息系統(tǒng)安全等級保護管理要求》…風險評估：BS7799ISO17799ISO27001ISO27002GBT20984-2007《信息安全技術信息安全風險評估規(guī)范》…等保測評與風險評估的區(qū)別參照標準不同120等保測評與風險評估的區(qū)別可以簡單的理解為等保是標準或體系，風險評估是一種針對性的手段。等保測評與風險評估的區(qū)別可以簡單的理解為等保是標準或體系，風121為什么需要進行風險評估？——該買辣椒水呢還是請保鏢？為什么需要進行風險評估？——該買辣椒水呢還是請保鏢？122什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?兩個基本問題什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?兩個基本123什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?風險分析風險管理基本問題的答案什么樣的信息系統(tǒng)才是安全的?如何確保信息系統(tǒng)的安全?風險分析124潛在損失在可以承受范圍之內(nèi)的系統(tǒng)風險分析安全決策風險管理兩個答案的相關性潛在損失在可以承受范圍之內(nèi)的系統(tǒng)風險分析安全決策風險管理兩個125信息安全的演化信息安全的演化126概念的演化和技術的演化同步概念的演化和技術的演化同步127可信是保障概念的延續(xù)可信是保障概念的延續(xù)128信息安全的事實廣泛安全是一個廣泛的主題，它涉及到許多不同的區(qū)域（物理、網(wǎng)絡、系統(tǒng)、應用、管理等），每個區(qū)域都有其相關的風險、威脅及解決方法。動態(tài)相對絕對的信息安全是不存在的。信息安全問題的解決只能通過一系列的規(guī)劃和措施，把風險降低到可被接受的程度，同時采取適當?shù)臋C制使風險保持在此程度之內(nèi)。當信息系統(tǒng)發(fā)生變化時應當重新規(guī)劃和實施來適應新的安全需求。人信息系統(tǒng)的安全往往取決于系統(tǒng)中最薄弱的環(huán)節(jié)-人。人是信息安全中最關鍵的因素，同時也應該清醒的認識到人也是信息安全中最薄弱的環(huán)節(jié)。僅僅依賴于安全產(chǎn)品的堆積來應對迅速發(fā)展變化的各種攻擊手段是不能持續(xù)有效的。信息安全建設是一項復雜的系統(tǒng)工程，要從觀念上進行轉(zhuǎn)變，規(guī)劃、管理、技術等多種因素相結(jié)合使之成為一個可持續(xù)的動態(tài)發(fā)展的過程。信息安全的事實廣泛安全是一個廣泛的主題，它涉及到許多不同的區(qū)129

安全保障體系建設安全成本效率

安全-效率曲線

安全-成本曲線要研究建設信息安全的綜合成本與信息安全風險之間的平衡，而不是要片面追求不切實際的安全不同的信息系統(tǒng)，對于安全的要求不同，不是“越安全越好”安全保障體系建設安成本安全-效率曲線130信息系統(tǒng)矛盾三角信息系統(tǒng)矛盾三角131三類操作系統(tǒng)舉例三類操作系統(tǒng)舉例132信息安全保障能力成長階段成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源：GartnerInc.2006年1月30%50%15%5%信息安全保障能力成長階段成熟度時間盲目自信認知階段改進階段卓133能力成長階段的劃分盲目自信階段普遍缺乏安全意識，對企業(yè)安全狀況不了解，未意識到信息安全風險的嚴重性認知階段通過信息安全風險評估等，企業(yè)意識到自身存在的信息安全風險，開始采取一些措施提升信息安全水平改進階段意識到局部的、單一的信息安全控制措施難以明顯改善企業(yè)信息安全狀況，開始進行全面的信息安全架構(gòu)設計，有計劃的建設信息安全保障體系卓越運營階段信息安全改進項目完成后，在擁有較為全面的信息安全控制能力基礎上，建立持續(xù)改進的機制，以應對安全風險的變化，不斷提升安全控制能力能力成長階段的劃分盲目自信階段134各個階段的主要工作任務成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源：GartnerInc.2006年1月30%50%15%5%基本安全產(chǎn)品部署主要人員的培訓教育建立安全團隊制定安全方針政策評估并了解現(xiàn)狀各個階段的主要工作任務成熟度時間盲目自信認知階段改進階段卓越135各個階段的主要工作任務成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源：GartnerInc.2006年1月30%50%15%5%啟動信息安全戰(zhàn)略項目設計信息安全架構(gòu)建立信息安全流程完成信息安全改進項目各個階段的主要工作任務成熟度時間盲目自信認知階段改進階段卓越136各個階段的主要工作任務成熟度時間盲目自信階段認知階段改進階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源：GartnerInc.2006年1月30%50%15%5%信息安全流程的持續(xù)改進追蹤技術和業(yè)務的變化各個階段的主要工作任務成熟度時間盲目自信認知階段改進階段卓越137怎么做風險評估？—評估到底買辣椒水還是請保鏢更合適怎么做風險評估？—評估到底買辣椒水還是請保鏢更合適138可能的攻擊信息的價值可能的損失風險評估簡要版可能的攻擊信息的價值可能的損失風險評估簡要版139資產(chǎn)弱點影響弱點威脅可能性+=當前的風險級別風險分析方法示意圖資產(chǎn)弱點影響弱點威脅可能性+=當前的風險級別風險分析方法示意140損失的量化必須圍繞用戶的核心價值，用戶的核心業(yè)務流程！如何量化損失損失的量化必須圍繞用戶的核心價值，用戶的核心業(yè)務流程！如何量141風險管理趨勢IT安全風險成為企業(yè)運營風險中最為重要的一個組成部分，業(yè)務連續(xù)性逐漸與安全并行考慮來源：Gartner風險管理趨勢IT安全風險成為企業(yè)運營風險中最為重要的一個組成142否是否是風險評估的準備已有安全措施的確認風險計算風險是否接受保持已有的控制措施施施施選擇適當?shù)目刂拼胧┎⒃u估殘余風險實施風險管理脆弱性識別威脅識別資產(chǎn)識別是否接受殘余風險

風險識別評估過程文檔評估過程文檔風險評估結(jié)果記錄評估結(jié)果文檔…風險評估流程否是否是風險評估的準備已有安全措施的確認風險計算風險是否接受143等級保護下風險評估實施框架保護對象劃分和定級網(wǎng)絡系統(tǒng)劃分和定級資產(chǎn)脆弱性威脅風險分析基本安全要求等級保護管理辦法、指南信息安全政策、標準、法律法規(guī)安全需求風險列表安全規(guī)劃風險評估等級保護下風險評估實施框架保護對象劃分和定級網(wǎng)絡系統(tǒng)劃分和定144結(jié)合等保測評的風險評估流程結(jié)合等保測評的風險評估流程145146146風險評估項目實施過程計劃準備實施報告跟蹤6060風險評估項目實施過程計劃準備實施報告跟蹤146147147評估工作各角色的責任評估組長評估員XX公司安全專責負責管理問卷訪談和運維問卷訪談；組織評估活動，控制協(xié)調(diào)進度，保證按計劃完成評估任務；組織召開評估會議；代表評估小組與受評估方管理層接觸；組織撰寫風險評估報告、現(xiàn)狀報告和安全改進建議提交評估報告。負責風險評估技術部分的內(nèi)容包括：網(wǎng)絡、主機系統(tǒng)、應用和數(shù)據(jù)庫評估熟悉必要的文件和程序；準備風險評估技術評估工具；撰寫每單位的評估報告；配合支持評估組長的工作，有效完成評估任務；收存和保護與評估有關的文件。負責配合顧問提供風險評估相關的工作環(huán)境、評估實現(xiàn)條件；備份系統(tǒng)數(shù)據(jù);配合評估顧問完成資產(chǎn)分類、賦值、弱點威脅發(fā)現(xiàn)和賦值、風險處理意見等工作；掌握風險評估方法；收存和保護與評估有關的文件。完成掃描后,檢查風險評估后系統(tǒng)的安全性和穩(wěn)定性6161評估工作各角色的責任評估組長評估員XX公司安全專責負147148148風險評估項目實施過程計劃準備實施報告跟蹤6262風險評估項目實施過程計劃準備實施報告跟蹤148149149制定評估計劃評估計劃分年度計劃和具體的實施計劃，前者通常是評估策劃階段就需要完成的，是整個評估活動的總綱，而具體的評估實施計劃則是遵照年度評估計劃而對每次的評估活動所作的實施安排。評估計劃通常應該包含以下內(nèi)容：目的：申明組織實施內(nèi)部評估的目標。

時間安排：評估時間避免與重要業(yè)務活動發(fā)生沖突。

評估類型：集中方式（本次項目采用集中評估方式）

其他考慮因素：范圍、評估組織、評估要求、特殊情況等。評估實施計劃是對特定評估活動的具體安排，內(nèi)容通常包括：目的、范圍、準則、評估組成員及分工、評估時間和地點、首末次會議及報告時間評估計劃應以文件形式頒發(fā)，評估實施計劃應該有評估組長簽名并得到主管領導的批準。6363制定評估計劃評估計劃分年度計劃和具體的實施計劃，149150150風險評估計劃示例評估目的評價信息安全管理體系運行的符合性和有效性評估范圍××××××××××××××××××評估準則《XX公司信息安全管理辦法》《ISO27001信息安全管理體系》。評估小組評估組長×××評估組員×××××××××××××××評估活動

時間負責人備注填寫信息資產(chǎn)采集表X月上旬×××

實施風險評估過程X月中旬×××

不符合項及高危風險糾正X月末各相關部門負責人

跟蹤驗證X月上旬評估小組

召開風險評估整改會議X月下旬信息部領導

編制編寫者×××時間×××年×月×日評估評估者×××（信息按照專責簽字）時間×××年×月×日批準批準者×××（信息部門領導簽字）時間×××年×月×日6464風險評估計劃示例評估目的評價信息安全管理體系運行的符150151151風險評估實施計劃示例評估目的對ISMS進行內(nèi)部評估，為體系糾正提供依據(jù)，為管理評審提供輸入評估范圍××××××××××××××評估準則《XX公司信息安全管理辦法》《ISO27001信息安全管理體系》。評估方式集中式評估評估時間X年X月X－X月X日評估組織評估組長×××評估組員第一小組×××××××××第二小組×××××××××評估安排日期時間評估區(qū)域評估內(nèi)容第一小組第二小組第一小組第二小組X9:00-9:30會議室首次會議9:30-12:00

14:00-17:00

17:00-18:00

X9:00-11:00

11:00-12:00會議室評估小組會議14:00-15:00會議室末次會議編制編寫者×××時間×××年×月×日評估評估者×××（信息安全專責簽字）時間×××年×月×日批準批準者×××（信息部管理者簽字）時間×××年×月×日6565風險評估實施計劃示例評估目的對ISMS進行內(nèi)部評估，151152152風險評估項目實施過程計劃準備實施報告跟蹤6666風險評估項目實施過程計劃準備實施報告跟蹤152153153檢查列表的四要素去哪里？找誰？查什么？如何查？6767檢查列表的四要素去哪里？找誰？查什么？如何查？153154154風險評估常用方法

檢查列表：評估員根據(jù)自己的需要，事先編制針對某方面問題的檢查列表，然后逐項檢查符合性，在確認檢查列表應答時，評估員可以采取調(diào)查問卷、文件審查、現(xiàn)場觀察和人員訪談等方式。

文件評估：評估員在現(xiàn)場評估之前，應該對受評估方與信息安全管理活動相關的所有文件進行審查，包括安全方針和目標、程序文件、作業(yè)指導書和記錄文件。

現(xiàn)場觀察：評估員到現(xiàn)場參觀，可以觀察并獲取關于現(xiàn)場物理環(huán)境、信息系統(tǒng)的安全操作和各類安全管理活動的第一手資料。

人員訪談：與受評估方人員進行面談，評估員可以了解其職責范圍、工作陳述、基本安全意識、對安全管理獲知的程度等信息。評估員進行人員訪談時要做好記錄和總結(jié)，必要時要和訪談對象進行確認。

技術評估：評估員可以采用各種技術手段，對技術性控制的效力及符合性進行評估。這些技術性措施包括：自動化的掃描工具、網(wǎng)絡拓撲結(jié)構(gòu)分析、本地主機審查、滲透測試等。6868風險評估常用方法檢查列表：評估員根據(jù)自己的需要，154155155評估員檢查工具——檢查列表檢查列表（Checklist）是評估員進行評估時必備的自用工具，是評估前需準備的一個重要工作文件。

在實施評估之前，評估員將根據(jù)分工情況來準備各自在現(xiàn)場評估所需的檢查列表，檢查列表的內(nèi)容，取決于評估主題和被評估部門的職能、范圍、評估方法及要求。檢查列表在信息安全管理體系內(nèi)部評估中起著以下重要作用：明確與評估目標有關的抽樣問題；使評估程序規(guī)范化，減少評估工作的隨意性和盲目性；保證評估目標始終明確，突出重點，避免在評估過程中因迷失方向而浪費時間；更好地控制評估進度；檢查列表、評估計劃和評估報告一起，都作為評估記錄而存檔。6969評估員檢查工具——檢查列表檢查列表（Checkl155156156檢查列表編寫的依據(jù)，是評估準則，也就是信息安全管理標準、組織信息安全方針手冊等文件的要求針對受評估部門的特點，重點選擇某些應該格外關注的信息安全問題信息的收集和驗證的方法應該多種多樣，包括面談、觀察、文件和記錄的收集和匯總分析、從其他信息源（客戶反饋、外部報告等）收集信息等檢查列表應該具有可操作性檢查列表內(nèi)容應該能夠覆蓋體系所涉及的全部范圍和安全要求如果采用了技術性評估，可在檢查列表中列出具體方法和工具檢查列表的形式和詳略程度可采取靈活方式檢查列表要經(jīng)過信息安全主管人員審查無誤后才能使用檢查列表編寫注意事項7070檢查列表編寫的依據(jù)，是評估準則，也就是信息安全管156157常用技術工具清單技術漏洞掃描工具Nessus掃描器Nmap端口掃描工具綠盟極光漏洞掃描器安信通數(shù)據(jù)庫掃描器WireShark/EtherealIBMAppscan71常用技術工具清單技術漏洞掃描工具157158158風險評估項目實施過程計劃準備實施報告跟蹤7272風險評估項目實施過程計劃準備實施報告跟蹤158159159召開首次會議在完成全部評估準備工作之后，評估小組就可以按照預先的計劃實施現(xiàn)場評估了，現(xiàn)場評估開始于首次會議，評估小組全體成員和受評估方領導及相關人員共同參加。首次會議由評估組長主持，評估小組要向組織的相關人員介紹評估計劃、具體內(nèi)容、評估方法，并協(xié)調(diào)、澄清有關問題。召開首次會議時，與會者應該做好正式記錄。7373召開首次會議在完成全部評估準備工作之后，評估小組159160160首次會議議程及內(nèi)容7474首次會議議程及內(nèi)容160161風險評估原則在風險評估前，需要對技術評估的風險進行重審。被評估方應在接受技術評估前對業(yè)務系統(tǒng)備份。在技術掃描過程中，