XX公司风险评估服务实施规范

XX公司风险评估服务实施规范XXX服务有限公司目录一、风险评估服务概述.....................................1二、风险评估服务原则.....................................22.1标准性原则..........................................22.2关键业务原则........................................22.3可控性原则..........................................22.4最小影晌原则........................................3三、风险评估服务流程.....................................43.1准备阶段............................................53.1.1确定目标及范围...................................53.1.2资产调研........................................53.1.3确定依据........................................63.1.4方案编制........................................63.2识别阶段............................................73.2.1资产识别........................................73.2.2威胁识别........................................73.2.3脆弱性识别.......................................83.3现场评估阶段........................................83.3.1技术措施确认.....................................93.3.2管理措施确认.....................................93.3.3工具测试.......................................103.3.4结果确认及资料归还..............................103.4分析与报告编制阶段.................................103.4.1资产分析.......................................103.4.2威胁分析.......................................113.4.3脆弱性分析......................................113.4.4风险分析.......................................113.4.5结论形成.......................................113.4.6报告编制.......................................11四、风险评估过程风险规避................................134.1存在的风险.........................................134.2风险的规避.........................................13五、风险评估输出成果....................................16附件1..................................................171.资产分类............................................172.资产赋值............................................182.1资产保密性赋值....................................182.2资产完整性赋值....................................182.3资产可用性赋值....................................192.4资产价值计算......................................20附件2..................................................211.威胁分类............................................212.威胁赋值............................................221一、风险评估服务概述随着政府部门、企事业单位以及各行各业对信息系统依赖程度的日益增强，信息安全问题受到普遍关注。《网络安全法》第三十八条和《关键信息基础设施安全保护条例》（征求意见稿）第二十八条规定，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。运用风险评估去识别安全风险，解决信息安全问题已是现阶段必要的安全措施。2二、风险评估服务原则2.1标准性原则信息安全风险评估应按照GB/T20984-2007中规定的评估流程进行实施，包括各阶段性的评估工作。2.2关键业务原则信息安全风险评估应以被评估组织的关键业务作为评估工作的核心，把涉及这些业务的相关网络与系统，包括基础网络、业务网络、应用基础平台、业务应用平台等作为评估的重点。2.3可控性原则1）服务可控性。评估方应事先在评估工作沟通会议中向用户介绍评估服务流程，明确需要得到被评估组织协作的工作内容，确保安全评估服务工作的顺利进行。2）人员与信息可控性。所有参与评估的人员应签署保密协议，以保证项目信息的安全:应对工作过程数据和结果数据严格管理，未经授权不得泄露给任何单位和个人。3）过程可控性。应按照项目管理要求，成立项目实施团队，项自组长负责制，达到项目过程的可控。4）工具可控性。安全评估人员所使用的评估工具应该事先通告用户，并在项目实施前获得用户的许可，包括产品本身、测试策略等。32.4最小影晌原则对于在线业务系统的风险评估，应采用最小影响原则，即首要保障业务系统的稳定运行，对于需要进行攻击性测试的工作内容，需与用户沟通并进行应急备份，同时选择避开业务的高峰时间进行。4三、风险评估服务流程信息安全风险评估服务包括四个基本评估阶段：准备阶段、识别阶段、现场评估阶段、分析与报告编制阶段，而相关方之间的沟通与洽谈应贯穿整个风险评估过程。每一评估活动有一组确定的工作任务。信息安全风险评估服务流程如下图所示：53.1准备阶段准备阶段的目标是顺利启动风险评估项目，确定本次风险评估目标及范围，收集目标相关资料，准备评估所需资料，最后根据实际情况编制风险评估方案。准备阶段包括确定目标及范围、资产调研、确定依据和方案编制4项主要任务。3.1.1确定目标及范围风险评估目标可根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容，识别现有信息系统及管理上的不足等进行设定。风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。3.1.2资产调研资产调研是确定被评估对象的过程，风险评估小组应进行充分的资产调研，为风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容包括：业务战略及管理制度；主要的业务功能和要求；网络结构与网络环境，包括内部连接和外部连接；系统边界；主要的硬件、软件；6数据和信息；系统和数据的敏感性；支持和使用系统的人员；其他。资产调研采取问卷调查、现场面谈相结合的方式进行。调查问卷是一套关于管理或操作控制的问题表格，供系统技术或管理人员填写;现场面谈则是由评估人员到现场观察并收集系统在物理、环境和操作方面的信息。3.1.3确定依据根据资产调研结果，确定评估依据和评估方法。评估依据包括：现行国际标准、国家标准、行业标准；行业主管机关的业务系统的要求和制度；系统安全保护等级要求；系统互联单位的安全要求；系统本身的实时性或性能要求等。根据评估依据，应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方法，并依据业务实施对系统安全运行的需求，确定相关的判断依据，使之能够与组织环境和安全要求相适应。3.1.4方案编制风险评估方案的目的是为后面的风险评估实施活动提供一个总7体计划，用于指导实施方开展后续工作。风险评估方案的内容一般包括：团队组织:包括评估团队成员、组织结构、角色、责任等内容;工作计划:风险评估各阶段的工作计划，包括工作内容、工作形式、工作成果等内容;时间进度安排:项目实施的时间进度安排。评估方法：现场采用的评估方式及工具测试方法3.2识别阶段识别阶段的目标是对评估对象的资产、威胁及脆弱性进行识别，并根据科学有效的算法进行赋值计算。识别阶段包括资产识别、威胁识别和脆弱性识别3项主要工作。3.2.1资产识别保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此，应对组织中的资产进行识别。资产识别的具体办法详见附件1。3.2.2威胁识别威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。8造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其他物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，在保密性、完整性和可用性等方面造成损害;也可能是偶发的或蓄意的事件在对威胁进行分类前，应考虑威胁的来源。为此，应对组织中的威胁进行识别。威胁识别的具体办法详见附件2。3.2.3脆弱性识别脆弱性是资产本身存在的，如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成损害。如果系统足够强健，严重的威胁也不会导致安全事件发生，并造成损失。脆弱性识别以资产为核心，从物理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起来。脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理安全、网络安全、主机系统安全、应用系统安全、数据安全5个层面的技术安全问题，管理脆弱性涉及安全管理机构、安全管理策略、安全管理制度、人员安全管理、系统运维管理5个层面的管理安全问题。3.3现场评估阶段现场评估阶段通过进行沟通和协调，为现场评估的顺利开展打下良好基础，依据风险评估方案实施现场评估工作，将评估方案和方法等内容具体落实到现场评估活动中。现场评估工作应取得报告编制活动的所需的、足够的证据和资料。现场评估活动包括技术措施确认、9管理措施确认、工具测试、结果确认及资料归还4项主要任务。3.3.1技术措施确认技术措施确认涉及物理层、网络层、系统层、应用层等各个层面的安全问题。具体确认内容如下：技术措施确认对象技术措施确认内容物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行确认。网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行确认。系统软件（含操作系统及系统服务）从补丁安装、物理保