风险评价实施方案

一一、、风风险险评评估估概概述述 1 1、风险服务的重要性、风险服务的重要性 对于构建一套良好的信息安全系统，需要对整个系统的安全风险有一个清晰 的认识。只有清晰的了解了自身的弱点和风险的来源，才能够真正的解决和削弱 它，并以此来构建有着对性的、合理有效的安全策略，而风险评估既是安全策略 规划的第一步，同时也是实施其他安全策略的必要前提。 近几年随着几次计算机蠕虫病毒的大规模肆虐攻击，很对用户的网络都遭受 了不同程度的攻击，仔细分析就会发现，几乎所有的用户都部署了防病毒软件和 类似的安全防护系统，越来越多的用户发现淡村的安全产品已经不能满足现在的 安全防护体系的需求了。 安全是整体的体系建设过程，根据安全的木桶原理，组织网络的整个安全最 大强度取决于最短最脆弱的那根木头，所以说在安全建设的过程中，如果不仔细 的找到最短的那根木头，而盲目的在外面加钉子，并不能改善整体强度。 信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策 机制，只有通过全面的风险评估，才能让客户对自身信息安全的状况做出准确的 判断。 2 2、风险评估服务的目的及其意义、风险评估服务的目的及其意义 信息安全风险是指人为或自然的威胁利用信息系统及其团里体系中存在的脆 弱性导致安全事件的发生及其对组织造成的影响。 信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由 其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过 程。他要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结 合安全事件所涉及的资产价值来判断安全事件一旦发生对组造成的影响。 信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法，其 结果为信息安全更显管理提供依据。 3 3、风险评估服务机制、风险评估服务机制 在信息系统生命周期里，有许多种情况必须对信息系统所涉及的人员、技术 环境、物理环境进行风险评估：  在设计规划或升级新的信息系统时；  给目前的信息系统增加新应用时；  在与其他组织（部门）进行网络互联时；  在技术平台进行大规模更新（例如，从 Linux 系统移植到 Sliaris 系统） 时；  在发生计算机安全事件之后，或怀疑可能会发生安全事件时；  关心组织现有的信息安全措施是否充分或食后具有相应的安全效力时；  在组织具有结构变动（例如：组织合并）时：  在需要对信息系统的安全状况进行定期或不定期的聘雇、已查看是否满足 组织持续运营需要时等。 4 4、风险评估服务的收益、风险评估服务的收益  风险评估可以帮助客户：  准确了解租住的信息安全现状；  明晰组织的信息安全需求；  制定组织信息系统的安全策略和风险解决方案；  指导组织未来的信息安全建设和投入；  建立组织自身的信息安全管理框架。 二、风险评估服务介绍二、风险评估服务介绍 本公司遵循公认的 ISO 27001、GB/T 20984-2007信息安全风险评估规范以及 国际信息安全等级保护指南等安全标准知道风险评估的工作，针对资产重要程度 分别提供不同的频率和方式的风险评估，帮助客户了解客观真实的自身网络系统 安全现状，规划适合自己网络系统环境的安全策略，并根据科学合理的安全策略 来实施后续的安全服务、选型与部署安全产品以及建立有效的安全管理规章制度， 从而全面完整的解决可能存在的各种风险隐患。 1 1、风险评估服务遵循标准、风险评估服务遵循标准 在整个评估过程中，本公司遵循和参照最新、最权威的信息安全标准，作为 评估实施的依据。这些安全标准包括： 安全技术标准：  GB 17859：计算机信息系统安全保护等级划分准则  GB 18336（ISO 15408）：信息技术-安全技术-信息技术风险评估准则（等 同于 Common Criteria for Ination Technology Security uation V1.2，简称 CC V1.2）  CVE：Common Vulnerabilities ＆ Exposures，通用脆弱性标准。CVE 是 个行业标准，为每个漏洞和弱点确定了惟一的名称和标准化的描述，可以 称为评价响应入侵检测和漏洞扫描等工具产品和数据库的基准 安全管理标准：  ISO/IEC 27001: 2005 Ination Technology-Security techniques-Ination security management systems-Requirements， 信息技术-安全技术-信息安全管理体系要求  ISO/IEC 27005:2008 Ination Technology- Security echniques-Ination security risk management，信息技术-安全技 术-信息安全风险管理  GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求  信息安全等级保护 信息系统安全管理要求（送审稿）  ISO 13335，信息技术-安全技术-IT 安全管理指南  GB/Z 24364 2009 信息安全技术 信息安全风险管理指南 风险评估实施方法：  GB/T 20984-2007：信息安全风险评估规范（最新国家标准）  NIST SP 800-30：RiSk Management Guide for Ination Technology Systems，信息技术系统风险管理指南（美国国家标准和技术学会发布）  NSA IAM：INFOSED Assessment ology，信息风险评估方法（美国国 家安全局发布）  OCTAVW：The Operationally Critical Threat，Asset，and Vulnerability uation，可操作的关机那威胁、资产和脆弱性评价  信息技术 安全技术 信息系统安全保障等级评估准则  SSE-CMM： The Systems Security Engineering Capability Maturity Model， 安全系统工程能力成熟度模型 2、风险评估服务实施原则 （1）保密性原则 本公司对安全服务的实施过程和结果将严格保密，在未经客户授权的情况下 不会泄漏给任何单位和个人，不会利用此数据并进行热呢侵害客户权益的行为。 （2）标准性原则 服务设计和实施的全过程均依据国内或国际的相关标准进行。 （3）规范性原则 本公司在各项安全服务工作中的过程和文档，都具有很好的规范性，可以便 与项目的跟踪和控制。 （4）可控性原则 服务所使用的工具、方法和过程都会在本公司与客户双方认可的范围之内， 服务进度遵守进度表的安排，保证双方对服务工作的可控性。 （5）整体性原则 服务的范围和内桶整体全面，设计的 IT 运行的各个层面，避免由于遗漏造成 未来的安全隐患。 （6）最小影响原则 服务工作尽可能小的影响信息系统的正常运行，不会对现有业务造成显着影 响。 3 3、风险评估对象及内容、风险评估对象及内容 本公司风险评估服务主要包括以