信息安全风险自评估

  • 格式:doc
  • 大小:564.50 KB
  • 文档页数:7

I 文件名称 信息安全风险自评估 密级

文件编号

版 本 号

编写部门 编 写 人

审 批 人 发布时间

信息安全风险自评估

网络运行维护事业部

II 目录

一. 概述 ....................................................................................................................................................... 1

1.1 目标 ................................................................................................................................................... 1

1.2 术语和定义 ....................................................................................................................................... 1

1.3 风险评估参考依据 ........................................................................................................................... 1

二. 信息安全自评估原则 ........................................................................................................................... 2

2.1 标准性原则 ....................................................................................................................................... 2

2.2 可控性原则 ....................................................................................................................................... 2

2.3 评估人员多样原则 ........................................................................................................................... 2

2.4 最小影响原则 ................................................................................................................................... 2

2.5 与第三方评估相结合原则 ............................................................................................................... 2

三. 信息安全自评估实施步骤 ................................................................................................................... 3

3.1 确定自评估计划 ............................................................................................................................... 3

3.2 确定自评估小组人员 ....................................................................................................................... 3

3.3 评估信息获取 ................................................................................................................................... 3

3.4 分析与计算风险 ............................................................................................................................... 4

3.5 生成报告 ........................................................................................................................................... 4

四. 附录 ....................................................................................................................................................... 4

4.1 附录1安全风险分析计算过程 ....................................................................................................... 4

4.2 附录2 XX平台风险现状分析报告................................................................................................... 4

4.3 附录3 XX平台风险评估报告 .......................................................................................................... 5

4.4 附录4信息安全不可接受风险处置计划 ....................................................................................... 5

信息安全风险自评估 1 一. 概述

1.1 目标

本文件是业务平台部进行信息安全风险自评估的重要指导依据,依照本文件的要求,业务平台能够基于自身力量,及时识别信息安全风险、通过对风险的可能性和影响进行评估,从而最终及时有效地处置风险,最后起到加强内蒙古电信业务平台信息安全保障能力,提高整体的网络与信息安全水平,保证业务系统的正常运营,提高服务质量的作用。

1.2 术语和定义

信息安全风险:某种特定的威胁利用资产或一组资产的脆弱点,导致这些资产受损或破坏的潜在可能。

信息资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。

资产价值:资产是有价值的,资产价值可通过资产的敏感程度、重要程度或关键程度来表示。

威胁:一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果等。

脆弱性:信息资产及其安全措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。

1.3 风险评估参考依据

 电信网和互联网安全风险评估实施指南

ISO/IEC 27005:2008 信息技术–安全技术–信息安全风险管理;

 ISO/IEC13335-3:1998《IT安全管理技术》; 信息安全风险自评估 2 二. 信息安全自评估原则

2.1 标准性原则

风险自评估工作的标准性原则,指遵循业务平台相关标准开展安全风险自评估工作。

2.2 可控性原则

在评估过程中,保证参与评估的人员、使用的技术和工具、评估过程都是可控的。

2.3 评估人员多样原则

除信息安全相关责任人、运维人员以外,尽可能获取其他相关部门的支持和配合,以确保自评估工作能够尽可能以风险为中心,以业务为导向。

2.4 最小影响原则

从管理层面和技术层面,将自评估工作对相关系统正常运行可能造成的影响降低到最低限度。

2.5 与第三方评估相结合原则

自评估工作通常面临评估人员知识/技能不足的现状,其中评估的关键环节,如渗透测试等可考虑与第三方评估相结合。

信息安全风险自评估 3 三. 信息安全自评估实施步骤

3.1 确定自评估计划

各业务平台信息安全责任人根据业务平台特点,制定自评估计划,自评估计划中需明确自评估的范围、侧重点(技术/管理)、频度,

3.2 确定自评估小组人员

确定自评估计划后,信息安全责任人基于业务平台资产、业务特点,组件风险自评估小组,小组成员尽可能覆盖主要的业务流程和IT流程。

3.3 评估信息获取

信息安全责任人组织自评估小组人员对评估过程中的重要要素,如资产、威胁、脆弱性进行识别,其中:

资产识别包括对主要的信息、硬件、软件、组织、场所、人员等进行信息收集、分类、统计,形成资产列表,确定重要资产列表。

安全威胁分析主要针对已识别的系统重要资产,从系统合法用户、系统非法用户、系统组件和物理环境四种威胁来源,分析重要资产面临的威胁,对威胁的严重性(影响)进行分级标识。

脆弱性识别主要针对信息系统重要资产面临的威胁来源,从管理和技术层面识别系统的安全薄弱点。物理层包括机房与设施安全、机房控制、环境与人员安全;网络层主要对网络拓扑结构、网络隔离与边界控制、主要网络设备安全配置、网络通信与传输安全等进行分析;系统层评估的对象是针对重要服务器操作系统及部分终端操作系统、数据库服务器系统;应用层从典型应用系统的信息流出发,评估信息处理流程中的各类安全机制;管理层主要针对现有的业务流程、策略文档进行评审,从运行控制、管理制度等方面评估系统的保障措施。综合上述各个层面的评估结果,对系统各主要资产的脆弱性被威胁利用的可能性和影响性进行分析,为安全风险评估提供重要依据。