GB/T ××××—××××
风险评估准备资产识别威胁识别脆弱性识别已有安全措施的确认评估过程文档风险计算风险分析评估过程文档保持已有的安全措施是风险是否接受否制定和实施风险处理计划并评估残余风险..................是否接受残余风险否评估过程文档是实施风险管理风险评估文件记录
图3 风险评估实施流程图
5 风险评估实施 5.1 风险评估的准备
风险评估的准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑,其结果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此,在风险评估实施前,应:
(1)确定风险评估的目标; (2)确定风险评估的范围;
(3)组建适当的评估管理与实施团队; (4)进行系统调研; (5)确定评估依据和方法;
7
GB/T ××××—××××
(6)获得最高管理者对风险评估工作的支持。 5.1.1 确定目标
根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容,识别现有信息系统及管理上的不足,以及可能造成的风险大小。 5.1.2 确定范围
风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。 5.1.3 组建团队
风险评估实施团队,由管理层、相关业务骨干、IT技术人员等组成的风险评估小组。 5.1.4 系统调研
系统调研是确定被评估对象的过程,风险评估小组应进行充分的系统调研,为风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容至少应包括:
(1)业务战略及管理制度 (2)主要的业务功能和要求
(3)网络结构与网络环境,包括内部连接和外部连接; (4)系统边界; (5)主要的硬件、软件; (6)数据和信息; (7)系统和数据的敏感性; (8)支持和使用系统的人员; (9)其他。
系统调研可以采取问卷调查、现场面谈相结合的方式进行。调查问卷是提供一套关于管理或操作控制的问题表格,供系统技术或管理人员填写;现场面谈则是由评估人员到现场观察并收集系统在物理、环境和操作方面的信息。 5.1.5 确定依据
根据系统调研结果,确定评估依据和评估方法。
评估依据包括(但不限于):现有国际或国家标准、行业主管机关的业务系统的要求和制度、系统互联单位的安全要求、系统本身的实时性或性能要求等。
根据评估依据,应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方
8
GB/T ××××—××××
分类 示例 保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、数据 计划、报告、用户手册等 法,并依据业务实施对系统安全运行的需求,确定相关的判断依据,使之能够与组织环境和安全要求相适应。
5.1.6 获得支持
上述所有内容确定后,应形成较为完整的风险评估实施方案,得到组织最高管理者的支持、批准;对管理层和技术人员进行传达,在组织范围就风险评估相关内容进行培训,以明确有关人员在风险评估中的任务。 5.2 资产识别 5.2.1 资产分类
机密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此,有必要对组织中的资产进行识别。
在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类型。表1列出了一种资产分类方法。
表1 一种基于表现形式的资产分类方法
9
GB/T ××××—××××
系统软件:操作系统、语句包、工具软件、各种库等 软件 应用软件:外部购买的应用软件,外包开发的应用软件等 源程序:各种共享源代码、自行或合作开发的各种代码等 网络设备:路由器、网关、交换机等 计算机设备:大型机、小型机、服务器、工作站、台式计算机、移动计算机等 存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等 硬件 传输线路:光纤、双绞线等 保障设备:动力保障设备(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等 安全保障设备:防火墙、入侵检测系统、身份验证等 其他:打印机、复印机、扫描仪、传真机等 办公服务:为提高效率而开发的管理信息系统(MIS),包括各种内部配置管理、文件流转管理等服务 服务 网络服务:各种网络设备、设施提供的网络连接服务 信息服务:对外依赖该系统开展的各类服务 文档 人员 其它 纸质的各种文件,如传真、电报、财务报告、发展计划等 掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等 企业形象,客户关系等 5.2.2 资产赋值
对资产的赋值不仅要考虑资产的经济价值,更重要的是要考虑资产的安全状况对于系统或组织的重要性,由资产在其三个安全属性上的达成程度决定。为确保资产赋值时的一致性和准确性,组织应建立资产价值的评价尺度,以指导资产赋值。
资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析,并在此基础上得出综合结果的过程。达成程度可由安全属性缺失时造成的影响来表示,这种影响可能造成某些资产的损害以至危及信息系统,还可能导致经济效益、市场份额、组织形象的损失。 5.2.2.1 机密性赋值
根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响。表2提供了一种机密性赋值的参考。
表2 资产机密性赋值表
赋值 标识 10
定义
GB/T ××××—××××
5 很高 包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害 4 3 2 高 中等 低 包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害 组织的一般性秘密,其泄露会使组织的安全和利益受到损害 仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害 1 很低 可对社会公开的信息,公用的信息处理设备和系统资源等 5.2.2.2 完整性赋值
根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上缺失时对 整个组织的影响。表3提供了一种完整性赋值的参考。
表3 资产完整性赋值表
赋值 5 标识 很高 4 高 定义 完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补。 完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补。 3 中等 完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补。 2 低 完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补。 1 很低 完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略。 5.2.2.3 可用性赋值
根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上应达成的不同程度。表4提供了一种可用性赋值的参考。
表4 资产可用性赋值表
11