信息安全风险评估服务.doc

1、 1、 风险评估概述 1.1风险评估概念 信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。 风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。 1.2

2、风险评估相关 资产，任何对组织有价值的事物。 威胁，指可能对资产或组织造成损害的事故的潜在原因。例如，组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。 脆弱点，是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思，使用简短易被猜测的口令、操作系统本身有安全漏洞等。 风险，特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害饿潜在可能性，即特定威胁事件发生的可能性与后果的结合。 风险评估，对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。 风险评估也称为风险分析，就是确认安全风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的方法，

3、去顶资产风险等级和优先控制顺序。 2、 风险评估的发展现状 2.1信息安全风险评估在美国的发展 第一阶段（60-70年代）以计算机为对象的信息保密阶段 1067年11月到1970年2月，美国国防科学委员会委托兰德公司、迈特公司（MITIE）及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究，分析。作为第一次比较大规模的风险评估。 特点： 仅重点针对了计算机系统的保密性问题提出要求，对安全的评估只限于保密性，且重点在于安全评估，对风险问题考虑不多。 第二阶段（80-90年代）以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品，很少延拓至系统，婴儿在严格意义

4、上扔不是全面的风险评估。 第三阶段（90年代末，21世纪初）以信息系统为对象的信息保障阶段 随着信息保障的研究的深入，保障对象明确为信息和信息系统；保障能力明确来源于技术、管理和人员三个方面；逐步形成了风险评估、自评估、认证认可的工作思路。 2.2我国风险评估发展 ● 2002年在863计划中首次规划了《系统安全风险分析和评估方法研究》课题 ● 2003年8月至2010年在国信办直接指导下，组成了风险评估课题组 ● 2004年，国家信息中心《风险评估指南》，《风险管理指南》 ● 2005年全国风险评估试点 ● 在试点和调研基础上，由国信办会同公安部，安全部，等起草了《

5、关于开展信息安全风险评估工作的意见》征求意见稿 ● 2006年，所有的部委和所有省市选择1-2单位开展本地风险评估试点工作 ● 2015年，国家能源局根据《电力监控系统安全防护规定》（国家发展和改革委员会令2014年第14号）制定了《电力监控系统安全防护总体方案》（国能安全[2015]36号）等安全防护方案和评估方案，其中相关规定明确风险评估在电力系统中的需要 ● 2017年7月，《中华人民共和国网络安全法》颁布，其中第二章第十七条“国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务”。明确了需要社会广泛参与服务。 3、

6、风险评估要素关系模型 4、 风险评估流程 ● 确定资产评估范围 ● 资产的识别和影响 ● 威胁识别 ● 脆弱性评估 ● 威胁分析 ● 风险分析 ● 风险管理 5、 风险评估原则 ● 符合性原则 ● 标准性原则 ● 规范性原则 ● 可控性原则 ● 保密性原则 ● 整体性原则 ● 重点突出原则 ● 最小影响原则 6、 评估依据的标准和规范 Ø GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》 Ø 《电力监控系统安全防护规定》（发改委14号令） Ø 《关于印发电力监控系统安全防护总体方案等安全防护方

7、案和评估规范的通知》（国能安全[2015]36号） Ø GB/T 18336-2001 《信息技术 安全技术 信息技术安全性评估准则》 Ø ISO/IEC 27001:2005《信息安全管理体系标准》 Ø GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》 Ø GB/T 22240-2008 《信息安全技术 信息系统安全等级保护定级指南》 Ø GB/T 25058-2010 《信息安全技术 信息系统安全等级保护实施指南》 Ø 《电力行业信息安全等级保护基本要求》（电监信息[2012]62号） Ø 《关于开展电力行业信息系统安全等级保护定级工作的通知

8、》（电监信息[2007]34号） Ø 《电力行业信息系统等级保护定级工作指导意见》（电监信息[2007]44号） 7、 风险评估的发展方向 8.1风险评估行业发展方向 从2003年7月至今，我国信息安全风险评估工作大致经历了三个阶段，即调查研究阶段、标准编制阶段和试点工作阶段。 历时两年、经过调查研究、标准编制和试点工作三个阶段，目前，我国信息安全风险评估工作已取得阶段性的成果，此间也是《关于开展信息安全风险评估工作的意见》政策文件，以及《信息安全风险评估指南》和《信息安全风险管理指南》两项标准历经酝酿、形成到不断完善的三个时期。 信息安全风险是人为或自然的威胁利用系统存在的脆弱性

9、引发的安全事件，并由于受损信息资产的重要性而对机构造成的影响。而信息安全风险评估，则是指依据国家风险评估有关管理要求和技术标准，对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。通过对信息及信息系统的重要性、面临的威胁、其自身的脆弱性以及已采取安全措施有效性的分析，判断脆弱性被威胁源利用后可能发生的安全事件以及其所造成的负面影响程度来识别信息安全的安全风险。 信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制。没有准确及时的风险评估，将使得各个机构无法对其信息安全的状况做出准确的判断。所以，所谓安全的信息系统，实际是指

10、信息系统在实施了风险评估并做出风险控制后，仍然存在可被接受的残余风险的信息系统。因此，需要运用信息安全风险评估的思想和规范，对信息系统展开全面、完整的信息安全风险评估。 信息安全风险评估在信息安全保障体系建设中具有不可替代的地位和重要作用。风险评估既是实施信息系统安全等级保护的前提，又是信息系统安全建设和安全管理的基础工作。通过风险评估，能及早发现和解决问题，防患于未然。当前，尤其迫切需要对我国信息化发展过程中形成的基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统进行持续的风险评估，随时掌握我国重要信息系统和基础信息网络的安全状态，及时采取有针对性的应对措施，为建立全方位的

11、国家信息安全保障体系提供服务。通过风险评估可以有助于认清信息安全环境和信息安全状况，明确信息化建设中各级的责任，采取或完善更加经济有效的安全保障措施，保证信息安全策略的一致性和持续性，并进而服务于国家信息化发展，促进信息安全保障体系的建设，全面提高信息安全保障能力。其意义具体体现在于：风险评估是信息安全建设和管理的关键环节，它是需求主导和突出重点原则的具体体现，是分析确定风险的过程，加强风险评估工作是信息安全工作的客观需要。 国家信息安全风险评估政策文件和标准的即将出台与颁布将为我国信息安全风险评估工作的开展提供科学的政策和技术依据。相信在未来，我国信息安全风险评估的政策思路、标准规范、实践

12、经验将会有进一步提升。 8.2公司自身的发展方向 就当前公司而言，最紧要的是对于信息安全风险评估资质的申请，和人员技术的培训。依托现有的省公司调度自动化处的合作，促进与新型能源企事业合作，大力开展光伏电站入网前的安全防护检查与检测，同时拓展到风电、水电和火电的并网后的定期检查。在这个方面，我司现在的业务水平尚有欠缺，技术方面还有不足。因此现在在面临这行业蓬勃发展的前提下，我们要在资质和技术上双管齐下。另外，在正式介入这个行业后，我们不能只局限于和电厂的合作，更应该面向整个社会，提高社会参与度。据河南同样类型的企业，其在2017年一月至2017年七月营业额同比增长200%。在当前情况下信息安全风险评估无疑是巨大的一块蛋糕。越来越多的企业都在信息化、网络化，意味着这块蛋糕的体积还在不断地增加。所以我们应该把握时机。充分利用已有的资源，抢占市场，占据优势地位。