1-1 风险评估实施流程及规范.docx

《1-1 风险评估实施流程及规范.docx》由会员分享，可在线阅读，更多相关《1-1 风险评估实施流程及规范.docx（38页珍藏版）》请在第一文库网上搜索。

1、上海观安信息技术股份有限公司风险评估实施流程及规范TSC-RA-2-01本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属上海观安信息技术股份有限公司所有，受到有关产权及版权法保护。任何个人、机构未经上海观安信息技术股份有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。修订历史记录版本号拟制人/修改人拟制/修改日期审批人更改原因主要更改内容（写要点即可）V1.0陈芳2019-11-18李俊定稿V1.1陈芳2023-02-15李俊完善流程新增5.7、5.8V1.2陈芳2023-01-12李俊完善流程新增5.8V1.3陈芳2023-07-0

2、8李俊完善风险计算方法合并“附件十一、十二”，并新增“附件十一、标准*目录1. 目的52. 范围.53. 参考标准53.1. 风险评估的依据53.2. 风险评估的方法53.2.1. 人员访谈53.2.2. 文档审阅53.2.3. 基线检查53.2.4. 工具扫描54. 风险评估流程55. 具体实施过程85.1. 风险评估的准备85.1.1. 确定目标95.1.2. 确定范围95.1.3. 系统调研95.1.4. 确定依据95.1.5. 交付物清单95.2. 编制实施方案105.2.1. 交付物清单105.3. 资产识别和赋值105.3.1. 资产识别105.3.2. 资产分类105.3.3.

3、资产赋值115.3.4. 交付物清单125.4. 威胁识别125.4.1. 威胁分类125.4.2. 威胁赋值125.4.3. 交付物清单125.5. 脆弱性识别135.5.1. 脆弱性识别内容135.5.2. 脆弱性赋值135.5.3. 交付物清单145.6. 现有安全措施分析145.6.1. 已有安全措施确认145.6.2. 交付物清单145.7. 风险分析155.7.1. 风险计算原理155.7.2. 交付物清单155.8. 风险总体安全评价155.9. 编制风险评估报告155.9.1. 交付物清单155.10. 风险处置155.10.1. 风险处置155.10.2. 交付物清单165.

4、11. 残余风险及风险再评估165.11.1. 交付物清单165.12. 风险评估文件记录165.12.1. 风险评估记录要求165.12.2. 风险评估文件176. 风险评估服务项目管理176.1. 交付物清单177. 附件及表单18附件一：一种基于表现形式的资产分类方法18附件二：资产机密性赋值表19附件三：资产完整性赋值表22附件四：资产可用性赋值表25附件五：资产等级及含义描述28附件六：威胁来源列表29附件七：一种基于表现形式的威胁分类表30附件八：威胁发生的可能性评价标准威胁赋值表31附件九：脆弱性识别内容表32附件十：脆弱性严重程度赋值表33附件十一：信息资产风险值计算公式33附

5、件十二：信息资产风险值计算表及风险等级划分标准34附件十三：信息资产风险评估与处理表361 .目的为规范上海观安信息技术股份有限公司（以下简称“上海观安”）在开展风险识别、评估和处置过程中的工作流程与方法，明确相关人员职责，特制定本规定。2 .范围本规范适用于观安信息风险评估人员实施风险评估活动。3 .参考标准3.1. 风险评估的依据GBT22080-2013/IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求GBT22081-2013/ISO/IEC27002:2013信息技术安全技术信息安全管理实用规贝ijGBT20984-2007信息安全技术信息安全风险评估规范ISO

6、IEC27005:2008信息技术安全技术信息安全风险管理中的定义和缩写，其它定义和缩写可参考。3.2. 风险评估的方法3.2.1 .人员访谈通过安全顾问的访谈调研工作，了解客户在信息安全方面所采取的措施，以及存在的安全问题。32.2.文档审阅通过针对客户现有的各类安全相关文档资料包括管理制度、法规通知、网络拓扑等进行收集分析，发现信息安全问题。323 .基线检查使用基线检查表单，对客户的设备进行安全基线配置检查，并对检查结果进行分析汇总。324 .工具扫描使用扫描工具，对客户的主机系统进行漏洞扫描，并对扫描结果进行分析汇总。325 险评估流程根据观安信息的风险评估模型和实际的工程实践，通用的

7、风险评估基本流程如图所示。图1风险评估实施流程图观安客户公观安职责本阶段输序号流程阶段负责司配合输入可能风险点出物（可角色角色选）资产分类管理资产管各六大类资1.填表人不清楚填写方法先收集已有表资产识别和风险评估方法培格，然后观安根1组负产，资产赋值据现有及识别理员2.遗漏重要资训PPt责人定义产表格辅导XX客户进行资产清单表加工管理安全管威胁安全经验威胁识别2威胁识别组负理人员库，安全平台报告责人威胁库3物理环境（机房）安全评估管理组负,i人机房管理员物理环境检查事项内容1.机房管理员无法按既定时间配合检查2.机房检查列物理机房环境检查表有遗漏表4网络架构安全评估技术组负责人网络管理员网络安

8、全各域安全内容1 .网络拓补图不是最新的2 .网络管理员未能配合访谈时间。网络安全评估报告5脆弱件识别IT设备安全评估技术组负责人主机管理员网络管理员1 .未及时确认抽取的IT设备清单2 .扫描过程存在风险观安提前准备评估方案，以便XX客户清楚风险的情况下，选择设备进行评估IT设备安全评估报告脆弱性报告应用系统6应用系统安全评估技术组负责人应用管理员应用系统检查工具。经验漏洞库。1.应用管理员无法配合了解应用管理情况2.渗透测试存在风险访谈问卷及记录应用系统渗透测试报告7已有安全措施的确认已有安全措施检查记录已有安全措施报告8风险处置风险改善风险处置报告9制定总体风险评估报告管理组负责人项目经

9、理威胁报告、脆弱性报告、资产清单表等内容1.风险评估报告未通过XX客户公司认可1.管理与技术两条线同步进行2.综合技术和管理评估结果分析风险风险评估表风险评估报告风险评估方法论确认单风险可接受水平确认单326 体实施过程326.1. 评估的准备风险评估的准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑，其结果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此，在风险评估实施前，应：（1） 成立风险评估小组；（2） 明确风险评估计划；（3） 明确职责分工；（4） 确定风险评估的目标：（5） 确定风险评估的范围；（6） 进行初步业务沟通；（7） 确定评估

10、依据和方法；（8） 获得最高管理者对风险评估工作的支持。（9） 1.确定目标风险评估的准备阶段应明确风险评估的目标，为风险评估的过程提供导向。信息系统的机密性、完整性和可用性对于维持竞争优势、获利能力、法规要求和组织形象是必要的。组织要面对来自内、外部的安全威胁,信息系统是威胁的主要目标。由于信息化程度不断提高，业务对信息技术的依赖程度日益增加，一个组织可能出现更多的弱点。风险评估的目标是根据满足组织业务持续发展在安全方面的需要、相关方的要求、法律法规的规定等内容，识别现有信息系统及管理上的脆弱性，以及可能造成的风险大小。（10） 2.确定范围基于风险评估目标确定风险评估范围是完成风险评估的前

11、提。风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。（11） 3.系统调研系统调研是确定被评估对象的过程，风险评估小组应进行充分的系统调研，为风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容至少应包括：(1)主要的业务功能和要求(2)网络结构与网络环境，包括内部连接和外部连接；(3)系统边界；(4)主要的硬件、软件；(5)数据和信息；(6)系统和数据的敏感性；(7)支持和使用系统的人员等。系统调研可以采取问卷调查、现场面谈相结合的方式进行。调查问卷是提供一套关于管理或操作控制的问题表格，

12、供系统技术或管理人员填写；现场面谈则是由评估人员到现场观察并收集系统在物理、环境、和操作方面的信息。（12） 4.确定依据根据系统调研结果，确定评估依据和评估方法。评估依据包括(但不限于)：现有国际或国家标准、行业主管机关的业务系统的要求和制度、系统互联单位的安全要求、系统本身的实时性或性能要求等。根据评估依据，应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方法，并依据业务实施对系统安全运行的需求，确定相关的判断依据，使之能够与组织环境和安全要求相适应。（13） 5.交付物清单A项目启动会、系统调研报告、326.2. 实施方案项目所有实施内容确定后，需形成较为完整的风险

13、评估实施方案，并得到组织最高管理者的支持、批准；并对管理层和技术人员进行传达，在组织范围就风险评估相关内容进行培训，以明确有关人员在风险评估中的任务。521.交付物清单上项目实施方案、326.3. 识别和赋值53.1.资产识别围绕客户的业务特点，同时结合等级保护要求相关要求。在资产识别方面主要收集一下6类资产。326.4. ：各部门使用的硬件设施，这些硬件设施或者安装有己识别的软件，或者其上存放有已识别的数据资产，或者是对部门业务有支持作用。2）软件资产：各部门（岗位）安装使用的软件，包括系统软件、应用软件（有后台数据库并存储应用数据的软件系统）、工具软件（支持特定工作的软件工具）、桌面软件（日常办公所需的桌面软件包）等。所列举的软件应该与产生、支持和操作的己识别的数据资产有直接关系。3）数据资产：包括各生产系统相关的电子类及纸质的文件资料，可基本按照岗位并根据岗位业务流程列举。按照业务流程的要求识别其分组或类别，数据资料的列举和分组应该以业务功能和保密性要求为主要考虑，即：识别出的数据资料应该具有某种业务功能，此外，还应该重点考虑其保密性要求。同时各部门或个人按正常流程交付各部门使用的，都在列举范畴内。各部门产生的数据资产列举应尽量清晰，但来自