最新信息安全风险评价服务资料

1、精品文档1、风险评估概述1.1 风险评估概念 信息安全风险评估是参照风险评估标准和管理规范， 对信息系统 的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析， 判断安全事件发生的概率以及可能造成的损失， 提出风险管理措施的 过程。当风险评估应用于 IT 领域时，就是对信息安全的风险评估。 风险评估从早期简单的漏洞扫描、 人工审计、 渗透性测试这种类型的 纯技术操作，逐渐过渡到目前普遍采用国际标准的 BS7799、ISO17799、 国家标准信息系统安全等级评测准则等方法，充分体现以资产为 出发点、以威胁为触发因素、 以技术/管理/ 运行等方面存在的脆弱性 为诱因的信息安全风险评估综合方

2、法及操作模型。1.2 风险评估相关 资产，任何对组织有价值的事物。 威胁，指可能对资产或组织造成损害的事故的潜在原因。例如， 组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。脆弱点， 是指资产或资产组中能背威胁利用的弱点。 如员工缺乏 信息安全意思， 使用简短易被猜测的口令、 操作系统本身有安全漏洞 等。风险，特定的威胁利用资产的一种或一组薄弱点， 导致资产的丢 失或损害饿潜在可能性，即特定威胁事件发生的可能性与后果的结 合。 风险评估，对信息和信息处理设施的威胁、影响和脆弱点 及三者发生的可能性评估。风险评估也称为风险分析，就是确认安全风险及其大小的过程， 即利用适当的风险评估工具，

3、包括定性和定量的方法， 去顶资产风险 等级和优先控制顺序。2、风险评估的发展现状2.1 信息安全风险评估在美国的发展第一阶段（ 60-70 年代）以计算机为对象的信息保密阶段1067年 11月到 1970年 2 月，美国国防科学委员会委托兰德公 司、迈特公司（MITIE）及其它和国防工业有关的一些公司对当时的 大型机、远程终端进行了研究，分析。作为第一次比较大规模的风险 评估。 特点：仅重点针对了计算机系统的保密性问题提出要求， 对安全的评估 只限于保密性，且重点在于安全评估，对风险问题考虑不多。 第二阶段（ 80-90 年代）以计算机和网络为对象的信息系统安全保护 阶段评估对象多为产品， 很

4、少延拓至系统， 婴儿在严格意义上扔不是 全面的风险评估。第三阶段（ 90 年代末， 21 世纪初）以信息系统为对象的信息保障阶 段随着信息保障的研究的深入，保障对象明确为信息和信息系统； 保障能力明确来源于技术、 管理和人员三个方面； 逐步形成了风险评 估、自评估、认证认可的工作思路。2.2 我国风险评估发展 2002年在 863 计划中首次规划了系统安全风险分析和评估方法 研究课题 2003 年 8 月至 2010 年在国信办直接指导下， 组成了风险评估课题 组 2004 年，国家信息中心风险评估指南 ，风险管理指南 2005 年全国风险评估试点 在试点和调研基础上，由国信办会同公安部，安全

5、部，等起草了关于开展信息安全风险评估工作的意见征求意见稿 2006 年，所有的部委和所有省市选择 1-2 单位开展本地风险评估 试点工作 2015 年，国家能源局根据 电力监控系统安全防护规定 （国家发 展和改革委员会令 2014年第 14 号）制定了电力监控系统安全防护 总体方案（国能安全 201536 号）等安全防护方案和评估方案，其 中相关规定明确风险评估在电力系统中的需要 2017 年 7 月，中华人民共和国网络安全法颁布， 其中第二章第 十七条“国家推进网络安全社会化服务体系建设，鼓励有关企业、机 构开展网络安全认证、检测和风险评估等安全服务” 。明确了需要社 会广泛参与服务。4、风

6、险评估流程确定资产评估范围资产的识别和影响威胁识别脆弱性评估威胁分析风险分析风险管理5、风险评估原则符合性原则标准性原则 规范性原则 可控性原则 保密性原则 整体性原则 重点突出原则 最小影响原则6、评估依据的标准和规范GB/T 20984-2007 信息安全技术 信息安全风险评估规范电力监控系统安全防护规定 （发改委 14 号令）关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知（国能安全 201536 号）GB/T18336-2001 信息技术 安全技术 信息技术安全性评估准 则ISO/IEC 27001:2005 信息安全管理体系标准GB/T22239-2008 信息安全

7、技术 信息系统安全等级保护基本要求GB/T22240-2008 信息安全技术 信息系统安全等级保护定级指南GB/T25058-2010 信息安全技术 信息系统安全等级保护实施指 南电力行业信息安全等级保护基本要求 （电监信息 201262 号）关于开展电力行业信息系统安全等级保护定级工作的通知 （电 监信息 200734 号）电力行业信息系统等级保护定级工作指导意见 （电监信息 200744 号）7、风险评估的发展方向8.1 风险评估行业发展方向从 2003 年 7 月至今，我国信息安全风险评估工作大致经历了三 个阶段，即调查研究阶段、标准编制阶段和试点工作阶段。历时两年、经过调查研究、 标准

8、编制和试点工作三个阶段， 目前， 我国信息安全风险评估工作已取得阶段性的成果， 此间也是关于开 展信息安全风险评估工作的意见政策文件，以及信息安全风险评 估指南和信息安全风险管理指南两项标准历经酝酿、形成到不 断完善的三个时期。信息安全风险是人为或自然的威胁利用系统存在的脆弱性引发 的安全事件，并由于受损信息资产的重要性而对机构造成的影响。 而 信息安全风险评估，则是指依据国家风险评估有关管理要求和技术标 准，对信息系统及由其存储、处理和传输的信息的机密性、完整性和 可用性等安全属性进行科学、公正的综合评价的过程。通过对信息及 信息系统的重要性、面临的威胁、其自身的脆弱性以及已采取安全措 施有

9、效性的分析，判断脆弱性被威胁源利用后可能发生的安全事件以 及其所造成的负面影响程度来识别信息安全的安全风险。信息安全风险评估是信息安全保障体系建立过程中的重要的评 价方法和决策机制。没有准确及时的风险评估，将使得各个机构无法 对其信息安全的状况做出准确的判断。所以，所谓安全的信息系统， 实际是指信息系统在实施了风险评估并做出风险控制后，仍然存在可被接受的残余风险的信息系统。因此，需要运用信息安全风险评估的 思想和规范，对信息系统展开全面、完整的信息安全风险评估。信息安全风险评估在信息安全保障体系建设中具有不可替代的 地位和重要作用。风险评估既是实施信息系统安全等级保护的前提， 又是信息系统安全

10、建设和安全管理的基础工作。 通过风险评估，能及 早发现和解决问题，防患于未然。当前，尤其迫切需要对我国信息化 发展过程中形成的基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统进行持续的风险评估，随时掌握我国重要信 息系统和基础信息网络的安全状态，及时采取有针对性的应对措施， 为建立全方位的国家信息安全保障体系提供服务。 通过风险评估可以 有助于认清信息安全环境和信息安全状况，明确信息化建设中各级的 责任，采取或完善更加经济有效的安全保障措施， 保证信息安全策略 的一致性和持续性， 并进而服务于国家信息化发展， 促进信息安全保 障体系的建设，全面提高信息安全保障能力。其意义具体

11、体现在于： 风险评估是信息安全建设和管理的关键环节， 它是需求主导和突出重 点原则的具体体现， 是分析确定风险的过程， 加强风险评估工作是信 息安全工作的客观需要。国家信息安全风险评估政策文件和标准的即将出台与颁布将为 我国信息安全风险评估工作的开展提供科学的政策和技术依据。 相信 在未来，我国信息安全风险评估的政策思路、标准规范、实践经验将 会有进一步提升。8.2 公司自身的发展方向 就当前公司而言，最紧要的是对于信息安全风险评估资质的申 请，和人员技术的培训。依托现有的省公司调度自动化处的合作，促 进与新型能源企事业合作， 大力开展光伏电站入网前的安全防护检查 与检测，同时拓展到风电、 水电和火电的并网后的定期检查。在这个 方面，我司现在的业务水平尚有欠缺，技术方面还有不足。因此现在 在面临这行业蓬勃发展的前提下，我们要在资质和技术上双管齐下。 另外，在正式介入这个行业后