信息安全风险评价服务

1、1、风1.1 风险评估概念信息平安风险评估是参照风险评估标准和治理标准,对信息系统的资产 价值、潜在威胁、薄弱环节、已采取的防护举措等进行分析,判断平安事件 发生的概率以及可能造成的损失,提出风险治理举措的过程.当风险评估应 用于IT领域时,就是对信息平安的风险评估.风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普 遍采用国际标准的BS7799 ISO17799国家标准?信息系统平安等级评测准 那么?等方法,充分表达以资产为出发点、以威胁为触发因素、以技术/治理/运行等方面存在的脆弱性为诱因的信息平安风险评估综合方法及操作模型.1.2 风险评估相关资产,

2、任何对组织有价值的事物.威胁,指可能对资产或组织造成损害的事故的潜在原因.例如,组织的 网络系统可能受到来自计算机病毒和黑客攻击的威胁.脆弱点,是指资产或资产组中能背威胁利用的弱点.如员工缺乏信息安 全意思,使用简短易被猜想的口令、操作系统本身有平安漏洞等.风险,特定的威胁利用资产的一种或一组薄弱点,导致资产的丧失或损 害饿潜在可能性,即特定威胁事件发生的可能性与后果的结合.风险评估,对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评 估.风险评估也称为风险分析,就是确认平安风险及其大小的过程,即利用 适当的风险评估工具,包括定性和定量的方法,去顶资产风险等级和优先控制顺序.2、风险

3、评估的开展现状2.1 信息平安风险评估在美国的开展第一阶段60-70年代以计算机为对象的信息保密阶段1067年11月到1970年2月,美国国防科学委员会委托兰德公司、 迈特 公司MITIE及其它和国防工业有关的一些公司对当时的大型机、远程终 端进行了研究,分析.作为第一次比拟大规模的风险评估.特点：仅重点针对了计算机系统的保密性问题提出要求,对平安的评估只限于保密性,且重点在于平安评估,对风险问题考虑不多.第二阶段80-90年代以计算机和网络为对象的信息系统平安保护阶段评估对象多为产品,很少延拓至系统,婴儿在严格意义上扔不是全面的 风险评估.第三阶段90年代末,21世纪初以信息系统为对象的信息

4、保证阶段随着信息保证的研究的深入,保证对象明确为信息和信息系统；保证能 力明确来源于技术、治理和人员三个方面；逐步形成了风险评估、自评估、 认证认可的工作思路.2.2 我国风险评估开展 2022年在863方案中首次规划了?系统平安风险分析和评估方法研究? 课题 2022年8月至2022年在国信办直接指导下,组成了风险评估课题组 2022年,国家信息中央?风险评估指南?,?风险治理指南? 2022年全国风险评估试点 在试点和调研根底上,由国信办会同公安部,平安部,等起草了?关于开展信息平安风险评估工作的意见?征求意见稿 2022年,所有的部委和所有省市选择1-2单位开展本地风险评估试点工 作 2

5、022年,国家能源局根据?电力监控系统平安防护规定?国家开展和改革委员会令2022年第14号制定了?电力监控系统平安防护总体方案?国 能平安202236号等平安防护方案和评估方案,其中相关规定明确风险评 估在电力系统中的需要 2022年7月,?中华人民共和国网络平安法?公布,其中第二章第十七条 “国家推进网络平安社会化效劳体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等平安效劳.明确了需要社会广泛参与效劳.3、风险评估要素关系模型4、风险评估流程 确定资产评估范围 资产的识别和影响 威胁识别 脆弱性评估 威胁分析 风险分析 风险治理5、风险评估原那么 符合性原那么 标准性原那么

6、标准性原那么 可控性原那么 保密性原那么 整体性原那么 重点突出原那么 最小影响原那么6、评估依据的标准和标准GB/T 20984-2022?信息平安技术？信息平安风险评估标准?电力监控系统平安防护规定?发改委14号令?关于印发电力监控系统平安防护总体方案等平安防护方案和评估标准的通知?国能平安202236号GB/T 18336-2001?信息技术 平安技术 信息技术平安性评估准那么?ISO/IEC 27001:2022?信息平安治理体系标准?GB/T 22239-2022?信息平安技术信息系统平安等级保护根本要求?GB/T 22240-2022?信息平安技术信息系统平安等级保护定级指南?GB

7、/T 25058-2022?信息平安技术信息系统平安等级保护实施指南?电力行业信息平安等级保护根本要求?电监信息202262号?关于开展电力行业信息系统平安等级保护定级工作的通知?电监信息202234 号?电力行业信息系统等级保护定级工作指导意见?电监信息202244号7、风险评估的开展方向8.1风险评估行业开展方向从2022年7月至今,我国信息平安风险评估工作大致经历了三个阶段, 即调查研究阶段、标准编制阶段和试点工作阶段.历时两年、经过调查研究、标准编制和试点工作三个阶段,目前,我国 信息平安风险评估工作已取得阶段性的成果,此间也是?关于开展信息平安 风险评估工作的意见?政策文件,以及?信

8、息平安风险评估指南?和?信息 平安风险治理指南?两项标准历经酝酿、形成到不断完善的三个时期.信息平安风险是人为或自然的威胁利用系统存在的脆弱性引发的平安 事件,并由于受损信息资产的重要性而对机构造成的影响.而信息平安风险 评估,那么是指依据国家风险评估有关治理要求和技术标准,对信息系统及由 其存储、处理和传输的信息的机密性、完整性和可用性等平安属性进行科学、 公正的综合评价的过程.通过对信息及信息系统的重要性、面临的威胁、其 自身的脆弱性以及已采取平安举措有效性的分析,判断脆弱性被威胁源利用后可能发生的平安事件以及其所造成的负面影响程度来识别信息平安的安 全风险.信息平安风险评估是信息平安保证

9、体系建立过程中的重要的评价方法 和决策机制.没有准确及时的风险评估,将使得各个机构无法对其信息平安 的状况做出准确的判断.所以,所谓平安的信息系统,实际是指信息系统在 实施了风险评估并做出风险限制后,仍然存在可被接受的剩余风险的信息系 统.因此,需要运用信息平安风险评估的思想和标准, 对信息系统展开全面、完整的信息平安风险评估信息平安风险评估在信息平安保证体系建设中具有不可替代的地位和 重要作用.风险评估既是实施信息系统平安等级保护的前提,又是信息系统 平安建设和平安治理的根底工作.通过风险评估,能及早发现和解决问题, 防患于未然.当前,尤其迫切需要对我国信息化开展过程中形成的根底信息 网络和

10、关系国家平安、经济命脉、社会稳定等方面的重要信息系统进行持续 的风险评估,随时掌握我国重要信息系统和根底信息网络的平安状态,及时 采取有针对性的应对举措,为建立全方位的国家信息平安保证体系提供服 务.通过风险评估可以有助于认清信息平安环境和信息平安状况,明确信息 化建设中各级的责任,采取或完善更加经济有效的平安保证举措,保证信息 平安策略的一致性和持续性,并进而效劳于国家信息化开展,促进信息平安 保证体系的建设,全面提升信息平安保证水平.其意义具体表达在于：风险 评估是信息平安建设和治理的关键环节,它是需求主导和突出重点原那么的具 体表达,是分析确定风险的过程,增强风险评估工作是信息平安工作的

11、客观 需要.国家信息平安风险评估政策文件和标准的即将出台与公布将为我国信 息平安风险评估工作的开展提供科学的政策和技术依据.相信在未来,我国 信息平安风险评估的政策思路、标准标准、实践经验将会有进一步提升. 8.2公司自身的开展方向就当前公司而言,最紧要的是对于信息平安风险评估资质的申请,和人 员技术的培训.依托现有的省公司调度自动化处的合作,促进与新型能源企 事业合作,大力开展光伏电站入网前的平安防护检查与检测,同时拓展到风电、水电和火电的并网后的定期检查.在这个方面,我司现在的业务水平尚 有欠缺,技术方面还有缺乏.因此现在在面临这行业蓬勃开展的前提下,我 们要在资质和技术上双管齐下.另外,在正式介入这个