信息安全风险评价服务

1、1、风险评估概述1.1 风险评估概念信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799ISO17799国家标准信息系统安全等级评测准则等方法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。1.2 风险评估相关资产，任何对组

2、织有价值的事物。威胁，指可能对资产或组织造成损害的事故的潜在原因。例如，组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。脆弱点，是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思，使用简短易被猜测的口令、操作系统本身有安全漏洞等。风险，特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害饿潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险评估，对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。风险评估也称为风险分析，就是确认安全风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的方法，去顶资产风险等级和优先控制顺序。2、风险评估的发展现状2.

3、1 信息安全风险评估在美国的发展第一阶段（60-70年代）以计算机为对象的信息保密阶段1067年11月到1970年2月，美国国防科学委员会委托兰德公司、迈特公司（MITIE）及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究，分析。作为第一次比较大规模的风险评估。特点：仅重点针对了计算机系统的保密性问题提出要求，对安全的评估只限于保密性，且重点在于安全评估，对风险问题考虑不多。第二阶段（80-90年代）以计算机和网络为对象的信息系统安全保护阶段评估对象多为产品，很少延拓至系统，婴儿在严格意义上扔不是全面的风险评估。第三阶段（90年代末，21世纪初）以信息系统为对象的信息保障阶段随

4、着信息保障的研究的深入，保障对象明确为信息和信息系统；保障能力明确来源于技术、管理和人员三个方面；逐步形成了风险评估、自评估、认证认可的工作思路。2.2 我国风险评估发展 2002年在863计划中首次规划了系统安全风险分析和评估方法研究课题 2003年8月至2010年在国信办直接指导下，组成了风险评估课题组 2004年，国家信息中心风险评估指南，风险管理指南 2005年全国风险评估试点在试点和调研基础上，由国信办会同公安部，安全部，等起草了关于开展信息安全风险评估工作的意见征求意见稿 2006年，所有的部委和所有省市选择1-2单位开展本地风险评估试点工作 2015年，国家能源局根据电力监控系统

5、安全防护规定（国家发展和改革委员会令2014年第14号）制定了电力监控系统安全防护总体方案（国能安全201536号）等安全防护方案和评估方案，其中相关规定明确风险评估在电力系统中的需要 2017年7月，中华人民共和国网络安全法颁布，其中第二章第十七条“国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务”。明确了需要社会广泛参与服务3、风险评估要素关系模型业务战略手4、风险评估流程 确定资产评估范围 资产的识别和影响 威胁识别 脆弱性评估 威胁分析 风险分析 风险管理5、风险评估原则 符合性原则 标准性原则 规范性原则 可控性原则 保密性原则 整体性

6、原则 重点突出原则 最小影响原则6、评估依据的标准和规范GB/T20984-2007信息安全技术信息安全风险评估规范电力监控系统安全防护规定（发改委14号令）关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知（国能安全201536号）GB/T18336-2001信息技术安全技术信息技术安全性评估准则ISO/IEC27001:2005信息安全管理体系标准GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T25058-2010信息安全技术信息系统安全等级保护实施指南电力行业信息安全等级保护基

7、本要求（电监信息201262号）关于开展电力行业信息系统安全等级保护定级工作的通知（电监信息200734号）电力行业信息系统等级保护定级工作指导意见（电监信息200744号）7、风险评估的发展方向8.1 风险评估行业发展方向从2003年7月至今，我国信息安全风险评估工作大致经历了三个阶段，即调查研究阶段、标准编制阶段和试点工作阶段。历时两年、经过调查研究、标准编制和试点工作三个阶段，目前,我国信息安全风险评估工作已取得阶段性的成果，此间也是关于开展信息安全风险评估工作的意见政策文件，以及信息安全风险评估指南和信息安全风险管理指南两项标准历经酝酿、形成到不断完善的三个时期。信息安全风险是人为或自

8、然的威胁利用系统存在的脆弱性引发的安全事件，并由于受损信息资产的重要性而对机构造成的影响。而信息安全风险评估，则是指依据国家风险评估有关管理要求和技术标准，对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。通过对信息及信息系统的重要性、面临的威胁、其自身的脆弱性以及已采取安全措施有效性的分析，判断脆弱性被威胁源利用后可能发生的安全事件以及其所造成的负面影响程度来识别信息安全的安全风险。价方法和决策机制。没有准确及时的风险评估，将使得各个机构无法对其信息安全的状况做出准确的判断。所以，所谓安全的信息系统，实际是指信息系统在实施了风险评估并做出

9、风险控制后，仍然存在可被接受的残余风险的信息系统。因此，需要运用信息安全风险评估的思想和规范，对信息系统展开全面、完整的信息安全风险评估。信息安全风险评估在信息安全保障体系建设中具有不可替代的地位和重要作用。风险评估既是实施信息系统安全等级保护的前提，又是信息系统安全建设和安全管理的基础工作。通过风险评估，能及早发现和解决问题，防患于未然。当前，尤其迫切需要对我国信息化发展过程中形成的基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统进行持续的风险评估，随时掌握我国重要信息系统和基础信息网络的安全状态，及时采取有针对性的应对措施，为建立全方位的国家信息安全保障体系提供服务。通过

10、风险评估可以有助于认清信息安全环境和信息安全状况，明确信息化建设中各级的责任，采取或完善更加经济有效的安全保障措施，保证信息安全策略的一致性和持续性，并进而服务于国家信息化发展，促进信息安全保障体系的建设，全面提高信息安全保障能力。其意义具体体现在于：风险评估是信息安全建设和管理的关键环节，它是需求主导和突出重点原则的具体体现，是分析确定风险的过程，加强风险评估工作是信息安全工作的客观需要。国家信息安全风险评估政策文件和标准的即将出台与颁布将为在未来，我国信息安全风险评估的政策思路、标准规范、实践经验将会有进一步提升。8.2 公司自身的发展方向就当前公司而言，最紧要的是对于信息安全风险评估资质的申请，和人员技术的培训。依托现有的省公司调度自动化处的合作，促进与新型能源企事业合作，大力开展光伏电站入网前的安全防护检查与检测，同时拓展到风电、水电和火电的并网后的定期检查。在这个方面，我司现在的业务水平尚有欠缺，技术方面还有不足。因此现在在面临这行业蓬勃发展的前提下，我们要在资质和技术上双管齐下。另外，在正式介入这个行业