客服热线:
手机版
二维码
深圳ISO27000认证信息安全风险评估FAQ
深圳ISO27000认证信息安全风险评估FAQ
深圳ISO27000认证为何要进行信息安全风险评估?
通过风险评估,你能够知道组织范围内存在什么重要的信息资产、信息处理设施以及面临的威胁,发现技术和管理上的脆弱点,综合评估现有综合资产的风险状况。
什么叫信息安全风险评估?
风险评估:对信息及信息载体、应用环境等各方面风险进行辨识和分析的过程,是对威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险以及大小的过程。
风险评估为管理层明确具体的安全策略,以及在“成本-效益平衡基础上做决策服务;风险控制措施为组织实施信息安全的改进提供指导。
信息安全风险评估的实施的主体是什么?
风险评估可分为自评估和检查评估两大类。自评估是由被评估信息系统的拥有者依靠自身的力量,对其自身的信息系统进行的风险评估活动。检查评估则通常是被评估信息系统的拥有者的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的,具有强制意味的检查活动,是通过行政手段加强信息安全的重要措施。
检查评估应该是具有一定资质的风险评估服务机构实施的。自评估能够在信息安全风险评估服务机构的咨询、服务、培训下,由系统所有者和评估服务机构共同完成。
信息安全风险评估的政策依据及标准依据?
国家信息化领导小组《关于加强信息安全保障工作的意见》(中办发[2003]27号文件)将信息安全风险评估作为一项重要的举措。国信办2005年5号文率先在北京、上海、黑龙江、云南等地,以及银行、税务、电力3个行业进行试点,根据试点经验,各省市建立信息安全风险评估管理规范。
国信办标准草案《信息安全风险评估指南》、《信息安全风险管理指南》
NIST SP800-30 《Risk Management Guide for Information Technology Systems》
信息安全风险评估包含哪几个主要实施阶段?
风险评估能够分为资产识别、重要资产赋值、威胁分析、脆弱性识别、风险计算、风险控制措施提出等实施阶段。
信息安全风险评估的主要内容及方法?
信息安全风险评估的实施主要有以下内容:
(1)资产识别
(2)资产的安全属性赋值及权重计算
(3)威胁分析
(4)薄弱点分析
(5)威胁发生可能性及影响分析
(6)风险计算
(7)风险处理计划制定
风险评估是一项综合的系统工程,既涉及到技术,又涉及到管理。风险评估过程中既必须采用技术的检测手段,又必须进行综合的归纳、总结和分析方法。
风险评估中资产价值的判断、威胁判断、安全事件造成影响的判断标准都必须根据被评估具体情况,与被评估方共同明确。
信息安全风险评估是否会影响系统的业务正常运行?
除针对服务器的漏洞扫描、诊断及渗透性测试外,风险评估不会对系统的业务运行造成影响。即使是渗透性测试,也仅仅是为了验证漏洞存在给系统可能造成的后果(如文件窃取、控制修改关键程序/进程等),而不是以破坏系统为目的。评估人员在执行渗透性测试前,会将详细的渗透测试方案与用户交流,包含渗透测试对象、测试强度、可能后果、提前备份等要求,并经用户认可后方能实施。
信息安全风险评估的结果形式是什么?
信息安全风险评估在评估过程中将生成一系列的风险评估操作记录,包含:重要资产列表、脆弱性汇总表、资产威胁识别表、资产威胁风险系数表、信息资产综合风险值表等,最后将生成三份评估结果:
脆弱性评估报告:以资产为核心,描述该资产存在的薄弱点。
风险评估报告:反映了风险评估整个过程、方法、内容及风险结果。
风险处理计划:针对识别的风险,提出具体的控制目标和控制措施。
信息安全风险评估的周期有多长
信息安全风险评估没有明确的时间周期,通常两年一次进行定期的评估,但当组织新增信息资产、系统发生重大变更、业务流程发生重大转变、发生严重信息安全事故等情况下应进行风险评估。
除此之外,对系统规划、扩建时也必须进行风险评估,为安全需求、安全策略的制定提供依据。
信息安全风险评估的收费标准
根据评估对象的不同而不同。风险评估的对象能够是:单个独立的信息系统、支持组织业务的整体信息处理环境、整个组织范围。信息安全风险评估的费用主要依据以下几个方面进行核算:
网络规模
联网单位或顾客端抽样占比
被评估系统的多少
被评估信息设备的多少
被评估的组织范围大小
深圳ISO27000认证信息安全风险因素的作用机制
深圳ISO27000认证信息安全风险因素的作用机制
深圳ISO27000认证风险的构成包含5个方面:风险源、风险方式、风险途径、风险受体和风险损失。它们之间相互依赖、相互作用,是一种因果关系,能够表达为:风险的1个或多个起源,采用一种或多种途径,侵害1个或多个风险受体,造成风险损失。
风险源是威胁的发起方,称为威胁源或威胁主体。
风险方式是威胁源实施威胁所采取的手段,称为威胁行为。
风险途径是威胁源实施威胁利用的薄弱环节,称为脆弱性或漏洞。
风险受体是威胁的承受方,即信息系统。
风险损失是威胁源实施威胁所造成的损失,称为影响。
(1)深圳ISO27000认证信 息安全威胁的存在方式、存在条件、存在概率是形成风险的外在动力。信息安全威胁是以不同方式、不同条件,动态存在于信息系统生命周期的每1个阶段。威胁来 源复杂,有来自内部的恶意和无意的员工、顾问、第三方人员,外部的黑客、情报组织、敌对国家、恐怖组织、间谍等;也有来自非人为的自然灾害、事故或故障 等。这些威胁主体有着不同的动机和攻击能力,或出于报复,或出于经济利益,或出于政治目的,或具有高技能攻击能力、或是使用简单的攻击工具。这些影响因素 交织在一起决定着威胁对信息系统的作用强度和发生概率。
(2)威胁通过脆弱性 作用于信息系统是形成风险的必经途径。假如信息系统安全状况良好,不存在可被利用的弱点,任何威胁都是无能为力的。但绝对安全的系统是不存在的,脆弱性是 信息系统固有的客观现象,既有技术,又有管理和环境方面的脆弱性。在外来威胁的作用下,这些脆弱性的强弱成为诱发、导致、加速和减缓风险发生的内在动力。 风险环境的脆弱性程度决定着其被威胁利用的概率。
(3)信息系统的风险承受力 是威胁通过脆弱性作用于信息系统形成风险的转化条件。信息系统的风险承受力反映的是信息系统受到攻击等情况时,维持业务运行最基本的服务和保护信息资产的 抵抗力、识别力、恢复力和自适应力。抵抗力是1个系统抵抗攻击的能力,识别力是系统识别攻击和损坏程度的能力,恢复力是在受到攻击后恢复系统的能力,自适 应力是根据历史上受到攻击或故障发生情况下防御和抵抗类似情况的能力。不同的组织的业务特点、规模、技术人员水平、安全需求标准、安全培训教育水平能力、 员工安全意识强弱、实施的安全控制状态、安全事件预警水平、应急响应能力都是不同,对风险的抵抗和防御表现也是不同的。当风险事件发生时,风险承受力相对 较强的组织可能会启动应急方案、组织高水平的抢救团队,使风险损失降低到组织可承受的范围内;而风险承受力相对较弱的组织,可能会由于没有方法来控制风险 而放任风险发生,造成巨大损失。
(4)风险的直接和间接损失是信息系统风险形 成的后果。在对威胁强度和威胁发生概率、脆弱性被威胁利用的概率、风险承受力的转化概率进行分析估算的基础上,预估信息系统风险发生时的直接和间接损失, 能够明确系统风险等级,为安全决策提供科学依据,采取相应的安全控制措施,提高信息系统的风险承受能力。
