一、风险评估概述 1、风险服务的重要性
对于构建一套良好的信息安全系统,需要对整个系统的安全风险有一个清晰的认识。只有清晰的了解了自身的弱点和风险的来源,才能够真正的解决和削弱它,并以此来构建有着对性的、合理有效的安全策略,而风险评估既是安全策略规划的第一步,同时也是实施其他安全策略的必要前提。
近几年随着几次计算机蠕虫病毒的大规模肆虐攻击,很对用户的网络都遭受了不同程度的攻击,仔细分析就会发现,几乎所有的用户都部署了防病毒软件和类似的安全防护系统,越来越多的用户发现淡村的安全产品已经不能满足现在的安全防护体系的需求了。
安全是整体的体系建设过程,根据安全的木桶原理,组织网络的整个安全最大强度取决于最短最脆弱的那根木头,所以说在安全建设的过程中,如果不仔细的找到最短的那根木头,而盲目的在外面加钉子,并不能改善整体强度。
信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制,只有通过全面的风险评估,才能让客户对自身信息安全的状况做出准确的判断。
2、风险评估服务的目的及其意义
信息安全风险是指人为或自然的威胁利用信息系统及其团里体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。他要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组造成的影响。
信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法,其结果为信息安全更显管理提供依据。
3、风险评估服务机制
在信息系统生命周期里,有许多种情况必须对信息系统所涉及的人员、技术
环境、物理环境进行风险评估:
? 在设计规划或升级新的信息系统时; ? 给目前的信息系统增加新应用时; ? 在与其他组织(部门)进行网络互联时;
? 在技术平台进行大规模更新(例如,从Linux系统移植到Sliaris系统)时; ? 在发生计算机安全事件之后,或怀疑可能会发生安全事件时; ? 关心组织现有的信息安全措施是否充分或食后具有相应的安全效力时; ? 在组织具有结构变动(例如:组织合并)时:
? 在需要对信息系统的安全状况进行定期或不定期的聘雇、已查看是否满
足组织持续运营需要时等。
4、风险评估服务的收益 ? 风险评估可以帮助客户: ? 准确了解租住的信息安全现状; ? 明晰组织的信息安全需求;
? 制定组织信息系统的安全策略和风险解决方案; ? 指导组织未来的信息安全建设和投入; ? 建立组织自身的信息安全管理框架。
二、风险评估服务介绍
本公司遵循公认的ISO 27001、GB/T 20984-2007信息安全风险评估规范以及国际信息安全等级保护指南等安全标准知道风险评估的工作,针对资产重要程度分别提供不同的频率和方式的风险评估,帮助客户了解客观真实的自身网络系统安全现状,规划适合自己网络系统环境的安全策略,并根据科学合理的安全策略来实施后续的安全服务、选型与部署安全产品以及建立有效的安全管理规章制度,从而全面完整的解决可能存在的各种风险隐患。
1、风险评估服务遵循标准
在整个评估过程中,本公司遵循和参照最新、最权威的信息安全标准,作为评估实施的依据。这些安全标准包括:
安全技术标准:
? GB 17859:计算机信息系统安全保护等级划分准则
? GB 18336(ISO 15408):信息技术-安全技术-信息技术风险评估准则(等
同于Common Criteria for Information Technology Security Evaluation V1.2,简称CC V1.2)
? CVE:Common Vulnerabilities & Exposures,通用脆弱性标准。CVE是个
行业标准,为每个漏洞和弱点确定了惟一的名称和标准化的描述,可以称为评价响应入侵检测和漏洞扫描等工具产品和数据库的基准 安全管理标准:
? ISO/IEC 27001: 2005 Information Technology-Security
techniques-Information security management systems-Requirements,信息技术-安全技术-信息安全管理体系要求
? ISO/IEC 27005:2008 Information Technology- Security
echniques-Information security risk management,信息技术-安全技术-信息安全风险管理
? GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 ? 信息安全等级保护 信息系统安全管理要求(送审稿) ? ISO 13335,信息技术-安全技术-IT安全管理指南 ? GB/Z 24364 2009 信息安全技术 信息安全风险管理指南 风险评估实施方法:
? GB/T 20984-2007:信息安全风险评估规范(最新国家标准)
? NIST SP 800-30:RiSk Management Guide for Information Technology
Systems,信息技术系统风险管理指南(美国国家标准和技术学会发布) ? NSA IAM:INFOSED Assessment Methodology,信息风险评估方法(美国
国家安全局发布)
? OCTAVW:The Operationally Critical Threat,Asset,and Vulnerability
Evaluation,可操作的关机那威胁、资产和脆弱性评价 ? 信息技术 安全技术 信息系统安全保障等级评估准则
? SSE-CMM:The Systems Security Engineering Capability Maturity Model,安