2.1 信息安全风险评估 - 中国信息安全测评中心.doc

信息系统安全测评 业务白皮书 中国信息安全测评中心 2008年8月 信息系统安全测评 信息系统安全是关乎国家稳定、企业生存与发展的重大课题，在信息技术日益发展的今天，如何通过信息系统安全测评工作，最大限度使组织结构预知存在的安全隐患，最大限度地保证国家重要基础设施和重点行业的安全稳定运营，已经成为当前我国信息安全工作的重点。信息技术作为支撑企业业务服务的重要基础性设施，直接影响组织机构的对外服务。是否可以通过主动地、定期地系统安全测评，做到事前规避？现实情况是很多组织机构在信息安全测评工作方面还存在巨大的误区和盲区。信息系统安全测评工作成为组织机构信息系统建设、运营过程中的短板。 中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构，职能是开展信息安全漏洞分析和风险评估工作。开展信息系统安全测评工作，旨在引入信息系统安全测评方法，利用先进技术测试手段、风险度量方法和切实的测评角度，确保组织机构将安全风险降低到可接受的程度，从而保障其业务安全稳定运营。 测评类型 信息系统安全测评致力于为国家重要行业、部委提供科学、客观、规范、务实的安全评估套餐式服务，经过长期的标准研究、工具探索、项目实践以及众多信息安全专家的反复论证，现已形成系列服务产品，包括： 1、信息安全风险评估 2、信息系统安全等级保护测评 3、信息系统安全评估 4、远程渗透测试 5、信息系统安全监控 6、信息系统安全方案评审 信息安全风险评估 评估目标 由我中心高级测评工程师和咨询专家共同组成的评估团队，采用众多漏洞测试工具和工作模版，从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施；为防范和化解信息安全风险，将风险控制在可接受的水平，从而最大限度地为保障信息安全提供科学依据。 适用对象 具有风险管理意识，关注信息系统安全风险的国家重要行业、部委。 评估依据 1、GB/T 20984《信息安全风险评估规范》 2、GB/T 20274《信息系统安全保障评估框架》 3、行业信息安全标准 4、用户自身业务安全需求 评估流程 评估内容 评估信息系统存在的高中低风险的数量、可能性、影响。主要从安全技术和安全管理两个角度： 安全技术 网络层安全 主机系统层安全 应用层安全 数据安全 安全管理 安全管理组织机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 物理安全 评估方式 配置核查----由测评人员在委托单位现场根据调查模版内容获取并分析信息系统关键设备当时的安全配置参数。 工具测试----由资深测评人员采用自动化工具对被评估系统进行漏洞检测。 专家访谈----由资深测评人员到委托单位同信息安全主管、IT审计部门、开发部门及运维部门按我中心调查模版要求进行面对面访谈。 资料审阅----查阅信息系统建设、运维过程中的过程文档、记录，采用分时段系统查阅和有针对性抽样查阅的方法进行。 专家评议----组织本中心行业专家运用恰当的风险分析方法进行集体会诊评议。 评估成果 我中心向委托机构提交《信息系统安全风险评估报告》，报告中包含整改建议。 信息系统安全等级保护测评 评估目标 由我中心高级测评工程师组成的评估团队，依据公安部《信息系统安全等级保护测评准则》中与信息系统备案等级相对应的测评项，进行信息系统安全等级符合性测评，出具是否满足信息系统安全保护等级的测评结论。 适用对象 致力于国家信息系统安全等级保护测评工作的国家重要行业、部委。 评估依据 1、《信息系统安全保护等级测评准则》 2、行业信息安全标准 3、用户自身业务安全需求 评估流程 评估内容 主要从安全技术和安全管理两个角度： 安全技术 网络层安全 主机系统层安全 应用层安全 数据安全 安全管理 安全管理组织机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 物理安全 评估方式 配置核查----由测评人员根据调查模版内容获取并分析信息系统关键设备当时的安全配置参数。 工具测试----由资深测评人员采用自动化工具对被评估系统进行漏洞检测。 专家访谈----由资深测评人员到委托单位同信息安全主管、IT审计部门、开发部门及运维部门按我中心调查模版要求进行面对面访谈。 资料审阅----查阅信息系统建设、运维过程中的过程文档、记录，采用分时段系统查阅和有针对性抽样查阅的方法进行。 专家评议----组织本中心行业专家运用恰当的风险分析方法进行集体会诊评议。 评估成果 我中心向委托机构提交《信息系统安全等级保护测评报告》，报告中包含整改建议。 信息系统安全评估 评估目标 由我中心高级测评工程师组成的评估团队，依据GB/T 20274 信息系统安全保