信息安全测评复习资料(版,不喜勿喷).docx

第二部分信息安全风险评估理论与方法2.1评估策略风险评估依据：（1）政策法规《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）；《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》（国信办[2006]5号）。（2）国际标准BS 7799-1《信息安全管理实施细则》；BS 7799-2《信息安全管理体系规范》；ISO/IEC TR 13335《信息技术安全管理指南》；SSE-CMM《系统安全工程能力成熟模型》。（3）国家标准GB 17589-1999《计算机信息系统安全保护等级划分准则》；GB/T 18336：1-3：2001《信息技术性评估准则》；GB/Z《信息安全风险评估指南》（征求意见稿）；GB/Z《信息安全风险管理指南》（征求意见稿）。（4）行业通用标准CVE公共漏洞数据库；信息安全应急响应机构公布的漏洞；国家信息安全主管部门公布的漏洞。（5）其他风险评估原则：（1）可控性原则人员可控性——所有参与信息安全评估的人员工具可控性——所使用的风险评估工具项目过程可控性——依据项目管理方法学（2）完整性原则严格按照委托单位评估要求和指定范围进行全面评估服务（3）最小影响原则力求将评估对信息系统正常运行的影响降低到最低限度（4）必威体育官网网址原则与评估对象签署必威体育官网网址协议和非侵害性协议2.2 评估实施流程1、风险评估的准备重要性：风险评估的准备是实施风险评估的前提，其准备过程是组织进行风险评估的基础，是整个风险评估过程有效性的保证。只有有效地进行了信息安全风险评估准备，才能更好地开展信息安全风险评估。准备活动包括：确定风险评估的目标；确定风险评估的范围；组建评估管理团队和评估实施团队；进行系统调研；确定评估依据和方法；获得支持。（1）确定风险评估的目标通过分析组织必须符合的相关法律法规、组织在业务流程中对信息安全等的机密性、可用性、完整性等方面的需求，来确定风险评估的目标。（2）确定风险评估的范围风险评估的范围包括组织内部与信息处理相关的各类软硬件资产、相关的管理机构和人员、所处理的信息等各方面。（3）组建评估管理团队和评估实施团队组建风险评估实施团队具体执行组织的风险评估；除此以外，还需组织管理层、相关业务骨干、信息安全运营管理人员等参与，组建评估管理团队，以利于风险评估的实施。（4）进行系统调研系统调研的目的是为了对此次风险评估的目标、范围做出初步判断，为撰写风险评估计划做必要的准备；并根据系统调研结果决定评估将采取的评估方法等技术手段。可以采取问卷调查、现场访谈等方式进行。（5）确定评估依据和方法分类示例数据保存在信息媒介上的各种数据资源，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等软件系统软件：OS、DBMS、软件开发平台等应用软件：办公软件、数据库软件等源程序：各种共享源代码、自行或合作开发的各种代码等硬件网络设备：路由器、网关、交换机等计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携式计算机等存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输介质：光纤、双绞线等保障设备：UPS、变电设备、空调、保险柜、文件柜、门禁、消防设备等安全设备：防火墙、入侵检测设备、身份鉴别设备等其他：打印机、复印机、扫描仪、传真机等评估依据包括现有国际或国家有关信息安全标准、组织的行业主管机关的业务系统的要求和制度、组织的信息系统互联单位的安全要求、组织的信息系统本身的实时性或性能要求等。根据系统调研所获得的用户的各种资料，向用户提交一份《信息安风险评估计划》，包括目标、范围、依据、技术路线、时间安排、人员安排、保障条件、交付成果等。（6）获得支持形成完整的风险评估实施方案，并报组织最高管理者批准，以获得其对风险评估方案的支持；同时在组织范围就风险评估相关内容对管理者和技术人员进行培训，以明确有关人员在风险评估中的任务。2、资产识别资产识别的过程就是将组织的业务工作逐步分解成定性、定量的资产安全性分析，或者说将组织的业务安全映射成资产的安全，使得能够科学地把握组织的业务安全需求及其变化。资产识别包括资产分类和资产赋值两个环节。（1）资产分类（WHY？）服务信息服务：该系统对外开展的各种服务网络服务：各种网络设备、设施提供的网络连接服务办公服务：为提高效率而开发的管理信息系统，包括各种内部配置管理、文件流转管理等服务人员掌握重要形象和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等其他企业形象、客户关系等风险评估需要对资产的价值进行识别，因为价值不同将导致风险值不同。资产的价值不是指信息系统的经济价值，而是与组织的业务工作密切相关，以资产的机密性、完整性和可用性三个安全属性为基础进行衡量。资产有多种表现形式，同样的两个资产也因属于不同的信息