信息安全管理体系信息系统风险评估管理规范.docx

PAGE1

信息安全管理体系信息系统风险评估管理规范

目录

TOC\h\z\u第一章 总则 1

第二章 风险的概念 1

第三章 风险评估职责 2

第四章 风险评估过程 2

第五章 附则 5

总则

本规范用于指导集团进行周期性的信息安全风险评估，风险评估的目的在于分析集团信息系统及其所依托的网络环境的安全状况，全面了解和掌握信息系统面临的信息安全威胁和风险，为集团制定信息系统的安全规划，开展安全建设，实施安全整改提供依据和决策建议。

风险评估的范围包括集团拥有的所有信息资产。风险评估的具体对象包括机房、服务器、网络、应用系统和管理制度。

风险的概念

资产：资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。它们分别具有不同的价值属性和存在特点，存在的脆弱性、面临的威胁、需要进行的保护和安全控制都各不相同，详细的资产分级见《信息资产安全管理制度》。

威胁：威胁是对系统和集团的资产引起不期望事件而造成的损害的潜在可能性。威胁可能源于对集团信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。也可能源于偶发的、或蓄意的事件。一般来说，威胁总是要利用集团网络中的系统、应用或服务的脆弱性才可能成功地对资产造成伤害。从宏观上讲，威胁按照种类可以分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改、抵赖等。

脆弱性：脆弱性和资产紧密相连，它可能被威胁利用，引起资产损失或伤害。值得注意的是，脆弱性本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失。脆弱性的出现有各种原因，例如可能是软件开发过程中的质量问题，也可能是系统管理员配置方面的，也可能是管理方面的。但是，它们的共同特性就是给攻击者提供了机会。

风险：风险是一种潜在可能性，是指某个威胁利用脆弱性引起某项资产或一组资产的损害，从而直接地或间接地造成集团的损失。因此，风险和具体的资产、其价值、威胁等级以及相关的脆弱性直接相关。

风险评估：风险评估是识别被保护的资产和评价资产风险的过程。

风险评估职责

风险评估的范围为集团正在运行的信息系统及信息系统所依托的物理环境、网络环境、主机操作系统、数据库系统、安全管理情况。

由信息安全部负责集团信息安全风险评估的管理，制定风险评估计划（一般每年一次）及方案，提交给架构与安全委员会审核，审核通过后方可实施风险评估。

当引入新的业务系统或者网络、业务系统发生重大改变时，需要立刻进行局部或者整体的风险评估。

在新系统上线前应该有信息安全部对系统实施局部安全风险评估，并针对评估发现的问题提供整改方案，整改通过后方可上线。

信息安全部经理定期向架构与安全委员会领导汇报集团信息安全风险状况。

风险评估过程

风险评估的方法是首先选定评估的资产范围、分析每项资产所承载业务系统、评估资产价值、挖掘并评估资产面临的威胁、检测并评估资产存在的脆弱性、评估每项资产的风险、进而得出整个评估目标的风险，风险评估参照标准如下所示：

GB/T20274-2006《信息系统安全保障评估框架》

GB/T20984-2007《信息安全风险评估规范》

GB/T18336-2001《信息技术安全性评估准则》

ISO/IEC?20000-1:2011《信息技术服务管理标准规范》

风险评估的流程如下图所示

风险评估的方法包括：

网络安全评估：网络安全评估将对网络层进行评估，具体包括网络性能与业务负载分析、访问控制策略与措施分析、网络设备策略与配置评估、安全设备策略与配置评估。

人工安全检查：对于安全扫描工具不能扫描到的范围，需使用人工的方式进行检查，对于网络设备的检查包括但不限于；

是否最优的划分了VLAN和不同的网段，保证了每个用户的最小权限原则；

内外网之间、重要的网段之间是否进行了必要的隔离措施；

路由器、交换机等网络设备的配置是否最优，是否配置了安全参数；

安全设备的接入方式是否正确，是否最大化的利用了其安全功能而又占系统资源最小，是否影响业务和系统的正常运行；

主机服务器的安全配置策略是否严谨有效。

对于网络安全设备的检查包括但不限于：

安全设备是否配置最优，实现其最优功能和性能，保证网络系统的正常运行；

安全设备自身的保护机制是否实现；

安全设备的管理机制是否安全；

安全设备为网络提供的保护措施，且这些措施是否正常和正确；

安全设备是否定期升级或更新；

安全设备是否存在漏洞或后门。

应用安全调研：通过技术手段结合材料调研和人员访谈，对集团信息系统应用安全方面的问题进行调研。

根据风险评估结果，制定对风