文档介绍:1 / 5
风险评估定量与定性的分析方法
ﻫ姓名:武怀玉
单位:上海三零卫士信息安全有限公司 ﻫ
摘要:本文简要阐述了具体风险评估工作的运营模式和管理模式,指出了风险评估的几个阶段以及如何对一个实施中的风险评估过程进行有效科学的管建议。
评估目标
2 / 5
对信息系统而言由于威胁是动态的,风险、安全也是动态的。所以需要明确的是,安全评估不是目的而是一个过程或实施手段,它是信息系统安全工程的一个重要环节。通过安全评估识别出风险大小,在安全评估的基础上制定信息安全策略,采取适当的控制目标与控制方式对风险进行管理,从而达到加强系统安全性,降低系统风险性的目的。
在进行任何一次安全评估时都要明确评估目标,在对现有系统做出准确、客观安全评价的同时量化现有系统的风险性,选择适当的安全保护措施以帮助组织机构建立起一个完善的、动态的信息系统安全防护体系,管理与控制风险,使风险被避免、转移或降至一个可被接受的水平。
评估范围
针对具体的组织机构确定安全评估的范围可以有效帮助评估目标的实现。一般情况下应该从下面三个方面进行评估:组织层次、管理层次以及信息技术层次。具体如下:
组织层次
各组织机构的安全重视情况;
信息技术机构的安全意识、关键资产理解情况;
当前组织策略和执行的缺陷;
组织脆弱点等。
管理层次
人员安全管理;
安全环境管理;
软件安全管理
运行安全管理
设备安全管理
介质安全管理
文档安全管理
信息技术层次
硬件设备:包括主机、网络设备、线路、电源等;
系统软件:包括操作系统、数据库、应用系统、备份系统等;
网络结构:包括远程接入安全、网络带宽评估、网络监控措施等;
数据备份/恢复:包括主机操作系统、数据库、应用程序等的数据备份/恢复机制;
评估原则
标准性原则:风险评估理论模型的设计和具体实施应该依据国内外相关的标准进行。
3 / 5
规范性原则:风险评估的过程以及过程中涉及到的文档应该具有很好的规范性,以便于项目的跟踪和控制。
可控性原则:在风险评估项目实施过程中,应该按照标准的项目管理方法对人员、组织、项目进行风险控制管理,以保证风险评估在实施过程中的可控性。
整体性原则:从管理(组织)和技术两个角度对系统进行评估,保证评估的全面性。
最小影响原则:评估工作应尽可能小的影响组织机构系统和网络的正常运行。
保密性原则:评估过程应该与组织机构签订相关的保密协议,以承诺对组织机构内部信息的保密。
评估实施过程
风险评估共分4个实施阶段(如下图),分别是:
前期准备阶段
本阶段的主要工作是明确风险评估的目标、确定项目的范围、具体的成果表现形式以及最终制定的项目计划,同时明确个人职责与任务分工,以及进行项目实施的相关工作。
现场调查阶段
本阶段主要进行现场的调查工作,该工作由人员访谈调查和技术调查两部分组成,分别对组织机构的信息系统、安全管理策略、关键资产的安全状况进行收集与整理,形成调查报告,为下一阶段的工作打好基础。
风险分析阶段
本阶段的主要工作是根据现场收集的资料,结合专业安全的知识,对被调查组织机构的信息系统所面临的威胁、系统存在的脆弱性、威胁事件对信息系统以及组织的影响进行系统的分析,以最终评估信息系统的风险