信息安全风险评估如何做
风险评估的一般工作流程可以大概地分为如下九个步骤:
对信息系统特征进行描述,也就是分析信息系统本身的特征以及确定信息系统在组织中的业务战略。对信息系统本身的特征,包括软件、硬件、系统接口、数据和信息、人员和系统的使命,都要有清楚地描述。这个步骤需要产生一系列的文档,包括系统边界、系统功能的描述、系统和数据的关键性描述、系统和数据的敏感性描述(数据和系统本身的重要程度,在整个组织里占据什么地位)。
识别评估系统所面临的威胁。分析内容包括系统被攻击的历史和来自信息咨询机构和大众信息的数据。比如,网上银行系统,根据一些信息咨询机构和媒体、网络银行范围和手段,以这些信息作为基础,对系统所面临的威胁进行标志和分类。这个步骤需要输出一系列的威胁说明,系统可能遭受什么样的威胁,包括天灾人祸、管理上的威胁和人员上的威胁等,都需要按照规范做出威胁程度和性质的说明。
对内在的脆弱性进行识别。脆弱性识别包括:以前风险评估的报告和新的风险评估需要参考以前的风险评估报告,因为,以前的脆弱性可能是系统固有的;同时来源于安全检查过程中,提出的一些整改意见和安全漏洞;以及根据组织本身已有的安全要求和安全期限(Deadline),在系统上线和运行的过程中进行安全测试,如漏洞扫描等。这个步骤还需要输出可能的脆弱性列表,对系统本身的可能脆弱性进行归一化整理。
分析当前和规划中的安全防护措施。这个步骤需要输出当前和规划中的安全防护措施的分析报告,作为下一步安全防护的依据。
主要目的是确定威胁利用脆弱性对资产发生破坏导致负面影响发生的可能性。这个可能性需要对每一项威胁利用每一个安全事件的可能事件,构建一个安全矩阵,在矩阵上的每一个交点确定可能性的级别。这个步骤需要输出可能性级别的分析文档,这个安全事件最有可能发生,或者是基本不可能发生。
分析影响。这个步骤需要分析风险对整个组织的影响,评估资产的关键性、数据的关键性和数据的敏感性。这个步骤需要输出影响级别的分析包括,作为影响级别的矩阵,根据影响和可能性的函数,以及安全防护的措施情况,来确定安全风险。最后形成风险分析结果,包括评价缝隙结果和给出风险等级,以及建议风险控制的措施。
确定风险的级别,例如,高风险、低风险,还是其他级别的。
根据所确定的风险的级别,建议和提出相应的安全防护措施。安全措施落实以后,需要进行残余风险的分析,判断残余风险是否可以接受。
对风险评估的整个过程进行结果记录,这个步骤需要输出一份完整的风险评估报告。
在实际落实风险评估时,以上各步骤必须通过一个体系化的工作流程,有效、有序地进行。