信息安全风险评估是信息安全保障工作的基础和重要环节,《国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)》、《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见(国信办[2006]5号)》等相关文件都明确提出信息安全风险评估的必要性,及对信息安全风险评估工作的重视。
信息安全风险评估指采用科学、系统的方法对被评估单位当前信息系统环境(人文环境、技术环境、物理环境)的安全状况进行评估,以发现信息系统环境中存在的安全缺陷,以及被评估单位因此可能面临的信息安全风险,提出将信息安全风险降低到被评估单位可接受级别的控制建议。
信息安全风险评估服务包括如下内容:
1) 确定被评估单位所拥有的关键信息资产;
2) 通过文档审阅、脆弱性扫描、本地审计、人员访谈、现场观测等方式,获得评估范围内主机、网络、应用、管理等方面与信息安全相关的信息;
3) 对所获得的信息进行综合分析,鉴别被评估单位关键信息资产存在的安全问题,以及相应的风险;
4) 根据不同风险的优先级,分析、确定管理相应风险的控制措施;
5) 基于以上分析的结果,形成相应的信息安全风险评估报告。
通过所提供的信息安全风险评估服务,被评估单位可以:
-
清晰理解当前所面临的信息安全风险
-
在信息安全投资上的决策更加科学
-
对信息安全问题能前瞻性地加以处理
-
提高内部人员对信息安全的认识
1) 清晰理解当前所面临的信息安全风险
通过信息安全风险评估,评估人员将向被评估单位详细阐述被评估单位所面临的风险,以及相应的风险起因,从而使得被评估单位将清晰认识现有信息安全体系所存在的缺陷,以及因此而面临的相应风险。
2) 在信息安全投资上的决策更加科学
评估所获得的数据是通过文档审阅、脆弱性扫描、本地审计、人员访谈、现场观测等多种方式获得的,体现了被评估单位的实际状况。基于这些数据,评估人员分析被评估单位所面临的问题和风险,从而提出相应的建议,而不是单纯从理想的信息安全体系来提出建设建议,因此风险评估结果将是信息安全投资的可靠依据。
3) 对信息安全问题能前瞻性地加以处理
被评估单位根据评估人员所提出的建议,基于自身的发展战略、预算等实际情况,实施相应的控制措施,从而可以最大程度地降低安全问题被利用的可能性。
4) 提高内部人员对信息安全的认识
评估过程中评估人员将与被评估单位人员密切合作。通过回答评估人员提出的有针对性的问题、填写精心设计的调查问卷、确认由现状所获得的评估发现等,被评估单位的管理、业务、技术等人员将逐步提高对信息安全的认识。
信息安全风险评估服务分为计划准备、现场评估、分析报告、项目验收4个阶段,每个阶段由不同的任务组成,如下图所示:
信息安全风险评估服务的最终成果是风险评估报告,风险评估报告需要根据评估的目标、范围对象等进行相应地定制。此外,由于不同人员关注评估的不同层面,如:高层领导重点贯注的是信息化建设方面在整体上面临的风险和改进建议,而技术维护人员更关注于局部的设施设备维护和管理方面的问题,需要分别有针对性地撰写评估报告。