风险评估

风险评估

通过对信息资产的识别与赋值、威胁评估、系统脆弱点评估、现有安全措施评估、综合风险分析等若干环节,对电力行业信息系统的安全风险进行半定量分析,清晰的展现信息系统当前的安全现状,明确信息系统每个层面上的安全隐患和脆弱性,同时提供公正、客观、翔实的数据作为决策参考,为下一步控制和降低安全风险、改善安全状况、实施信息系统的风险管理提供依据。

1、什么是信息安全风险评估?

  风险评估服务是通过对信息资产的识别与赋值、威胁评估、系统脆弱点评估、现有安全措施评估、综合风险分析等若干环节,对信息系统的安全风险进行半定量分析,清晰的展现信息系统当前的安全现状,提供公正、客观、翔实的数据作为决策参考,为下一步控制和降低安全风险、改善安全状况、实施信息系统的风险管理提供依据。

2、在实施了信息安全等级保护测评后,为什么还要进行信息安全风险评估?

  等级保护是一项针对信息系统进行分等级防护的信息安全管理制度。等级测评的目的决不仅仅是检验信息系统安全保护措施与安全标准的符合性,更大程度上是希望通过各类调研手段和测评技术手段,判断信息系统的真实安全状况,从而为信息系统的安全建设、整改、运行、维护提供依据。通过信息安全风险评估对信息系统的安全等级保护情况进行评估,依据已确定等级的相关保护要求,对系统的保护效果、潜在风险进行评估,从风险管理的角度有针对性地提出抵御威胁的安全等级防护对策和整改措施,从而最大限度地减少经济损失和负面影响。

  作为信息系统的运营使用单位,在信息系统满足等级保护标准要求的前提下,需要综合考虑系统面向的安全风险和安全防护成本,做出消除风险、缓解风险、接受风险的不同决策,从而充分贯彻等级保护实施过程中的重点保护原则和动态调整原则。因此,风险评估是等级测评工作中的关键环节,风险评估的结果将作为等级测评最终结论的重要依据。

  因此,等级测评工作在等保符合性测评的基础上,开展全面的信息系统安全风险评估,特别是对于检验发现的标准不符合项,更要充分评估对应的脆弱点和安全威胁,判断系统安全风险的影响和可能性,全面掌控信息系统的风险状况,从而提供安全决策支持。

3、信息安全风险评估适用于哪些用户?

a、需要了解当前资产潜在风险的用户;
b、需要了解当前安全建设投入后实际效果的用户;
c、需要了解信息安全对业务系统影响程度的用户;
d、需要跟踪信息安全延续性建设并获取后续建设参考依据的用户;
e、需要了解当前资产实际脆弱性的用户;
f 、需要了解当前信息资产价值优先级的用户等。

4、信息安全风险评估的政策依据及标准依据?

  国家信息化领导小组《关于加强信息安全保障工作的意见》(中办发[2003]27号文件)将信息安全风险评估作为一项重要的举措。国信办2005年5号文率先在北京、上海、黑龙江、云南等地,以及银行、税务、电力三个行业进行试点,根据试点经验,各省市建立信息安全风险评估管理制度。

a、GB/T 20984-2007《信息安全技术信息安全风险评估规范》
b、GB/T 18336《信息技术 安全技术 信息技术安全性评估准则》
c、GB 17859-1999《计算机信息系统安全保护等级划分准则》
d、GB/T 19716-2005《信息技术 信息安全管理适用规则》
e、GB/T22080-2008《信息技术安全技术信息安全管理体系要求》
f、GB/T22081-2008《信息技术安全技术信息安全管理实用规则》
g、GB/T 20274《信息系统安全保障评估框架》

5、信息安全风险评估包括哪几个主要实施阶段?

  风险评估可以分为资产识别、重要资产赋值、威胁分析、脆弱性识别、风险计算、风险控制措施提出等实施阶段。

6、信息安全风险评估的结果形式是什么?

  风险评估服务可帮助用户系统降低安全风险,具体将带来以下价值:
风险评估服务可以帮助用户系统明确资产的配置和分布、业务运行模式、网络体系结构、技术基础结构、资产环境(周边控制、安全措施)以及信息安全策略和制度等信息,准确了解企业的网络和系统现状。

  风险评估服务将全面给出用户信息系统每个层面上的安全隐患和脆弱性报告,使用户对信息安全各个层次的安全性状况和整体安全状况有全面具体的了解。
风险评估从管理制度和安全控制措施等方面对用户信息系统的安全问题进行分析评估,为用户进行信息安全决策和管理提供依据,从而尽可能在安全事故爆发之前避免、减少或转移风险。

  风险评估可以重点针对信息系统在符合性检验中所发现的标准不符合项,充分了解对应的脆弱点和安全威胁,判断真实安全风险的影响和可能性,结合安全防护成本提供系统安全决策支持,充分贯彻等级保护实施过程中的重点保护原则和动态调整原则。

7、信息安全风险评估的收费标准?

  根据评估对象的不同而不同。风险评估的对象可以是:单个独立的信息系统、支持组织业务的整体信息处理环境、整个组织范围。信息安全风险评估的费用主要依据以下几个方面进行核算:

a、网络规模
b、联网单位或客户端抽样比例
c、被评估系统的多少
d、被评估信息设备的多少
e、被评估的组织范围大小