X0_0X
2
等保中級測評師
CICSA
X0_0X2
等保中級測評師
CICSA
風險評估的一般工作流程可以大概地分為如下九個步驟:
對信息系統特征進行描述,也就是分析信息系統本身的特征以及確定信息系統在組織中的業務戰略。對信息系統本身的特征,包括軟件、硬件、系統接口、數據和信息、人員和系統的使命,都要有清楚地描述。這個步驟需要產生一系列的文檔,包括系統邊界、系統功能的描述、系統和數據的關鍵性描述、系統和數據的敏感性描述(數據和系統本身的重要程度,在整個組織里占據什么地位)。
識別評估系統所面臨的威脅。分析內容包括系統被攻擊的歷史和來自信息咨詢機構和大眾信息的數據。比如,網上銀行系統,根據一些信息咨詢機構和媒體、網絡銀行范圍和手段,以這些信息作為基礎,對系統所面臨的威脅進行標志和分類。這個步驟需要輸出一系列的威脅說明,系統可能遭受什么樣的威脅,包括天災人禍、管理上的威脅和人員上的威脅等,都需要按照規范做出威脅程度和性質的說明。
對內在的脆弱性進行識別。脆弱性識別包括:以前風險評估的報告和新的風險評估需要參考以前的風險評估報告,因為,以前的脆弱性可能是系統固有的;同時來源于安全檢查過程中,提出的一些整改意見和安全漏洞;以及根據組織本身已有的安全要求和安全期限(Deadline),在系統上線和運行的過程中進行安全測試,如漏洞掃描等。這個步驟還需要輸出可能的脆弱性列表,對系統本身的可能脆弱性進行歸一化整理。
分析當前和規劃中的安全防護措施。這個步驟需要輸出當前和規劃中的安全防護措施的分析報告,作為下一步安全防護的依據。
主要目的是確定威脅利用脆弱性對資產發生破壞導致負面影響發生的可能性。這個可能性需要對每一項威脅利用每一個安全事件的可能事件,構建一個安全矩陣,在矩陣上的每一個交點確定可能性的級別。這個步驟需要輸出可能性級別的分析文檔,這個安全事件最有可能發生,或者是基本不可能發生。
分析影響。這個步驟需要分析風險對整個組織的影響,評估資產的關鍵性、數據的關鍵性和數據的敏感性。這個步驟需要輸出影響級別的分析包括,作為影響級別的矩陣,根據影響和可能性的函數,以及安全防護的措施情況,來確定安全風險。最后形成風險分析結果,包括評價縫隙結果和給出風險等級,以及建議風險控制的措施。
確定風險的級別,例如,高風險、低風險,還是其他級別的。
根據所確定的風險的級別,建議和提出相應的安全防護措施。安全措施落實以后,需要進行殘余風險的分析,判斷殘余風險是否可以接受。
對風險評估的整個過程進行結果記錄,這個步驟需要輸出一份完整的風險評估報告。
在實際落實風險評估時,以上各步驟必須通過一個體系化的工作流程,有效、有序地進行。
推薦文章
