隨著信息技術(shù)的飛速發(fā)展及廣泛應(yīng)用，政府部門、金融機(jī)構(gòu)、企事業(yè)單位和商業(yè)組織對網(wǎng)絡(luò)信息系統(tǒng)的依賴程度日益加深，由此也帶來了信息安全隱患，使得網(wǎng)絡(luò)信息系統(tǒng)面臨著無時不在的信息安全威脅和風(fēng)險，信息安全風(fēng)險評估作為信息安全保障工作的基礎(chǔ)性工作和有效手段受到了普遍重視。信息安全風(fēng)險評估從風(fēng)險管理角度，運(yùn)用科學(xué)的分析方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)信息系統(tǒng)所面臨的威脅及脆弱性，評估安全事件一旦發(fā)生對組織所造成的危害程度，有針對性地提出抵御威脅的安全防護(hù)對策和整改措施，從而能夠最大限度地減少經(jīng)濟(jì)損失和負(fù)面影響。
多年來，在我國政府的工作部署和相關(guān)要求下，政府、教育、醫(yī)療、金融、能源和電力等行業(yè)的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)紛紛開展了信息安全風(fēng)險評估工作，隨之也催生出一批對外提供專業(yè)信息安全風(fēng)險評估服務(wù)的安全技術(shù)服務(wù)組織。但就整個信息安全風(fēng)險評估服務(wù)市場來說，如何科學(xué)、規(guī)范地開展信息安全風(fēng)險評估活動，保證信息安全風(fēng)險評估服務(wù)成果的質(zhì)量，依然是目前普遍存在的問題。
中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心經(jīng)過不斷研究和實(shí)踐，于2018年6月1日發(fā)布了CCRC-ISV-C01：2018《信息安全服務(wù)規(guī)范》，其中對信息安全服務(wù)提供者在提供信息安全風(fēng)險評估服務(wù)時應(yīng)具備的專業(yè)服務(wù)能力要求進(jìn)行了明確規(guī)定，旨在規(guī)范相關(guān)服務(wù)提供組織的信息安全風(fēng)險評估服務(wù)過程，提升其信息安全風(fēng)險評估服務(wù)能力，同時也為相關(guān)服務(wù)需方組織提供了有效選擇和評價風(fēng)險評估服務(wù)提供組織的評判依據(jù)。本文針對信息安全風(fēng)險評估服務(wù)認(rèn)證過程中發(fā)現(xiàn)的常見問題，結(jié)合信息安全風(fēng)險評估工作實(shí)踐，對CCRC-ISV-C01：2018《信息安全服務(wù)規(guī)范》中風(fēng)險評估三級專業(yè)評價要求進(jìn)行了解讀，以期為提供信息安全風(fēng)險評估服務(wù)的安全技術(shù)服務(wù)組織提供一些幫助和參考。
規(guī)范解讀
CCRC-ISV-C01：2018《信息安全服務(wù)規(guī)范》“5.1風(fēng)險評估服務(wù)資質(zhì)專業(yè)評價要求”部分按照三級、二級、一級三個認(rèn)證級別(從低往高)，分別從評估準(zhǔn)備、風(fēng)險識別、風(fēng)險分析以及風(fēng)險處置4個過程對信息安全風(fēng)險評估服務(wù)提供者在提供風(fēng)險評估服務(wù)時應(yīng)具備的專業(yè)服務(wù)能力要求進(jìn)行了明確規(guī)定。本文主要針對最低認(rèn)證級別(三級)信息安全風(fēng)險評估服務(wù)專業(yè)評價條款內(nèi)容和要求進(jìn)行闡釋。
評估準(zhǔn)備
風(fēng)險評估準(zhǔn)備是整個風(fēng)險評估過程有效性的保證。因此，在風(fēng)險評估實(shí)施前，應(yīng)綜合考慮組織的戰(zhàn)略、業(yè)務(wù)目標(biāo)、業(yè)務(wù)功能、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的因素，確定風(fēng)險評估的目標(biāo)和范圍，組建評估管理與實(shí)施團(tuán)隊(duì)，召開風(fēng)險評估工作啟動會議，做好評估現(xiàn)場所需的表格、文檔、檢測工具等各項(xiàng)準(zhǔn)備工作，進(jìn)行風(fēng)險評估技術(shù)培訓(xùn)和保密安全教育，對被評估系統(tǒng)進(jìn)行前期調(diào)研，確定風(fēng)險評估的對象和內(nèi)容、評估依據(jù)和風(fēng)險計(jì)算方法，制定風(fēng)險評估實(shí)施方案，并在后期的項(xiàng)目實(shí)施過程中按照方案和文檔模板實(shí)施，保留好相關(guān)過程記錄。其中，風(fēng)險評估實(shí)施方案中應(yīng)至少包括評估目標(biāo)、評估范圍、評估依據(jù)、評估對象和內(nèi)容、評估方法、評估小組成員角色及職責(zé)、評估工作計(jì)劃、時間進(jìn)度安排、評估工具描述、風(fēng)險計(jì)算方法、風(fēng)險評價原則和風(fēng)險規(guī)避措施等內(nèi)容。風(fēng)險評估實(shí)施方案應(yīng)得到被評估組織的確認(rèn)和認(rèn)可。
在認(rèn)證審核過程中，常見的問題一般有：未按照風(fēng)險評估實(shí)施方案模板制定具體項(xiàng)目的風(fēng)險評估實(shí)施方案、已完成項(xiàng)目風(fēng)險評估實(shí)施方案中缺少風(fēng)險評價原則并將風(fēng)險評估原則等同為風(fēng)險評價原則、已完成項(xiàng)目風(fēng)險評估實(shí)施方案中對風(fēng)險評估實(shí)施團(tuán)隊(duì)成員角色及職責(zé)未進(jìn)行描述、已完成項(xiàng)目風(fēng)險評估實(shí)施方案中關(guān)于評估工具的介紹缺少功能描述、實(shí)施風(fēng)險評估前未對風(fēng)險評估團(tuán)隊(duì)開展安全教育培訓(xùn)、實(shí)施風(fēng)險評估前對評估團(tuán)隊(duì)進(jìn)行技術(shù)培訓(xùn)時未結(jié)合具體項(xiàng)目開展等。
風(fēng)險識別
資產(chǎn)識別
資產(chǎn)識別是風(fēng)險評估的基礎(chǔ)環(huán)節(jié)，應(yīng)參照已發(fā)布的國家或國際標(biāo)準(zhǔn)明確資產(chǎn)分類方法，形成資產(chǎn)分類列表，如可參照GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》中基于資產(chǎn)表現(xiàn)形式的資產(chǎn)分類方法，將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員等類型。根據(jù)所確定的資產(chǎn)分類方法進(jìn)行資產(chǎn)識別，形成資產(chǎn)識別清單，明確資產(chǎn)的責(zé)任人或部門。
保密性、完整性和可用性是評價資產(chǎn)的3個基本安全屬性。根據(jù)資產(chǎn)在保密性、完整性和可用性這3個安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時所造成的影響程度確定保密性、完整性和可用性等級賦值標(biāo)準(zhǔn)，并按照確定的等級賦值標(biāo)準(zhǔn)來確定資產(chǎn)的保密性、完整性和可用性等級化賦值。
業(yè)務(wù)識別是資產(chǎn)識別的關(guān)鍵環(huán)節(jié)。業(yè)務(wù)是組織發(fā)展的核心，具有價值屬性。組織的業(yè)務(wù)重要程度越高，對資產(chǎn)的依賴程度就越高，資產(chǎn)價值就越大。業(yè)務(wù)識別的內(nèi)容一般包括業(yè)務(wù)功能、業(yè)務(wù)對象、業(yè)務(wù)流程、業(yè)務(wù)關(guān)聯(lián)性等。根據(jù)業(yè)務(wù)在組織發(fā)展戰(zhàn)略及目標(biāo)中的重要程度確定業(yè)務(wù)重要性等級賦值標(biāo)準(zhǔn)并對其進(jìn)行等級化賦值。
最后，綜合考慮資產(chǎn)保密性、完整性、可用性以及業(yè)務(wù)重要性等4個因素確定資產(chǎn)價值的綜合評定方法。綜合評定方法可根據(jù)組織的業(yè)務(wù)特點(diǎn)確定，如可采用最大值法或加權(quán)計(jì)算法，根據(jù)確定的綜合評定方法得出資產(chǎn)價值的最終賦值結(jié)果。根據(jù)資產(chǎn)識別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、功能描述、資產(chǎn)類型、重要程度、責(zé)任人/部門、保密性賦值、完整性賦值、可用性賦值、業(yè)務(wù)重要性賦值、資產(chǎn)價值最終賦值等。
在認(rèn)證審核過程中，常見的問題一般有：未參照已發(fā)布的國家或國際標(biāo)準(zhǔn)形成資產(chǎn)分類列表、資產(chǎn)識別清單中未按照確定的資產(chǎn)分類進(jìn)行全面的資產(chǎn)識別、已完成項(xiàng)目重要資產(chǎn)列表中具體資產(chǎn)的識別信息不完善、已完成項(xiàng)目重要資產(chǎn)列表中未明確資產(chǎn)最終賦值的綜合評定方法、資產(chǎn)最終賦值的綜合評定方法中未考慮業(yè)務(wù)的重要性和關(guān)聯(lián)性等。
脆弱性識別
脆弱性識別是風(fēng)險評估的核心環(huán)節(jié)，脆弱性識別主要從技術(shù)和管理兩個方面進(jìn)行，因此包含了技術(shù)脆弱性和管理脆弱性。技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的安全問題或隱患。管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面，前者與具體技術(shù)活動相關(guān)，后者與管理環(huán)境相關(guān)。脆弱性識別所采用的方法主要有：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透測試等。
脆弱性識別可以以資產(chǎn)為核心，針對每一項(xiàng)需要保護(hù)的資產(chǎn)，識別可能被威脅利用的弱點(diǎn)，并對脆弱性的嚴(yán)重程度進(jìn)行評估;也可以從物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等層面進(jìn)行識別。在脆弱性識別過程中，應(yīng)結(jié)合被評估組織的重要資產(chǎn)，確定物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層或管理層等各個層面的脆弱性檢查列表以供現(xiàn)場人工核查發(fā)現(xiàn)安全問題或隱患。同時應(yīng)通過可靠的信息安全專業(yè)檢測工具、滲透測試等工具手段重點(diǎn)挖掘被評估系統(tǒng)網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層的安全問題或隱患。針對不同的資產(chǎn)對象，其脆弱性識別的具體要求應(yīng)參照國內(nèi)發(fā)布的相應(yīng)技術(shù)或管理標(biāo)準(zhǔn)實(shí)施。
根據(jù)脆弱性對資產(chǎn)和業(yè)務(wù)的暴露程度、技術(shù)實(shí)現(xiàn)的難易程度、流行程度、已有安全措施和脆弱性關(guān)聯(lián)性等，確定脆弱性等級賦值標(biāo)準(zhǔn)，并按照確定的等級賦值標(biāo)準(zhǔn)對已識別脆弱性的嚴(yán)重程度進(jìn)行賦值。根據(jù)脆弱性識別和賦值的結(jié)果，形成脆弱性列表，包括具體脆弱性的名稱、內(nèi)容描述、類型、對應(yīng)資產(chǎn)、脆弱性賦值等。
對某個資產(chǎn)，其技術(shù)脆弱性的嚴(yán)重程度還受到組織管理脆弱性的影響，因此，資產(chǎn)的脆弱性賦值還應(yīng)參考技術(shù)管理和組織管理脆弱性的嚴(yán)重程度。
在認(rèn)證審核過程中，常見的問題一般有：脆弱性列表中脆弱性識別范圍未覆蓋所有重要資產(chǎn)、脆弱性識別方法僅使用了單一的人工核查或工具檢測方法、脆弱性列表中關(guān)于脆弱性的內(nèi)容描述不準(zhǔn)確或不詳細(xì)、脆弱性列表中所識別出的脆弱性未對應(yīng)到具體資產(chǎn)、脆弱性賦值未和已有安全措施有效性評價結(jié)果相關(guān)聯(lián)等。
威脅識別
在威脅識別過程中，應(yīng)參考已發(fā)布的國家或國際標(biāo)準(zhǔn)對威脅進(jìn)行分類，形成威脅分類清單。如可參照GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》中的威脅分類方法，考慮環(huán)境因素和人為因素兩大威脅來源，根據(jù)威脅表現(xiàn)形式將威脅主要分為軟硬件故障、物理環(huán)境影響、無作為或操作失誤、管理不到位、惡意代碼、越權(quán)或?yàn)E用、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改、抵賴等11類。
考慮威脅出現(xiàn)的來源、動機(jī)和頻率等因素確定威脅等級賦值標(biāo)準(zhǔn)。根據(jù)經(jīng)驗(yàn)和(或)相關(guān)統(tǒng)計(jì)數(shù)據(jù)判斷威脅出現(xiàn)的來源、動機(jī)和頻率，按照確定的等級賦值標(biāo)準(zhǔn)對威脅進(jìn)行賦值，形成威脅識別清單，包括威脅名稱、種類、來源、動機(jī)、出現(xiàn)的頻率、影響層面、威脅賦值等。
在認(rèn)證審核過程中，常見的問題一般有：威脅分類未參考國家或國際標(biāo)準(zhǔn)因而導(dǎo)致分類類別不全、已完成項(xiàng)目威脅識別清單中列出的威脅類別與威脅分類清單中的威脅類別不一致等。
已有安全措施確認(rèn)
以威脅為核心識別組織已有安全措施，在威脅識別的同時，一般從物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)、管理等層面對已采取的安全措施進(jìn)行識別。在識別脆弱性的同時，應(yīng)對已有安全措施的有效性進(jìn)行評估和確認(rèn)，即是否真正地抵御了威脅，降低了系統(tǒng)的脆弱性。根據(jù)對已采取的安全措施進(jìn)行確認(rèn)后的結(jié)果，形成已有安全措施確認(rèn)表，包括已有安全措施名稱、所屬層面、功能描述及實(shí)施效果評價等。
在認(rèn)證審核過程中，常見的問題一般有：未識別已有安全措施或識別層面覆蓋范圍不全、未對已有安全措施的有效性進(jìn)行評估和確認(rèn)等。
風(fēng)險分析
風(fēng)險分析模型建立
在完成了資產(chǎn)識別、威脅識別、脆弱性識別以及已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，同時綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對組織的影響，即安全風(fēng)險。通常，參照GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》中給出的風(fēng)險計(jì)算原理，將資產(chǎn)、威脅、脆弱性3個基本要素及每個要素各自的屬性進(jìn)行關(guān)聯(lián)后構(gòu)建風(fēng)險分析模型并在項(xiàng)目風(fēng)險評估報(bào)告中進(jìn)行描述：
風(fēng)險值=R(A，T，V)= R(L(T，V)，F(xiàn)(Ia，Va ))
其中，R表示安全風(fēng)險計(jì)算函數(shù);A表示資產(chǎn);T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產(chǎn)價值;Va表示脆弱性嚴(yán)重程度;L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性;F表示安全事件發(fā)生后造成的損失。
在認(rèn)證審核過程中，常見的問題一般有：已完成項(xiàng)目風(fēng)險評估報(bào)告中缺少風(fēng)險分析模型的描述、已完成項(xiàng)目風(fēng)險評估報(bào)告中給出的風(fēng)險分析模型缺少科學(xué)性和可行性、已建立風(fēng)險分析模型中未考慮威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性、已建立風(fēng)險分析模型中未考慮威脅利用脆弱性導(dǎo)致安全事件發(fā)生對組織造成的損失等。
風(fēng)險計(jì)算方法確定
根據(jù)風(fēng)險分析模型選擇和確定相應(yīng)的風(fēng)險計(jì)算方法計(jì)算風(fēng)險值，如矩陣法或相乘法。矩陣法通過構(gòu)造一個二維矩陣，形成安全事件的可能性與安全事件造成的損失之間的二維關(guān)系;相乘法通過構(gòu)造經(jīng)驗(yàn)函數(shù)，將安全事件的可能性與安全事件造成的損失進(jìn)行運(yùn)算得到風(fēng)險值。具體風(fēng)險計(jì)算方法可參照GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》附錄A(資料性附錄)風(fēng)險的計(jì)算方法部分。
在認(rèn)證審核過程中，常見的問題一般有：未根據(jù)風(fēng)險分析模型選擇和確定相應(yīng)的風(fēng)險計(jì)算方法、已完成項(xiàng)目風(fēng)險評估報(bào)告中未描述確定的風(fēng)險計(jì)算方法并將風(fēng)險計(jì)算原理等同為風(fēng)險計(jì)算方法、已完成項(xiàng)目風(fēng)險評估報(bào)告中未體現(xiàn)計(jì)算得出風(fēng)險值的過程等。
風(fēng)險評價
為實(shí)現(xiàn)對風(fēng)險的控制與管理，宜對風(fēng)險評估的結(jié)果進(jìn)行等級化處理。根據(jù)所采用的風(fēng)險計(jì)算方法，計(jì)算每種資產(chǎn)面臨的風(fēng)險值，根據(jù)風(fēng)險值的分布狀況，為每個等級設(shè)定風(fēng)險值范圍，形成風(fēng)險評價準(zhǔn)則，并按照確定的風(fēng)險評價準(zhǔn)則對所有風(fēng)險計(jì)算結(jié)果進(jìn)行等級處理。
綜合考慮風(fēng)險控制成本與風(fēng)險造成的影響，提出一個可接受的風(fēng)險范圍。對某些資產(chǎn)的風(fēng)險，如果風(fēng)險計(jì)算值在可接受的范圍內(nèi)，則該風(fēng)險是可接受的，應(yīng)保持已有的安全措施;如果風(fēng)險評估值在可接受的范圍外，即風(fēng)險計(jì)算值高于可接受范圍的上限值，則該風(fēng)險是不可接受的，需要采取安全措施以降低、控制風(fēng)險。
在認(rèn)證審核過程中，常見的問題一般有：已完成項(xiàng)目風(fēng)險評估報(bào)告中缺少風(fēng)險評價原則的描述、已完成項(xiàng)目風(fēng)險評估報(bào)告中給出的風(fēng)險評價原則明顯不合理、在理解風(fēng)險評價原則時直接將其等同于風(fēng)險評估準(zhǔn)則等。
風(fēng)險評估報(bào)告
按照風(fēng)險評估報(bào)告模板編制風(fēng)險評估報(bào)告，對整個風(fēng)險評估過程和結(jié)果進(jìn)行總結(jié)，說明被評估對象、風(fēng)險評估方法、資產(chǎn)識別分析結(jié)果、威脅識別分析結(jié)果、脆弱性識別分析結(jié)果、已有安全措施確認(rèn)分析結(jié)果、風(fēng)險分析原理、風(fēng)險計(jì)算方法、風(fēng)險評價原則、風(fēng)險統(tǒng)計(jì)和結(jié)論、風(fēng)險處置建議等內(nèi)容。
在認(rèn)證審核過程中，常見的問題一般有：未按照風(fēng)險評估報(bào)告模板編制具體項(xiàng)目的風(fēng)險評估報(bào)告、已完成項(xiàng)目風(fēng)險評估報(bào)告中評估過程和結(jié)果不完整、已完成項(xiàng)目風(fēng)險評估報(bào)告中關(guān)于脆弱性或風(fēng)險內(nèi)容描述不詳細(xì)、已完成項(xiàng)目風(fēng)險評估報(bào)告中缺少風(fēng)險處置建議、已完成項(xiàng)目風(fēng)險評估報(bào)告中評估過程和內(nèi)容與項(xiàng)目風(fēng)險評估方案中的不一致等。
認(rèn)證實(shí)施建議
信息安全風(fēng)險評估在信息安全保障體系建設(shè)中具有不可替代的地位和重要作用，它是實(shí)施安全集成、安全運(yùn)維、軟件安全開發(fā)、等級保護(hù)等多項(xiàng)服務(wù)或工作的基本前提，又是組織檢查、衡量網(wǎng)絡(luò)信息系統(tǒng)安全狀況的基礎(chǔ)工作。信息安全風(fēng)險評估服務(wù)的終極目標(biāo)是保護(hù)組織的業(yè)務(wù)安全，建議相關(guān)組織能夠熟練掌握風(fēng)險評估的科學(xué)涵義和方法論，嚴(yán)格、規(guī)范地按照風(fēng)險評估的實(shí)施流程和評估方法開展風(fēng)險評估服務(wù)，不斷提升組織的信息安全風(fēng)險評估服務(wù)能力和技術(shù)水平，最終為客戶提供有價值、能落地的風(fēng)險評估結(jié)果和風(fēng)險處置建議，為國內(nèi)的信息安全事業(yè)發(fā)展發(fā)揮積極的作用。


什么是ISO9000
ISO 22716認(rèn)證化妝品證書費(fèi)用
dsmm認(rèn)證費(fèi)用,DSMM認(rèn)證的適用范圍
石材養(yǎng)護(hù)翻新企業(yè)服務(wù)能力等級評價證書辦理申請材料
ISO27001的適用范圍和意義
安全與健康的工作環(huán)境四個方面
gs認(rèn)證公司,GS認(rèn)證官方查詢步驟
知識產(chǎn)權(quán)的法律保護(hù)的應(yīng)對措施有哪些？