《信息安全风险评估服务》

信息安全风险评估服务

1.1风险评估概念

信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于it领域时，就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的bs779

9、iso1779

9、国家标准《信息系统安全等级评测准则》等方法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。

1.2风险评估相关

资产，任何对组织有价值的事物。

威胁，指可能对资产或组织造成损害的事故的潜在原因。例如，组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。

脆弱点，是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思，使用简短易被猜测的口令、操作系统本身有安全漏洞等。

风险，特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害饿潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险评估，对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。风险评估也称为风险分析，就是确认安全风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的方法，去顶资产风险等级和优先控制顺序。

2、风险评估的发展现状

2.1信息安全风险评估在美国的发展

第一阶段（60-70年代）以计算机为对象的信息保密阶段

1067年11月到1970年2月，美国国防科学委员会委托兰德公司、迈特公司（mitie）及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究，分析。作为第一次比较大规模的风险评估。特点：

仅重点针对了计算机系统的保密性问题提出要求，对安全的评估只限于保密性，且重点在于安全评估，对风险问题考虑不多。第二阶段（80-90年代）以计算机和网络为对象的信息系统安全保护阶段

评估对象多为产品，很少延拓至系统，婴儿在严格意义上扔不是全面的风险评估。

第三阶段（90年代末，21世纪初）以信息系统为对象的信息保障阶段

随着信息保障的研究的深入，保障对象明确为信息和信息系统；保障能力明确来源于技术、管理和人员三个方面；逐步形成了风险评估、自评估、认证认可的工作思路。

2.2我国风险评估发展

●2002年在863计划中首次规划了《系统安全风险分析和评估方法研究》课题

●2003年8月至2010年在国信办直接指导下，组成了风险评估课题组

●2004●2005年，国家信息中心《风险评估指南》，《风险管理指南》年全国风险评估试点

●在试点和调研基础上，由国信办会同公安部，安全部，等起草了《关于开展信息安全风险评估工作的意见》征求意见稿

●2006年，所有的部委和所有省市选择1-2单位开展本地风险评估试点工作

●2015年，国家能源局根据《电力监控系统安全防护规定》（国家发展和改革委员会令2014年第14号）制定了《电力监控系统安全防护总体方案》（国能安全[2015]36号）等安全防护方案和评估方案，其中相关规定明确风险评估在电力系统中的需要

●2017年7月，《中华人民共和国网络安全法》颁布，其中第二章第十七条“国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务”。明确了需要社会广泛参与服务。

3、风险评估要素关系模型

4、风险评估流程

●确定资产评估范围●资产的识别和影响●威胁识别●脆弱性评估●威胁分析●风险分析●风险管理

5、风险评估原则

●符合性原则●标准性原则●规范性原则

●可控性原则●保密性原则

●整体性原则●重点突出原则●最小影响原则

6、评估依据的标准和规范

gb/t20984-2007《信息安全技术信息安全风险评估规范》《电力监控系统安全防护规定》（发改委14号令）

《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》（国能安全[2015]36号）

gb/t18336-2001《信息技术安全技术信息技术安全性评估准则》

iso/iec27001：2005《信息安全管理体系标准》

gb/t22239-2008《信息安全技术信息系统安全等级保护基本要求》

gb/t22240-2008《信息安全技术信息系统安全等级保护定级指南》

gb/t25058-2010《信息安全技术信息系统安全等级保护实施指南》

《电力行业信息安全等级保护基本要求》（电监信息[2012]62号）《关于开展电力行业信息系统安全等级保护定级工作的通知》（电监信息[2007]34号）

《电力行业信息系统等级保护定级工作指导意见》（电监信息[2007]44号）

7、风险评估的发展方向

8.1风险评估行业发展方向

从2003年7月至今，我国信息安全风险评估工作大致经历了三个阶段，即调查研究阶段、标准编制阶段和试点工作阶段。

历时两年、经过调查研究、标准编制和试点工作三个阶段，目前，我国信息安全风险评估工作已取得阶段性的成果，此间也是《关于开展信息安全风险评估工作的意见》政策文件，以及《信息安全风险评估指南》和《信息安全风险管理指南》两项标准历经酝酿、形成到不断完善的三个时期。

信息安全风险是人为或自然的威胁利用系统存在的脆弱性引发的安全事件，并由于受损信息资产的重要性而对机构造成的影响。而信息安全风险评估，则是指依据国家风险评估有关管理要求和技术标准，对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。通过对信息及信息系统的重要性、面临的威胁、其自身的脆弱性以及已采取安全措施有效性的分析，判断脆弱性被威胁源利用后可能发生的安全事件以及其所造成的负面影响程度来识别信息安全的安全风险。

信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制。没有准确及时的风险评估，将使得各个机构无法对其信息安全的状况做出准确的判断。所以，所谓安全的信息系统，实际是指信息系统在实施了风险评估并做出风险控制后，仍然存在可被接受的残余风险的信息系统。因此，需要运用信息安全风险评估的思想和规范，对信息系统展开全面、完整的信息安全风险评估。

信息安全风险评估在信息安全保障体系建设中具有不可替代的地位和重要作用。风险评估既是实施信息系统安全等级保护的前提，又是信息系统安全建设和安全管理的基础工作。通过风险评估，能及早发现和解决问题，防患于未然。当前，尤其迫切需要对我国信息化发展过程中形成的基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统进行持续的风险评估，随时掌握我国重要信息系统和基础信息网络的安全状态，及时采取有针对性的应对措施，为建立全方位的国家信息安全保障体系提供服务。通过风险评估可以有助于认清信息安全环境和信息安全状况，明确信息化建设中各级的责任，采取或完善更加经济有效的安全保障措施，保证信息安全策略的一致性和持续性，并进而服务于国家信息化发展，促进信息安全保障体系的建设，全面提高信息安全保障能力。其意义具体体现在于：风险评估是信息安全建设和管理的关键环节，它是需求主导和突出重点原则的具体体现，是分析确定风险的过程，加强风险评估工作是信息安全工作的客观需要。

国家信息安全风险评估政策文件和标准的即将出台与颁布将为我国信息安全风险评估工作的开展提供科学的政策和技术依据。相信在未来，我国信息安全风险评估的政策思路、标准规范、实践经验将会有进一步提升。

8.2公司自身的发展方向

就当前公司而言，最紧要的是对于信息安全风险评估资质的申请，和人员技术的培训。依托现有的省公司调度自动化处的合作，促进与新型能源企事业合作，大力开展光伏电站入网前的安全防护检查与检测，同时拓展到风电、水电和火电的并网后的定期检查。在这个方面，我司现在的业务水平尚有欠缺，技术方面还有不足。因此现在在面临这行业蓬勃发展的前提下，我们要在资质和技术上双管齐下。另外，在正式介入这个行业后，我们不能只局限于和电厂的合作，更应该面向整个社会，提高社会参与度。据河南同样类型的企业，其在2017年一月至2017年七月营业额同比增长200%。在当前情况下信息安全风险评估无疑是巨大的一块蛋糕。越来越多的企业都在信息化、网络化，意味着这块蛋糕的体积还在不断地增加。所以我们应该把握时机。充分利用已有的资源，抢占市场，占据优势地位。

第二篇：信息安全风险评估项目流程信息安全风险评估项目流程

一、售前方案阶段

1.1、工作说明

技术部配合项目销售经理（以下简称销售）根据客户需求制定项目解决方案，客户认可后，销售与客户签订合同协议，同时向技术部派发项目工单（项目实施使用）1.2、输出文档

《xxx项目xxx解决方案》

输出文档（电子版、纸质版）交付销售助理保管，电子版抄送技术部助理。

1.3、注意事项

销售需派发内部工单（售前技术支持）输出文档均一式三份（下同）

二、派发项目工单

2.1、工作说明

销售谈下项目后向技术部派发项目工单，技术部成立项目小组，指定项目实施经理和实施人员。

三、项目启动会议

3.1、工作说明

销售和项目经理与甲方召开项目启动会议，确定各自接口负责人。

要求甲方按合同范围提供《资产表》，确定扫描评估范围、人工评估范围和渗透测试范围。

请甲方给所有资产赋值（双方确认资产赋值）请甲方指定安全评估调查（访谈）人员3.2、输出文档

《xxx项目启动会议记要》

客户提交《信息资产表》、《网络拓扑图》，由项目小组暂时保管，以供项目实施使用3.3、注意事项

资产数量正负不超过15%；给资产编排序号，以方便事后检查。

给人工评估资产做标记，以方便事后检查。资产值是评估报告的重要数据。销售跟客户沟通，为项目小组提供信息资产表及拓扑图，以便项目小组分析制定项目计划使用。

四、项目前期准备

4.1、工作说明

准备项目实施ppt，人工评估原始文档（对象评估文档），扫描工具、渗透测试工具、保密协议和授权书

项目小组与销售根据项目内容和范围制定项目实施计划。

4.2、输出文档

《xxx项目实施ppt》《xxx项目人工访谈原始文档》《xxx项目保密协议》《xxx项目xxx授权书》4.3、注意事项

如无资产表和拓扑图需到现场调查后再制定项目实施计划和工作进度安排。

项目实施小组与客户约定进场时间。

保密协议和授权书均需双方负责人签字并加盖公章。保密协议需项目双方参与人员签字

五、驻场实施会议

5.1、工作说明

项目小组进场与甲方召开项目实施会议（项目实施ppt），确定评估对象和范围（主机、设备、应用、管理等）、实施周期（工作进度安排），双方各自提出自身要求，项目小组要求甲方提供办公场地、打印机、接入网络等项目必备环境。与甲方签订评估保密协议、授权书（漏洞扫描、人工评估、渗透测试等）。实施过程中需甲方人员陪同。

5.2、输出文档

《xxx项目驻场实施会议记要》5.3、注意事项

如前期未准备资产表与拓扑图，在此阶段项目小组进行调查（视情况是否另收费）。

六、现场实施阶段

6.1、工作说明

按照工作计划和被评估对象安排实施进度。主要工作内容漏洞扫描（主机、应用、数据库等）人工评估（主机、应用、数据库、设备等）渗透测试（主机、应用等）

项目实施经理做好会议记要和日报，项目实施成员保留所有原始文档并妥善存档。

现场实施部分完成后，双方召开阶段性总结会议（如甲方有需求可对项目实施过程中发现的问题进行简要总结，输出简要总结报告）

6.2、输出文档

《xxx项目xxx人工评估过程文档》《xxx项目xxx漏洞扫描过程文档》《xxx项目xxx渗透测试过程文档》《xxx项目工作日报》《xxx项目会议记要》6.3、注意事项

若遇到协调问题，双方负责人协调解决

实施过程中如出现计划外问题，以会议形式商讨解决日报需项目双方负责人签字确认

七、静态评估阶段

7.1、工作说明

与甲方商定评估报告输出周期和报告内容

项目小组依据评估结果分工进行报告输出、整理汇总，准备项目总结ppt和整改建议（如客户要求则输出整体加固解决方案），完成后提交公司项目质量评审小组审核，审核通过后提交客户。经客户认可后输出纸质文档。

7.2、输出文档

《xxx项目xxx人工评估报告》《xxx项目xxx漏洞扫描报告》《xxx项目xxx渗透测试报告》《xxx项目安全评估综合报告》

《xxx项目整改建议书（整体加固解决方案）》《xxx项目总结》（ppt）7.3、注意事项

依据公司文档标准化体系输出文档（电子版输出pdf格式）统计数据要求完整、准确无误；解决方案与销售讨论后输出文档。

项目实施人员对每份输出文档签字，预留甲方接口人员签字位。

八、评估阶段验收

8.1、工作说明

项目实施经理和销售与甲方召开项目验收会议，讲解项目实施中发现的风险、隐患和威胁，与客户讨论解决方法（视项目情况而定），双方验收项目成果（输出的报告），对输出报告签字确认，并签订项目验收成果书。客户如有需求，则对评估中发现的风险、隐患进行加固实施。

8.2、输出文档

《xxx项目验收成果书》《xxx项目会议记要》

九、安全加固实施

9.1、工作说明

安全加固参考安全加固项目流程9.2、输出文档

《xxx项目整体安全加固方案》《xxx项目xxx安全加固方案》《会议记要》《工作日报》9.3、注意事项

项目实施双方对加固过程文档（纸质）签字确认

十、安全加固验收

10.1、工作说明

针对已加固对象进行再次风险评估，输出评估结果报告。

10.2、输出文档

《xxx项目安全加固验收报告》10.3、注意事项

3、班组成员全员参与安全风险评估，人员对待态度不一致，班组推进过程中经常遇到不统一的声音。

燃化车间

2012年10月18日