最新信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資料

1、1、風(fēng)險(xiǎn)評(píng)估概述1.1 風(fēng)險(xiǎn)評(píng)估概念 信息安全風(fēng)險(xiǎn)評(píng)估是參照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和管理規(guī)范， 對(duì)信息系統(tǒng) 的資產(chǎn)價(jià)值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護(hù)措施等進(jìn)行分析， 判斷安全事件發(fā)生的概率以及可能造成的損失， 提出風(fēng)險(xiǎn)管理措施的 過(guò)程。當(dāng)風(fēng)險(xiǎn)評(píng)估應(yīng)用于 IT 領(lǐng)域時(shí)，就是對(duì)信息安全的風(fēng)險(xiǎn)評(píng)估。 風(fēng)險(xiǎn)評(píng)估從早期簡(jiǎn)單的漏洞掃描、 人工審計(jì)、 滲透性測(cè)試這種類(lèi)型的 純技術(shù)操作，逐漸過(guò)渡到目前普遍采用國(guó)際標(biāo)準(zhǔn)的 BS7799、ISO17799、 國(guó)家標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)評(píng)測(cè)準(zhǔn)則等方法，充分體現(xiàn)以資產(chǎn)為 出發(fā)點(diǎn)、以威脅為觸發(fā)因素、 以技術(shù)/ 管理/ 運(yùn)行等方面存在的脆弱性 為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操

2、作模型。1.2 風(fēng)險(xiǎn)評(píng)估相關(guān) 資產(chǎn)，任何對(duì)組織有價(jià)值的事物。 威脅，指可能對(duì)資產(chǎn)或組織造成損害的事故的潛在原因。例如， 組織的網(wǎng)絡(luò)系統(tǒng)可能受到來(lái)自計(jì)算機(jī)病毒和黑客攻擊的威脅。脆弱點(diǎn)， 是指資產(chǎn)或資產(chǎn)組中能背威脅利用的弱點(diǎn)。 如員工缺乏 信息安全意思， 使用簡(jiǎn)短易被猜測(cè)的口令、 操作系統(tǒng)本身有安全漏洞 等。風(fēng)險(xiǎn)，特定的威脅利用資產(chǎn)的一種或一組薄弱點(diǎn)， 導(dǎo)致資產(chǎn)的丟 失或損害餓潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié) 合。 風(fēng)險(xiǎn)評(píng)估，對(duì)信息和信息處理設(shè)施的威脅、影響和脆弱點(diǎn) 及三者發(fā)生的可能性評(píng)估。風(fēng)險(xiǎn)評(píng)估也稱(chēng)為風(fēng)險(xiǎn)分析，就是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過(guò)程， 即利用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估工具， 包括定

3、性和定量的方法， 去頂資產(chǎn)風(fēng)險(xiǎn) 等級(jí)和優(yōu)先控制順序。2、風(fēng)險(xiǎn)評(píng)估的發(fā)展現(xiàn)狀2.1 信息安全風(fēng)險(xiǎn)評(píng)估在美國(guó)的發(fā)展第一階段（ 60-70 年代）以計(jì)算機(jī)為對(duì)象的信息保密階段1067年11月到 1970年2月，美國(guó)國(guó)防科學(xué)委員會(huì)委托蘭德公 司、邁特公司（MITIE）及其它和國(guó)防工業(yè)有關(guān)的一些公司對(duì)當(dāng)時(shí)的 大型機(jī)、遠(yuǎn)程終端進(jìn)行了研究，分析。作為第一次比較大規(guī)模的風(fēng)險(xiǎn) 評(píng)估。 特點(diǎn)：僅重點(diǎn)針對(duì)了計(jì)算機(jī)系統(tǒng)的保密性問(wèn)題提出要求， 對(duì)安全的評(píng)估 只限于保密性，且重點(diǎn)在于安全評(píng)估，對(duì)風(fēng)險(xiǎn)問(wèn)題考慮不多。 第二階段（ 80-90 年代）以計(jì)算機(jī)和網(wǎng)絡(luò)為對(duì)象的信息系統(tǒng)安全保護(hù) 階段評(píng)估對(duì)象多為產(chǎn)品， 很少延拓至系統(tǒng)

4、， 嬰兒在嚴(yán)格意義上扔不是 全面的風(fēng)險(xiǎn)評(píng)估。第三階段（ 90 年代末， 21 世紀(jì)初）以信息系統(tǒng)為對(duì)象的信息保障階 段隨著信息保障的研究的深入，保障對(duì)象明確為信息和信息系統(tǒng)； 保障能力明確來(lái)源于技術(shù)、 管理和人員三個(gè)方面； 逐步形成了風(fēng)險(xiǎn)評(píng) 估、自評(píng)估、認(rèn)證認(rèn)可的工作思路。2.2 我國(guó)風(fēng)險(xiǎn)評(píng)估發(fā)展 2002年在 863 計(jì)劃中首次規(guī)劃了系統(tǒng)安全風(fēng)險(xiǎn)分析和評(píng)估方法 研究課題 2003 年 8 月至 2010 年在國(guó)信辦直接指導(dǎo)下， 組成了風(fēng)險(xiǎn)評(píng)估課題 組 2004 年，國(guó)家信息中心風(fēng)險(xiǎn)評(píng)估指南 ，風(fēng)險(xiǎn)管理指南 2005 年全國(guó)風(fēng)險(xiǎn)評(píng)估試點(diǎn) 在試點(diǎn)和調(diào)研基礎(chǔ)上，由國(guó)信辦會(huì)同公安部，安全部，等起草了

5、關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)征求意見(jiàn)稿 2006 年，所有的部委和所有省市選擇 1-2 單位開(kāi)展本地風(fēng)險(xiǎn)評(píng)估 試點(diǎn)工作 2015 年，國(guó)家能源局根據(jù) 電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定 （國(guó)家發(fā) 展和改革委員會(huì)令 2014年第 14 號(hào)）制定了電力監(jiān)控系統(tǒng)安全防護(hù) 總體方案（國(guó)能安全 201536 號(hào)）等安全防護(hù)方案和評(píng)估方案，其 中相關(guān)規(guī)定明確風(fēng)險(xiǎn)評(píng)估在電力系統(tǒng)中的需要 2017 年 7 月，中華人民共和國(guó)網(wǎng)絡(luò)安全法頒布， 其中第二章第 十七條“國(guó)家推進(jìn)網(wǎng)絡(luò)安全社會(huì)化服務(wù)體系建設(shè)，鼓勵(lì)有關(guān)企業(yè)、機(jī) 構(gòu)開(kāi)展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)和風(fēng)險(xiǎn)評(píng)估等安全服務(wù)” 。明確了需要社 會(huì)廣泛參與服務(wù)。4、風(fēng)險(xiǎn)評(píng)估流程確

6、定資產(chǎn)評(píng)估范圍資產(chǎn)的識(shí)別和影響威脅識(shí)別脆弱性評(píng)估威脅分析風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)管理5、風(fēng)險(xiǎn)評(píng)估原則符合性原則標(biāo)準(zhǔn)性原則 規(guī)范性原則 可控性原則 保密性原則 整體性原則 重點(diǎn)突出原則 最小影響原則6、評(píng)估依據(jù)的標(biāo)準(zhǔn)和規(guī)范GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定 （發(fā)改委 14 號(hào)令）關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評(píng)估規(guī)范的通知（國(guó)能安全 201536 號(hào)）GB/T18336-2001 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn) 則ISO/IEC 27001:2005 信息安全管理體系標(biāo)準(zhǔn)GB/T22239-2008 信息安全技術(shù) 信息系

7、統(tǒng)安全等級(jí)保護(hù)基本要求GB/T22240-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南GB/T25058-2010 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指 南電力行業(yè)信息安全等級(jí)保護(hù)基本要求 （電監(jiān)信息 201262 號(hào)）關(guān)于開(kāi)展電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知 （電 監(jiān)信息 200734 號(hào)）電力行業(yè)信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見(jiàn) （電監(jiān)信息 200744 號(hào)）7、風(fēng)險(xiǎn)評(píng)估的發(fā)展方向8.1 風(fēng)險(xiǎn)評(píng)估行業(yè)發(fā)展方向從 2003 年 7 月至今，我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作大致經(jīng)歷了三 個(gè)階段，即調(diào)查研究階段、標(biāo)準(zhǔn)編制階段和試點(diǎn)工作階段。歷時(shí)兩年、經(jīng)過(guò)調(diào)查研究、 標(biāo)準(zhǔn)編制和試點(diǎn)工

8、作三個(gè)階段， 目前， 我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作已取得階段性的成果， 此間也是關(guān)于開(kāi) 展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)政策文件，以及信息安全風(fēng)險(xiǎn)評(píng) 估指南和信息安全風(fēng)險(xiǎn)管理指南兩項(xiàng)標(biāo)準(zhǔn)歷經(jīng)醞釀、形成到不 斷完善的三個(gè)時(shí)期。信息安全風(fēng)險(xiǎn)是人為或自然的威脅利用系統(tǒng)存在的脆弱性引發(fā) 的安全事件，并由于受損信息資產(chǎn)的重要性而對(duì)機(jī)構(gòu)造成的影響。 而 信息安全風(fēng)險(xiǎn)評(píng)估，則是指依據(jù)國(guó)家風(fēng)險(xiǎn)評(píng)估有關(guān)管理要求和技術(shù)標(biāo) 準(zhǔn)，對(duì)信息系統(tǒng)及由其存儲(chǔ)、處理和傳輸?shù)男畔⒌臋C(jī)密性、完整性和 可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評(píng)價(jià)的過(guò)程。通過(guò)對(duì)信息及 信息系統(tǒng)的重要性、面臨的威脅、其自身的脆弱性以及已采取安全措 施有效性的分析，

9、判斷脆弱性被威脅源利用后可能發(fā)生的安全事件以 及其所造成的負(fù)面影響程度來(lái)識(shí)別信息安全的安全風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障體系建立過(guò)程中的重要的評(píng) 價(jià)方法和決策機(jī)制。沒(méi)有準(zhǔn)確及時(shí)的風(fēng)險(xiǎn)評(píng)估，將使得各個(gè)機(jī)構(gòu)無(wú)法 對(duì)其信息安全的狀況做出準(zhǔn)確的判斷。所以，所謂安全的信息系統(tǒng)， 實(shí)際是指信息系統(tǒng)在實(shí)施了風(fēng)險(xiǎn)評(píng)估并做出風(fēng)險(xiǎn)控制后，仍然存在可被接受的殘余風(fēng)險(xiǎn)的信息系統(tǒng)。因此，需要運(yùn)用信息安全風(fēng)險(xiǎn)評(píng)估的 思想和規(guī)范，對(duì)信息系統(tǒng)展開(kāi)全面、完整的信息安全風(fēng)險(xiǎn)評(píng)估。信息安全風(fēng)險(xiǎn)評(píng)估在信息安全保障體系建設(shè)中具有不可替代的 地位和重要作用。風(fēng)險(xiǎn)評(píng)估既是實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)的前提， 又是信息系統(tǒng)安全建設(shè)和安全管

10、理的基礎(chǔ)工作。 通過(guò)風(fēng)險(xiǎn)評(píng)估，能及 早發(fā)現(xiàn)和解決問(wèn)題，防患于未然。當(dāng)前，尤其迫切需要對(duì)我國(guó)信息化 發(fā)展過(guò)程中形成的基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)進(jìn)行持續(xù)的風(fēng)險(xiǎn)評(píng)估，隨時(shí)掌握我國(guó)重要信 息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)的安全狀態(tài)，及時(shí)采取有針對(duì)性的應(yīng)對(duì)措施， 為建立全方位的國(guó)家信息安全保障體系提供服務(wù)。 通過(guò)風(fēng)險(xiǎn)評(píng)估可以 有助于認(rèn)清信息安全環(huán)境和信息安全狀況，明確信息化建設(shè)中各級(jí)的 責(zé)任，采取或完善更加經(jīng)濟(jì)有效的安全保障措施， 保證信息安全策略 的一致性和持續(xù)性， 并進(jìn)而服務(wù)于國(guó)家信息化發(fā)展， 促進(jìn)信息安全保 障體系的建設(shè)，全面提高信息安全保障能力。其意義具體體現(xiàn)在于：

11、風(fēng)險(xiǎn)評(píng)估是信息安全建設(shè)和管理的關(guān)鍵環(huán)節(jié)， 它是需求主導(dǎo)和突出重 點(diǎn)原則的具體體現(xiàn)， 是分析確定風(fēng)險(xiǎn)的過(guò)程， 加強(qiáng)風(fēng)險(xiǎn)評(píng)估工作是信 息安全工作的客觀需要。國(guó)家信息安全風(fēng)險(xiǎn)評(píng)估政策文件和標(biāo)準(zhǔn)的即將出臺(tái)與頒布將為 我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作的開(kāi)展提供科學(xué)的政策和技術(shù)依據(jù)。 相信 在未來(lái)，我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估的政策思路、標(biāo)準(zhǔn)規(guī)范、實(shí)踐經(jīng)驗(yàn)將 會(huì)有進(jìn)一步提升。8.2 公司自身的發(fā)展方向 就當(dāng)前公司而言，最緊要的是對(duì)于信息安全風(fēng)險(xiǎn)評(píng)估資質(zhì)的申 請(qǐng)，和人員技術(shù)的培訓(xùn)。依托現(xiàn)有的省公司調(diào)度自動(dòng)化處的合作，促 進(jìn)與新型能源企事業(yè)合作， 大力開(kāi)展光伏電站入網(wǎng)前的安全防護(hù)檢查 與檢測(cè)，同時(shí)拓展到風(fēng)電、 水電和火電的并網(wǎng)后的定期檢查。在這個(gè) 方面，我司現(xiàn)在的業(yè)務(wù)水平尚有欠缺，技術(shù)方面還有不足。因此現(xiàn)在 在面臨這行業(yè)蓬勃發(fā)展的前提下，我們要在資質(zhì)和技術(shù)上雙管齊下。 另外，在正式介入這