信息安全風(fēng)險評價服務(wù)

1、1、風(fēng)1.1 風(fēng)險評估概念信息平安風(fēng)險評估是參照風(fēng)險評估標(biāo)準(zhǔn)和治理標(biāo)準(zhǔn),對信息系統(tǒng)的資產(chǎn) 價值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護舉措等進行分析,判斷平安事件 發(fā)生的概率以及可能造成的損失,提出風(fēng)險治理舉措的過程.當(dāng)風(fēng)險評估應(yīng) 用于IT領(lǐng)域時,就是對信息平安的風(fēng)險評估.風(fēng)險評估從早期簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術(shù)操作,逐漸過渡到目前普 遍采用國際標(biāo)準(zhǔn)的BS7799 ISO17799國家標(biāo)準(zhǔn)?信息系統(tǒng)平安等級評測準(zhǔn) 那么?等方法,充分表達(dá)以資產(chǎn)為出發(fā)點、以威脅為觸發(fā)因素、以技術(shù)/治理/運行等方面存在的脆弱性為誘因的信息平安風(fēng)險評估綜合方法及操作模型.1.2 風(fēng)險評估相關(guān)資產(chǎn),

2、任何對組織有價值的事物.威脅,指可能對資產(chǎn)或組織造成損害的事故的潛在原因.例如,組織的 網(wǎng)絡(luò)系統(tǒng)可能受到來自計算機病毒和黑客攻擊的威脅.脆弱點,是指資產(chǎn)或資產(chǎn)組中能背威脅利用的弱點.如員工缺乏信息安 全意思,使用簡短易被猜想的口令、操作系統(tǒng)本身有平安漏洞等.風(fēng)險,特定的威脅利用資產(chǎn)的一種或一組薄弱點,導(dǎo)致資產(chǎn)的喪失或損 害餓潛在可能性,即特定威脅事件發(fā)生的可能性與后果的結(jié)合.風(fēng)險評估,對信息和信息處理設(shè)施的威脅、影響和脆弱點及三者發(fā)生的可能性評 估.風(fēng)險評估也稱為風(fēng)險分析,就是確認(rèn)平安風(fēng)險及其大小的過程,即利用 適當(dāng)?shù)娘L(fēng)險評估工具,包括定性和定量的方法,去頂資產(chǎn)風(fēng)險等級和優(yōu)先控制順序.2、風(fēng)險

3、評估的開展現(xiàn)狀2.1 信息平安風(fēng)險評估在美國的開展第一階段60-70年代以計算機為對象的信息保密階段1067年11月到1970年2月,美國國防科學(xué)委員會委托蘭德公司、 邁特 公司MITIE及其它和國防工業(yè)有關(guān)的一些公司對當(dāng)時的大型機、遠(yuǎn)程終 端進行了研究,分析.作為第一次比擬大規(guī)模的風(fēng)險評估.特點：僅重點針對了計算機系統(tǒng)的保密性問題提出要求,對平安的評估只限于保密性,且重點在于平安評估,對風(fēng)險問題考慮不多.第二階段80-90年代以計算機和網(wǎng)絡(luò)為對象的信息系統(tǒng)平安保護階段評估對象多為產(chǎn)品,很少延拓至系統(tǒng),嬰兒在嚴(yán)格意義上扔不是全面的 風(fēng)險評估.第三階段90年代末,21世紀(jì)初以信息系統(tǒng)為對象的信息

4、保證階段隨著信息保證的研究的深入,保證對象明確為信息和信息系統(tǒng)；保證能 力明確來源于技術(shù)、治理和人員三個方面；逐步形成了風(fēng)險評估、自評估、 認(rèn)證認(rèn)可的工作思路.2.2 我國風(fēng)險評估開展 2022年在863方案中首次規(guī)劃了?系統(tǒng)平安風(fēng)險分析和評估方法研究? 課題 2022年8月至2022年在國信辦直接指導(dǎo)下,組成了風(fēng)險評估課題組 2022年,國家信息中央?風(fēng)險評估指南?,?風(fēng)險治理指南? 2022年全國風(fēng)險評估試點 在試點和調(diào)研根底上,由國信辦會同公安部,平安部,等起草了?關(guān)于開展信息平安風(fēng)險評估工作的意見?征求意見稿 2022年,所有的部委和所有省市選擇1-2單位開展本地風(fēng)險評估試點工 作 2

5、022年,國家能源局根據(jù)?電力監(jiān)控系統(tǒng)平安防護規(guī)定?國家開展和改革委員會令2022年第14號制定了?電力監(jiān)控系統(tǒng)平安防護總體方案?國 能平安202236號等平安防護方案和評估方案,其中相關(guān)規(guī)定明確風(fēng)險評 估在電力系統(tǒng)中的需要 2022年7月,?中華人民共和國網(wǎng)絡(luò)平安法?公布,其中第二章第十七條 “國家推進網(wǎng)絡(luò)平安社會化效勞體系建設(shè),鼓勵有關(guān)企業(yè)、機構(gòu)開展網(wǎng)絡(luò)安全認(rèn)證、檢測和風(fēng)險評估等平安效勞.明確了需要社會廣泛參與效勞.3、風(fēng)險評估要素關(guān)系模型4、風(fēng)險評估流程 確定資產(chǎn)評估范圍 資產(chǎn)的識別和影響 威脅識別 脆弱性評估 威脅分析 風(fēng)險分析 風(fēng)險治理5、風(fēng)險評估原那么 符合性原那么 標(biāo)準(zhǔn)性原那么

6、標(biāo)準(zhǔn)性原那么 可控性原那么 保密性原那么 整體性原那么 重點突出原那么 最小影響原那么6、評估依據(jù)的標(biāo)準(zhǔn)和標(biāo)準(zhǔn)GB/T 20984-2022?信息平安技術(shù)？信息平安風(fēng)險評估標(biāo)準(zhǔn)?電力監(jiān)控系統(tǒng)平安防護規(guī)定?發(fā)改委14號令?關(guān)于印發(fā)電力監(jiān)控系統(tǒng)平安防護總體方案等平安防護方案和評估標(biāo)準(zhǔn)的通知?國能平安202236號GB/T 18336-2001?信息技術(shù) 平安技術(shù) 信息技術(shù)平安性評估準(zhǔn)那么?ISO/IEC 27001:2022?信息平安治理體系標(biāo)準(zhǔn)?GB/T 22239-2022?信息平安技術(shù)信息系統(tǒng)平安等級保護根本要求?GB/T 22240-2022?信息平安技術(shù)信息系統(tǒng)平安等級保護定級指南?GB

7、/T 25058-2022?信息平安技術(shù)信息系統(tǒng)平安等級保護實施指南?電力行業(yè)信息平安等級保護根本要求?電監(jiān)信息202262號?關(guān)于開展電力行業(yè)信息系統(tǒng)平安等級保護定級工作的通知?電監(jiān)信息202234 號?電力行業(yè)信息系統(tǒng)等級保護定級工作指導(dǎo)意見?電監(jiān)信息202244號7、風(fēng)險評估的開展方向8.1風(fēng)險評估行業(yè)開展方向從2022年7月至今,我國信息平安風(fēng)險評估工作大致經(jīng)歷了三個階段, 即調(diào)查研究階段、標(biāo)準(zhǔn)編制階段和試點工作階段.歷時兩年、經(jīng)過調(diào)查研究、標(biāo)準(zhǔn)編制和試點工作三個階段,目前,我國 信息平安風(fēng)險評估工作已取得階段性的成果,此間也是?關(guān)于開展信息平安 風(fēng)險評估工作的意見?政策文件,以及?信

8、息平安風(fēng)險評估指南?和?信息 平安風(fēng)險治理指南?兩項標(biāo)準(zhǔn)歷經(jīng)醞釀、形成到不斷完善的三個時期.信息平安風(fēng)險是人為或自然的威脅利用系統(tǒng)存在的脆弱性引發(fā)的平安 事件,并由于受損信息資產(chǎn)的重要性而對機構(gòu)造成的影響.而信息平安風(fēng)險 評估,那么是指依據(jù)國家風(fēng)險評估有關(guān)治理要求和技術(shù)標(biāo)準(zhǔn),對信息系統(tǒng)及由 其存儲、處理和傳輸?shù)男畔⒌臋C密性、完整性和可用性等平安屬性進行科學(xué)、 公正的綜合評價的過程.通過對信息及信息系統(tǒng)的重要性、面臨的威脅、其 自身的脆弱性以及已采取平安舉措有效性的分析,判斷脆弱性被威脅源利用后可能發(fā)生的平安事件以及其所造成的負(fù)面影響程度來識別信息平安的安 全風(fēng)險.信息平安風(fēng)險評估是信息平安保證

9、體系建立過程中的重要的評價方法 和決策機制.沒有準(zhǔn)確及時的風(fēng)險評估,將使得各個機構(gòu)無法對其信息平安 的狀況做出準(zhǔn)確的判斷.所以,所謂平安的信息系統(tǒng),實際是指信息系統(tǒng)在 實施了風(fēng)險評估并做出風(fēng)險限制后,仍然存在可被接受的剩余風(fēng)險的信息系 統(tǒng).因此,需要運用信息平安風(fēng)險評估的思想和標(biāo)準(zhǔn), 對信息系統(tǒng)展開全面、完整的信息平安風(fēng)險評估信息平安風(fēng)險評估在信息平安保證體系建設(shè)中具有不可替代的地位和 重要作用.風(fēng)險評估既是實施信息系統(tǒng)平安等級保護的前提,又是信息系統(tǒng) 平安建設(shè)和平安治理的根底工作.通過風(fēng)險評估,能及早發(fā)現(xiàn)和解決問題, 防患于未然.當(dāng)前,尤其迫切需要對我國信息化開展過程中形成的根底信息 網(wǎng)絡(luò)和

10、關(guān)系國家平安、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)進行持續(xù) 的風(fēng)險評估,隨時掌握我國重要信息系統(tǒng)和根底信息網(wǎng)絡(luò)的平安狀態(tài),及時 采取有針對性的應(yīng)對舉措,為建立全方位的國家信息平安保證體系提供服 務(wù).通過風(fēng)險評估可以有助于認(rèn)清信息平安環(huán)境和信息平安狀況,明確信息 化建設(shè)中各級的責(zé)任,采取或完善更加經(jīng)濟有效的平安保證舉措,保證信息 平安策略的一致性和持續(xù)性,并進而效勞于國家信息化開展,促進信息平安 保證體系的建設(shè),全面提升信息平安保證水平.其意義具體表達(dá)在于：風(fēng)險 評估是信息平安建設(shè)和治理的關(guān)鍵環(huán)節(jié),它是需求主導(dǎo)和突出重點原那么的具 體表達(dá),是分析確定風(fēng)險的過程,增強風(fēng)險評估工作是信息平安工作的

11、客觀 需要.國家信息平安風(fēng)險評估政策文件和標(biāo)準(zhǔn)的即將出臺與公布將為我國信 息平安風(fēng)險評估工作的開展提供科學(xué)的政策和技術(shù)依據(jù).相信在未來,我國 信息平安風(fēng)險評估的政策思路、標(biāo)準(zhǔn)標(biāo)準(zhǔn)、實踐經(jīng)驗將會有進一步提升. 8.2公司自身的開展方向就當(dāng)前公司而言,最緊要的是對于信息平安風(fēng)險評估資質(zhì)的申請,和人 員技術(shù)的培訓(xùn).依托現(xiàn)有的省公司調(diào)度自動化處的合作,促進與新型能源企 事業(yè)合作,大力開展光伏電站入網(wǎng)前的平安防護檢查與檢測,同時拓展到風(fēng)電、水電和火電的并網(wǎng)后的定期檢查.在這個方面,我司現(xiàn)在的業(yè)務(wù)水平尚 有欠缺,技術(shù)方面還有缺乏.因此現(xiàn)在在面臨這行業(yè)蓬勃開展的前提下,我 們要在資質(zhì)和技術(shù)上雙管齊下.另外,在正式介入這個