信息安全風(fēng)險評價服務(wù)

1、1、風(fēng)險評估概述1.1 風(fēng)險評估概念信息安全風(fēng)險評估是參照風(fēng)險評估標(biāo)準(zhǔn)和管理規(guī)范，對信息系統(tǒng)的資產(chǎn)價值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護措施等進行分析，判斷安全事件發(fā)生的概率以及可能造成的損失，提出風(fēng)險管理措施的過程。當(dāng)風(fēng)險評估應(yīng)用于IT領(lǐng)域時，就是對信息安全的風(fēng)險評估。風(fēng)險評估從早期簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術(shù)操作，逐漸過渡到目前普遍采用國際標(biāo)準(zhǔn)的BS7799ISO17799國家標(biāo)準(zhǔn)信息系統(tǒng)安全等級評測準(zhǔn)則等方法，充分體現(xiàn)以資產(chǎn)為出發(fā)點、以威脅為觸發(fā)因素、以技術(shù)/管理/運行等方面存在的脆弱性為誘因的信息安全風(fēng)險評估綜合方法及操作模型。1.2 風(fēng)險評估相關(guān)資產(chǎn)，任何對組

2、織有價值的事物。威脅，指可能對資產(chǎn)或組織造成損害的事故的潛在原因。例如，組織的網(wǎng)絡(luò)系統(tǒng)可能受到來自計算機病毒和黑客攻擊的威脅。脆弱點，是指資產(chǎn)或資產(chǎn)組中能背威脅利用的弱點。如員工缺乏信息安全意思，使用簡短易被猜測的口令、操作系統(tǒng)本身有安全漏洞等。風(fēng)險，特定的威脅利用資產(chǎn)的一種或一組薄弱點，導(dǎo)致資產(chǎn)的丟失或損害餓潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。風(fēng)險評估，對信息和信息處理設(shè)施的威脅、影響和脆弱點及三者發(fā)生的可能性評估。風(fēng)險評估也稱為風(fēng)險分析，就是確認安全風(fēng)險及其大小的過程，即利用適當(dāng)?shù)娘L(fēng)險評估工具，包括定性和定量的方法，去頂資產(chǎn)風(fēng)險等級和優(yōu)先控制順序。2、風(fēng)險評估的發(fā)展現(xiàn)狀2.

3、1 信息安全風(fēng)險評估在美國的發(fā)展第一階段（60-70年代）以計算機為對象的信息保密階段1067年11月到1970年2月，美國國防科學(xué)委員會委托蘭德公司、邁特公司（MITIE）及其它和國防工業(yè)有關(guān)的一些公司對當(dāng)時的大型機、遠程終端進行了研究，分析。作為第一次比較大規(guī)模的風(fēng)險評估。特點：僅重點針對了計算機系統(tǒng)的保密性問題提出要求，對安全的評估只限于保密性，且重點在于安全評估，對風(fēng)險問題考慮不多。第二階段（80-90年代）以計算機和網(wǎng)絡(luò)為對象的信息系統(tǒng)安全保護階段評估對象多為產(chǎn)品，很少延拓至系統(tǒng)，嬰兒在嚴(yán)格意義上扔不是全面的風(fēng)險評估。第三階段（90年代末，21世紀(jì)初）以信息系統(tǒng)為對象的信息保障階段隨

4、著信息保障的研究的深入，保障對象明確為信息和信息系統(tǒng)；保障能力明確來源于技術(shù)、管理和人員三個方面；逐步形成了風(fēng)險評估、自評估、認證認可的工作思路。2.2 我國風(fēng)險評估發(fā)展 2002年在863計劃中首次規(guī)劃了系統(tǒng)安全風(fēng)險分析和評估方法研究課題 2003年8月至2010年在國信辦直接指導(dǎo)下，組成了風(fēng)險評估課題組 2004年，國家信息中心風(fēng)險評估指南，風(fēng)險管理指南 2005年全國風(fēng)險評估試點在試點和調(diào)研基礎(chǔ)上，由國信辦會同公安部，安全部，等起草了關(guān)于開展信息安全風(fēng)險評估工作的意見征求意見稿 2006年，所有的部委和所有省市選擇1-2單位開展本地風(fēng)險評估試點工作 2015年，國家能源局根據(jù)電力監(jiān)控系統(tǒng)

5、安全防護規(guī)定（國家發(fā)展和改革委員會令2014年第14號）制定了電力監(jiān)控系統(tǒng)安全防護總體方案（國能安全201536號）等安全防護方案和評估方案，其中相關(guān)規(guī)定明確風(fēng)險評估在電力系統(tǒng)中的需要 2017年7月，中華人民共和國網(wǎng)絡(luò)安全法頒布，其中第二章第十七條“國家推進網(wǎng)絡(luò)安全社會化服務(wù)體系建設(shè)，鼓勵有關(guān)企業(yè)、機構(gòu)開展網(wǎng)絡(luò)安全認證、檢測和風(fēng)險評估等安全服務(wù)”。明確了需要社會廣泛參與服務(wù)3、風(fēng)險評估要素關(guān)系模型業(yè)務(wù)戰(zhàn)略手4、風(fēng)險評估流程 確定資產(chǎn)評估范圍 資產(chǎn)的識別和影響 威脅識別 脆弱性評估 威脅分析 風(fēng)險分析 風(fēng)險管理5、風(fēng)險評估原則 符合性原則 標(biāo)準(zhǔn)性原則 規(guī)范性原則 可控性原則 保密性原則 整體性

6、原則 重點突出原則 最小影響原則6、評估依據(jù)的標(biāo)準(zhǔn)和規(guī)范GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范電力監(jiān)控系統(tǒng)安全防護規(guī)定（發(fā)改委14號令）關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)范的通知（國能安全201536號）GB/T18336-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則ISO/IEC27001:2005信息安全管理體系標(biāo)準(zhǔn)GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南GB/T25058-2010信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南電力行業(yè)信息安全等級保護基

7、本要求（電監(jiān)信息201262號）關(guān)于開展電力行業(yè)信息系統(tǒng)安全等級保護定級工作的通知（電監(jiān)信息200734號）電力行業(yè)信息系統(tǒng)等級保護定級工作指導(dǎo)意見（電監(jiān)信息200744號）7、風(fēng)險評估的發(fā)展方向8.1 風(fēng)險評估行業(yè)發(fā)展方向從2003年7月至今，我國信息安全風(fēng)險評估工作大致經(jīng)歷了三個階段，即調(diào)查研究階段、標(biāo)準(zhǔn)編制階段和試點工作階段。歷時兩年、經(jīng)過調(diào)查研究、標(biāo)準(zhǔn)編制和試點工作三個階段，目前,我國信息安全風(fēng)險評估工作已取得階段性的成果，此間也是關(guān)于開展信息安全風(fēng)險評估工作的意見政策文件，以及信息安全風(fēng)險評估指南和信息安全風(fēng)險管理指南兩項標(biāo)準(zhǔn)歷經(jīng)醞釀、形成到不斷完善的三個時期。信息安全風(fēng)險是人為或自

8、然的威脅利用系統(tǒng)存在的脆弱性引發(fā)的安全事件，并由于受損信息資產(chǎn)的重要性而對機構(gòu)造成的影響。而信息安全風(fēng)險評估，則是指依據(jù)國家風(fēng)險評估有關(guān)管理要求和技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其存儲、處理和傳輸?shù)男畔⒌臋C密性、完整性和可用性等安全屬性進行科學(xué)、公正的綜合評價的過程。通過對信息及信息系統(tǒng)的重要性、面臨的威脅、其自身的脆弱性以及已采取安全措施有效性的分析，判斷脆弱性被威脅源利用后可能發(fā)生的安全事件以及其所造成的負面影響程度來識別信息安全的安全風(fēng)險。價方法和決策機制。沒有準(zhǔn)確及時的風(fēng)險評估，將使得各個機構(gòu)無法對其信息安全的狀況做出準(zhǔn)確的判斷。所以，所謂安全的信息系統(tǒng)，實際是指信息系統(tǒng)在實施了風(fēng)險評估并做出

9、風(fēng)險控制后，仍然存在可被接受的殘余風(fēng)險的信息系統(tǒng)。因此，需要運用信息安全風(fēng)險評估的思想和規(guī)范，對信息系統(tǒng)展開全面、完整的信息安全風(fēng)險評估。信息安全風(fēng)險評估在信息安全保障體系建設(shè)中具有不可替代的地位和重要作用。風(fēng)險評估既是實施信息系統(tǒng)安全等級保護的前提，又是信息系統(tǒng)安全建設(shè)和安全管理的基礎(chǔ)工作。通過風(fēng)險評估，能及早發(fā)現(xiàn)和解決問題，防患于未然。當(dāng)前，尤其迫切需要對我國信息化發(fā)展過程中形成的基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)進行持續(xù)的風(fēng)險評估，隨時掌握我國重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)的安全狀態(tài)，及時采取有針對性的應(yīng)對措施，為建立全方位的國家信息安全保障體系提供服務(wù)。通過

10、風(fēng)險評估可以有助于認清信息安全環(huán)境和信息安全狀況，明確信息化建設(shè)中各級的責(zé)任，采取或完善更加經(jīng)濟有效的安全保障措施，保證信息安全策略的一致性和持續(xù)性，并進而服務(wù)于國家信息化發(fā)展，促進信息安全保障體系的建設(shè)，全面提高信息安全保障能力。其意義具體體現(xiàn)在于：風(fēng)險評估是信息安全建設(shè)和管理的關(guān)鍵環(huán)節(jié)，它是需求主導(dǎo)和突出重點原則的具體體現(xiàn)，是分析確定風(fēng)險的過程，加強風(fēng)險評估工作是信息安全工作的客觀需要。國家信息安全風(fēng)險評估政策文件和標(biāo)準(zhǔn)的即將出臺與頒布將為在未來，我國信息安全風(fēng)險評估的政策思路、標(biāo)準(zhǔn)規(guī)范、實踐經(jīng)驗將會有進一步提升。8.2 公司自身的發(fā)展方向就當(dāng)前公司而言，最緊要的是對于信息安全風(fēng)險評估資質(zhì)的申請，和人員技術(shù)的培訓(xùn)。依托現(xiàn)有的省公司調(diào)度自動化處的合作，促進與新型能源企事業(yè)合作，大力開展光伏電站入網(wǎng)前的安全防護檢查與檢測，同時拓展到風(fēng)電、水電和火電的并網(wǎng)后的定期檢查。在這個方面，我司現(xiàn)在的業(yè)務(wù)水平尚有欠缺，技術(shù)方面還有不足。因此現(xiàn)在在面臨這行業(yè)蓬勃發(fā)展的前提下，我們要在資質(zhì)和技術(shù)上雙管齊下。另外，在正式介入這個行業(yè)