信息安全风险评估

信息安全风险评估（精选6篇）

信息安全风险评估 第1篇

1、风险评估概述

1.1风险评估概念

信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。

1.2风险评估相关

资产，任何对组织有价值的事物。

威胁，指可能对资产或组织造成损害的事故的潜在原因。例如，组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。

脆弱点，是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思，使用简短易被猜测的口令、操作系统本身有安全漏洞等。

风险，特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害饿潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险评估，对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。风险评估也称为风险分析，就是确认安全风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的方法，去顶资产风险等级和优先控制顺序。

2、风险评估的发展现状

2.1信息安全风险评估在美国的发展

第一阶段（60-70年代）以计算机为对象的信息保密阶段

1067年11月到1970年2月，美国国防科学委员会委托兰德公司、迈特公司（MITIE）及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究，分析。作为第一次比较大规模的风险评估。特点：

仅重点针对了计算机系统的保密性问题提出要求，对安全的评估只限于保密性，且重点在于安全评估，对风险问题考虑不多。第二阶段（80-90年代）以计算机和网络为对象的信息系统安全保护阶段

评估对象多为产品，很少延拓至系统，婴儿在严格意义上扔不是全面的风险评估。

第三阶段（90年代末，21世纪初）以信息系统为对象的信息保障阶段

随着信息保障的研究的深入，保障对象明确为信息和信息系统；保障能力明确来源于技术、管理和人员三个方面；逐步形成了风险评估、自评估、认证认可的工作思路。2.2我国风险评估发展

● 2002年在863计划中首次规划了《系统安全风险分析和评估方法研究》课题

● 2003年8月至2010年在国信办直接指导下，组成了风险评估课题组

● 2004● 2005年，国家信息中心《风险评估指南》，《风险管理指南》 年全国风险评估试点

● 在试点和调研基础上，由国信办会同公安部，安全部，等起草了《关于开展信息安全风险评估工作的意见》征求意见稿

● 2006年，所有的部委和所有省市选择1-2单位开展本地风险评估试点工作

● 2015年，国家能源局根据《电力监控系统安全防护规定》（国家发展和改革委员会令2014年第14号）制定了《电力监控系统安全防护总体方案》（国能安全[2015]36号）等安全防护方案和评估方案，其中相关规定明确风险评估在电力系统中的需要

● 2017年7月，《中华人民共和国网络安全法》颁布，其中第二章第十七条“国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务”。明确了需要社会广泛参与服务。

3、风险评估要素关系模型

4、风险评估流程

● 确定资产评估范围 ● 资产的识别和影响 ● 威胁识别 ● 脆弱性评估 ● 威胁分析 ● 风险分析 ● 风险管理

5、风险评估原则

● 符合性原则 ● 标准性原则 ● 规范性原则

● 可控性原则 ● 保密性原则

● 整体性原则 ● 重点突出原则 ● 最小影响原则

6、评估依据的标准和规范

 GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》  《电力监控系统安全防护规定》（发改委14号令）

 《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》（国能安全[2015]36号）

 GB/T 18336-2001 《信息技术 安全技术 信息技术安全性评估准则》

 ISO/IEC 27001:2005《信息安全管理体系标准》

 GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》

 GB/T 22240-2008 《信息安全技术 信息系统安全等级保护定级指南》

 GB/T 25058-2010 《信息安全技术 信息系统安全等级保护实施指南》

 《电力行业信息安全等级保护基本要求》（电监信息[2012]62号） 《关于开展电力行业信息系统安全等级保护定级工作的通知》（电监信息[2007]34号）

 《电力行业信息系统等级保护定级工作指导意见》（电监信息[2007]44号）

7、风险评估的发展方向

8.1风险评估行业发展方向

从2003年7月至今，我国信息安全风险评估工作大致经历了三个阶段，即调查研究阶段、标准编制阶段和试点工作阶段。

历时两年、经过调查研究、标准编制和试点工作三个阶段，目前，我国信息安全风险评估工作已取得阶段性的成果，此间也是《关于开展信息安全风险评估工作的意见》政策文件，以及《信息安全风险评估指南》和《信息安全风险管理指南》两项标准历经酝酿、形成到不断完善的三个时期。

信息安全风险是人为或自然的威胁利用系统存在的脆弱性引发的安全事件，并由于受损信息资产的重要性而对机构造成的影响。而信息安全风险评估，则是指依据国家风险评估有关管理要求和技术标准，对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。通过对信息及信息系统的重要性、面临的威胁、其自身的脆弱性以及已采取安全措施有效性的分析，判断脆弱性被威胁源利用后可能发生的安全事件以及其所造成的负面影响程度来识别信息安全的安全风险。

信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制。没有准确及时的风险评估，将使得各个机构无法对其信息安全的状况做出准确的判断。所以，所谓安全的信息系统，实际是指信息系统在实施了风险评估并做出风险控制后，仍然存在可被接受的残余风险的信息系统。因此，需要运用信息安全风险评估的思想和规范，对信息系统展开全面、完整的信息安全风险评估。

信息安全风险评估在信息安全保障体系建设中具有不可替代的地位和重要作用。风险评估既是实施信息系统安全等级保护的前提，又是信息系统安全建设和安全管理的基础工作。通过风险评估，能及早发现和解决问题，防患于未然。当前，尤其迫切需要对我国信息化发展过程中形成的基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统进行持续的风险评估，随时掌握我国重要信息系统和基础信息网络的安全状态，及时采取有针对性的应对措施，为建立全方位的国家信息安全保障体系提供服务。通过风险评估可以有助于认清信息安全环境和信息安全状况，明确信息化建设中各级的责任，采取或完善更加经济有效的安全保障措施，保证信息安全策略的一致性和持续性，并进而服务于国家信息化发展，促进信息安全保障体系的建设，全面提高信息安全保障能力。其意义具体体现在于：风险评估是信息安全建设和管理的关键环节，它是需求主导和突出重点原则的具体体现，是分析确定风险的过程，加强风险评估工作是信息安全工作的客观需要。

国家信息安全风险评估政策文件和标准的即将出台与颁布将为我国信息安全风险评估工作的开展提供科学的政策和技术依据。相信在未来，我国信息安全风险评估的政策思路、标准规范、实践经验将会有进一步提升。

8.2公司自身的发展方向

就当前公司而言，最紧要的是对于信息安全风险评估资质的申请，和人员技术的培训。依托现有的省公司调度自动化处的合作，促进与新型能源企事业合作，大力开展光伏电站入网前的安全防护检查与检测，同时拓展到风电、水电和火电的并网后的定期检查。在这个方面，我司现在的业务水平尚有欠缺，技术方面还有不足。因此现在在面临这行业蓬勃发展的前提下，我们要在资质和技术上双管齐下。另外，在正式介入这个行业后，我们不能只局限于和电厂的合作，更应该面向整个社会，提高社会参与度。据河南同样类型的企业，其在2017年一月至2017年七月营业额同比增长200%。在当前情况下信息安全风险评估无疑是巨大的一块蛋糕。越来越多的企业都在信息化、网络化，意味着这块蛋糕的体积还在不断地增加。所以我们应该把握时机。充分利用已有的资源，抢占市场，占据优势地位。

信息安全风险评估 第2篇

一、售前方案阶段

1.1、工作说明

技术部配合项目销售经理（以下简称销售）根据客户需求制定项目解决方案，客户认可后，销售与客户签订合同协议，同时向技术部派发项目工单（项目实施使用）1.2、输出文档

《XXX项目XXX解决方案》

输出文档（电子版、纸质版）交付销售助理保管，电子版抄送技术部助理。1.3、注意事项

 销售需派发内部工单（售前技术支持） 输出文档均一式三份（下同）

二、派发项目工单

2.1、工作说明

销售谈下项目后向技术部派发项目工单，技术部成立项目小组，指定项目实施经理和实施人员。

三、项目启动会议

3.1、工作说明

 销售和项目经理与甲方召开项目启动会议，确定各自接口负责人。

 要求甲方按合同范围提供《资产表》，确定扫描评估范围、人工评估范围和渗透测试范围。

 请甲方给所有资产赋值（双方确认资产赋值） 请甲方指定安全评估调查（访谈）人员 3.2、输出文档

《XXX项目启动会议记要》

客户提交《信息资产表》、《网络拓扑图》，由项目小组暂时保管，以供项目实施使用 3.3、注意事项

 资产数量正负不超过15%；给资产编排序号，以方便事后检查。

 给人工评估资产做标记，以方便事后检查。 资产值是评估报告的重要数据。 销售跟客户沟通，为项目小组提供信息资产表及拓扑图，以便项目小组分析制定项目计划使用。

四、项目前期准备

4.1、工作说明

 准备项目实施PPT，人工评估原始文档（对象评估文档），扫描工具、渗透测试工具、保密协议和授权书

 项目小组与销售根据项目内容和范围制定项目实施计划。4.2、输出文档

《XXX项目实施PPT》 《XXX项目人工访谈原始文档》 《XXX项目保密协议》 《XXX项目XXX授权书》 4.3、注意事项

 如无资产表和拓扑图需到现场调查后再制定项目实施计划和工作进度安排。

 项目实施小组与客户约定进场时间。

 保密协议和授权书均需双方负责人签字并加盖公章。 保密协议需项目双方参与人员签字

五、驻场实施会议

5.1、工作说明

项目小组进场与甲方召开项目实施会议（项目实施PPT），确定评估对象和范围（主机、设备、应用、管理等）、实施周期（工作进度安排），双方各自提出自身要求，项目小组要求甲方提供办公场地、打印机、接入网络等项目必备环境。与甲方签订评估保密协议、授权书（漏洞扫描、人工评估、渗透测试等）。实施过程中需甲方人员陪同。

5.2、输出文档

《XXX项目驻场实施会议记要》 5.3、注意事项

如前期未准备资产表与拓扑图，在此阶段项目小组进行调查（视情况是否另收费）。

六、现场实施阶段

6.1、工作说明

 按照工作计划和被评估对象安排实施进度。 主要工作内容  漏洞扫描（主机、应用、数据库等） 人工评估（主机、应用、数据库、设备等） 渗透测试（主机、应用等）

 项目实施经理做好会议记要和日报，项目实施成员保留所有原始文档并妥善存档。

 现场实施部分完成后，双方召开阶段性总结会议（如甲方有需求可对项目实施过程中发现的问题进行简要总结，输出简要总结报告）

6.2、输出文档

《XXX项目XXX人工评估过程文档》 《XXX项目XXX漏洞扫描过程文档》 《XXX项目XXX渗透测试过程文档》 《XXX项目工作日报》 《XXX项目会议记要》 6.3、注意事项

 若遇到协调问题，双方负责人协调解决

 实施过程中如出现计划外问题，以会议形式商讨解决  日报需项目双方负责人签字确认

七、静态评估阶段

7.1、工作说明

 与甲方商定评估报告输出周期和报告内容

 项目小组依据评估结果分工进行报告输出、整理汇总，准备项目总结PPT和整改建议（如客户要求则输出整体加固解决方案），完成后提交公司项目质量评审小组审核，审核通过后提交客户。经客户认可后输出纸质文档。

7.2、输出文档

《XXX项目XXX人工评估报告》 《XXX项目XXX漏洞扫描报告》 《XXX项目XXX渗透测试报告》 《XXX项目安全评估综合报告》

《XXX项目整改建议书（整体加固解决方案）》 《XXX项目总结》（PPT）7.3、注意事项

 依据公司文档标准化体系输出文档（电子版输出PDF格式） 统计数据要求完整、准确无误；  解决方案与销售讨论后输出文档。

 项目实施人员对每份输出文档签字，预留甲方接口人员签字位。

八、评估阶段验收

8.1、工作说明

项目实施经理和销售与甲方召开项目验收会议，讲解项目实施中发现的风险、隐患和威胁，与客户讨论解决方法（视项目情况而定），双方验收项目成果（输出的报告），对输出报告签字确认，并签订项目验收成果书。客户如有需求，则对评估中发现的风险、隐患进行加固实施。8.2、输出文档

《XXX项目验收成果书》 《XXX项目会议记要》

九、安全加固实施

9.1、工作说明

安全加固参考安全加固项目流程 9.2、输出文档

《XXX项目整体安全加固方案》 《XXX项目XXX安全加固方案》 《会议记要》 《工作日报》 9.3、注意事项

项目实施双方对加固过程文档（纸质）签字确认

十、安全加固验收

10.1、工作说明

针对已加固对象进行再次风险评估，输出评估结果报告。10.2、输出文档

《XXX项目安全加固验收报告》 10.3、注意事项

项目双方对验收成果签字确认

十一、项目总结会议

对本次风险评估、安全加固过程中遇到的问题进行总结，并对遗留问题进行建议。

信息安全风险评估探讨 第3篇

1 企业信息安全的需求

企业往往会根据自身需求来确定所需要保护的信息资产的范围和这类资料的受保护程度,而这些需求,一般来源于如下方面:

1.1 企业自身的原则、目标和规定方面

企业从自身业务和经营管理的需求出发,必然会在信息技术方面提出一些卓有远见的方针、目标、原则和要求,以此明确自己的信息安全要求,确保企业支撑业务以及相关内容运作的信息处理活动的安全性。

1.2 企业在法律、法规方面

法律法规通常包括国际法律、国家法律、各部委和地方的规范性文件或者规章。企业只需要关注与自身相关的法律或规范性文件,尤其应重视与信息化和信息安全相关的部分,因为国家所规定的与企业信息安全相关的法律法规是企业必须遵循的强制性法规,企业应将此部分转化为企业的信息安全需求。此外,企业还要必须考虑到合作伙伴或者商业客户对企业提出的具体的信息安全要求,这些需求通常体现在合同约定、招标条件和安全承诺等内容上。

1.3 风险评估方面

我们通常将信息安全的风险评估作为确定企业安全需求最主要的途径之一,以风险评估内容与结果,企业确定最终对信息资产的保护程度、保护措施、控制方式。企业根据每种资产所面临的威胁、自身的弱点、以及潜在影响和发生的可能性等因素,可分析并确定具体的安全需求。

企业信息的安全评估是一个较为复杂的工作,主要是因为评估的因素是动态、不确定的,且往往是随机的,如何将被动、零散、无序地应对信息资产安全风险方式转变成主动、系统、连续有效地管理风险是企业最终需要重视的问题。而合适、合理进行风险评估与管理的设计与实施是一种十分有效的方式,因为风险评估是企业信息安全管理的基础。风险管理是围绕信息安全风险而展开的评估、处理和控制活动,风险评估是建立信息安全管理体系的前提,可见信息安全实质就是信息资产的风险管理的问题。基于风险评估结果,企业可以对当前的信息安全状况有一个系统且全面的掌握,并能从中找出潜在的安全风险问题,并对其进行合理分析,判断风险的严重性和影响程度,以此为基础确定自身在信息安全建设方面的需求。而BS7799在当前来讲是一套很好的安全管理与控制体系,其围绕风险评估从管理和技术两方面建立了一套完整、可实现的信息安全评估体系,十分适于企业安全管理。

BS7799是英国标准协会发布的一个关于信息安全管理的标准,由两个部分组成:分别为ISO17799和ISO27001标准。BS7799标准明确了企业所有选择控制目标和控制的举动,都应该根据由风险评估而导出的真实需求来实施。其中,ISO27001是建立信息安全管理系统(ISMS)的一套需求规范,规范包括信息安全、安全技术、信息安全管理、以及安全需求等,在此规范中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。而ISO27001:2005则指导相关人员如何应用ISO17799。

信息安全管理体系(ISMS)是企业整体管理体系中的重要部分,它是企业在整体或特定范围内所应建立的信息安全方针和目标以及完成这些目标所用方法的体系与结构。ISMS要求企业在其整体商业活动中,在风险环境下建立、实施、运作、监视、评审ISMS、维护和信息安全改进等一系列管理以及与之对应的活动,并最终转化为企业自身组织结构、策略方针、目标与原则、计划活动、过程与方法、人员与责任、资源应用等具体环节与要素的集合。

ISO27001建立和维护信息安全管理体系的标准,它通过如下过程来建立ISMS框架:首先确定企业自身安全体系范围;其次以安全范围制定其信息安全策略,明确管理职责;最后通过风险评估确定控制目标和控制方式,并确定与实现。企业的安全管理与防护是个动态系统,安全体系一旦建立完成,企业仍需要不断在实施、维护和持续改进ISMS,以确保安全体系有效安全的运作。在ISO27001体系中信息安全文件化的管理与实现工作,是一个十分重要的部分,ISMS的文件体系通常包括企业安全策略、选择与未选择的控制目标和控制措施、实施安全控制所需的文件、ISMS管理和操作规范与程序、企业围绕ISMS开展的所有活动的相关材料。与以往技术为主的安全体系不同,ISO27001:2005提出的信息安全管理体系是一个系统化、文档化和程式化(我们也可以称之为流程化)的管理体系,技术措施将只是作为依据安全需求有选择有侧重地实现安全目标的手段而非全部。ISO 27001:2005标准指出ISMS所包含的内容:用于企业信息资产风险管理、确保企业信息安全的包括为制定、实施、评审和维护信息安全策略所需的企业机构、目标、职责、程序、过程和资源。ISO27001:2005标准要求建立ISMS框架的过程:制定信息安全策略,确定体系范围,明确管理职责,通过风险评估确定控制目标和控制方式。体系一旦建立,企业应该实施、维护和持续改进ISMS,保持体系的有效性。

如图1所示,描述了企业信息安全中关于风险及相关要素之间的关系,这种关系将是企业进行信息安全风险管理的理论基础与评估出发点。

2 风险评估流程

企业在实施风险评估时,通常由能够代表各个相关单位和部门的人员组建一个风险评估小组,以期各自负责与本部门相关的风险评估事务,并且能共同讨论一些共性问题。风险评估小组将指定一个能控制全局的人担任组长,负责风险评估事务以及各组员间的协调。在风险评估前,评估小组及相关人员应接受必要的培训,以熟悉企业运作的流程、安全需求,并且理解信息安全管理基本知识,掌握风险评估的方法和技巧。一个完整的风险评估活动,通常包括:

(1)前期沟通。前期调研,了解安全需求;

(2)启动风险评估项目。明确安全评估的目标和范围;

(3)项目计划。对企业运行的环境进行描述,确定各项安全评估指标,建立评估小组,人员培训,并提供必须的各类支持资源,确定适用的表格、问卷等,制定项目计划;

(4)资产评估。信息资产的标识与关键信息资产评估;

(5)威胁评估。识别威胁,衡量威胁的可发性与来源;

(6)弱点评估。识别各类信息资产以及各控制流程与管理中的弱点,衡量弱点的严重度;

(7)风险评估。进行风险场景描述,划分风险等级,评价风险,编写风险评估报告;

(8)风险处理。推荐、评估并确定控制目标和控制,编制风险处理计划。这些活动具有紧密的前后关联性,前一个节点的输出是下一个节点的输入,这种关系如图2所示:

对企业来说,事先选择适合的风险评估方法是非常重要的,这也是ISO27001标准所要求的(标准本身并没有规定具体的风险评估方法)。传统的风险评估方法主要是定量和定性两种,对ISO27001认证项目来说,选择定性方法应该是更简便有效的。实施者因为所处行业的特点,通常会选择一些带有很强行业特色的风险评估方法,比如很多与汽车配件生产相关的半导体制造企业,因为在实施ISO/TS 16949以及QS 9000质量管理体系时会采用FMEA(Failure Modes and Effects Analysis,失效模式和后果分析)方法,只需要将一些专业术语映射到信息安全领域,就很容易移植过来使用。

3 风险分析方法

故障树分析法是一种演绎的风险分析法,其将系统总的风险状况作为树顶。通过分析造成安全风险事件的各种可能原因,以及彼此间的关系,绘制出故障树图。企业或评估机构将根据该逻辑关系图,以期确定安全事件所发生的概率和原因。并以此为依据,分析安全风险事件发生结果,确定被分析系统的薄弱环节、关键部位、应采取的措施、对安全性实验的要求等。

故障树分析法适用于BS7799标准的实例化操作,本文对BS7799标准层次结构采用故障树方法进行了构建,各层彼此之间的逻辑关系如图3所示:

4 结束语

本文在分析BS7799标准的特点的基础上,分析了其风险管理各要素间的关系,并定义了一种风险评估的基本流程,在此基础上构建了一种适于企业的风险分析法。本分析方法基于BS7799工作,丰富了国内风险评估体系。

摘要：文章对企业信息安全需求进行了分析,通过对信息安全管理标准BS7799描述,分析了其风险管理各要素间的关系,并定义了一种风险评估的基本流程,在此基础上构建了一种适于企业的风险分析法。

关键词：风险评估,BS7799,风险分析方法

参考文献

[1]英国BS7799标准[S]I:SO17799:2005和ISO27001:2005.

[2]信息技术-安全技术-信息技术安全性评估准则(简称CC)[S]:ISO/IEC 15408-1999.

[3]GB/T 20271-2006信息安全技术[S].

[4]国际IT安全管理标准[S]I:SO/IEC TR 13335-1.

[5]美国安全系统工程能力成熟度模型:System Security Engineering Ca-pability Maturity Model 3.0[M].

[6]张立涛,应力,钱省三.信息安全风险评估中若干操作问题的研究[J].山东理工大学学报(自然科学版),2006(01):83-87.

信息安全风险评估综合分析 第4篇

关键词：信息安全；风险评估；脆弱性；威胁

1.引言

随着信息技术的飞速发展，关系国计民生的关键信息资源的规模越来越大，信息系统的复杂程度越来越高，保障信息资源、信息系统的安全是国民经济发展和信息化建设的需要。信息安全风险评估就是从风险管理角度，运用科学的分析方法和手段，系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以防范和化解风险，或者将残余风险控制在可接受的水平，从而最大限度地保障网络与信息安全。

2、网络信息安全的内容和主要因素分析

“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全，而从广义的角度考虑，还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。

网络信息安全具有如下6个特征：(1)保密性。即信息不泄露给非授权的个人或实体。(2)完整性。即信息未经授权不能被修改、破坏。(3)可用性。即能保证合法的用户正常访问相关的信息。(4)可控性。即信息的内容及传播过程能够被有效地合法控制。

(5)可审查性。即信息的使用过程都有相关的记录可供事后查询核对。网络信息安全的研究内容非常广泛，根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。

而通过有效的网络信息安全风险因素分析，就能够为此复杂问题的解决找到一个考虑问题的立足点，能够将复杂的问题量化，同时，也为能通过其他方法如人工智能网络方法解决问题提供依据和基础。

网络信息安全的风险因素主要有以下6大类：(1)自然界因素，如地震、火灾、风灾、水灾、雷电等；(2)社会因素，主要是人类社会的各种活动，如暴力、战争、盗窃等；(3)网络硬件的因素，如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响；(4)软件的因素，包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等；(5)人为的因素，主要包括网络信息使用者和参与者的各种行为带来的影响因素，如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等；(6)其他因素，包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。

3、安全风险评估方法

3.1定制个性化的评估方法

虽然已经有许多标准评估方法和流程，但在实践过程中，不应只是这些方法的套用和拷贝，而是以他们作为参考，根据企业的特点及安全风险评估的能力，进行“基因”重组，定制个性化的评估方法，使得评估服务具有可裁剪性和灵活性。评估種类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。

3.2安全整体框架的设计

风险评估的目的，不仅在于明确风险，更重要的是为管理风险提供基础和依据。作为评估直接输出，用于进行风险管理的安全整体框架。但是由于不同企业环境差异、需求差异，加上在操作层面可参考的模板很少，使得整体框架应用较少。但是，企业至少应该完成近期1～2年内框架，这样才能做到有律可依。

3.3多用户决策评估

不同层面的用户能看到不同的问题，要全面了解风险，必须进行多用户沟通评估。将评估过程作为多用户“决策”过程，对于了解风险、理解风险、管理风险、落实行动，具有极大的意义。事实证明，多用户参与的效果非常明显。多用户“决策”评估，也需要一个具体的流程和方法。

3.4敏感性分析

由于企业的系统越发复杂且互相关联，使得风险越来越隐蔽。要提高评估效果，必须进行深入关联分析，比如对一个老漏洞，不是简单地分析它的影响和解决措施，而是要推断出可能相关的其他技术和管理漏洞，找出病“根”，开出有效的“处方”。这需要强大的评估经验知识库支撑，同时要求评估者具有敏锐的分析能力。

3.5评估结果管理

安全风险评估的输出，不应是文档的堆砌，而是一套能够进行记录、管理的系统。它可能不是一个完整的风险管理系统，但至少是一个非常重要的可管理的风险表述系统。企业需要这样的评估管理系统，使用它来指导评估过程，管理评估结果，以便在管理层面提高评估效果。

4、风险评估的过程

4.1前期准备阶段

主要任务是明确评估目标，确定评估所涉及的业务范围，签署相关合同及协议，接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。

4.2中期现场阶段

编写测评方案，准备现场测试表、管理问卷，展开现场阶段的测试和调查研究阶段。

4.3后期评估阶段

撰写系统测试报告。进行补充调查研究，评估组依据系统测试报告和补充调研结果形成最终的系统风险评估报告。

5.风险评估的错误理解

(1)

不能把最终的系统风险评估报告认为是结果唯一。

(2)不能认为风险评估可以发现所有的安全问题。

(3)

不能认为风险评估可以一劳永逸的解决安全问题。

(4)不能认为风险评估就是漏洞扫描。

(5)不能认为风险评估就是IT部门的工作，与其它部门无关。

(6)

不能认为风险评估是对所有信息资产都进行评估。

6、结语

信息安全风险评估方法论文 第5篇

【关键词】信息安全;风险评估

1 企业信息安全风险评估概述

信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量。是针对威胁、脆弱点以及它可能导致的风险大小而评估的。

对信息安全进行风险分析和评估的目的就是：企业能知道信息系统中是否有安全隐患的存在，并估测这些风险将会造成的安全威胁与可能造成的损失，经过这些判断来决定修复或者对于安全信息系统的建立。

信息系统风险分析和评估能够有效的保护企业信息，但同时它也是一个较为复杂的过程，建立一个完善的信息安全风险评估需要具备相应的标准体系、技术体系、组织架构、业务体系同时也要遵循相关的法律法规。

2 企业信息安全风险评估的作用

信息安全风险评估是信息安全工作的基本保障措施之一。风险评估工作是预防为主方针的充分体现，它能够把信息化工作的安全控制关口前移，超前防范。

针对信息系统规划、设计、建设、运行、使用、维护等不同阶段实行不同的信息安全风险评估，这样能够在第一时间发现各种所存在的安全隐患，然后再运用科学的方法对风险进行分析，从而解决信息化过程中不同层次和阶段的安全问题。

在信息系统的规划设计阶段，信息安全风险评估工作的实行，可以使企业在充分考虑经营管理目标的条件下，对信息系统的各个结构进行完善从而满足企业业务发展和系统发展的安全需求，有效的避免事后的安全事故。

这种信息安全风险评估是必不可少的，它很好地体现了“预防为主”方针的具体体现，可以有效降低整个信息系统的总体拥有成本。信息安全风险评估作为整个信息安全保障体系建设的基础、它确保了信息系统安全、业务安全、数据安全的基础性、预防性工作。因此企业信息安全风险评估工作需要落到实处，从而促进其进一步又好又快发展。

信息安全风险评估管理办法 第6篇

第一章 总 则

第一条 为规范信息安全风险评估（以下简称“风险评估”）及其管理活动，保障信息系统安全，依据国家有关规定，结合本省实际，制定本办法。

第二条 本省行政区域内信息系统风险评估及其管理活动，适用本办法。

第三条 本办法所称信息系统，是指由计算机、信息网络及其配套的设施、设备构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。

本办法所称重要信息系统，是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统。

本办法所称风险评估，是指依据有关信息安全技术与管理标准，对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完整性和可用性等安全属性进行评价的活动。第四条 县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查。

跨省或者全国统一联网运行的重要信息系统的风险评估，可以由其行业管理部门统一组织实施。

涉密信息系统的风险评估，由国家保密部门按照有关法律、法规规定实施。第五条 风险评估分为自评估和检查评估两种形式。自评估由信息系统的建设、运营或者使用单位自主开展。检查评估由县以上信息化主管部门在本行政区域内依法开展，也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行，双方实行互备案制度。第二章 组织与实施

第六条 信息化主管部门应当定期发布本行政区域内重要信息系统目录，制定检查评估实施计划，并对重要信息系统管理技术人员开展相关培训。

第七条 江苏省信息安全测评中心为本省从事信息安全测评的专门机构，受省信息化主管部门委托，具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训，组织开展全省重要信息系统的外部安全测试。第八条 信息系统的建设、运营或者使用单位可以依托本单位技术力量，或者委托符合条件的风险评估服务机构进行自评估。

第九条 重要信息系统新建、扩建或者改建的，在设计、验收、运行维护阶段，均应当进行自评估。重要信息系统废弃、发生重大变更或者安全状况发生重大变化的，应当及时进行自评估。

第十条 本省行政区域内信息系统应当定期开展风险评估，其中重要信息系统应当至少每三年进行一次自评估或检查评估。在规定期限内已进行检查评估的重要信息系统，可以不再进行自评估。

第十一条 县以上信息化主管部门委托符合条件的风险评估服务机构，对本行政区域内重要信息系统实施检查评估。第十二条信息系统的建设、运营或使用单位委托风险评估服务机构开展自评估,应当签订风险评估协议；信息化主管部门委托开展检查评估，受委托的风险评估服务机构应当与被评估单位签订风险评估协议。

对于评估活动可能影响信息系统正常运行的，风险评估服务机构应当事先告知被评估单位，并协助其采取相应的预防措施。

第十三条 风险评估应当出具评估报告。评估报告应当包括评估范围、内容、依据、结论和整改建议等。

风险评估服务机构出具的自评估报告，应当经被评估单位认可，并经双方部门负责人签署后生效。

风险评估服务机构出具的检查评估报告，应当报委托其开展评估的主管部门审定；主管部门应当自收到评估报告之日起10个工作日内，将审定结果和整改意见告知被评估单位。第十四条 自评估单位应当根据自评估报告进行整改，并自报告生效之日起30日内，将自评估情况和整改方案报本级信息化主管部门备案。

接受检查评估的单位应当自收到检查评估报告之日起30日内，根据整改建议提出整改方案、明确整改时限，报本级信息化主管部门备案。

受委托进行风险评估的服务机构应当指导被评估单位开展整改，并对整改措施的有效性进行验证。第十五条 信息化主管部门应当定期公布已开展自评估、检查评估单位备案名单，督促未备案单位开展自评估。

第十六条 未发生重大变更的重要信息系统再次进行风险评估的，可以参考前次评估结果，重点评估以下内容：

（一）前次风险评估发现的主要问题及整改情况；

（二）核心网络设备、服务器、安全防护设施、应用软件等系统关键部位发生局部变更后，可能出现的安全隐患；

（三）新的信息技术可能对信息系统安全造成的影响；

（四）其他需要重点评估的内容。第三章 风险评估机构

第十七条 在本省行政区域内从事自评估服务的社会机构，应当具备下列条件，并报经其所在地省辖市信息化主管部门备案：

（一）依法在中国境内注册成立并在本省设有机构，由中国公民、法人投资或者由其它组织投资；

（二）从事信息安全检测、评估相关业务两年以上，无违法记录；

（三）专业评估人员不少于10人且均为中国公民，接受并通过相关培训考核，无违法记录；其中主要评估人员2人以上，具有由国家权威机构认定的或由其它机构认定的相当水平的信息安全服务资格，具备独立实施风险评估的技术能力;

（四）评估使用的技术装备、设施符合国家信息安全产品要求；

（五）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等内部管理制度；

（六）法律法规规定的其它条件。

第十八条 在本省从事检查评估的社会机构，除具备第十七条规定条件外，还应当同时具备下列条件，并经其所在地省辖市信息化主管部门审核后，报省信息化主管部门备案：

（一）具有国家权威机构认定的信息安全服务资质；

（二）评估人员不少于20人，其中主要评估人员4人以上，具有国家权威机构认定的或由其它机构认定的相当水平的信息安全服务资格。

第十九条 省辖市以上信息化主管部门应当自收到备案申请报告之日起10个工作日内，告知备案结果，并定期向社会公布本行政区域内风险评估服务机构备案名单，对其服务进行管理、监督。

第二十条 从事风险评估服务的机构，应当履行下列义务：

（一）遵守国家有关法律法规和技术标准，提供科学、安全、客观、公正的评估服务，保证评估的质量和效果；

（二）保守在评估活动中知悉的国家秘密、商业秘密和个人隐私，防范安全风险，不得私自占有、使用或向第三方泄露相关技术数据、业务资料等信息和资源；

（三）对服务人员进行安全保密教育，签订服务人员安全保密责任书，并负责检查落实。第四章 监督管理

第二十一条 违反本办法，有以下行为之一的，由信息化主管部门责令其限期改正，逾期不改正的，予以通报；对直接责任人员，由所在单位或上级主管部门视情给予行政处分：

（一）违反第九条、第十条规定，信息系统的建设、运营或者使用单位未按照规定开展自评估；重要信息系统的建设、运营或者使用单位不接受、不配合开展检查评估的；

（二）违反第十四条规定，自评估单位未按照规定将自评估情况和整改方案、接受检查评估单位未按照规定将整改方案报本级信息化主管部门备案的；

（三）违反第八条规定，信息系统的建设、运营或者使用单位委托不符合条件的机构进行风险评估，并造成不良后果的。第二十二条 违反本办法第十二条规定，风险评估服务机构未事先告知被评估单位、协助其采取预防措施的，由信息化主管部门责令限期改正，并给予警告；造成不良后果的，可视情暂停其备案1年，直至取消其备案。

第二十三条 违反本办法第二十条规定，风险评估服务机构未经许可向第三方提供被评估单位相关信息的，或者从事影响评估客观、公正的活动的，由信息化主管部门视情暂停其备案一年，直至取消其备案。造成被评估单位经济损失的，应予合理赔偿；从中不当获利的，应予退还；构成犯罪的，应依法追究其刑事责任。

第二十四条 信息化主管部门或其他有关部门工作人员有下列行为之一的，由其监察部门或上级主管部门视情对相关责任人员给予行政处分；构成犯罪的，依法追究刑事责任：

（一）利用职权索取、收受贿赂，或者玩忽职守、滥用职权的；

（二）泄露信息系统的运营、使用单位或者个人的有关信息、资料及数据文件的。第五章 附 则