【正文】 信息安全 風險 評 估 實 例 ? 本章概要： 之前介紹了信息安全風險評估的基本過程，本章以某信息系統(tǒng)為例詳細介紹信息安全風險評估的實施過程。依據 GB/T 20984— 2023《 信息安全技術 信息安全風險評估規(guī)范 》 和 信息安全風險評估的基本過程 ，將信息安全風險評估的實施過程分為評估準備、識別并評價資產、識別并評估威脅、識別并評估脆弱性、分析可能性和影響、風險計算、風險處理、編寫信息安全風險評估報告等階段。 本章目錄 1 評估準備 2 識別并評價資產 3 識別并評估威脅 4 識別并評估脆弱性 5 分析可能性和影響 6 風險計算 7 風險處理 8 編寫信息安全風險評估報告 上機實驗 1 評估準備 依據 GB/T 20984— 2023《 信息安全技術 信息安全風險評估規(guī)范 》 ，在風險評估實施前，應確定風險評估的目標，確定評估范圍，組建評估管理與實施團隊，進行系統(tǒng)調研，確定評估依據和方法，制定評估方案，獲得最高管理者的支持。 確定信息安全風險評估的目標 信息系統(tǒng)風險評估目標是通過風險評估，分析信息系統(tǒng)的安全狀況，全面了解和掌握信息系統(tǒng)面臨的安全風險，評估信息系統(tǒng)的風險，提出風險控制建議，為下一步完善管理制度以及今后的安全建設和風險管理提供第一手資料。 確定信息安全風險評估的范圍 既定的信息安全風險評估可能只針對組織全部資產的一個子集，評估范圍必須明確。本次評估的范圍包括該信息系統(tǒng)網絡、管理制度、使用或管理該信息系統(tǒng)的相關人員，以及由系統(tǒng)使用時所產生的文檔、數據。 組建適當的評估管理與實施團隊 組建由該單位領導、風險評估專家、技術專家，以及各管理層、業(yè)務部門的相關人員組成風險評估小組，同時明確規(guī)定每個成員的任務分工 。 進行系統(tǒng)調研 通過問卷調查、人員訪談、現場考察、核查表等形式，對信息系統(tǒng)的業(yè)務、組織結構、管理、技術等方面進行調查。問卷調查、人員訪談的方式使用了 《 調查表 》 ，調查了系統(tǒng)的管理、設備、人員管理的情況，現場考察、核查表的方式考察了設備的具體位置，核查了設備的實際配置等情況，得出有關信息系統(tǒng)的描述。 業(yè)務目標和業(yè)務特性 1．業(yè)務目標 信息系統(tǒng)主要負責數據的收集、技術處理以及預測分析，為相關部門提供決策和管理支持，向社會提供公益服務。 2．業(yè)務特性 通過對信息系統(tǒng)的業(yè)務目標的分析，歸納出以下業(yè)務特性： ⑴ 業(yè)務種類多，技術型工作與管理型工作并重； ⑵ 業(yè)務不可中斷性低； ⑶ 業(yè)務保密性要求低； ⑷ 業(yè)務基本不涉及現金流動； ⑸ 人員業(yè)務素質要求高。 管理特性 現有的規(guī)章制度原則性要求較多，可操作性較低，在信息安全管理方面偏重于技術。 網絡特性 信息系統(tǒng)的網絡拓撲結構圖如圖 81所示。 1 U U P S C h a m p i n ( 2 0 K W )服 務 器 區(qū)空 調I n t e r n e tP CP C防 火 墻 3S e c g a t e 3 6 0 0 F 3交 換 機 3C I S C O 2 9 5 0專 網交 換 機 2C I S C O 3 7 4 5內 部 網 絡網 絡 管 理交 換 機 1C A T A L Y S T 4 0 0 0防 火 墻 1S u p e r V 5 3 1 8路 由 器 1C I S C O 3 6 4 0路 由 器 2華 為 N E 4 0防 火 墻 2U T M 4 1 8 DP C 1 P C 2數 據服 務 器H P D L 3 8 0應 用 程 序服 務 器H P D L 3 8 0防 病 毒服 務 器M A C F E E 圖 81 網絡拓撲結構圖 評估依據 評估所遵循的依據如下： 1.《 信息安全技術 信息安全風險評估規(guī)范 》 （ GB/T 209842023） 2.《 信息技術 信息技術安全管理指南 》 （ GB/T 197152023） 3.《 信息技術 信息安全管理實用規(guī)則 》 （ GB/T 197162023） 2.《 信息安全等級保護管理辦法 》 （公通字 [2023]43號） 3.《 信息安全技術 信息系統(tǒng)安全管理要求 》 （ GB/T 202692023） 信息安全風險評估項目實施方案 項目組織機構 項目實施的組織機構如下 : 項目工程領導小組由受測機構主管信息安全的領導和評估機構領導共同組成。項目工程領導小組定期聽取項目工程管理小組匯報整個項目的進展情況和項目實施關鍵階段的成果；項目實施完畢之后，領導小組將根據整個項目的成果情況，批準并主持項目試點總結工作。 項目工程管理小組由評估雙方的項目負責人組成。主要職責是審核確認項目實施組制定的現場工作計劃，并監(jiān)督項目進展情況；主持階段成果匯報會議；做好協(xié)調工作，保證項目的順利執(zhí)行。 項目實施組由評估專家、評估工程師及受測機構的安全管理員、網絡管理員和應用系統(tǒng)分析員組成。主要職責是制定詳細項目實施計劃，根據實施計劃開展工作。 質量控制組由質量控制人員組成。主要負責對各個服務項目的實施情況進行質量控制和最終的驗收。 外聘專家組由有經驗的專家組成。主要負責對項目的方案分析、實施、步驟、關鍵問題的解決及新技術的應用提供思路、指導和咨詢。 項目階段劃分 本次風險評估項目分項目準備、現狀調研、檢查與測試、分析評估及編制評估報告六個階段，各階段工作定義說明如下： 項目準備：項目實施前期工作，包括成立項目組，確定評估范圍，制定項目實施計劃，收集整理開發(fā)各種評估工具等。工作方式：研討會。工作成果： 《 項目組成員信息表 》 、《 評估范圍說明 》 、 《 評估實施計劃 》 。 現狀調研：通過訪談調查，收集評估對象信息。工作方式：訪談、問卷調查。工作成果： 《 各種系統(tǒng)資料記錄表單 》 。 檢查與測試：手工或工具檢查及測試。進行資產分析、威脅分析和脆弱性掃描。工作方式：訪談、問卷調查、測試、研討會。工作成果： 《 資產評估報告 》 、 《 威脅評估報告 》 、《 脆弱性評估報告 》 。 ID 任務名稱 開始時間 完成時間 持續(xù)時間 2023年 5月 2023年 6月 56 513 520