【正文】 信息安全 風(fēng)險 評 估 實 例 ? 本章概要： 之前介紹了信息安全風(fēng)險評估的基本過程，本章以某信息系統(tǒng)為例詳細(xì)介紹信息安全風(fēng)險評估的實施過程。依據(jù) GB/T 20984— 2023《 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范 》 和 信息安全風(fēng)險評估的基本過程 ，將信息安全風(fēng)險評估的實施過程分為評估準(zhǔn)備、識別并評價資產(chǎn)、識別并評估威脅、識別并評估脆弱性、分析可能性和影響、風(fēng)險計算、風(fēng)險處理、編寫信息安全風(fēng)險評估報告等階段。 本章目錄 1 評估準(zhǔn)備 2 識別并評價資產(chǎn) 3 識別并評估威脅 4 識別并評估脆弱性 5 分析可能性和影響 6 風(fēng)險計算 7 風(fēng)險處理 8 編寫信息安全風(fēng)險評估報告 上機實驗 1 評估準(zhǔn)備 依據(jù) GB/T 20984— 2023《 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范 》 ，在風(fēng)險評估實施前，應(yīng)確定風(fēng)險評估的目標(biāo)，確定評估范圍，組建評估管理與實施團(tuán)隊，進(jìn)行系統(tǒng)調(diào)研，確定評估依據(jù)和方法，制定評估方案，獲得最高管理者的支持。 確定信息安全風(fēng)險評估的目標(biāo) 信息系統(tǒng)風(fēng)險評估目標(biāo)是通過風(fēng)險評估，分析信息系統(tǒng)的安全狀況，全面了解和掌握信息系統(tǒng)面臨的安全風(fēng)險，評估信息系統(tǒng)的風(fēng)險，提出風(fēng)險控制建議，為下一步完善管理制度以及今后的安全建設(shè)和風(fēng)險管理提供第一手資料。 確定信息安全風(fēng)險評估的范圍 既定的信息安全風(fēng)險評估可能只針對組織全部資產(chǎn)的一個子集，評估范圍必須明確。本次評估的范圍包括該信息系統(tǒng)網(wǎng)絡(luò)、管理制度、使用或管理該信息系統(tǒng)的相關(guān)人員，以及由系統(tǒng)使用時所產(chǎn)生的文檔、數(shù)據(jù)。 組建適當(dāng)?shù)脑u估管理與實施團(tuán)隊 組建由該單位領(lǐng)導(dǎo)、風(fēng)險評估專家、技術(shù)專家，以及各管理層、業(yè)務(wù)部門的相關(guān)人員組成風(fēng)險評估小組，同時明確規(guī)定每個成員的任務(wù)分工 。 進(jìn)行系統(tǒng)調(diào)研 通過問卷調(diào)查、人員訪談、現(xiàn)場考察、核查表等形式，對信息系統(tǒng)的業(yè)務(wù)、組織結(jié)構(gòu)、管理、技術(shù)等方面進(jìn)行調(diào)查。問卷調(diào)查、人員訪談的方式使用了 《 調(diào)查表 》 ，調(diào)查了系統(tǒng)的管理、設(shè)備、人員管理的情況，現(xiàn)場考察、核查表的方式考察了設(shè)備的具體位置，核查了設(shè)備的實際配置等情況，得出有關(guān)信息系統(tǒng)的描述。 業(yè)務(wù)目標(biāo)和業(yè)務(wù)特性 1．業(yè)務(wù)目標(biāo) 信息系統(tǒng)主要負(fù)責(zé)數(shù)據(jù)的收集、技術(shù)處理以及預(yù)測分析，為相關(guān)部門提供決策和管理支持，向社會提供公益服務(wù)。 2．業(yè)務(wù)特性 通過對信息系統(tǒng)的業(yè)務(wù)目標(biāo)的分析，歸納出以下業(yè)務(wù)特性： ⑴ 業(yè)務(wù)種類多，技術(shù)型工作與管理型工作并重； ⑵ 業(yè)務(wù)不可中斷性低； ⑶ 業(yè)務(wù)保密性要求低； ⑷ 業(yè)務(wù)基本不涉及現(xiàn)金流動； ⑸ 人員業(yè)務(wù)素質(zhì)要求高。 管理特性 現(xiàn)有的規(guī)章制度原則性要求較多，可操作性較低，在信息安全管理方面偏重于技術(shù)。 網(wǎng)絡(luò)特性 信息系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖 81所示。 1 U U P S C h a m p i n ( 2 0 K W )服 務(wù) 器 區(qū)空 調(diào)I n t e r n e tP CP C防 火 墻 3S e c g a t e 3 6 0 0 F 3交 換 機 3C I S C O 2 9 5 0專 網(wǎng)交 換 機 2C I S C O 3 7 4 5內(nèi) 部 網(wǎng) 絡(luò)網(wǎng) 絡(luò) 管 理交 換 機 1C A T A L Y S T 4 0 0 0防 火 墻 1S u p e r V 5 3 1 8路 由 器 1C I S C O 3 6 4 0路 由 器 2華 為 N E 4 0防 火 墻 2U T M 4 1 8 DP C 1 P C 2數(shù) 據(jù)服 務(wù) 器H P D L 3 8 0應(yīng) 用 程 序服 務(wù) 器H P D L 3 8 0防 病 毒服 務(wù) 器M A C F E E 圖 81 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 評估依據(jù) 評估所遵循的依據(jù)如下： 1.《 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范 》 （ GB/T 209842023） 2.《 信息技術(shù) 信息技術(shù)安全管理指南 》 （ GB/T 197152023） 3.《 信息技術(shù) 信息安全管理實用規(guī)則 》 （ GB/T 197162023） 2.《 信息安全等級保護(hù)管理辦法 》 （公通字 [2023]43號） 3.《 信息安全技術(shù) 信息系統(tǒng)安全管理要求 》 （ GB/T 202692023） 信息安全風(fēng)險評估項目實施方案 項目組織機構(gòu) 項目實施的組織機構(gòu)如下 : 項目工程領(lǐng)導(dǎo)小組由受測機構(gòu)主管信息安全的領(lǐng)導(dǎo)和評估機構(gòu)領(lǐng)導(dǎo)共同組成。項目工程領(lǐng)導(dǎo)小組定期聽取項目工程管理小組匯報整個項目的進(jìn)展情況和項目實施關(guān)鍵階段的成果；項目實施完畢之后，領(lǐng)導(dǎo)小組將根據(jù)整個項目的成果情況，批準(zhǔn)并主持項目試點總結(jié)工作。 項目工程管理小組由評估雙方的項目負(fù)責(zé)人組成。主要職責(zé)是審核確認(rèn)項目實施組制定的現(xiàn)場工作計劃，并監(jiān)督項目進(jìn)展情況；主持階段成果匯報會議；做好協(xié)調(diào)工作，保證項目的順利執(zhí)行。 項目實施組由評估專家、評估工程師及受測機構(gòu)的安全管理員、網(wǎng)絡(luò)管理員和應(yīng)用系統(tǒng)分析員組成。主要職責(zé)是制定詳細(xì)項目實施計劃，根據(jù)實施計劃開展工作。 質(zhì)量控制組由質(zhì)量控制人員組成。主要負(fù)責(zé)對各個服務(wù)項目的實施情況進(jìn)行質(zhì)量控制和最終的驗收。 外聘專家組由有經(jīng)驗的專家組成。主要負(fù)責(zé)對項目的方案分析、實施、步驟、關(guān)鍵問題的解決及新技術(shù)的應(yīng)用提供思路、指導(dǎo)和咨詢。 項目階段劃分 本次風(fēng)險評估項目分項目準(zhǔn)備、現(xiàn)狀調(diào)研、檢查與測試、分析評估及編制評估報告六個階段，各階段工作定義說明如下： 項目準(zhǔn)備：項目實施前期工作，包括成立項目組，確定評估范圍，制定項目實施計劃，收集整理開發(fā)各種評估工具等。工作方式：研討會。工作成果： 《 項目組成員信息表 》 、《 評估范圍說明 》 、 《 評估實施計劃 》 。 現(xiàn)狀調(diào)研：通過訪談?wù){(diào)查，收集評估對象信息。工作方式：訪談、問卷調(diào)查。工作成果： 《 各種系統(tǒng)資料記錄表單 》 。 檢查與測試：手工或工具檢查及測試。進(jìn)行資產(chǎn)分析、威脅分析和脆弱性掃描。工作方式：訪談、問卷調(diào)查、測試、研討會。工作成果： 《 資產(chǎn)評估報告 》 、 《 威脅評估報告 》 、《 脆弱性評估報告 》 。 ID 任務(wù)名稱 開始時間 完成時間 持續(xù)時間 2023年 5月 2023年 6月 56 513 520