【文章內(nèi)容簡介】 估機構(gòu)實施的自評估活動。接受委托的評估機構(gòu)擁有風(fēng)險評估的專業(yè)人才，具有豐富的風(fēng)險評估經(jīng)驗，對風(fēng)險評估的共性了解得比較深入，風(fēng)險評估實施過程中評估過程規(guī)范、評估結(jié)果客觀。檢查評估由信息安全主管機關(guān)或業(yè)務(wù)主管機關(guān)發(fā)起，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)，在檢查關(guān)鍵領(lǐng)域、或關(guān)鍵點的信息安全風(fēng)險是否在可接受的范圍內(nèi)。鑒于檢查評估的性質(zhì)，在檢查評估實施之前，一般應(yīng)確定適用于整個評估工作的評估要求或規(guī)范，以適用于所有被評估單位。由于檢查評估是由信息安全主管機關(guān)或業(yè)務(wù)主管機關(guān)實施的，因此，其評估結(jié)果具有一定的權(quán)威性；但單次評估的檢查時間比較短，兩次評估的間隔時間比較長，很難對信息系統(tǒng)的整體風(fēng)險評估狀況做出完整的評價，只能就特定的關(guān)鍵點檢查被評估系統(tǒng)是否達到要求。此外，檢查評估符合要求并不表明系統(tǒng)的整體安全狀況已經(jīng)完全達到要求。檢查評估也可以委托風(fēng)險評估服務(wù)技術(shù)支持方實施，但評估結(jié)果僅對檢查評估的發(fā)起單位負(fù)責(zé)。由于檢查評估代表了主管機關(guān)，涉及評估對象也往往較多，因此，主管機關(guān)要對實施檢查評估機構(gòu)進行嚴(yán)格管理。檢查評估是在對自評估過程記錄與評估結(jié)果的基礎(chǔ)上，驗證和確認(rèn)系統(tǒng)存在的技術(shù)、管理、運行風(fēng)險，以及自評估后采取風(fēng)險控制措施取得的效果，對自評估的實施過程、風(fēng)險計算方法、評估結(jié)果等重要環(huán)節(jié)的科學(xué)合理性進行分析，并制定檢查列表。檢查評估一般覆蓋以下內(nèi)容：自評估方法的檢查；自評估過程記錄檢查；自評估結(jié)果跟蹤檢查；現(xiàn)有安全措施的檢查；系統(tǒng)輸入輸出控制的檢查；軟硬件維護制度及實施狀況的檢查；突發(fā)事件應(yīng)對措施的檢查；數(shù)據(jù)完整性保護措施的檢查；物理環(huán)境的檢查；審計追蹤的檢查。：模式實施主體客觀性復(fù)雜度周期保密性成本自評估依靠自身力量信息系統(tǒng)所有者主要依靠自身力量一般較低經(jīng)常性好低委托第三方機構(gòu)風(fēng)險評估服務(wù)技術(shù)支持方較強高非經(jīng)常性一般較高檢查評估主管部門+風(fēng)險評估服務(wù)技術(shù)支持方較強高非經(jīng)常性較好低風(fēng)險評估的角色一般分為主管部門、信息系統(tǒng)所有者、信息系統(tǒng)承建者、風(fēng)險評估服務(wù)技術(shù)支持方、專家組五類。1. 主管部門主管部門是指信息化主管部門和行業(yè)主管部門。主管部門負(fù)責(zé)制定風(fēng)險評估的政策、法規(guī)、標(biāo)準(zhǔn)，對重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)風(fēng)險評估的實施進行督促、檢查、指導(dǎo)；領(lǐng)導(dǎo)和組織風(fēng)險評估工作；基于信息系統(tǒng)的特征以及風(fēng)險評估的結(jié)果，判斷信息系統(tǒng)殘余風(fēng)險是否可接受，并確定是否批準(zhǔn)信息系統(tǒng)的投入運行；檢查信息系統(tǒng)運行中產(chǎn)生的安全狀態(tài)報告；定期或不定期地開展新的風(fēng)險評估工作。2. 信息系統(tǒng)所有者明確信息系統(tǒng)安全需求及目標(biāo)，組織實施風(fēng)險評估的自評估工作；配合風(fēng)險評估的檢查評估工作；向主管部門提出新一輪風(fēng)險評估的建議；改善信息安全防護措施，控制風(fēng)險。3. 信息系統(tǒng)承建者在風(fēng)險評估實施中，提供信息系統(tǒng)的建設(shè)工程的技術(shù)和質(zhì)量文檔，并提供相應(yīng)的技術(shù)支持。根據(jù)對信息系統(tǒng)建設(shè)方案的風(fēng)險評估結(jié)果，修訂建設(shè)方案，使建設(shè)方案成本合理、積極有效地控制風(fēng)險；規(guī)范建設(shè)，減少在建設(shè)階段引入新的風(fēng)險。4. 風(fēng)險評估服務(wù)技術(shù)支持方（評估機構(gòu)）風(fēng)險評估服務(wù)技術(shù)支持方應(yīng)具有專業(yè)的安全技術(shù)工作人員和項目管理人員，熟悉風(fēng)險評估工作機制和相關(guān)技術(shù)，具有提供獨立的風(fēng)險評估服務(wù)技術(shù)支持能力；完成對信息系統(tǒng)中潛在威脅、脆弱性、威脅產(chǎn)生的影響、風(fēng)險控制措施等進行評估，并判斷風(fēng)險控制措施的有效性及實現(xiàn)了這些措施后系統(tǒng)中存在的殘余風(fēng)險，給出調(diào)整建議，以減低風(fēng)險，避免引入新的風(fēng)險。為規(guī)范風(fēng)險評估市場，保障各單位風(fēng)險評估工作順利進行，信息化主管部門根據(jù)我市的實際情況選擇部分風(fēng)險評估服務(wù)技術(shù)支持方作為我市開展風(fēng)險評估活動的推薦單位，推薦單位名單將在信息化主管部門網(wǎng)站（）公布，并將根據(jù)風(fēng)險評估工作實施情況定期更新。5. 專家組專家組由在信息安全領(lǐng)域或行業(yè)應(yīng)用中具有權(quán)威技術(shù)水平的專家組成，負(fù)責(zé)在風(fēng)險評估中提供相應(yīng)的技術(shù)指導(dǎo)，對評估結(jié)果進行驗收確認(rèn)。不同形式的風(fēng)險評估活動，依據(jù)其評估發(fā)起者、評估方、被評估方等的角色不同，目的不同，其適用情況也有所不同。 說明了自評估和檢查評估兩類評估形式的特點、適用情況和各類角色。評估形式自評估檢查評估評估發(fā)起者信息系統(tǒng)所有者主管部門通常適用情況對自身的信息系統(tǒng)進行風(fēng)險的識別、評價，從而進一步選擇合適的控制措施，降低被評估信息系統(tǒng)的風(fēng)險，可納入整個組織安全管理體系的要求中。通常都是定期的、抽樣進行的評估模式，旨在檢查關(guān)鍵領(lǐng)域、或關(guān)鍵點的信息安全風(fēng)險是否在可接受的范圍內(nèi)。特點優(yōu)點：無論是信息系統(tǒng)所有者實施的自評估，還是由信息系統(tǒng)所有者委托評估機構(gòu)實施的自評估，都有利于發(fā)揮內(nèi)部人員的業(yè)務(wù)特長；提高組織的風(fēng)險評估技能與信息安全知識；加強信息系統(tǒng)相關(guān)人員的安全意識。缺點：信息系統(tǒng)所有者實施的自評估可能由于缺乏風(fēng)險評估的專業(yè)技能，其結(jié)果可能不深入，同時，受到機構(gòu)內(nèi)部各種不利因素的影響，自評估的結(jié)果可能損失一定的客觀性，從而降低評估結(jié)果的可信程度。優(yōu)點：由于檢查評估是由被評估方的主管部門實施的，因此，其評估結(jié)果具有一定的權(quán)威性。缺點：單次檢查評估的間隔時間比較長，檢查時間比較短，很難對信息系統(tǒng)的整體風(fēng)險狀況做出完整的評價，只能就特定的關(guān)鍵點檢查被評估系統(tǒng)是否達到要求。檢查評估符合要求也不表明系統(tǒng)的整體風(fēng)險狀況已經(jīng)達到要求。評估方信息系統(tǒng)所有者（自評估）風(fēng)險評估服務(wù)技術(shù)支持方（評估機構(gòu)）主管部門風(fēng)險評估服務(wù)技術(shù)支持方被評估方信息系統(tǒng)所有者信息系統(tǒng)所有者評估配合方信息系統(tǒng)所有者、信息系統(tǒng)承建者、專家組信息系統(tǒng)所有者、信息系統(tǒng)承建者、專家組 風(fēng)險評估形式中各角色的運用本工作指南針對自評估形式提出了風(fēng)險評估的基本工作程序，為開展相關(guān)活動的單位提供參考。 濟南市風(fēng)險評估工作程序1. 信息系統(tǒng)所有者編寫《風(fēng)險評估可行性報告》信息系統(tǒng)所有者在開展風(fēng)險評估工作前需要編寫《風(fēng)險評估可行性報告》，內(nèi)容包括：信息系統(tǒng)簡述、評估目標(biāo)、評估形式、評估所需資源、預(yù)算和期望目標(biāo)，最終做出項目可行性結(jié)論。2. 信息系統(tǒng)所有者向主管部門提出風(fēng)險評估申請信息系統(tǒng)所有者向主管部門提交《風(fēng)險評估可行性報告》，并提出風(fēng)險評估申請。3. 主管部門批復(fù)主管部門對信息系統(tǒng)所有者提交的《風(fēng)險評估可行性報告》進行審核并批復(fù)。必要時，可組織專家組和風(fēng)險評估服務(wù)技術(shù)支持方進行項目論證。4. 確定評估方式根據(jù)主管部門批復(fù)的確定風(fēng)險評估方式。選擇依托自身技術(shù)力量開展風(fēng)險評估時，由信息系統(tǒng)所有者依托自身技術(shù)力量組織開展風(fēng)險評估；選擇委托風(fēng)險評估服務(wù)技術(shù)支持方開展風(fēng)險評估時，將通過公開招標(biāo)或邀標(biāo)的方式選擇由信息化主管部門認(rèn)定的風(fēng)險評估服務(wù)技術(shù)支持方進行風(fēng)險評估。5. 合同及約束性文件的簽署如選擇委托風(fēng)險評估服務(wù)技術(shù)支持方開展風(fēng)險評估時，信息系統(tǒng)所有者組織成立與本系統(tǒng)相適應(yīng)的風(fēng)險評估小組，小組成員可包含：信息系統(tǒng)所有者、信息系統(tǒng)承建方、風(fēng)險評估服務(wù)技術(shù)支持方。信息系統(tǒng)所有者應(yīng)當(dāng)與此次風(fēng)險評估工作所涉及的機構(gòu)、個人簽署帶有約束性質(zhì)的保密協(xié)議，另外還需與風(fēng)險評估服務(wù)技術(shù)支持方簽訂風(fēng)險評估合同。6. 制定《風(fēng)險評估實施方案》在風(fēng)險評估項目實施之前，評估小組制定《風(fēng)險評估實施方案》。重點描述風(fēng)險評估的實施過程、操作步驟、評估內(nèi)容、評估工作計劃進度安排、各方面人員分工與配合、風(fēng)險評估實施成果階段性考核、風(fēng)險評估工作本身可能引入的風(fēng)險以及為降低該風(fēng)險將要采取的風(fēng)險規(guī)避措施等各方面內(nèi)容?！讹L(fēng)險評估實施方案》經(jīng)過論證后，必須通過信息系統(tǒng)所有者項目負(fù)責(zé)人書面授權(quán)批準(zhǔn)后，方可進行實施工作。7. 進入風(fēng)險評估實施過程實施過程中必須進行書面形式的記錄，內(nèi)容包括評估環(huán)境描述、操作的詳細(xì)過程記錄、問題簡要分析、相關(guān)測試數(shù)據(jù)保存等。敏感系統(tǒng)的測試，參加評估實施人員要求至少兩人以上，實施前必須制定風(fēng)險規(guī)避措施和應(yīng)急處理措施，且必須通過信息系統(tǒng)所有者項目負(fù)責(zé)人書面授權(quán)批準(zhǔn)。在整個風(fēng)險評估過程中產(chǎn)生的評估過程文檔和評估結(jié)果文檔，一般包括：《風(fēng)險評估計劃》、《風(fēng)險評估實施方案》、《資產(chǎn)清單》、《重要資產(chǎn)清單》、《威脅列表》、《脆弱性列表》、《風(fēng)險處理計劃》及《風(fēng)險評估報告》等。8. 項目驗收項目完成后由信息系統(tǒng)所有者向主管部門提出驗收申請，由主管部門組織專家組對風(fēng)險評估結(jié)果進行驗收，由信息系統(tǒng)所有者相關(guān)人員以及風(fēng)險評估小組成員參加，風(fēng)險評估小組向?qū)＜医M提供風(fēng)險評估工作相應(yīng)文檔并匯報風(fēng)險評估情況，介紹信息系統(tǒng)所面臨的風(fēng)險，清晰地表達所面臨的威脅狀況、威脅所利用的脆弱性、產(chǎn)生的影響等狀況，并在描述安全風(fēng)險之后所采取何種對策防范威脅、減少脆弱性，以及問題的輕重緩急程度，并最終形成項目驗收報告。9. 建立風(fēng)險評估工作長效機制項目驗收完成后，由信息系統(tǒng)所有者召開風(fēng)險評估工作總結(jié)會議（選擇委托評估方式進行風(fēng)險評估的，風(fēng)險評估服務(wù)技術(shù)支持方也需參加此次會議），建立風(fēng)險評估工作長效機制。第七章 風(fēng)險評估質(zhì)量控制為使評估項目更好的實施，成立評估質(zhì)量監(jiān)督小組非常有必要，一般來說監(jiān)督小組應(yīng)包含以下人員：領(lǐng)導(dǎo)小組：由信息系統(tǒng)所有者相關(guān)領(lǐng)導(dǎo)組成，對評估項目能夠有充分的重視，在項目進行中的關(guān)鍵環(huán)節(jié)做出決策，使項目的發(fā)展保持正確的方向。顧問組：由專家組人員組成，負(fù)責(zé)評估工具開發(fā)以及評估過程中的業(yè)務(wù)指導(dǎo)。風(fēng)險評估小組：由信息系統(tǒng)所有者、信息系統(tǒng)承建方、風(fēng)險評估服務(wù)技術(shù)支持方的相關(guān)人員組成，負(fù)責(zé)風(fēng)險評估項目的實施。一般信息系統(tǒng)所有者須指定以下人員：項目聯(lián)系人：負(fù)責(zé)與風(fēng)險評估服務(wù)技術(shù)支持方的聯(lián)系及相關(guān)文檔的保存工作；項目負(fù)責(zé)人：負(fù)責(zé)與領(lǐng)導(dǎo)小組、顧問組及風(fēng)險評估小組的聯(lián)系，并向信息系統(tǒng)所有者領(lǐng)導(dǎo)匯報風(fēng)險評估項目進展情況，以及相關(guān)協(xié)議、合同的起草工作；技術(shù)人員：信息系統(tǒng)的網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、安全管理員等相關(guān)人員，風(fēng)險評估項目所需問卷調(diào)查及訪淡工作；項目經(jīng)理：由風(fēng)險評估服務(wù)技術(shù)支持方指定，對整個風(fēng)險評估項目負(fù)責(zé)，并負(fù)責(zé)風(fēng)險評估項目前期宣貫培訓(xùn)及風(fēng)險評估文檔的起草工作。在風(fēng)險評估實施工作質(zhì)量保證活動中，關(guān)鍵的環(huán)節(jié)是進行各種評審活動。在項目進展中進行的各項管理評審和監(jiān)督是保證按時完成工作進度、確定并消除潛在問題的關(guān)鍵。加強項目評審可以及時發(fā)現(xiàn)已完成階段已經(jīng)出現(xiàn)或即將出現(xiàn)的變化、偏差和誤差等問題，并采取適當(dāng)?shù)拇胧┻M行控制和糾正，從而減少因此造成的風(fēng)險評估結(jié)果偏差和錯誤，保證實施過程和質(zhì)量的有效性。如果評審發(fā)現(xiàn)任何問題，必須制定出解決方案并跟蹤落實。在具體的實施中，可以按項目的進展情況，劃分出不同的階段來進行評審，以便于整個工程進度的控制。項目評審主要采用會議、討論等手段，檢驗風(fēng)險評估各個階段是否滿足該階段的要求，做出是否認(rèn)可的決定。即通過評審確保風(fēng)險評估各階段的適宜性、充分性和有效性，以符合業(yè)務(wù)的要求。評審是風(fēng)險評估質(zhì)量保證的重要步驟，評審可以貫穿于風(fēng)險評估活動的各個階段。評審由風(fēng)險評估小組內(nèi)部完成，對評審結(jié)果的認(rèn)定由信息系統(tǒng)所有者來執(zhí)行。另外，為加強評估工作的質(zhì)量控制，評估小組應(yīng)當(dāng)嚴(yán)格按《風(fēng)險評估實施方案》和《風(fēng)險評估計劃書》進行評估，并對所有的項目文件進行有效的控制和管理，以保證評估的正規(guī)化和規(guī)范化。由于風(fēng)險評估過程中將使用多種攻擊性工具，因此風(fēng)險評估可能對信息系統(tǒng)安全造成一定的潛在威脅，為了保證風(fēng)險評估工作的順利實施，切實有效地防止評估過程中意外事件發(fā)生，實現(xiàn)對意外事件的可持續(xù)控制，確保評估過程中信息系統(tǒng)的安全、穩(wěn)定運行和業(yè)務(wù)的連續(xù)性，順利完成風(fēng)險評估工作，在風(fēng)險評估中還應(yīng)當(dāng)制定應(yīng)急預(yù)案，并在預(yù)案中對系統(tǒng)風(fēng)險評估應(yīng)急響應(yīng)需求、原則、適用范圍、啟動條件、組織結(jié)構(gòu)及分工、應(yīng)急響應(yīng)流程等作詳細(xì)的定義和部署。對此需要采取相應(yīng)的控制措施減少風(fēng)險評估對業(yè)務(wù)造成的影響，一般包括：l 風(fēng)險評估實施前制定詳細(xì)實施計劃，計劃必須獲得風(fēng)險評估小組負(fù)責(zé)人批準(zhǔn)，并嚴(yán)格按照計劃執(zhí)行。l 對于項目中的任何變更，項目實施人員均要向風(fēng)險評估小組負(fù)責(zé)人提交書面的變更申請，風(fēng)險評估小組負(fù)責(zé)人需要對是否允許變更做出批示，并更新相關(guān)計劃。l 風(fēng)險評估實施前對重要數(shù)據(jù)，如：網(wǎng)絡(luò)系統(tǒng)關(guān)鍵設(shè)備配置、服務(wù)器系統(tǒng)配置參數(shù)需做好備份，保證能夠快速恢復(fù)系統(tǒng)。l 做好各種可能的應(yīng)急預(yù)案。l 進行數(shù)據(jù)備份外還要對恢復(fù)過程進行測試。風(fēng)險評估的過程需要形成相關(guān)的文檔，考慮以下控制：l 文件發(fā)布前得到批準(zhǔn)，以確保文件是充分的；l 必要時對文件進行評審、更新并再次批準(zhǔn)；l 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；l 確保在使用時，可獲得有關(guān)版本的適用文件；l 確保文件保持清晰、易于識別；l 確保外來文件得到識別；l 確保文件的分發(fā)得到適當(dāng)?shù)目刂?；l 防止作廢文件的非預(yù)期使用，若因任何目的需保留作廢文件時，應(yīng)對這些文件進行適當(dāng)?shù)臉?biāo)識。l 對于風(fēng)險評估過程中形成的文檔，還應(yīng)規(guī)定記錄的標(biāo)識、儲存、保護、檢索、保存期限以及處置所需的控制。記錄是否需要以及詳略程度由管理過程來決定。項目過程中的交流與溝通能確保及時、有效地收集、產(chǎn)生、發(fā)布、保存和處理項目信息。它是人、思路和信息之間的關(guān)系紐帶，是成功所必須的。必須確保風(fēng)險評估項目的有效溝通與交流，溝通方式包括：1. 日常溝通、記錄和備忘錄，主要包括：l 非正式會議l 電話l 傳真l 郵件2. 報告，包括：l 項目計劃和進展報告l 項目總結(jié)報告l 以及在各個階段輸出的項目成果文本等3. 會議，包括：l 多方參與的項目啟動會議l 項目組的周例會，主要由評估小組人員參與l 項目階段工作會議l 項目驗收會議l 項目總結(jié)會議第八章 風(fēng)險評估實施過程根據(jù)風(fēng)險評估要素關(guān)系模型，進行風(fēng)險評估需要分析評價各要素，按照各要素關(guān)系，風(fēng)險評估的過程主要包括：風(fēng)險評估的準(zhǔn)備，即信息收集與整理、對資產(chǎn)、威脅、脆弱性的分析、已有采取安全措施的確認(rèn)以及風(fēng)險評價等環(huán)節(jié)，：