【正文】 成： 過(guò)程6：評(píng)估選定的單元，包括對(duì)選定的基礎(chǔ)設(shè)施的結(jié)構(gòu)單元進(jìn)行薄弱點(diǎn)檢查、對(duì)技術(shù)薄弱點(diǎn)進(jìn)行評(píng)審并總結(jié)。 本階段主要由2個(gè)過(guò)程組成： 通用的配置文件是基于關(guān)鍵資產(chǎn)的威脅樹(shù)。 過(guò)程4: 建立威脅配置文件。 過(guò)程3：收集員工的觀點(diǎn)。 過(guò)程2：收集業(yè)務(wù)區(qū)域管理部門的觀點(diǎn)。 過(guò)程1：收集高層管理部門的觀點(diǎn)。,5.1.2 OCTAVE Method,OCTAVE Method是為大型組織（有300名以上員工的公司或組織）而設(shè)計(jì)的，但可以以此為基線或起點(diǎn)，對(duì)該方法進(jìn)行開(kāi)發(fā)剪裁，使它適合于不同規(guī)模的組織、業(yè)務(wù)環(huán)境或工業(yè)部門。 OCTAVE使組織能夠理清復(fù)雜的組織問(wèn)題和技術(shù)問(wèn)題，了解安全問(wèn)題，改善組織的安全狀況并解決信息安全風(fēng)險(xiǎn)，而無(wú)需過(guò)分依賴外部專家和廠商。信息安全是組織內(nèi)每個(gè)人的職責(zé)，而不只是IT部門的職責(zé)。 OCTAVE信息安全風(fēng)險(xiǎn)評(píng)估方法的基本原則是：自主、適應(yīng)度量、已定義的過(guò)程、連續(xù)過(guò)程的基礎(chǔ)，它由一系列循序漸進(jìn)的討論會(huì)組成，每個(gè)討論會(huì)都需要其參與者之間的交流和溝通。,5 國(guó)外信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn),目前，國(guó)際上信息安全風(fēng)險(xiǎn)評(píng)估與管理的標(biāo)準(zhǔn)有英國(guó)BSI的BS 779美國(guó)的OCTAVE、澳大利亞/新西蘭的AS/NZS 4360、ISO/IEC TR 1333NIST SP80030等，其中BS 7799和ISO/IEC TR 13335 在第2章、AS/NZS 4360和NIST SP80030在第4章已進(jìn)行了介紹，這里介紹OCTAVE方法、SSECMM和GAO/AIMD99139。,4.4 信息安全風(fēng)險(xiǎn)評(píng)估的分類,4.4.2 詳細(xì)風(fēng)險(xiǎn)評(píng)估 詳細(xì)風(fēng)險(xiǎn)評(píng)估的優(yōu)點(diǎn)是對(duì)信息安全風(fēng)險(xiǎn)有一個(gè)精確的認(rèn)識(shí)，從而可以更為精確地識(shí)別出組織目前的安全水平和安全需求；可以從詳細(xì)的風(fēng)險(xiǎn)評(píng)估中獲得額外信息，使與組織變革相關(guān)的安全管理受益。 4.4.1 基線風(fēng)險(xiǎn)評(píng)估 基線評(píng)估的優(yōu)點(diǎn)是需要的資源少、周期短、操作簡(jiǎn)單等。 4.3.2 檢查評(píng)估 檢查評(píng)估是指信息系統(tǒng)上級(jí)管理部門或信息安全職能部門組織的信息安全風(fēng)險(xiǎn)評(píng)估，是通過(guò)行政手段加強(qiáng)信息安全的重要措施。自評(píng)估和檢查評(píng)估可以依靠自身技術(shù)力量進(jìn)行，也可以委托第三方專業(yè)機(jī)構(gòu)進(jìn)行。,4 信息安全風(fēng)險(xiǎn)評(píng)估的概念,4.2 信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的關(guān)系 信息安全風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理的一個(gè)階段，只是在更大的風(fēng)險(xiǎn)管理流程中的一個(gè)評(píng)估風(fēng)險(xiǎn)的一個(gè)階段。 4．保密原則 與評(píng)估對(duì)象簽署保密協(xié)議和非侵害性協(xié)議，要求參與評(píng)估的單位或個(gè)人對(duì)評(píng)估過(guò)程和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何企業(yè)和個(gè)人。,3 信息安全風(fēng)險(xiǎn)評(píng)估的原則,1．可控性原則 ⑴ 人員可控性 ⑵ 工具可控性 ⑶ 項(xiàng)目過(guò)程可控性 2．完整性原則 嚴(yán)格按照委托單位的評(píng)估要求和指定的范圍進(jìn)行全面的評(píng)估服務(wù)。,3．信息安全風(fēng)險(xiǎn)評(píng)估是需求主導(dǎo)和突出重點(diǎn)原則的具體體現(xiàn) 風(fēng)險(xiǎn)是客觀存在的，試圖完全消滅風(fēng)險(xiǎn)或完全避免風(fēng)險(xiǎn)是不現(xiàn)實(shí)的，要根據(jù)信息及信息系統(tǒng)的價(jià)值、威脅的大小和可能出現(xiàn)的問(wèn)題的嚴(yán)重程度，以及在信息化建設(shè)不同階段的信息安全要求，堅(jiān)持從實(shí)際出發(fā)、需求主導(dǎo)、突出重點(diǎn)、分級(jí)防護(hù)，科學(xué)評(píng)估風(fēng)險(xiǎn)并有效地控制風(fēng)險(xiǎn)。,2 信息安全風(fēng)險(xiǎn)評(píng)估的目的和意義,1．信息安全風(fēng)險(xiǎn)評(píng)估是科學(xué)分析并確定風(fēng)險(xiǎn)的過(guò)程 2．信息安全風(fēng)險(xiǎn)評(píng)估是信息安全建設(shè)的起點(diǎn)和基礎(chǔ) 3．信息安全風(fēng)險(xiǎn)評(píng)估是需求主導(dǎo)和突出重點(diǎn)原則的具體體現(xiàn) 4．信息安全風(fēng)險(xiǎn)評(píng)估是組織機(jī)構(gòu)實(shí)現(xiàn)信息系統(tǒng)安全的重要步驟,2 信息安全風(fēng)險(xiǎn)評(píng)估的目的和意義,1. 信息安全風(fēng)險(xiǎn)評(píng)估是科學(xué)分析并確定風(fēng)險(xiǎn)的過(guò)程 任何系統(tǒng)的安全性都可以通過(guò)風(fēng)險(xiǎn)的大小來(lái)衡量，科學(xué)地分析系統(tǒng)的安全風(fēng)險(xiǎn)，綜合平衡風(fēng)險(xiǎn)和代價(jià)構(gòu)成了風(fēng)險(xiǎn)評(píng)估的基本過(guò)程。,1 信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展概況,1.2 我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估的發(fā)展現(xiàn)狀 我國(guó)的信息安全評(píng)估工作是隨著對(duì)信息安全問(wèn)題的認(rèn)識(shí)的逐步深化不斷發(fā)展的。,表51 風(fēng)險(xiǎn)評(píng)估發(fā)展過(guò)程,1.1 美國(guó)信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展概況,1.1.2 其他國(guó)家信息安全評(píng)估發(fā)展概況 歐洲在信息化方面的優(yōu)勢(shì)不如美國(guó)，但作為多個(gè)老牌大國(guó)的聯(lián)合群體，歐洲不甘落后。,1.1 美國(guó)信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展概況,1.1.1 美國(guó)信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展概況 在國(guó)際上，美國(guó)是對(duì)信息安全風(fēng)險(xiǎn)評(píng)估研究歷史最長(zhǎng)和工作經(jīng)驗(yàn)最豐富的國(guó)家，一直主導(dǎo)信息技術(shù)和信息安全的發(fā)展，信息安全風(fēng)險(xiǎn)評(píng)估在美國(guó)的發(fā)展實(shí)際上也代表了風(fēng)險(xiǎn)評(píng)估的國(guó)際發(fā)展。信息安全風(fēng)險(xiǎn)評(píng)估概述,1 信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展概況,信息技術(shù)的飛速發(fā)展，關(guān)系國(guó)計(jì)民生關(guān)鍵信息的基礎(chǔ)設(shè)施的規(guī)模越來(lái)越大，極大地增加了信息系統(tǒng)的復(fù)雜程度。各個(gè)國(guó)家越來(lái)越重視信息安全風(fēng)險(xiǎn)評(píng)估工作，提倡信息安全風(fēng)險(xiǎn)評(píng)估制度化。從最初關(guān)注計(jì)算機(jī)保密發(fā)展到目前關(guān)注信息系統(tǒng)基礎(chǔ)設(shè)施的信息保障，大體經(jīng)歷了3個(gè)階段，見(jiàn)表51。他們?cè)谛畔踩芾矸矫娴淖龇ㄊ窃诔浞掷妹绹?guó)引導(dǎo)的科技創(chuàng)新成果的基礎(chǔ)上，加強(qiáng)預(yù)防。早期的信息安全工作中心是信息保密，通過(guò)保密檢查來(lái)發(fā)現(xiàn)問(wèn)題，改進(jìn)提高。 2．信息安全風(fēng)險(xiǎn)評(píng)估是信息安全建設(shè)的起點(diǎn)和基礎(chǔ) 所有信息安全建設(shè)應(yīng)該基于信息安全風(fēng)險(xiǎn)評(píng)估，只有正確地、全面地識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)，才能在預(yù)防風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)、減少風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)之間作出正確的決策，決定調(diào)動(dòng)多少資源、以什么樣的代價(jià)、采取什么樣的應(yīng)對(duì)措施化解風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)。 4．信息安全風(fēng)險(xiǎn)評(píng)估是組織機(jī)構(gòu)實(shí)現(xiàn)信息系統(tǒng)安全的重要步驟 通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估，可全面、準(zhǔn)確地了解組織機(jī)構(gòu)的安全現(xiàn)狀,發(fā)現(xiàn)系統(tǒng)的安全問(wèn)題及其可能的危害，分析信息系統(tǒng)的安全需求,找出目前的安全策略和實(shí)際需求的差距，提供嚴(yán)謹(jǐn)?shù)陌踩碚撘罁?jù)和完整、規(guī)范的指導(dǎo)模型。,3．最小影響原則 從項(xiàng)目管理層面和工具技術(shù)層面，力求將風(fēng)險(xiǎn)評(píng)估對(duì)信息系統(tǒng)的正常運(yùn)行的可能影響降低到最低限度。,4 信息安全風(fēng)險(xiǎn)評(píng)估的概念,4.1 信息安全風(fēng)險(xiǎn)評(píng)估的概念 信息安全風(fēng)險(xiǎn)評(píng)估是依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過(guò)程，它要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響。 4.3 信息安全風(fēng)險(xiǎn)評(píng)估的兩種方式 根據(jù)風(fēng)險(xiǎn)評(píng)估發(fā)起者的不同，信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估、檢查評(píng)估兩種形式。,4.3 信息安全風(fēng)險(xiǎn)評(píng)估的兩種方式,4.3.1 自評(píng)估 自評(píng)估是指信息系統(tǒng)擁有、運(yùn)營(yíng)或使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估，以發(fā)現(xiàn)信息系統(tǒng)現(xiàn)有弱點(diǎn)、實(shí)施安全管理為目的，是信息安全風(fēng)險(xiǎn)評(píng)估的主要形式。,4.4 信息安全風(fēng)險(xiǎn)評(píng)估的分類,在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，應(yīng)當(dāng)針對(duì)不同的環(huán)境和安全要求選擇恰當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估種類，目前，實(shí)際操作中經(jīng)常使用的風(fēng)險(xiǎn)評(píng)估包括基線風(fēng)險(xiǎn)評(píng)估、詳細(xì)風(fēng)險(xiǎn)評(píng)估、聯(lián)合風(fēng)險(xiǎn)評(píng)估。缺點(diǎn)是安全基線水平的高