隨著信息技術的飛速發(fā)展及廣泛應用，政府部門、金融機構、企事業(yè)單位和商業(yè)組織對網(wǎng)絡信息系統(tǒng)的依賴程度日益加深，由此也帶來了信息安全隱患，使得網(wǎng)絡信息系統(tǒng)面臨著無時不在的信息安全威脅和風險，信息安全風險評估作為信息安全保障工作的基礎性工作和有效手段受到了普遍重視。信息安全風險評估從風險管理角度，運用科學的分析方法和手段，系統(tǒng)地分析網(wǎng)絡信息系統(tǒng)所面臨的威脅及脆弱性，評估安全事件一旦發(fā)生對組織所造成的危害程度，有針對性地提出抵御威脅的安全防護對策和整改措施，從而能夠最大限度地減少經濟損失和負面影響。

多年來，在我國政府的工作部署和相關要求下，政府、教育、醫(yī)療、金融、能源和電力等行業(yè)的基礎信息網(wǎng)絡和重要信息系統(tǒng)紛紛開展了信息安全風險評估工作，隨之也催生出一批對外提供專業(yè)信息安全風險評估服務的安全技術服務組織。但就整個信息安全風險評估服務市場來說，如何科學、規(guī)范地開展信息安全風險評估活動，保證信息安全風險評估服務成果的質量，依然是目前普遍存在的問題。

中國網(wǎng)絡安全審查技術與認證中心經過不斷研究和實踐，于2018年6月1日發(fā)布了CCRC-ISV-C01：2018《信息安全服務規(guī)范》，其中對信息安全服務提供者在提供信息安全風險評估服務時應具備的專業(yè)服務能力要求進行了明確規(guī)定，旨在規(guī)范相關服務提供組織的信息安全風險評估服務過程，提升其信息安全風險評估服務能力，同時也為相關服務需方組織提供了有效選擇和評價風險評估服務提供組織的評判依據(jù)。本文針對信息安全風險評估服務認證過程中發(fā)現(xiàn)的常見問題，結合信息安全風險評估工作實踐，對CCRC-ISV-C01：2018《信息安全服務規(guī)范》中風險評估三級專業(yè)評價要求進行了解讀，以期為提供信息安全風險評估服務的安全技術服務組織提供一些幫助和參考。

規(guī)范解讀

CCRC-ISV-C01：2018《信息安全服務規(guī)范》“5.1風險評估服務資質專業(yè)評價要求”部分按照三級、二級、一級三個認證級別(從低往高)，分別從評估準備、風險識別、風險分析以及風險處置4個過程對信息安全風險評估服務提供者在提供風險評估服務時應具備的專業(yè)服務能力要求進行了明確規(guī)定。本文主要針對最低認證級別(三級)信息安全風險評估服務專業(yè)評價條款內容和要求進行闡釋。

評估準備

風險評估準備是整個風險評估過程有效性的保證。因此，在風險評估實施前，應綜合考慮組織的戰(zhàn)略、業(yè)務目標、業(yè)務功能、業(yè)務流程、安全需求、系統(tǒng)規(guī)模和結構等方面的因素，確定風險評估的目標和范圍，組建評估管理與實施團隊，召開風險評估工作啟動會議，做好評估現(xiàn)場所需的表格、文檔、檢測工具等各項準備工作，進行風險評估技術培訓和保密安全教育，對被評估系統(tǒng)進行前期調研，確定風險評估的對象和內容、評估依據(jù)和風險計算方法，制定風險評估實施方案，并在后期的項目實施過程中按照方案和文檔模板實施，保留好相關過程記錄。其中，風險評估實施方案中應至少包括評估目標、評估范圍、評估依據(jù)、評估對象和內容、評估方法、評估小組成員角色及職責、評估工作計劃、時間進度安排、評估工具描述、風險計算方法、風險評價原則和風險規(guī)避措施等內容。風險評估實施方案應得到被評估組織的確認和認可。

在認證審核過程中，常見的問題一般有：未按照風險評估實施方案模板制定具體項目的風險評估實施方案、已完成項目風險評估實施方案中缺少風險評價原則并將風險評估原則等同為風險評價原則、已完成項目風險評估實施方案中對風險評估實施團隊成員角色及職責未進行描述、已完成項目風險評估實施方案中關于評估工具的介紹缺少功能描述、實施風險評估前未對風險評估團隊開展安全教育培訓、實施風險評估前對評估團隊進行技術培訓時未結合具體項目開展等。

風險識別

資產識別

資產識別是風險評估的基礎環(huán)節(jié)，應參照已發(fā)布的國家或國際標準明確資產分類方法，形成資產分類列表，如可參照GB/T 20984-2007《信息安全技術 信息安全風險評估規(guī)范》中基于資產表現(xiàn)形式的資產分類方法，將資產分為數(shù)據(jù)、軟件、硬件、服務、人員等類型。根據(jù)所確定的資產分類方法進行資產識別，形成資產識別清單，明確資產的責任人或部門。

保密性、完整性和可用性是評價資產的3個基本安全屬性。根據(jù)資產在保密性、完整性和可用性這3個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度確定保密性、完整性和可用性等級賦值標準，并按照確定的等級賦值標準來確定資產的保密性、完整性和可用性等級化賦值。

業(yè)務識別是資產識別的關鍵環(huán)節(jié)。業(yè)務是組織發(fā)展的核心，具有價值屬性。組織的業(yè)務重要程度越高，對資產的依賴程度就越高，資產價值就越大。業(yè)務識別的內容一般包括業(yè)務功能、業(yè)務對象、業(yè)務流程、業(yè)務關聯(lián)性等。根據(jù)業(yè)務在組織發(fā)展戰(zhàn)略及目標中的重要程度確定業(yè)務重要性等級賦值標準并對其進行等級化賦值。

最后，綜合考慮資產保密性、完整性、可用性以及業(yè)務重要性等4個因素確定資產價值的綜合評定方法。綜合評定方法可根據(jù)組織的業(yè)務特點確定，如可采用最大值法或加權計算法，根據(jù)確定的綜合評定方法得出資產價值的最終賦值結果。根據(jù)資產識別和賦值的結果，形成重要資產列表，包括重要資產名稱、功能描述、資產類型、重要程度、責任人/部門、保密性賦值、完整性賦值、可用性賦值、業(yè)務重要性賦值、資產價值最終賦值等。

在認證審核過程中，常見的問題一般有：未參照已發(fā)布的國家或國際標準形成資產分類列表、資產識別清單中未按照確定的資產分類進行全面的資產識別、已完成項目重要資產列表中具體資產的識別信息不完善、已完成項目重要資產列表中未明確資產最終賦值的綜合評定方法、資產最終賦值的綜合評定方法中未考慮業(yè)務的重要性和關聯(lián)性等。

脆弱性識別

脆弱性識別是風險評估的核心環(huán)節(jié)，脆弱性識別主要從技術和管理兩個方面進行，因此包含了技術脆弱性和管理脆弱性。技術脆弱性涉及物理層、網(wǎng)絡層、系統(tǒng)層、應用層等各個層面的安全問題或隱患。管理脆弱性又可分為技術管理脆弱性和組織管理脆弱性兩方面，前者與具體技術活動相關，后者與管理環(huán)境相關。脆弱性識別所采用的方法主要有：問卷調查、工具檢測、人工核查、文檔查閱、滲透測試等。

脆弱性識別可以以資產為核心，針對每一項需要保護的資產，識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估;也可以從物理層、網(wǎng)絡層、系統(tǒng)層、應用層等層面進行識別。在脆弱性識別過程中，應結合被評估組織的重要資產，確定物理層、網(wǎng)絡層、系統(tǒng)層、應用層或管理層等各個層面的脆弱性檢查列表以供現(xiàn)場人工核查發(fā)現(xiàn)安全問題或隱患。同時應通過可靠的信息安全專業(yè)檢測工具、滲透測試等工具手段重點挖掘被評估系統(tǒng)網(wǎng)絡層、系統(tǒng)層、應用層的安全問題或隱患。針對不同的資產對象，其脆弱性識別的具體要求應參照國內發(fā)布的相應技術或管理標準實施。

根據(jù)脆弱性對資產和業(yè)務的暴露程度、技術實現(xiàn)的難易程度、流行程度、已有安全措施和脆弱性關聯(lián)性等，確定脆弱性等級賦值標準，并按照確定的等級賦值標準對已識別脆弱性的嚴重程度進行賦值。根據(jù)脆弱性識別和賦值的結果，形成脆弱性列表，包括具體脆弱性的名稱、內容描述、類型、對應資產、脆弱性賦值等。

對某個資產，其技術脆弱性的嚴重程度還受到組織管理脆弱性的影響，因此，資產的脆弱性賦值還應參考技術管理和組織管理脆弱性的嚴重程度。

在認證審核過程中，常見的問題一般有：脆弱性列表中脆弱性識別范圍未覆蓋所有重要資產、脆弱性識別方法僅使用了單一的人工核查或工具檢測方法、脆弱性列表中關于脆弱性的內容描述不準確或不詳細、脆弱性列表中所識別出的脆弱性未對應到具體資產、脆弱性賦值未和已有安全措施有效性評價結果相關聯(lián)等。

威脅識別

在威脅識別過程中，應參考已發(fā)布的國家或國際標準對威脅進行分類，形成威脅分類清單。如可參照GB/T 20984-2007《信息安全技術 信息安全風險評估規(guī)范》中的威脅分類方法，考慮環(huán)境因素和人為因素兩大威脅來源，根據(jù)威脅表現(xiàn)形式將威脅主要分為軟硬件故障、物理環(huán)境影響、無作為或操作失誤、管理不到位、惡意代碼、越權或濫用、網(wǎng)絡攻擊、物理攻擊、泄密、篡改、抵賴等11類。

考慮威脅出現(xiàn)的來源、動機和頻率等因素確定威脅等級賦值標準。根據(jù)經驗和(或)相關統(tǒng)計數(shù)據(jù)判斷威脅出現(xiàn)的來源、動機和頻率，按照確定的等級賦值標準對威脅進行賦值，形成威脅識別清單，包括威脅名稱、種類、來源、動機、出現(xiàn)的頻率、影響層面、威脅賦值等。

在認證審核過程中，常見的問題一般有：威脅分類未參考國家或國際標準因而導致分類類別不全、已完成項目威脅識別清單中列出的威脅類別與威脅分類清單中的威脅類別不一致等。

已有安全措施確認

以威脅為核心識別組織已有安全措施，在威脅識別的同時，一般從物理、網(wǎng)絡、主機、應用、數(shù)據(jù)、管理等層面對已采取的安全措施進行識別。在識別脆弱性的同時，應對已有安全措施的有效性進行評估和確認，即是否真正地抵御了威脅，降低了系統(tǒng)的脆弱性。根據(jù)對已采取的安全措施進行確認后的結果，形成已有安全措施確認表，包括已有安全措施名稱、所屬層面、功能描述及實施效果評價等。

在認證審核過程中，常見的問題一般有：未識別已有安全措施或識別層面覆蓋范圍不全、未對已有安全措施的有效性進行評估和確認等。

風險分析

風險分析模型建立

在完成了資產識別、威脅識別、脆弱性識別以及已有安全措施確認后，將采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導致安全事件發(fā)生的可能性，同時綜合安全事件所作用的資產價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風險。通常，參照GB/T 20984-2007《信息安全技術 信息安全風險評估規(guī)范》中給出的風險計算原理，將資產、威脅、脆弱性3個基本要素及每個要素各自的屬性進行關聯(lián)后構建風險分析模型并在項目風險評估報告中進行描述：

風險值=R(A，T，V)= R(L(T，V)，F(xiàn)(Ia，Va ))

其中，R表示安全風險計算函數(shù);A表示資產;T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產價值;Va表示脆弱性嚴重程度;L表示威脅利用資產的脆弱性導致安全事件的可能性;F表示安全事件發(fā)生后造成的損失。

在認證審核過程中，常見的問題一般有：已完成項目風險評估報告中缺少風險分析模型的描述、已完成項目風險評估報告中給出的風險分析模型缺少科學性和可行性、已建立風險分析模型中未考慮威脅利用脆弱性導致安全事件發(fā)生的可能性、已建立風險分析模型中未考慮威脅利用脆弱性導致安全事件發(fā)生對組織造成的損失等。

風險計算方法確定

根據(jù)風險分析模型選擇和確定相應的風險計算方法計算風險值，如矩陣法或相乘法。矩陣法通過構造一個二維矩陣，形成安全事件的可能性與安全事件造成的損失之間的二維關系;相乘法通過構造經驗函數(shù)，將安全事件的可能性與安全事件造成的損失進行運算得到風險值。具體風險計算方法可參照GB/T 20984-2007《信息安全技術 信息安全風險評估規(guī)范》附錄A(資料性附錄)風險的計算方法部分。

在認證審核過程中，常見的問題一般有：未根據(jù)風險分析模型選擇和確定相應的風險計算方法、已完成項目風險評估報告中未描述確定的風險計算方法并將風險計算原理等同為風險計算方法、已完成項目風險評估報告中未體現(xiàn)計算得出風險值的過程等。

風險評價

為實現(xiàn)對風險的控制與管理，宜對風險評估的結果進行等級化處理。根據(jù)所采用的風險計算方法，計算每種資產面臨的風險值，根據(jù)風險值的分布狀況，為每個等級設定風險值范圍，形成風險評價準則，并按照確定的風險評價準則對所有風險計算結果進行等級處理。

綜合考慮風險控制成本與風險造成的影響，提出一個可接受的風險范圍。對某些資產的風險，如果風險計算值在可接受的范圍內，則該風險是可接受的，應保持已有的安全措施;如果風險評估值在可接受的范圍外，即風險計算值高于可接受范圍的上限值，則該風險是不可接受的，需要采取安全措施以降低、控制風險。

在認證審核過程中，常見的問題一般有：已完成項目風險評估報告中缺少風險評價原則的描述、已完成項目風險評估報告中給出的風險評價原則明顯不合理、在理解風險評價原則時直接將其等同于風險評估準則等。

風險評估報告

按照風險評估報告模板編制風險評估報告，對整個風險評估過程和結果進行總結，說明被評估對象、風險評估方法、資產識別分析結果、威脅識別分析結果、脆弱性識別分析結果、已有安全措施確認分析結果、風險分析原理、風險計算方法、風險評價原則、風險統(tǒng)計和結論、風險處置建議等內容。

在認證審核過程中，常見的問題一般有：未按照風險評估報告模板編制具體項目的風險評估報告、已完成項目風險評估報告中評估過程和結果不完整、已完成項目風險評估報告中關于脆弱性或風險內容描述不詳細、已完成項目風險評估報告中缺少風險處置建議、已完成項目風險評估報告中評估過程和內容與項目風險評估方案中的不一致等。

認證實施建議

信息安全風險評估在信息安全保障體系建設中具有不可替代的地位和重要作用，它是實施安全集成、安全運維、軟件安全開發(fā)、等級保護等多項服務或工作的基本前提，又是組織檢查、衡量網(wǎng)絡信息系統(tǒng)安全狀況的基礎工作。信息安全風險評估服務的終極目標是保護組織的業(yè)務安全，建議相關組織能夠熟練掌握風險評估的科學涵義和方法論，嚴格、規(guī)范地按照風險評估的實施流程和評估方法開展風險評估服務，不斷提升組織的信息安全風險評估服務能力和技術水平，最終為客戶提供有價值、能落地的風險評估結果和風險處置建議，為國內的信息安全事業(yè)發(fā)展發(fā)揮積極的作用。

中企檢測認證網(wǎng)提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質量認證中心

免責聲明：本文部分內容根據(jù)網(wǎng)絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202103/ccaa_19603.html