GA/T ××××—2001
GA/T ××××—2001
.
目 次
I目 次
V前 言
1信息安全风险管理指南
11 范围
12 规范性引用文件
13 信息安全风险管理概述
信息安全风险管理的目的和意义
信息安全风险管理的范围和对象
信息安全风险管理的内容和过程
信息安全风险管理与信息系统生命周期和信息安全目标的关系
信息系统生命周期
信息安全目标
三者关系
信息安全风险管理的角色和责任
74 信息安全风险管理的对象确立
对象确立概述
对象确立的概念
对象确立的目的
对象确立的依据
对象确立过程
风险管理准备
信息系统调查
信息系统分析
信息安全分析
对象确立文档
115 信息安全风险管理的风险评估
风险评估概述
风险评估的概念
风险评估的方法和工具
风险评估的地位和意义
风险评估的作用范围
风险评估过程
风险评估准备
风险因素识别
风险程度分析
风险等级评价
风险评估文档
206 信息安全风险管理的风险控制
风险控制概述
风险控制的概念
风险控制的目的
风险控制的方式
风险控制的模型
风险控制的需求和措施
风险控制过程
现存风险判断
控制目标确立
控制措施选择
控制措施实施
风险控制文档
287 信息安全风险管理的审核批准
审核批准概述
审核批准的概念
审核批准的原则
审核批准过程
审核申请
审核处理
批准申请
批准处理
持续监督
审核批准文档
348 信息安全风险管理的监控与审查
监控与审查概述
监控与审查的概念
监控与审查的意义
监控与审查的内容
监控与审查过程
贯穿对象确立
贯穿风险评估
贯穿风险控制
贯穿审核批准
监控与审查文档
399 信息安全风险管理的沟通与咨询
沟通与咨询概述
沟通与咨询的概念
沟通与咨询的意义
沟通与咨询的目标
沟通与咨询的方式
沟通与咨询过程
贯穿对象确立
贯穿风险评估
贯穿风险控制
贯穿审核批准
沟通与咨询文档
4510 规划阶段的信息安全风险管理
安全需求和目标
风险管理的过程与活动
风险管理过程概述
明确安全总体方针
安全需求分析
风险评价准则达成一致
4811 设计阶段的信息安全风险管理
安全需求和目标
风险管理的过程和活动
风险管理过程概述
安全技术选择
安全产品选型
软件设计风险控制
5012 实施阶段的信息安全风险管理
安全需求和目标
风险管理的过程与活动
风险管理过程概述
检查与配置
安全测试
人员培训
授权系统运行
5213 运维阶段的信息安全风险管理
安全需求和目标
风险管理的过程和活动
风险管理过程概述
安全运行和管理
变更管理
风险再评估
定期重新审批
5414 废弃阶段的信息安全风险管理
安全需求和目标
风险管理的过程和活动
风险管理过程概述
确定废弃对象
废弃对象的风险评估
废弃过程的风险控制
废弃后的评审
前 言
为贯彻落实全国信息安全保障工作会议精神,根据采取必要措施进行信息安全风险防范的工作要求,制定本标准。
本标准针对信息安全风险管理所涉及的对象确立、风险评估、风险控制、审核批准、沟通咨询等不同过程进行了综合性描述和规范,对信息安全风险管理在信息系统生命周期各阶段的应用作了系统阐述。
本标准适用于信息安全保障体系建设中进行风险管理的有关组织和人员。也可为组织内部进行信息安全风险管理提供指导和参考。
本标准可与国家其他相关标准结合使用。
本标准包括以下一个标准文本:
《信息安全风险管理指南》
本标准由国务院信息化工作办公室提出。
本标准由国务院信息化工作办公室归口。
本标准起草单位:国家信息中心信息安全研究与服务中心、国家保密技术研究所、中科院信息安国家重点实验室、公安部三所等级保护评估中心、北京市测评认证中心、北京清华得实科技股份有限公司、凝瑞、山东科飞管理咨询有限公司、北京天融信网络安全技术有限公司、北京思乐信息技术有限公司、安氏互联网安全系统(中国)有限公司。
本标准主要起草人:范红、闵京华、屈薇、李文生、李双成、王毅刚、孙铁、马朝斌、张玉清、孙涛、高志民。
我们特别感谢在本标准起草过程中做出了重要贡献的人员,他们是:国信办贾颖禾研究员、解放军测评认证中心崔书昆研究员、中科院信息安全国家重点实验室赵战生教授、公安部十一局景乾元处长、国家保密技术研究所杜虹所长、国家信息中心宁家骏首席工程师、国家信息中心信息安全研究与服务中心吴亚非主任。
本标准由XXX负责解释。
信息安全风险管理指南
范围
本标准规定了信息安全风险管理的内容和过程,并提供了信息系统生命周期不同阶段的信息安全风险管理措施,适用于信息系统的使用单位加强信息系统安全管理。
规范性引用文件
下列参考文档对于本标准的应用是必不可少的。有日期标识的参考标准,只有现行有效版本适用。没有日期标识的参考标准,最新版本适用。
(1)《信息安全风险评估指南》
(2) BS 7799-1:2000 《信息技术——信息安全管理实施细则》
(3)BS 7799-2:2002 《信息安全管理体系——规范及应用指南》
(4)ISO/IEC TR 13335 《信息技术——IT安全管理指导方针》
信息安全风险管理概述
信息安全风险管理的目的和意义
一个机构要利用其拥有的资产来完成其使命。在信息时代,信息成为第一战略资源,更是起着至关重要的作用。因此,信息资产的安全是关系到该机构能否完成其使命的大事。资产与风险是天生的一对矛盾,资产价值越高,面临的风险就越大。信息资产有着与传统资产不同的特性,面临着新型风险。信息安全风险管理的目的就是要缓解和平衡这一对矛盾,将风险控制到可接受的程度,保护信息及其相关资产,最终保证机构能够完成其使命。
信息安全风险管理是信息安全保障工作中的一项基础性工作,主要表现在以下几方面:
信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。在信息安全保障体系中,技术是工具,组织是运作,管理是指导,它们紧密配合,共同实现信息安全保障的目标。信息安全保障体系的技术、组织和管理等方面都存在着相关风险,需要采用信息安全风险管理的方法加以控制。
信息安全风险管理贯穿信息系统生命周期的全部过程。信息系统生命周期包括规划、设计、实施、运维和废弃五个阶段。每个阶段都存在着相关风险,同样需要采用信息安全风险管理的方法加以控制。
信息安全风险管理依据等级保护的思想和适度安全的原则,平衡成本与效益,合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基础设施,确定合适的安全措施,从而确保机构具有完成其使命的信息安全保障能力。
信息安全风险管理的范围和对象
信息安全风险管理是基于风险的信息安全管理,也就是,始终以风险为主线进行信息安全的管理。
信息安全的概念涵盖了信息、信息载体和信息环境三个方面的安全。信息指信息自身;信息载体指信息的承载体,包括物理平台、系统平台、通信平台、网络平台和应用平台;信息环境指信息及信息载体所处的环境,包括硬环境和软环境。信息、信息载体和信息环境是信息安全的三大类保护对象,其相互关系和详细内容如图和表所示。因此,信息安全是指由信息、信息载体和信息环境组成的信息系统的安全。
图 信息安全的保护对象及其定位关系
表 信息安全保护对象的分类和示例
大类
子类
示例
信息
文本、图形、图片、音频、视频、动画、立体等形式。
信息载体
物理平台
计算芯片(CPU、控制芯片、专用处理芯片等)、存储介质(内存、磁盘、光盘、磁带等)、通信介质(双绞线、同轴电缆、光纤、微波、红外线、卫星等)、人机界面(终端、键盘、鼠标、打印机、扫描仪、数字摄像机、数字放映机等)等硬件。
系统平台
操作系统、数据库系统等系统软件。
通信平台
通信协议及其软件。
网络平台
网络协议及其软件。
应用平台
应用协议及其软件。
信息环境
硬环境
机房、电力、照明、温控、湿控、防盗、防火、防震、防水、防雷、防电磁辐射、抗电磁干扰等设施。
软环境
国家法律、行政法规、部门规章、政治经济、社会文化、思想意识、教育培训、人员素质、组织机构、监督管理、安全认证等方面。
从概念上讲,信息安全风险管理涉及到信息安全上述三个方面(即信息、信息载体和信息环境)中包含的所有相关对象。对于一个具体的信息系统,信息安全风险管理主要涉及到该信息系统的关键和敏感部分。因此,根据实际信息系统的不同,信息安全风险管理的侧重点,即重点选择的风险管理范围和对象有所不同。
信息安全风险管理的内容和过程
信息安全风险管理包括对象确立(Objects Establishment)、风险评估(Risk Assessment)、风险控制(Risk Control)、审核批准(Audit & Authorization)、监控与审查(Monitor & Review)和沟通与咨询(Communication & Consultation)六个方面的内容。对象确立、风险评估、风险控制和审核批准是信息安全风险管理的四个基本步骤,监控与审查和沟通与咨询则贯穿于这四个基本步骤中,如图所示。
图 信息安全风险管理的内容和流程
第一步骤是对象确立,根据要保护系统的业务目标和特性,确定风险管理对象。第二步骤是风险评估,针对确立的风险管理对象所面临的风险进行识别、分析和评价。第三步骤是风险控制,依据风险评估的结果,选择和实施合适的安全措施。第四步骤是审核批准,包括审核和批准两部分:审核是指通过审查、测试、评审等手段,检验风险评估和风险控制的结果是否满足信息系统的安全要求;批准是指机构的决策层依据审核的结果,做出是否认可的决定。当受保护系统的业务目标和特性发生变化或面临新的风险时,需要再次进入上述四个步骤,形成新的一次循环。因此,对象确立、风险评估、风险控制和审核批准构成了一个螺旋式上升的循环,使得受保护系统在自身和环境的变化中能够不断应对新的安全需求和风险。
监控与审查对上述四个步骤进行监控和审查。监控是监视和控制,一是监视和控制风险管理过程,即过程质量管理,以保证上述四个步骤的过程有效性;二是分析和平衡成本效益,即成本效益管理,以保证上述四个步骤的成本有效性。审查是跟踪受保护系统自身或所处环境的变化,以保证上述四个步骤的结果有效性。监控与审查依据对当前步骤的监控和审查结果,控制上述四个步骤的主循环,形成许多局部循环。也就是说,在当前步骤的监控和审查结果通过时,进入下一个步骤;否则,继续当前步骤或退到前面的适当步骤。由此,保证主循环中各步骤的有效性。
沟通与咨询为上述四个步骤的相关人员提供沟通和咨询。沟通是为上述过程参与人员提供交流途径,以保持他们之间的协调一致,共同实现安全目标。咨询是为上述过程所有相关人员提供学习途径,以提高他们的风险意识和知识,配合实现安全目标。
信息安全风险管理与信息系统生命周期和信息安全目标的关系
信息系统生命周期
信息系统生命周期是某一信息系统从无到有,再到扬弃的整个过程,包括规划(Plan)、设计(Design)、实施(Implementation)、运维(Operation & Maintenance)和废弃(Disposal)五个基本阶段。
在规划阶段,确定信息系统的目的、范围和需求,分析和论证可行性,提出总体方案。在设计阶段,依据总体方案,设计信息系统的实现结构(包括功能划分、接口协议和性能指标等)和实施方案(包括实现技术、设备选型和系统集成等)。在实施阶段,按照实施方案,购买和检测设备,开发定制功能,集成、部署、配置和测试系统,培训人员等。在运维阶段,运行和维护系统,保证信息系统在自身和所处环境的变化中始终能够正常工作和不断升级。在废弃阶段,对信息系统的过时或无用部分进行报废处理。当信息系统的业务目标和需求或技术和管理环境发生变化时,需要再次进入上述五个阶段,形成新的一次循环。因此,规划、设计、实施、运维和废弃构成了一个螺旋式上升的循环,使得信息系统不断适应自身和环境的变化。
信息安全目标
信息安全目标就是要实现信息系统的基本安全特性(即信息安全基本属性),并达到所需的保障级别(Assurance Level)。信息安全基本属性包括保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、可追究性(Accountability)和抗否认性(Undeniability)等,每一属性都有相应的保障级别作为其强度的度量,如图所示。
图 信息安全基本属性及其保障级别
保密性指信息与信息系统不被非授权者所获取或利用的特性,包括数据保密和访问控制等方面。完整性指信息与信息系统真实、准确和完备,不被冒充、伪造和篡改的特性,包括身份真实、数据完整和系统完整等方面。可用性指信息与信息系统可被授权者在需要的时候访问和使用的特性。可追究性指从一个实体的行为能够唯一追溯到该实体的特性,可以支持故障隔离、攻击阻断和事后恢复等。抗否认性指一个实体不能够否认其行为的特性,可以支持责任追究、威慑作用和法律行动等。保障级别指保密性、完整性、可用性、可追究性和抗否认性在具体实现中达到的级别或强度,可以作为安全信任度的尺度。信息系统的安全保障级别主要是通过对信息系统进行安全测评和认证来确定的。
三者关系
信息安全风险管理与信息系统生命周期和信息安全目标均为直交关系,构成三维结构,如图所示。
图 信息安全风险管理、信息系统生命周期和信息安全目标的三维结构关系
第一维(X轴)表示信息安全风险管理,包括对象确立、风险评估、风险控制和审核批准四个基本步骤,以及贯穿这四个基本步骤的监控与审查和沟通与咨询。
第二维(Y轴)表示信息系统生命周期,包括规划、设计、实施、运维和废弃五个基本阶段。
第三维(Z轴)表示信息安全目标,包括保密性、完整性、可用性、可追究性和抗否认性五个信息安全基本属性,以及它们的保障级别。
三者关系可简要表述为,信息系统生命周期的任何一个阶段,为了达到其信息安全目标,都需要相应的信息安全风险管理。
三维结构关系表达了信息安全风险管理的整个过程分别体现在信息系统生命周期的各个阶段,且内容上分别反映各个阶段的特性及其信息安全目标。信息系统生命周期各阶段的特性及其信息安全目标的保障级别随行业特点的不同而不同,也就是说,不同的行业在信息系统生命周期的不同阶段,对信息安全基本属性(即保密性、完整性、可用性、可追究性和抗否认性)的要求和侧重不同。因此,可在本标准指导下开发行业的信息安全风险管理指南。
信息安全风险管理的角色和责任
信息安全风险管理是基于风险的信息系统安全管理。因此,信息安全风险管理涉及人员,既包括信息安全风险管理的直接参与人员,也包括信息系统的相关人员。表对信息安全风险管理相关人员的角色和责任进行了归纳和分类。
表 信息安全风险管理相关人员的角色和责任
层面
信息系统
信息安全风险管理
角色
内外部
责任
角色
内外部
责任
决策层
主管者
内
负责信息系统的重大决策。
主管者
内
负责信息安全风险管理的重大决策。
管理层
管理者
内
负责信息系统的规划,以及建设、运行、维护和监控等方面的组织和协调。
管理者
内
负责信息安全风险管理的规划,以及实施和监控过程中的组织和协调。
执行层
建设者
内或外
负责信息系统的设计和实施。
执行者
内或外
负责信息安全风险管理的实施。
运行者
内
负责信息系统的日常运行和操作。
维护者
内或外
负责信息系统的日常维护,包括维修和升级。
监控者
内
负责信息系统的监视和控制。
监控者
内
负责信息安全风险管理过程、成本和结果的监视和控制。
支持层
专业者
外
为信息系统提供专业咨询、培训、诊断和工具等服务。
专业者
外
为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。
用户层
使用者
内或外
利用信息系统完成自身的任务。
受益者
内或外
反馈信息安全风险管理的效果。
信息安全风险管理的对象确立
对象确立概述
对象确立的概念
对象确立是信息安全风险管理的第一步骤,根据要保护系统的业务目标和特性,确定风险管理对象。
对象确立的目的
对象确立是为了明确信息安全风险管理的范围和对象,以及对象的特性和安全要求。
对象确立的依据
机构的使命、业务、组织结构、管理制度和技术平台,以及国家、地区或行业的相关政策、法律、法规和标准都是对象确立的必要依据。
对象确立过程
对象确立的过程包括风险管理准备、信息系统调查、信息系统分析和信息安全分析四个阶段。在信息安全风险管理过程中,对象确立过程是一次信息安全风险管理主循环的起始,为风险评估提供输入,监控与审查和沟通与咨询贯穿其四个阶段,如图所示。
图 对象确立过程及其在信息安全风险管理中的位置
风险管理准备
1、流程
图 风险管理准备阶段的流程及其输入输出
2、说明
如图所示,风险管理准备阶段的工作流程和内容如下:
1)制定风险管理计划。依据机构的使命,制定风险管理的实施计划,包括风险管理的目的、意义、范围、目标、组织结构、经费预算和进度安排等,形成《风险管理计划书》。《风险管理计划书》一般需要得到信息系统和信息安全风险管理决策层的认可和批准。
信息系统调查
1、流程
图 信息系统调查阶段的流程及其输入输出
2、说明
如图所示,信息系统调查阶段的工作流程和内容如下:
1)调查信息系统的业务目标。了解机构的使命,包括战略背景和战略目标等,从中明确支持机构完成其使命的信息系统的业务目标。
2)调查信息系统的业务特性。了解机构的业务,包括业务内容和业务流程等,从中明确支持机构业务运营的信息系统的业务特性。
3)调查信息系统的管理特性。了解机构的组织结构和管理制度,包括岗位设置、责任分配、规章制度、操作规程和人事管理等,从中明确支持机构业务运营的信息系统的管理特性。
4)调查信息系统的技术特性。了解机构的技术平台,包括物理平台、系统平台、通信平台、网络平台和应用平台,从中明确支持机构业务运营的信息系统的技术特性。
5)汇总上述调查结果,形成《信息系统的描述报告》,其中包含信息系统的业务目标、业务特性、管理特性和技术特性等方面的内容。
信息系统的调查方式包括问卷回答、人员访谈、现场考察、辅助工具等多种形式,可以根据实际情况灵活采用和结合使用。
信息系统分析
1、流程
图 信息系统分析阶段的流程及其输入输出
2、说明
如图所示,信息系统分析阶段的工作流程和内容如下:
1)分析信息系统的体系结构。依据《信息系统的描述报告》,对信息系统的功能体系、数据体系、网络体系、运营体系和管理体系等方面进行分析,明确它们的内部结构和外部关系。
2)分析信息系统的关键要素。依据《信息系统的描述报告》和上述体系结构的分析结果,找出信息系统中对机构使命具有关键和重要作用的部分,列出清单。
3)汇总上述分析结果,形成《信息系统的分析报告》,其中包含信息系统的体系结构和关键要素等方面的内容。
信息安全分析
1、流程
图 信息安全分析阶段的流程及其输入输出
2、说明
如图所示,信息安全分析阶段的工作流程和内容如下:
1)分析信息系统的安全环境。依据国家、地区或行业的相关政策、法律、法规和标准,考虑合作伙伴的合同要求,对信息系统的安全保障环境进行分析,明确环境因素对信息系统安全方面的影响和要求。
2)分析信息系统的安全要求。依据《信息系统的描述报告》和《信息系统的分析报告》,结合上述安全环境的分析结果,分析和提出对信息系统的安全要求,包括保护范围和保护等级等。
3)汇总上述分析结果,形成《信息系统的安全要求报告》,其中包含信息系统的安全环境和安全要求等方面的内容。
对象确立文档
表列出了对象确立过程的输出文档及其内容。
表 对象确立过程的输出文档及其内容
阶段
输出文档
文档内容
风险管理准备
《风险管理计划书》
风险管理的目的、意义、范围、目标、组织结构、经费预算和进度安排等。
信息系统调查
《信息系统的描述报告》
信息系统的业务目标、业务特性、管理特性和技术特性等。
信息系统分析
《信息系统的分析报告》
信息系统的体系结构和关键要素等。
信息安全分析
《信息系统的安全要求报告》
信息系统的安全环境和安全要求等。
信息安全风险管理的风险评估
风险评估概述
风险评估的概念
风险评估是信息安全风险管理的第二步,针对确立的风险管理对象所面临的风险进行识别、分析和评价。
安全风险(以下简称风险)是一种潜在的、负面的东西,处于未发生的状态。与之相对应,安全事件(以下简称事件)是一种显在的、负面的东西,处于已发生的状态。风险是事件产生的前提,事件是在一定条件下由风险演变而来的。图给出了风险与事件之间的关系。
图 安全风险与安全事件之间的关系
风险的构成包括五个方面:起源、方式、途径、受体和后果。起源是威胁的发起方,叫做威胁源;方式是威胁源实施威胁所采取的手段,叫做威胁行为;途径是威胁源实施威胁所利用的薄弱环节,叫做脆弱性或漏洞;受体是威胁的承受方,即资产;后果是威胁源实施威胁所造成的损失,叫做影响。它们之间的相互关系可表述为,风险的一个或多个起源(威胁源),采用一种或多种方式(威胁行为),通过一种或多种途径(脆弱性或漏洞),侵害一个或多个受体(资产),造成不良后果(影响)。图描绘了风险的概念模型,可表述为,威胁源利用脆弱性,对资产实施威胁行为,造成负面影响。其中的虚线表示威胁行为和影响是潜在的,虽处于未发生状态,但具有发生的可能性。
图 风险的概念模型
风险评估依据风险的概念模型做以下方面工作:
评估前的准备工作,包括制定风险评估计划、确定风险评估程序、选择风险评估方法和工具等。
识别需要保护的资产、面临的威胁和存在的脆弱性。
在确认已有安全措施的基础上,分析威胁源的动机、威胁行为的能力、脆弱性的被利用性、资产的价值和影响的程度。
分别对上述五个方面的分析结果进行评价,给出相应的等级划分,然后综合计算这五个方面的评价结果,最后得出风险的等级。
风险评估是一项技术含量很高的安全管理活动,具有丰富的内容,可以作为单独的研究分支来考虑,详细内容参见《信息安全风险评估指南》。本标准将风险评估看作信息安全风险管理的一个组成部分来考虑。
风险评估的方法和工具
在风险评估的识别、分析和评价过程中,需要利用适当且有效的评估方法和评估工具。
评估方法包括:
定性评估方法和定量评估方法。
专家系统和过程式算法。
基本评估方法、非常评估方法、详细评估方法和综合评估方法。
等。
评估工具包括:
综合性评估工具。
脆弱性检测工具,如漏洞扫描等。
渗透性测试工具,如黑客工具等。
辅助性评估工具,如入侵监测系统、安全审计系统、漏洞库、安全知识库等。
等。
风险评估的地位和意义
信息安全风险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动。风险评估使得机构能够准确“定位”风险管理的策略、实践和工具,能够将安全活动的重点放在重要的问题上,能够选择成本效益合理的和适用的安全对策。基于风险评估的风险管理方法被实践证明是有效的和实用的,已被广泛应用于各个领域。
风险评估的作用范围
风险评估只是为信息安全活动提供一个方向,并不会导致重大的信息安全改进。不管评估方法有多详细和多专业,也只能描述风险状态,而不会改进机构的安全状态。机构只有利用评估结果持续地进行改进活动,实现风险有效管理,才能使机构的安全状态得到改善。评估好坏的评价标准在于其对随后的风险控制和审核批准的指导作用,良好和确切的风险评估是成功的信息安全风险管理的基础。
风险评估过程
风险评估的过程包括风险评估准备、风险因素识别、风险程度分析和风险等级评价四个阶段。在信息安全风险管理过程中,接受对象确立的输出,为风险控制提供输入,监控与审查和沟通与咨询贯穿其四个阶段,如图所示。
图 风险评估过程及其在信息安全风险管理中的位置
风险评估准备
1、流程
图 风险评估准备阶段的流程及其输入输出
2、说明
如图所示,风险评估准备阶段的工作流程和内容如下:
1)制定风险评估计划。依据对象确立输出的三个报告,即《信息系统的描述报告》、《信息系统的分析报告》和《信息系统的安全要求报告》,制定风险评估的实施计划,包括风险评估的目的、意义、范围、目标、组织结构、经费预算和进度安排等,形成《风险评估计划书》。《风险评估计划书》一般需要得到信息系统和信息安全风险管理决策层的认可和批准。
2)确定风险评估程序。依据对象确立输出的三个报告,确定风险评估的实施程序,包括风险评估的工作流程、输入数据和输出结果等,形成《风险评估程序》。
3)选择风险评估方法和工具。依据对象确立输出的三个报告以及《风险评估计划》和《风险评估程序》,从现有风险评估方法和工具库中选择合适的风险评估方法和工具,形成《入选风险评估方法和工具列表》。
风险因素识别
1、流程
图 风险因素识别阶段的流程及其输入输出
2、说明
如图所示,风险因素识别阶段的工作流程和内容如下:
1)识别需要保护的资产。依据对象确立输出的三个报告,即《信息系统的描述报告》、《信息系统的分析报告》和《信息系统的安全要求报告》,识别对机构使命具有关键和重要作用的需要保护的资产,形成《需要保护的资产清单》。
2)识别面临的威胁。依据对象确立输出的三个报告,参照威胁库,识别机构的信息资产面临的威胁,形成《面临的威胁列表》。威胁库是有关威胁的外部共享数据和内部历史数据的汇集。
3)识别存在的脆弱性。依据对象确立输出的三个报告,参照漏洞库,识别机构的信息资产存在的脆弱性,形成《存在的脆弱性列表》。漏洞库是有关脆弱性/漏洞的外部共享数据和内部历史数据的汇集。
风险因素的识别方式包括文档审查、人员访谈、现场考察、辅助工具等多种形式,可以根据实际情况灵活采用和结合使用。
风险程度分析
1、流程
图 风险程度分析阶段的流程及其输入输出
2、说明
如图所示,风险程度分析阶段的工作流程和内容如下:
1)确认已有的安全措施。依据对象确立输出的三个报告,即《信息系统的描述报告》、《信息系统的分析报告》和《信息系统的安全要求报告》,确认已有的安全措施,包括技术层面(即物理平台、系统平台、通信平台、网络平台和应用平台)的安全功能、组织层面(即结构、岗位和人员)的安全控制和管理层面(即策略、规章和制度)的安全对策,形成《已有安全措施分析报告》。
2)分析威胁源的动机。依据对象确立输出的三个报告和《面临的威胁列表》,从利益、复仇、好奇和自负等驱使因素,分析威胁源动机的强弱,形成《威胁源分析报告》。
3)分析威胁行为的能力。依据对象确立输出的三个报告和《面临的威胁列表》,从攻击的强度、广度、速度和深度等方面,分析威胁行为能力的高低,形成《威胁行为分析报告》。
4)分析脆弱性的被利用性。依据对象确立输出的三个报告、《面临的威胁列表》和《存在的脆弱性列表》,按威胁/脆弱性对,分析脆弱性被威胁利用的难以程度,形成《脆弱性分析报告》。
5)分析资产的价值。依据对象确立输出的三个报告和《需要保护的资产清单》,从敏感性、关键性和昂贵性等方面,分析资产价值的大小,形成《资产价值分析报告》。
6)分析影响的程度。依据对象确立输出的三个报告和《需要保护的资产清单》,从资产损失、使命妨碍和人员伤亡等方面,分析影响程度的深浅,形成《影响程度分析报告》。
风险等级评价
1、流程
图 风险等级评价阶段的流程及其输入输出
2、说明
如图所示,风险等级评价阶段的工作流程和内容如下:
1)评价威胁源动机的等级。依据《威胁源分析报告》,给出威胁源动机的等级,形成《威胁源等级列表》。
2)评价威胁行为能力的等级。依据《威胁行为分析报告》,给出威胁行为能力的等级,形成《威胁行为等级列表》。
3)评价脆弱性被利用的等级。依据《脆弱性分析报告》,给出脆弱性被利用的等级,形成《脆弱性等级列表》。
4)评价资产价值的等级。依据《资产价值分析报告》,给出资产价值的等级,形成《资产价值等级列表》。
5)评价影响程度的等级。依据《影响程度分析报告》,给出影响程度的等级,形成《影响程度等级列表》。
6)综合评价风险的等级。汇总上述分析报告和等级列表,从风险评估算法库中选择合适的风险评估算法,综合评价风险的等级,形成《风险评估报告》。风险评估算法库是各种风险评估算法的汇集,包括公认算法和自创算法。
评价等级级数可以根据评价对象的特性和实际评估的需要而定,如〈高、中、低〉三级,〈很高、较高、中等、较低、很低〉五级等。
风险评估文档
表列出了风险评估过程的输出文档及其内容。
表 风险评估过程的输出文档及其内容
阶段
输出文档
文档内容
风险评估准备
《风险评估计划书》
风险评估的目的、意义、范围、目标、组织结构、经费预算和进度安排等。
《风险评估程序》
风险评估的工作流程、输入数据和输出结果等。
《入选风险评估方法和工具列表》
合适的风险评估方法和工具列表。
风险因素识别
《需要保护的资产清单》
对机构使命具有关键和重要作用的需要保护的资产清单。
《面临的威胁列表》
机构的信息资产面临的威胁列表。
《存在的脆弱性列表》
机构的信息资产存在的脆弱性列表。
风险程度分析
《已有安全措施分析报告》
确认已有的安全措施,包括技术层面(即物理平台、系统平台、通信平台、网络平台和应用平台)的安全功能、组织层面(即结构、岗位和人员)的安全控制和管理层面(即策略、规章和制度)的安全对策。
《威胁源分析报告》
从利益、复仇、好奇和自负等驱使因素,分析威胁源动机的强弱。
《威胁行为分析报告》
从攻击的强度、广度、速度和深度等方面,分析威胁行为能力的高低。
《脆弱性分析报告》
按威胁/脆弱性对,分析脆弱性被威胁利用的难以程度。
《资产价值分析报告》
从敏感性、关键性和昂贵性等方面,分析资产价值的大小。
《影响程度分析报告》
从资产损失、使命妨碍和人员伤亡等方面,分析影响程度的深浅。
风险等级评价
《威胁源等级列表》
威胁源动机的等级列表。
《威胁行为等级列表》
威胁行为能力的等级列表。
《脆弱性等级列表》
脆弱性被利用的等级列表。
《资产价值等级列表》
资产价值的等级列表。
《影响程度等级列表》
影响程度的等级列表。
《风险评估报告》
汇总上述分析报告和等级列表,综合评价风险的等级。
信息安全风险管理的风险控制
风险控制概述
风险控制的概念
风险控制是信息安全风险管理的第三步骤,依据风险评估的结果,选择和实施合适的安全措施。
风险控制的目的
风险控制是为了将风险始终控制在可接受的范围内。
风险控制的方式
风险控制方式主要有规避、转移和降低三种方式,解释如下:
规避方式。通过不使用面临风险的资产来避免风险。比如,在没有足够安全保障的信息系统中,不处理特别敏感的信息,从而防止敏感信息的泄漏。再如,对于只处理内部业务的信息系统,不使用互联网,从而避免外部的有害入侵和不良攻击。
转移方式。通过将面临风险的资产或其价值转移更安全的地方来避免或降低风险。比如,在本机构不具备足够的安全保障的技术能力时,将信息系统的技术体系(即信息载体部分)外包给满足安全保障要求的第三方机构,从而避免技术风险。再如,通过给昂贵的设备上保险,将设备损失的风险转移给保险公司,从而降低资产价值的损失。
降低方式。通过对面临风险的资产采取保护措施来降低风险。保护措施可以从构成风险的五个方面(即威胁源、威胁行为、脆弱性、资产和影响)来降低风险。比如,采用法律的手段制裁计算机犯罪(包括窃取机密信息,攻击关键的信息系统基础设施,传播病毒、不健康信息和垃圾邮件等),发挥法律的威慑作用,从而有效遏制威胁源的动机;采取身份认证措施,从而抵制身份假冒这种威胁行为的能力;及时给系统打补丁(特别是针对安全漏洞的补丁),关闭无用的网络服务端口,从而减少系统的脆弱性,降低被利用的可能性;采用各种防护措施,建立资产的安全域,从而保证资产不受侵犯,其价值得到保持;采取容灾备份、应急响应和业务连续计划等措施,从而减少安全事件造成的影响程度。
风险控制的模型
PPDRR模型是典型的、公认的安全控制模型。它是一种动态的、自适应的安全控制模型,可适应安全风险和安全需求的不断变化,提供持续的安全保障。PPDRR模型包括策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)和恢复(Recovery)5个主要部分。防护、检测、响应和恢复构成一个完整的、动态的安全循环,在安全策略的指导下共同实现安全保障。风险控制就是基于风险的安全控制,所以,PPDRR模型同样适用于风险控制。
风险控制的需求和措施
风险控制的需求来自机构信息系统的安全要求和风险评估结果。针对不同的风险控制需求,有相应的风险控制措施。表根据PPDRR模型列出了主要的风险控制需求及其相应的风险控制措施。
表 主要的风险控制需求及其相应的风险控制措施
PPDRR
风险控制需求
风险控制措施
策略
Policy
设备管理制度
建立健全各种安全相关的规章制定和操作规范,使得保护、检测和响应环节有章可循、切实有效。
机房出入守则
系统安全管理守则
系统安全配置明细
网络安全管理守则
网络安全配置明细
应用安全管理守则
应用安全配置明细
应急响应计划
安全事件处理准则
保护
Protection
机房
严格按照GB 50174-1993《电子计算机机房设计规范》、GB 9361-1988《计算机场地安全要求》、GB 2887-1982《计算机场地技术要求》和GB/T 2887-2000《计算机场地通用规范》等国家标准建设和维护计算机机房。
门控
安装门控系统
保安
建设保安制度和保安队伍。
电磁屏蔽
在必要的地方设置抗电磁干扰和防电磁泄漏的设施。
病毒防杀
全面部署防病毒系统。
漏洞补丁
及时下载和安装最新的漏洞补丁模块。
安全配置
严格遵守各系统单元的安全配置明细,避免配置中的安全漏洞。
身份认证
根据不同的安全强度,分别采用身份标识/口令、数字钥匙、数字证书、生物识别、双因子等级别的身份认证系统,对设备、用户、服务等主客体进行身份认证。
访问控制
根据不同的安全强度,分别采用自主型、强制型等级别的访问控制系统,对设备、用户等主体访问客体的权限进行控制。
数据加密
根据不同的安全强度,分别采用商密、普密、机密等级别的数据加密系统,对传输数据和存储数据进行加密。
边界控制
在网络边界布置防火墙,阻止来自外界非法访问。
数字水印
对于需要版权保护的图片、声音、文字等形式的信息,采用数字水印技术加以保护。
数字签名
在需要防止事后否认时,可采用数字签名技术。
内容净化
部署内容过滤系统。
安全机构、安全岗位、安全责任
建立健全安全机构,合理设置安全岗位,明确划分安全责任。
检测
Detection
监视、监测和报警
在适当的位置安置监视器和报警器,在各系统单元中配备监测系统和报警系统,以实时发现安全事件并及时报警。
数据校验
通过数据校验技术,发现数据篡改。
主机入侵检测
部署主机入侵检测系统,发现主机入侵行为。
主机状态监测
部署主机状态监测系统,随时掌握主机运行状态。
网络入侵检测
部署网络入侵检测系统,发现网络入侵行为。
网络状态监测
部署网络状态监测系统,随时掌握网络运行状态。
安全审计
在各系统单元中配备安全审计,以发现深层安全漏洞和安全事件。
安全监督、安全检查
实行持续有效的安全监督,预演应急响应计划。
响应
Response
恢复
Recovery
故障修复、事故排除
确保随时能够获取故障修复和事故排除的技术人员和软硬件工具。
设施备份与恢复
对于关键设施,配备设施备份与恢复系统。
系统备份与恢复
对于关键系统,配备系统备份与恢复系统。
数据备份与恢复
对于关键数据,配备数据备份与恢复系统。
信道备份与恢复
对于关键信道,配备设信道份与恢复系统。
应用备份与恢复
对于关键应用,配备应用备份与恢复系统。
应急响应
按照应急响应计划处理应急事件。
安全事件处理
按照安全事件处理找出原因、追究责任、总结经验、提出改进。
风险控制过程
风险控制的过程包括现存风险判断、控制目标确立、控制措施选择和控制措施实施四个阶段。在信息安全风险管理过程中,接受风险评估的输出,为审核批准提供输入,监控与审查和沟通与咨询贯穿其四个阶段,如图所示。
图 风险控制过程及其在信息安全风险管理中的位置
现存风险判断
1、流程
图 现存风险判断阶段的流程及其输入输出
2、说明
如图所示,现存风险判断阶段的工作流程和内容如下:
1)确定可接受风险等级。依据《信息系统的描述报告》、《信息系统的分析报告》、《信息系统的安全要求报告》和《风险评估报告》,确定可接受风险的等级,即把风险评估得出的风险等级划分为可接受和不可接受两种,形成《风险接受等级划分表》。
2)判断现存风险是否可接受。依据《风险评估报告》和《风险接受等级划分表》,判断现存风险是否可接受,形成《现存风险接受判断书》。如果判断结果是可接受,则跳出风险控制过程,进入信息安全风险管理的审核批准;否则继续风险控制过程,进入控制目标确立阶段。《现存风险接受判断书》一般需要得到信息系统和信息安全风险管理决策层的认可和批准。
控制目标确立
1、流程
图 控制目标确立阶段的流程及其输入输出
2、说明
如图所示,控制目标确立阶段的工作流程和内容如下:
1)分析风险控制需求。依据《信息系统的描述报告》、《信息系统的分析报告》、《信息系统的安全要求报告》、《风险评估报告》和《风险接受等级划分表》,从技术层面(即物理平台、系统平台、通信平台、网络平台和应用平台)、组织层面(即结构、岗位和人员)和管理层面(即策略、规章和制度),分析风险控制的需求,形成《风险控制需求分析报告》。
2)确立风险控制目标。依据《风险接受等级划分表》和《风险控制需求分析报告》,确立风险控制的目标,包括控制对象及其最低保护等级,形成《风险控制目标列表》。
控制措施选择
1、流程
图 控制措施选择阶段的流程及其输入输出
2、说明
如图所示,控制措施选择阶段的工作流程和内容如下:
1)选择风险控制方式。依据《信息系统的安全要求报告》、《风险控制需求分析报告》和《风险控制目标列表》,选择合适的风险控制方式(包括规避方式、转移方式和降低方式),并说明选择的理由以及被选控制方式的使用方法和注意事项等,形成《入选风险控制方式说明报告》。
2)选择风险控制措施。依据《风险控制目标列表》和《入选风险控制方式说明报告》,选择合适的风险控制措施,并说明选择的理由以及被选控制措施的成本、使用方法和注意事项等,形成《入选风险控制措施说明报告》。
控制措施实施
1、流程
图 控制措施实施阶段的流程及其输入输出
2、说明
如图所示,控制措施实施阶段的工作流程和内容如下:
1)制定风险控制实施计划。依据《信息系统的安全要求报告》、《风险控制目标列表》、《入选风险控制方式说明报告》和《入选风险控制措施说明报告》,制定风险控制的实施计划,包括风险控制的范围、对象、目标、组织结构、成本预算和进度安排等,形成《风险控制实施计划书》。《风险控制实施计划书》一般需要得到信息系统和信息安全风险管理决策层的认可和批准。
2)实施风险控制措施。依据《风险控制实施计划书》、《入选风险控制方式说明报告》和《入选风险控制措施说明报告》,实施风险控制措施,并记录实施的过程和结果,形成《风险控制实施记录》。
风险控制文档
表列出了风险控制过程的输出文档及其内容。
表 风险控制过程的输出文档及其内容
阶段
输出文档
文档内容
现存风险判断
《风险接受等级划分表》
风险接受等级的划分,即把风险评估得出的风险等级划分为可接受和不可接受两种。
《现存风险接受判断书》
现存风险是否可接受的判断结果。
控制目标确立
《风险控制需求分析报告》
从技术层面(即物理平台、系统平台、通信平台、网络平台和应用平台)、组织层面(即结构、岗位和人员)和管理层面(即策略、规章和制度),分析风险控制的需求。
《风险控制目标列表》
风险控制目标的列表,包括控制对象及其最低保护等级。
控制措施选择
《入选风险控制方式说明报告》
选择合适的风险控制方式(包括规避方式、转移方式和降低方式),并说明选择的理由以及被选控制方式的使用方法和注意事项等。
《入选风险控制措施说明报告》
选择合适的风险控制措施,并说明选择的理由以及被选控制措施的成本、使用方法和注意事项等。
控制措施实施
《风险控制实施计划书》
风险控制的范围、对象、目标、组织结构、成本预算和进度安排等。
《风险控制实施记录》
风险控制措施实施的过程和结果。
信息安全风险管理的审核批准
审核批准概述
审核批准的概念
审核批准是信息安全风险管理的第四步骤,审核批准包括审核和批准两部分:审核是指通过审查、测试、评审等手段,检验风险评估和风险控制的结果是否满足信息系统的安全要求;批准是指机构的决策层依据审核的结果,做出是否认可的决定。
审核既可以由机构内部完成,也可以委托外部专业机构来完成,这主要取决于信息系统的性质和机构自身的专业能力。批准一般必须由机构内部或更高层的主管机构的决策层来执行。
依据信息系统的级别和重要程度,对审核的权威性和批准的权力层要求不同。对于国家、地区或行业级别的重要信息系统,审核需要相应级别的权威机构进行测评认证,批准也需要相应级别的权利层进行决策。
审核和批准都有有效期。一般批准有效期长于审核有效期,比如,批准有效期为两年,审核有效期为一年。有效期到期时,需要重新申请。
审核批准的原则
对风险评估和风险控制的结果的审核和批准,不是仅依据相关标准进行僵化的比对过程,而是紧紧围绕着信息系统所承载的业务,通过对业务的重要性和业务遭受损失后所带来的影响来开展审核和批准工作。批准通过的依据有两个:(1)信息系统的残余风险是可接受的;(2)安全措施(包括风险评估和风险控制)满足信息系统当前业务的安全需求。
审核批准过程
审核批准的过程包括审核申请、审核处理、批准申请、批准处理和持续监督五个阶段。在信息安全风险管理过程中,接受风险控制的输出,是一次信息安全风险管理主循环的终点,监控与审查和沟通与咨询贯穿其五个阶段,如图所示。
图 审核批准过程及其在信息安全风险管理中的位置
审核申请
1、流程
图 审核申请阶段的流程及其输入输出
2、说明
如图所示,审核申请阶段的工作流程和内容如下:
1)了解审核业务。申请者阅读审核业务介绍,了解审核业务的内容要求、费用情况和进度安排,以及如何填写审核申请书和准备相关的审核材料等。
2)提交审核申请。申请者依据审核业务介绍,填写《审核申请书》和准备《审核材料》后,提交给审核机构。《审核申请书》内容包括审核的范围、对象、目标和进度要求,以及申请者的基本信息和签字等。《审核材料》内容包括风险评估过程和风险控制过程输出的文档、软件和硬件等结果。审核机构由在信息安全风险管理的执行层中负责实施审核的执行者构成。
3)受理审核申请。审核机构接收《审核申请书》和《审核材料》并审查通过后,返回《审核受理回执》。《审核受理回执》内容包括同意受理、补充材料的要求和提交时间(如果需要)、审核的进度安排和收费标准,以及审核机构的名称和签章等。
审核处理
1、流程
图 审核处理阶段的流程及其输入输出
2、说明
如图所示,审核处理阶段的工作流程和内容如下:
1)审查审核材料。审核机构按照审核的原则、规定和程序,对《审核材料》进行形式审查和技术审查,将审查结果编写成《审查结果报告》。《审查结果报告》内容包括审查的范围、对象、意见和结论(即是否通过),以及审查人员的名字和签字等。如果通过审查,则进入测试审核对象;否则,要求申请者修改《审核材料》并重新提交。如果申请者同意修改,则进入修改审核材料;否则,作为审核不通过处理。
2)修改审核材料。申请者依据《审查结果报告》中提出的意见,修改《审核材料》并重新提交,然后再次进入审查审核材料。
3)测试审核对象。审核机构依据《审核材料》,对审核对象进行检查性测试,将测试结果编写成《测试结果报告》。《测试结果报告》内容包括测试的范围、对象、意见和结论(即是否通过),以及测试人员的名字和签字等。如果通过测试,则进入组织专家鉴定;否则,要求申请者整改审核对象并重新提交《审核材料》。如果申请者同意整改,则进入整改审核对象;否则,作为审核不通过处理。
4)整改审核对象。申请者依据《测试结果报告》中提出的意见,整改审核对象,同时相应地修改《审核材料》并重新提交,然后再次进入审查审核材料。
5)组织专家鉴定。审核机构依据《审核材料》、《审查结果报告》和《测试结果报告》,组织专家对审查结果和测评结果进行鉴定,形成《专家鉴定报告》。《专家鉴定报告》内容包括鉴定的范围、对象(及其基本情况)和结论,以及专家名单和签字等。
6)做出审核结论。审核机构依据《审查结果报告》、《测试结果报告》和《专家鉴定报告》,按照审核的原则、规定和程序,做出审核结论,形成《审核结论报告》,交付申请者。《审核结论报告》内容包括审核的范围、对象、意见、结论(即是否通过)和有效期,以及审核机构的名称和签章等。如果通过审核,则进入批准申请阶段;否则,结束本次信息安全风险管理的循环,启动新一轮循环进行改进。
批准申请
1、流程
图 批准申请阶段的流程及其输入输出
2、说明
如图所示,批准申请阶段的工作流程和内容如下:
1)提交批准申请。申请者填写《批准申请书》后,连同《审核结论报告》一并提交给批准机构。《批准申请书》内容包括批准的范围、对象和期望,以及申请者的基本信息和签字等。批准机构由在信息系统和信息安全风险管理的决策层中负责重大决定的主管者构成。
2)受理批准申请。批准机构接收《批准申请书》和《审核结论报告》并审查通过后,返回《批准受理回执》。《批准受理回执》内容包括同意受理、补充材料的要求和提交时间(如果需要),以及批准机构的名称和签章等。
批准处理
1、流程
图 批准处理阶段的流程及其输入输出
2、说明
如图所示,批准处理阶段的工作流程和内容如下:
1)审阅批准材料。批准机构依据机构的使命和《信息系统的安全要求报告》,按照批准的原则、规定和程序,对《审核结论报告》进行审阅,与相关人员进行讨论和沟通,为批准决定做准备。
2)做出批准决定。批准机构按照批准的原则、规定和程序,判断信息系统的安全要求是否得到满足,机构的信息安全保障级别是否达到其使命所需要的等级,依此做出批准决定,形成《批准决定书》,交付申请者。《批准决定书》内容包括批准的范围、对象、意见、结论(即是否通过)和有效期,以及批准机构的名称和签章等。如果通过批准,则进入持续监督阶段;否则,结束本次信息安全风险管理的循环,启动新一轮循环进行改进。
持续监督
1、流程
图 持续监督阶段的流程及其输入输出
2、说明
如图所示,持续监督阶段的工作流程和内容如下:
1)检查是否过期。一是检查审核有效期;二是检查批准有效期。如果审核有效期到期,则发出《审核到期通知书》;如果批准有效期到期,则发出《批准到期通知书》。通知书的内容包括到期的时间和重新申请的要求,以及审核或批准机构的名称和签章。任何一项有效期的到期,均需重新开始审核批准过程。
2)检查有无变化。一是检查机构及其信息系统有无变化,比如,机构的使命、业务、组织结构、管理制度和技术平台等方面发展和变更;二是检查信息安全相关的环境有无变化,比如,新出台的安全相关的法律、法规、政策和标准,新的安全风险等。如果有变化,则分别给出《机构变化因素的描述报告》和《环境变化因素的描述报告》。描述报告的内容包括变化因素的列表、说明和安全隐患分析等。如果变化因素可能引入新的安全隐患并影响到安全保障级别,则结束本次信息安全风险管理的循环,启动新一轮循环进行风险评估和风险控制。
审核批准文档
表列出了审核批准过程的输出文档及其内容。
表 审核批准过程的输出文档及其内容
阶段
输出文档
文档内容
审核申请
《审核申请书》
审核的范围、对象、目标和进度要求,以及申请者的基本信息和签字等。
《审核材料》
风险评估过程和风险控制过程输出的文档、软件和硬件等结果。
《审核受理回执》
同意受理、补充材料的要求和提交时间(如果需要)、审核的进度安排和收费标准,以及审核机构的名称和签章等。
审核处理
《审查结果报告》
审查的范围、对象、意见和结论(即是否通过),以及审查人员的名字和签字等。
《测试结果报告》
测试的范围、对象、意见和结论(即是否通过),以及测试人员的名字和签字等。
《专家鉴定报告》
鉴定的范围、对象(及其基本情况)和结论,以及专家名单和签字等。
《审核结论报告》
审核的范围、对象、意见、结论(即是否通过)和有效期,以及审核机构的名称和签章等。
批准申请
《批准申请书》
批准的范围、对象和期望,以及申请者的基本信息和签字等。
《批准受理回执》
同意受理、补充材料的要求和提交时间(如果需要),以及批准机构的名称和签章等。
批准处理
《批准决定书》
批准的范围、对象、意见、结论(即是否通过)和有效期,以及批准机构的名称和签章等。
持续监督
《审核到期通知书》
到期的时间和重新申请的要求,以及审核机构的名称和签章。
《批准到期通知书》
到期的时间和重新申请的要求,以及批准机构的名称和签章。
《机构变化因素的描述报告》
机构及其信息系统变化因素的列表、说明和安全隐患分析等。
《环境变化因素的描述报告》
信息安全相关环境变化因素的列表、说明和安全隐患分析等。
信息安全风险管理的监控与审查
监控与审查概述
监控与审查的概念
监控与审查对信息安全风险管理主循环的四个步骤(即对象确立、风险评估、风险控制和审核批准)进行监控和审查。监控是监视和控制,一是监视和控制风险管理过程,即过程质量管理,以保证过程的有效性;二是分析和平衡成本效益,即成本效益管理,以保证成本的有效性。审查是跟踪受保护系统自身或所处环境的变化,以保证结果的有效性。
监控与审查的意义
信息安全风险管理活动本身也会存在风险。监督与审查可以及时发现已经出现或即将出现的变化、偏差和延误等问题,并采取适当的措施进行控制和纠正,从而减少因此造成的损失,保证信息安全风险管理主循环的有效性。
监控与审查的内容
监控与审查包括以下方面和内容:
1、监控过程有效性。
1)流程是否完整和有效地被执行?
2)输出文档是否齐全和内容完备?
2、监控成本有效性。
1)执行成本与所得效果相比是否合理?
3、审查结果有效性。
1)输出结果是否因信息系统自身或环境的变化而过时?
监控与审查过程
监控与审查的过程贯穿于信息安全风险管理的对象确立、风险评估、风险控制和审核批准这四个基本步骤,并分别输出相应的监控与审查记录,如图所示。监控与审查记录内容包括监控和审查的范围、对象、时间、过程、结果和措施等。
图 监控与审查过程及其在信息安全风险管理中的位置
贯穿对象确立
表汇总了对象确立过程中各阶段的监控与审查内容。
表 对象确立过程的监控与审查
阶段
监控
审查
过程有效性
成本有效性
结果有效性
风险管理准备
风险管理计划制定的流程及其相关文档
风险管理计划的成本与效果
《风险管理计划书》的时效
信息系统调查
信息系统调查的流程及其相关文档
信息系统调查的成本与效果
《信息系统的描述报告》的时效
信息系统分析
信息系统分析的流程及其相关文档
信息系统分析的成本与效果
《信息系统的分析报告》的时效
信息安全分析
信息系统安全要求分析的流程及其相关文档
信息系统安全要求分析的成本与效果
《信息系统的安全要求报告》的时效
贯穿风险评估
表汇总了风险评估过程中各阶段的监控与审查内容。
表 风险评估过程的监控与审查
阶段
监控
审查
过程有效性
成本有效性
结果有效性
风险评估准备
风险评估的计划制定、程序确定以及方法和工具选择的流程及其相关文档
风险评估的计划、程序以及入选方法和工具的成本与效果
《风险评估计划》、《风险评估程序》和《入选风险评估方法和工具列表》的时效
风险因素识别
资产、威胁列和脆弱性识别的流程及其相关文档
资产、威胁列和脆弱性识别的成本与效果
《需要保护的资产清单》、《面临的威胁列表》和《存在的脆弱性列表》的时效
风险程度分析
已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的流程及其相关文档
已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的成本与效果
《已有安全措施分析报告》、《威胁源分析报告》、《威胁行为分析报告》、《脆弱性分析报告》、《资产价值分析报告》和《影响程度分析报告》的时效
风险等级评价
威胁源等级、威胁行为等级、脆弱性等级、资产价值等级和影响程度等级评价以及《风险评估报告》生成的流程及其相关文档
威胁源等级、威胁行为等级、脆弱性等级、资产价值等级和影响程度等级评价以及《风险评估报告》生成的成本与效果
《威胁源等级列表》、《威胁行为等级列表》、《脆弱性等级列表》、《资产价值等级列表》、《影响程度等级列表》和《风险评估报告》的时效
贯穿风险控制
表汇总了风险控制过程中各阶段的监控与审查内容。
表 风险控制过程的监控与审查
阶段
监控
审查
过程有效性
成本有效性
结果有效性
现存风险判断
可接受风险等级确定和现存风险接受判断的流程及其相关文档
可接受风险等级确定和现存风险接受判断的成本与效果
《风险接受等级划分表》和《现存风险接受判断书》的时效
控制目标确立
风险控制需求分析和风险控制目标确立的流程及其相关文档
风险控制需求分析和风险控制目标确立的成本与效果
《风险控制需求分析报告》和《风险控制目标列表》的时效
控制措施选择
风险控制方式和措施选择的流程及其相关文档
入选风险控制方式和措施的成本与效果
《入选风险控制方式说明报告》和《入选风险控制措施说明报告》的时效
控制措施实施
风险控制实施计划制定和风险控制措施实施的流程及其相关文档
风险控制实施计划制定和风险控制措施实施的成本与效果
《风险控制实施计划书》和《风险控制实施记录》的时效
贯穿审核批准
表汇总了审核批准过程中各阶段的监控与审查内容。
表 审核批准过程的监控与审查
阶段
监控
审查
过程有效性
成本有效性
结果有效性
审核申请
审核申请和受理的流程及其相关文档
审核申请和受理的成本与效果
《审核申请书》、《审核材料》和《审核受理回执》的时效
审核处理
审核材料审查、审核对象测试、专家鉴定和审核结论给出的流程及其相关文档
审核材料审查、审核对象测试、专家鉴定和审核结论给出的成本与效果
《审查结果报告》、《测试结果报告》、《专家鉴定报告》和《审核结论报告》的时效
批准申请
批准申请和受理的流程及其相关文档
批准申请和受理的成本与效果
《批准申请书》和《批准受理回执》的时效
批准处理
审阅批准材料和批准决定做出的流程及其相关文档
审阅批准材料和批准决定做出的成本与效果
《批准决定书》的时效
持续监督
《审核结论报告》和《批准决定书》到期检查和机构及其环境变化检查的流程及其相关文档
《审核结论报告》和《批准决定书》到期检查和机构及其环境变化检查的成本与效果
《机构变化因素的描述报告》和《环境变化因素的描述报告》的时效
监控与审查文档
表列出了监控与审查过程的输出文档及其内容。
表 监控与审查过程的输出文档及其内容
过程
输出文档
文档内容
对象确立
《对象确立的监控与审查记录》
对象确立过程中监控和审查的范围、对象、时间、过程、结果和措施等。
风险评估
《风险评估的监控与审查记录》
风险评估过程中监控和审查的范围、对象、时间、过程、结果和措施等。
风险控制
《风险控制的监控与审查记录》
风险控制过程中监控和审查的范围、对象、时间、过程、结果和措施等。
审核批准
《审核批准的监控与审查记录》
审核批准过程中监控和审查的范围、对象、时间、过程、结果和措施等。
信息安全风险管理的沟通与咨询
沟通与咨询概述
沟通与咨询的概念
沟通与咨询为信息安全风险管理主循环的四个步骤(即对象确立、风险评估、风险控制和审核批准)中相关人员提供沟通和咨询。沟通是为直接参与人员提供交流途径,以保持他们之间的协调一致,共同实现安全目标。咨询是为所有相关人员提供学习途径,以提高他们的风险意识、知识和技能,配合实现安全目标。
沟通与咨询的意义
为保证信息安全风险管理活动顺利和有效地进行,相关人员行动的协调和一致以及相关知识和技能的熟练掌握是十分关键的因素。通过畅通的交流和充分的沟通,保持行动的协调和一致;通过有效的培训和方便的咨询,保证行动者具有足够的知识和技能,就是沟通与咨询的意义所在。
沟通与咨询的目标
沟通与咨询包括以下方面和目标:
1、面向参与人员的沟通
1)与决策层沟通,以得到他们的理解和批准。
2)与管理层和执行层沟通,以得到他们的理解和协作。
3)与支持层沟通,以得到他们的了解和支持。
4)与用户层沟通,以得到他们的了解和配合。
2、面向相关人员的咨询
1)为所有层面的相关人员提供咨询和培训等,以提高他们的安全意识、知识和技能。
沟通与咨询的方式
沟通与咨询的双方角色不同,所采取的方式有所不同。有关信息安全风险管理相关人员的角色和责任的划分参见表。表给出了不同层面人员之间沟通与咨询的方式。
表 沟通与咨询的方式
方式
接受方
决策层
管理层
执行层
支持层
用户层
发
出
方
决策层
交流
指导和检查
指导和检查
表态
表态
管理层
汇报
交流
指导和检查
宣传和介绍
宣传和介绍
执行层
汇报
汇报
交流
宣传和介绍
培训和咨询
支持层
培训和咨询
培训和咨询
培训和咨询
交流
培训和咨询
用户层
反馈
反馈
反馈
反馈
交流
沟通与咨询的各种方式说明如下:
指导和检查指机构上级对下级工作的指导和检查,用以保证工作质量和效率,适用于决策层对管理层、决策层对执行层和管理层对执行层。
表态指机构高层支持信息安全风险管理的对外表态,用以得到外界认同和支持,适用于决策层对支持层和决策层对用户层。
汇报指机构下级对上级做工作汇报,用以得到上级认可,适用于管理层对决策层、执行层对决策层和执行层对管理层。
宣传和介绍指机构的信息系统和信息安全风险管理的对外宣传和介绍,用以得到外界支持和配合,适用于管理层对支持层、管理层对用户层和执行层对支持层。
培训和咨询指专业人员对信息安全风险管理相关人员的培训和咨询,用以提高他们的安全意识、知识和技能,适用于执行层对用户层、支持层对决策层、支持层对管理层和支持层对执行层。
反馈指机构信息系统使用者对机构信息安全风险管理的意见反馈,用以了解实施效果和用户需求,适用于用户层对决策层、用户层对管理层、用户层对执行层和用户层对支持层。
交流指同级或同行之间的对等交流,用以共享信息和协调工作,适用于决策层对决策层、管理层对管理层、执行层对执行层、支持层对支持层和用户层对用户层。
沟通与咨询过程
沟通与咨询的过程贯穿于信息安全风险管理的对象确立、风险评估、风险控制和审核批准这四个基本步骤,并分别输出相应的沟通与咨询记录,如图所示。沟通与咨询记录内容包括沟通和咨询的范围、对象、时间、内容和结果等。
图 沟通与咨询过程及其在信息安全风险管理中的位置
贯穿对象确立
1、面向参与人员的沟通
表汇总了对象确立过程中各阶段的沟通参与人员和涉及内容。
表 对象确立过程的沟通
阶段
参与人员
涉及内容
信息系统
信息安全风险管理
风险管理准备
决策层
决策层
管理层
《风险管理计划书》
信息系统调查
管理层
执行层
支持层
管理层
执行层
《信息系统的描述报告》
信息系统分析
管理层
执行层
支持层
管理层
执行层
《信息系统的分析报告》
信息安全分析
管理层
执行层
支持层
《信息系统的安全要求报告》
2、面向相关人员的咨询
在对象确立的整个过程中,为所有相关人员提供有关对象确立的咨询和培训等。
贯穿风险评估
1、面向参与人员的沟通
表汇总了风险评估过程中各阶段的沟通参与人员和涉及内容。
表 风险评估过程的沟通
阶段
参与人员
涉及内容
信息系统
信息安全风险管理
风险评估准备
决策层
决策层
管理层
《风险评估计划》
管理层
管理层
执行层
支持层
《风险评估程序》
《入选风险评估方法和工具列表》
风险因素识别
管理层
执行层
执行层
支持层
《需要保护的资产清单》
《面临的威胁列表》
《存在的脆弱性列表》
风险程度分析
管理层
执行层
执行层
支持层
《已有安全措施分析报告》
《威胁源分析报告》
《威胁行为分析报告》
《脆弱性分析报告》
《资产价值分析报告》
《影响程度分析报告》
风险等级评价
执行层
支持层
《威胁源等级列表》
《威胁行为等级列表》
《脆弱性等级列表》
《资产价值等级列表》
《影响程度等级列表》
《风险评估报告》
2、面向相关人员的咨询
在风险评估的整个过程中,为所有相关人员提供有关风险评估的咨询和培训等。
贯穿风险控制
1、面向参与人员的沟通
表汇总了风险控制过程中各阶段的沟通参与人员和涉及内容。
表 风险控制过程的沟通
阶段
参与人员
涉及内容
信息系统
信息安全风险管理
现存风险判断
决策层
管理层
决策层
管理层
执行层
支持层
《风险接受等级划分表》
《现存风险接受判断书》
控制目标确立
管理层
管理层
执行层
支持层
《风险控制需求分析报告》
《风险控制目标列表》
控制措施选择
执行层
支持层
《入选风险控制方式说明报告》
《入选风险控制措施说明报告》
控制措施实施
管理层
执行层
管理层
执行层
支持层
《风险控制实施计划书》
《风险控制实施记录》
2、面向相关人员的咨询
在风险控制的整个过程中,为所有相关人员提供有关风险控制的咨询和培训等。
贯穿审核批准
1、面向参与人员的沟通
表汇总了审核批准过程中各阶段的沟通参与人员和涉及内容。
表 审核批准过程的沟通
阶段
参与人员
涉及内容
信息系统
信息安全风险管理
审核申请
决策层
管理层
执行层
《审核申请书》
《审核材料》
《审核受理回执》
审核处理
管理层
执行层
支持层
《审查结果报告》
《测试结果报告》
《专家鉴定报告》
《审核结论报告》
批准申请
决策层
管理层
执行层
《批准申请书》
《批准受理回执》
批准处理
决策层
决策层
管理层
《批准决定书》
持续监督
管理层
执行层
管理层
执行层
《机构变化因素的描述报告》
《环境变化因素的描述报告》
2、面向相关人员的咨询
在审核批准的整个过程中,为所有相关人员提供有关审核批准的咨询和培训等。
沟通与咨询文档
表列出了沟通与咨询过程的输出文档及其内容。
表 沟通与咨询过程的输出文档及其内容
过程
输出文档
文档内容
对象确立
《对象确立的沟通与咨询记录》
对象确立过程中沟通和咨询的范围、对象、时间、内容和结果等。
风险评估
《风险评估的沟通与咨询记录》
风险评估过程中沟通和咨询的范围、对象、时间、内容和结果等。
风险控制
《风险控制的沟通与咨询记录》
风险控制过程中沟通和咨询的范围、对象、时间、内容和结果等。
审核批准
《审核批准的沟通与咨询记录》
审核批准过程中沟通和咨询的范围、对象、时间、内容和结果等。
规划阶段的信息安全风险管理
安全需求和目标
规划阶段是要明确安全建设的目的,对安全建设目标实现的可能性进行分析并设计出总体方案。为了保证这些工作的成功完成,我们需要对每个工作任务中可以减少安全风险的环节或可能引入安全风险的环节进行安全风险管理。通过在项目规划阶段的风险管理来降低在项目后期处理相同安全风险所带来的高额成本。
下面我们列出在项目规划阶段所涉及的安全需求:
明确安全总体方针
确保安全总体方针源自业务期望
明确项目范围
清晰描述项目范围内所涉及系统的安全现状
提交明确的安全需求文档
清晰描述从系统的那些层次进行安全实现
对实现的可能性进行充分分析、论证
明确评价准则并达成一致
风险管理的过程与活动
风险管理过程概述
在项目规划阶段,风险管理者应能清楚、准确地描述机构的安全总体方针、安全策略、风险管理范围、当前正在进行的或计划中将要执行的风险管理活动以及当前特殊安全要求等。为了保证项目规划阶段风险管理目标的实现,我们需要使用本标准提供的科学的风险管理方法,首先确定管理对象,然后通过恰当的风险评估方法来发现安全风险,对于这些风险采用适当的控制手段进行合理处理,以保证其达到机构核查批准的要求,风险处于机构可接受的风险范围内。
在该阶段的风险管理工作过程中,将主要面临以下风险管理活动:
表
序号
风险管理活动
所处风险管理流程
1
明确安全总体方针
对象确立
2
安全需求分析
对象确立、风险评估
3
风险评价准则达成一致
风险控制、审核批准
对于上述风险管理活动,由于处于项目的起始阶段,因此特别需要重视沟通与监控的环节。确保在项目的规划阶段,就安全目标、管理范围、评价准则等在机构内达成一致是项目能否顺利进行和成功完成的关键。
明确安全总体方针
机构可通过以下方法来管理安全总体方针制定过程中可能引入的安全风险。
首先,机构应对安全总体方针文档的完整性、条理性、明确性等进行审查。
其次,机构应参考ISO17799、公认安全管理实践及行业标准等对安全总体方针文档的内容进行审查。
应审查的内容至少包括以下项目:
是否已经制定并发布了能够反映机构安全管理意图的信息安全文件
a) 核查机构当前业务期望
b) 核查机构当前安全总体方针
定义外界关系
识别防御体系强度
识别各类主体
c) 核查机构当前安全策略
风险管理过程的执行是否有机构保障
a) 核查机构结构合理性
b) 核查职责分工的合理性
c) 核查监控审查流程的合理性
是否有专人按照特定的过程定期进行复审与评价
a) 核查机构当前风险管理复查流程
b) 核查复查情况及调整计划
c) 核查能否确保当系统安全状态发生变化时及时地进入复审与评价的过程,以便及时地修改安全策略,恢复到机构可接受的安全状态
风险管理的范围是否明确
以上项目需根据机构具体情况进行增加或删减,但至少要保证建立了安全总体方针并且该方针是源于机构业务期望的,否则可能导致机构安全风险管理对业务运行毫无裨益。为了做安全而做安全是没有意义的。
对于安全总体方针的核查流程需得到机构相关部门的审核批准。
安全需求分析
机构可通过以下方法来管理安全需求分析过程中可能引入的安全风险。
首先,机构应对安全需求分析文档的完整性、条理性、明确性等进行审查。
其次,机构应采用信息安全风险分析方法,通过对信息系统进行风险评估来发现当前安全保障体系中存在的不足。
风险评估应保护如下的关键过程:
资产识别:
威胁识别:
脆弱性的识别
保护措施的识别
资产的分析
威胁的分析
脆弱性的分析
保护措施的分析
以上过程中,缺少任何一个过程都将给风险评估结果带来较大的偏差,因此机构应重视过程的全面性并保证每个过程的正确实施。
对于安全需求分析文档的核查流程需得到机构相关部门的审核批准。
风险评价准则达成一致
机构可通过以下方法来管理风险评价准则制定过程中可能引入的安全风险。
首先,机构应对文档的完整性、条理性、明确性等进行审查。
其次,机构可通过问卷调查或专人访谈的方式核查评价准则是否得到机构一致性的认可。核查项目如下如下:
风险管理的要素是否得到一致性认可
风险评价准则是否得到一致性认可
对于风险评价准则,机构应保证准则文档的清晰性和明确性,以及是否得到机构的一致认可,如果风险评价准则不能达成一致,这将直接导致无法对风险作出公认的评价,从而导致风险评估的失败。
对于风险评价准则的核查流程需得到机构相关部门的审核批准。
设计阶段的信息安全风险管理
安全需求和目标
设计阶段是依据项目规划阶段输出的总体方案来设计信息系统的实现结构(包括功能划分、接口协议和性能指标等)和实施方案(包括实现技术、设备选型和系统集成等)。在设计信息系统的实现结构和实施方案时,在技术的选择、配合、管理等众多的环节均容易引入安全风险,因此对关键的环节应提出必要的安全要求并有针对性地进行安全风险管理。
在该阶段的主要安全需求如下:
对用以实现安全系统的各类技术进行有效性评估。
对用于实施方案的产品需满足安全保护等级的要求
对自开发的软件要在设计阶段就充分考虑安全风险
风险管理的过程和活动
风险管理过程概述
在设计阶段,风险管理者应能标识出在项目结构实现过程中潜在的安全风险,为设计说明中的安全性设计提供评判依据,并对实施方案中选择的产品进行合格检查,确保项目设计阶段的重要环节均能得到较好的安全风险控制。
在该阶段的风险管理工作过程中,将主要面临以下风险管理活动:
表
序号
风险管理活动
所处风险管理流程
1
安全技术选择
风险控制
2
安全产品选择
风险控制
3
软件设计风险控制
风险控制
对于上述风险管理活动,机构应该注重通过足够的外部咨询来学习、了解各种技术和产品的优缺点,并在充分的内部沟通的基础上得出技术选择说明、产品选型说明以及软件安全要求文档。
安全技术选择
机构可通过以下方法来管理安全技术选择过程中可能引入的安全风险,从而构建符合要求的安全保障体系。
参考现有国内外安全标准
参考国内外公认安全实践
参考行业标准
专家委员会决策
在项目设计阶段,需充分考虑所选择的安全技术能够解决问题的程度,即技术选择的有效性。如果技术选择不合理,将直接导致相应安全弱点的暴露,安全风险的发生将是显而易见的。
对于技术选择文档的核查流程需得到机构相关部门的审核批准。
安全产品选型
机构可通过以下方法来管理安全产品选型过程中可能引入的安全风险。
核查是否符合相关安全标准要求。
核查是否通过相关认证机构的认认证
核查是否满足当前安全保障等级的要求。
核查产品的实用性
集中测试
专家会议决策
安全产品选型的合理程度将直接影响原有设计方案所要求达到的安全防御效果。因此在项目设计阶段要做好安全产品选型的工作。
对于产品选型文档的核查流程需得到机构相关部门的审核批准。
软件设计风险控制
机构可通过以下方法来管理自开发的非通用软件在前期设计过程中可能引入的安全风险。
清晰描述软件的安全功能需求
在设计规格说明书中明确指出实现的方法
参考GB18336对设计说明书的安全功能进行核查、补充
对各安全功能进行详细的功能测试
对于自主开发的非通用软件,通常由于各种原因而存在众多的安全风险,这些风险直接影响了系统的正常运行。另外,在软件设计阶段就考虑好如何规避安全风险将比实现之后再进行补救将节约大量的成本。因此在设计阶段对软件进行风险控制是非常必要和有意义的。
对于软件设计说明文档的核查流程需得到机构相关部门的审核批准。
实施阶段的信息安全风险管理
安全需求和目标
实施阶段是按照规划和设计阶段所定义的信息系统实施方案,采购设备和软件,开发定制功能,集成、部署、配置和测试系统,培训人员,并对是否允许系统投入运行进行审核批准。
实施阶段的安全需求包括:
1) 确保采购的设备、软件和其它系统组件满足已定义的安全要求;
2) 确保定制开发的软件和系统满足已定义的安全要求;
3) 确保整个系统已按照设计要求进行了部署和配置,并通过整体的安全测试来验证系统的安全功能和安全特性符合设计要求;
4) 通过对相关人员的操作培训和安全培训,确保人员已具备维持系统安全功能和安全特性的能力;
5) 通过对系统投入运行前的审核批准,确保信息系统的使用已得到授权。
在实施阶段,风险管理的主要目标是确保上述安全需求已得到实现。
风险管理的过程与活动
风险管理过程概述
实施阶段的风险管理主要活动包括检查与配置、安全测试、人员培训及授权运行,同时在上述过程中通过监控与审查、沟通与咨询来确保本阶段风险管理目标的实现。各项活动在风险管理流程中所处位置如下表所示。
表
序号
风险管理活动
所处风险管理流程
1
检查与配置
风险控制
2
安全测试
风险控制
3
人员培训
风险控制
4
授权系统运行
审核批准
在检查与配置、安全测试活动中,信息系统安全员应与系统使用人员、系统管理人员在系统安全功能和安全特性、测试计划和测试过程方面进行充分沟通,并相互配合来完成风险控制的工作。信息系统安全员还应监控上述实施过程,如发现问题及时向主管领导汇报。
检查与配置
应对采购的设备、软件、定制开发的软件和系统进行检查并正确配置,内容包括:
检查采购的设备和软件是否具有国家主管部门的生产和销售许可证,以及是否通过了国家有关部门的测评和认证;
检查采购的设备和软件、定制的软件和系统所具备的安全功能和安全特性;
按照产品说明书和设计说明书正确配置设备、软件和系统,确保符合设计要求;
如果在系统实施的过程中增加了新的安全控制措施,还应对新增加的措施给原有系统带来的风险进行分析,确保增加的控制措施与原有设计保持协调和一致。
安全测试
系统安全测试是对所开发或采购的系统特定部分的测试和整个系统的测试,内容包括:
采购的设备和软件、定制的软件和系统各部分安全功能和安全特性的测试;
对集成后整个系统的整体安全测试;
对安全管理、物理设施、人员、流程、业务或内部服务(如网络服务)的使用,以及应急计划等进行测试。
如果在开发或采购阶段增加了新的控制措施,应进行重新测试。安全测试可以由组织内部实施,也可以聘请第三方专业机构实施。
测试之前应制定测试计划,并对测试过程和测试结果进行记录。
人员培训
培训的对象包括系统的使用人员、系统维护人员和安全管理人员,培训过程是沟通与咨询的重要体现,培训内容包括:
系统的操作流程和操作方法;
安全意识、基本安全技术知识和安全管理知识;
系统维护和安全功能的使用;
安全管理制度和管理流程;
系统安全事件的应急处理流程和恢复流程。
授权系统运行
信息系统在投入运行前应进行审核批准。负责审批的管理者应与系统安全员、系统管理人员、系统使用人员进行充分沟通,必要时还可以聘请专家进行咨询,以便对系统是否可以投入运行做出正确决策。管理者对信息系统可以有以下三种授权方式:
1) 授权系统全面运行
在对安全测试的结果进行评估之后,如果系统的残余风险被认为是完全可以接受的,那么就可以为系统发布一个全面运行的授权。这时信息系统已被认可,可以没有限制地或制约地投入运行。
2) 临时批准运行
在对安全测试的结果做出评估之后,如果系统的残余风险被认为不能完全接受,但是又迫切需要将信息系统投入运行,或机构的使命需要其继续运行,那么就会为信息系统发布一个临时的运行批准。临时批准提供的是一种有限制的授权,允许信息系统在特定时限和条件下投入运行,并使相关人员了解到机构的运行和资产在限定时间内具有相对更高的风险。
临时运行额允许时限应与信息系统的风险等级相关联,最长不应超过一年。在临时批准运行结束前,信息系统应满足全面批准运行的条件,开始全面批准的运行,否则应停止系统运行。
3) 拒绝对运行进行授权
在对安全测试的结果做出评估之后,如果系统的残余风险被认为是不可以接受的,那么就要拒绝批准信息系统投入运行。对于被拒绝运行的系统,信息系统拥有者应与授权管理者和其它相关方进行沟通,重新制定风险控制措施和改进计划,将信息系统的安全风险降低到可接受的程度后,再进行授权审批。
运维阶段的信息安全风险管理
安全需求和目标
运行维护阶段是在信息系统经过授权投入运行之后,通过风险管理的相关过程和活动,确保信息系统在运行过程中、以及信息系统或其运行环境发生变化时维持系统的正常运行和安全性。
运行维护阶段的安全需求包括:
1) 在信息系统未发生更改的情况下,维持系统的正常运行,进行日常的安全操作及安全管理;
2) 在信息系统及其运行环境发生变化的情况下,进行风险评估并针对风险制定控制措施;
3) 定期进行风险再评估工作,维持系统的持续安全;
4) 定期进行信息系统的重新审批工作,确保系统授权的时间有效性。
在运行维护阶段,风险管理的主要目标是确保上述安全需求已得到实现。
风险管理的过程和活动
风险管理过程概述
运行维护阶段的风险管理主要活动包括安全运行和管理、变更管理、风险再评估、定期重新审批,同时在上述过程中通过监控与审查、沟通与咨询来确保本阶段风险管理目标的实现。各项活动在风险管理流程中所处位置如下表所示。
表
序号
风险管理活动
所处风险管理流程
1
安全运行和管理
风险控制
2
变更管理
风险评估、风险控制
3
风险再评估
风险评估、风险控制
4
定期重新审批
审核批准
图 描述了运行维护阶段风险管理活动的流程。
图 运行维护阶段的风险管理活动
安全运行和管理活动贯穿于整个运行维护阶段,在系统发生变化、运行环境发生变化、以及发现新的脆弱性的情况下,应进行系统变更管理,并将管理要求反馈到安全运行与管理活动中;在变化较大的情况下,应进行风险再评估,再评估活动也应定期进行;系统授权运行的重新审批工作也应定期进行,保证系统的授权维持时间有效性。
安全运行和管理
信息系统在开始运行之后,应按照控制措施所定义的系统操作要求、运行要求和管理要求,进行安全操作和安全管理,保证系统的安全功能的实现。安全运行和管理的例子包括执行备份、举办培训课程、管理密钥、更新用户管理和访问特权、以及更新安全软件等。
变更管理
在信息系统及其运行环境发生变化时,应评估其风险,并制定和实施相应的控制措施来控制风险。变更管理包括以下几个方面:
1)信息系统的变更
包括系统升级、增加新功能、发现新的系统威胁和脆弱性等。
2)系统运行环境的变更
包括系统的硬环境、软环境的变化,以及法律法规环境的变化。
在信息系统及其运行环境发生变化时,应执行风险管理流程中的风险评估过程和风险控制过程,分析可能出现的新风险,并制定和实施控制措施对风险进行控制。
变更管理主要用于信息系统及其运行环境发生变化不大的情况,变更管理无需对系统运行进行重新授权。
风险再评估
风险再评估是对重新对系统进行风险评估的过程。应定期进行系统的风险再评估,在信息系统及其运行环境发生重大变化时,也应适时进行风险再评估。定期风险评估的周期一般应为一年,最长不应超过2年。
风险再评估后应执行风险控制过程,针对风险制定和实施控制措施。
定期重新审批
定期重新审批是重新执行信息系统审核批准的过程。信息系统在运行一段时间之后,系统及其运行环境、风险环境都会发生变化,应重新确认系统风险是否仍在可接受的范围内。
信息系统授权的重新审批应以风险再评估的结果为依据,根据系统风险再评估后的风险状况和残余风险,重新审批信息系统是否可以继续运行。
废弃阶段的信息安全风险管理
安全需求和目标
废弃阶段是对信息系统的过时或无用部分进行报废处理的过程。在废弃阶段,风险管理的目标是确保信息、硬件、软件在执行废弃的过程中确保其安全废弃,防止发生信息系统的安全目标遭到破坏。
在这一阶段主要的风险管理活动是对系统废弃的风险评估和风险控制。
风险管理的过程和活动
风险管理过程概述
系统废弃阶段涉及到信息、硬件和软件的安全处置,应防止敏感信息就泄漏给外部人员。系统废弃的风险管理活动包括:确定废弃对象,对废弃对象的风险评估,对废弃对象及废弃过程的风险控制。同时在上述过程中通过监控与审查、沟通与咨询来确保本阶段风险管理目标的实现。各项活动在风险管理流程中所处位置如下表所示。
表
序号
风险管理活动
所处风险管理流程
1
确定废弃对象
对象确立
2
废弃对象的风险评估
风险评估
3
废弃过程的风险控制
风险控制
4
废弃后的评审
审核批准
确定废弃对象
信息系统在经过一段时间的运行及使用之后,系统的部分或全部可能不再需要。这时需要对需要废弃的部分进行分析,确定系统的哪些部分需要废弃。废弃对象的考虑范围包括被废弃的信息、硬件、软件、或者是整个系统。
应建立废弃对象的清单,并进行标识。
废弃对象的风险评估
废弃系统的风险评估主要应考虑被废弃的信息、硬件和软件的安全要求,分析废弃对原有系统造成的威胁和脆弱性,评估不安全废弃可能带来的影响和可能性。
废弃系统的安全要求应在保证原有系统的保密性、完整性和可用性的前提下,重点考虑废弃信息与系统的保密性要求,确保敏感信息不会泄漏。
废弃过程的风险控制
废弃过程的风险控制应考虑建立废弃系统的安全处置程序,可考虑以下控制措施:
a) 对载有敏感信息的媒体应加以安全妥当的保存或采用安全的方式加以处置,如焚烧或碎片,或在清空数据后供本组织内的其他方面使用。
b) 把所有的媒体收集起来并进行安全的处置,比试图分离出敏感的物品可能更加容易。
c) 许多组织对文件、设备和媒体提供收集和处置的服务。应注意选择一个适当的具有足够的控制措施和经验的承包商。
d) 若可能,对敏感物品的处置应进行记录,以便保持审核踪迹。
在堆积媒体等候集中处理时,应当考虑到聚集效应,即大量未分类信息堆置在一起可能比少量已分类的信息更敏感。
废弃后的评审
在执行完废弃过程后应对系统废弃后的残余风险进行评审,确保残余风险是在用户的可接受范围内。
评审的内容包括确认废弃后系统中的敏感信息已被有效清除,系统废弃的安全要求已得到满足。
PAGE 2
PAGE 1
系统变化
运行环境变化
发现新的脆弱性
变化
较小变化
安全运行与管理
变更管理
风险再评估
重新审批
较大变化
定期
运行维护阶段的风险管理活动
授权运行
管理要求
定期
