公司信息系統安全風(fēng)險評估與管控的論文

　　當前，信息安全風(fēng)險管理已成為企業(yè)信息化工作的關(guān)鍵，而信息系統安全風(fēng)險已經(jīng)成為企業(yè)信息化運營(yíng)風(fēng)險中最為重要的組成部分。信息系統風(fēng)險管理是內控框架中的核心內容，并已成為判定企業(yè)成熟度的一項重要指標。信息系統安全風(fēng)險評估是安全風(fēng)險管理的基礎和重要內容，既是企業(yè)信息安全體系建設的起點(diǎn)，也將覆蓋其全生命周期。如何持續提升信息安全風(fēng)險評估意識和能力，妥當開(kāi)展信息系統安全風(fēng)險評估及風(fēng)險管控，是企業(yè)信息安全工作的重中之重，本文就此進(jìn)行探討研究。

　　一、評估目的、原則及方式

　　1.1 評估的目的。企業(yè)進(jìn)行信息系統安全風(fēng)險評估，是為了提高信息安全保障體系的有效性，主要包括：發(fā)現現有基礎信息網(wǎng)絡(luò )和重要信息系統的安全問(wèn)題和隱患，提出針對性改進(jìn)措施；識別在用系統和在建系統在生命周期各個(gè)階段的安全風(fēng)險；分析現有與信息安全相關(guān)的組織管理機構、管理制度和管理流程的缺陷與不足；評價(jià)已有信息安全措施的適當性、合規性等。

　　1.2 評估的原則。進(jìn)行信息系統安全風(fēng)險評估，要遵循以下原則：

　�。�1）整體性。系統安全風(fēng)險評估應從企業(yè)實(shí)際需求出發(fā)，不局限于網(wǎng)絡(luò )、主機等單一的安全層面，而是從業(yè)務(wù)角度進(jìn)行評估，包括技術(shù)、管理和業(yè)務(wù)運營(yíng)的安全性。

　�。�2）動(dòng)態(tài)性。風(fēng)險評估應是動(dòng)態(tài)、階段性重復的，并非一次評估即可解決所有問(wèn)題。每次評估應達到有限的目標，并依據評估的動(dòng)態(tài)特性考慮再次評估的時(shí)機，形成良性的評估生命周期。

　�。�3）適當性。選擇恰當的評估對象、評估范圍、評估時(shí)機，評估對象要有代表性，確定評估范圍的恰當性、可行性等情況。

　�。�4）規范化。應嚴格規范評估過(guò)程和成果文檔，便于項目跟蹤和控制。

　�。�5）可控性。評估過(guò)程和所使用的工具應具有可控性。評估所采用的工具必須經(jīng)過(guò)實(shí)踐檢驗，可根據企業(yè)實(shí)際現狀與需求進(jìn)行定制。

　�。�6）最小影響。評估工作應充分準備，精心籌劃，事先預見(jiàn)可能發(fā)生的情況并制定應急預案，不能對網(wǎng)絡(luò )和信息系統的運行及業(yè)務(wù)的正常運作產(chǎn)生影響。

　�。�7）保密性。參與評估的工作人員應簽署保密協(xié)議，明確要求在評估過(guò)程中對所有的相關(guān)數據、信息嚴格保密，不得將評估中的任何數據用于與評估以外的任何活動(dòng)。

　　1.3 評估方式。風(fēng)險評估的方式可分為自評估、檢查評估、委托評估三種。自評估是由企業(yè)自身實(shí)施，以發(fā)現現有信息技術(shù)設施和信息系統的弱點(diǎn)、實(shí)施安全管理為目的的評估方式。檢查評估是由主管部門(mén)發(fā)起，對下級單位的安全風(fēng)險管理工作進(jìn)行檢查而實(shí)施的評估活動(dòng)。委托評估是指企業(yè)委托具有風(fēng)險評估能力和資質(zhì)的專(zhuān)業(yè)評估機構實(shí)施的評估活動(dòng)。

　　企業(yè)信息管理部門(mén)應定期或在重大、特殊事件發(fā)生時(shí)組織進(jìn)行風(fēng)險評估，識別和分析風(fēng)險，實(shí)施控制措施，確保信息安全和信息系統的穩定安全運行。

　　1.4 評估時(shí)機。企業(yè)信息系統風(fēng)險評估應貫穿于系統的整個(gè)生命周期，方可做好風(fēng)險管控。在系統規劃設計階段，通過(guò)風(fēng)險評估明確系統建設的安全目標；在系統建設階段，通過(guò)風(fēng)險評估確定系統的安全目標是否達到；在系統運行維護階段，實(shí)施風(fēng)險評估識別系統面臨不斷變化的風(fēng)險和脆弱性，從而確定安全措施的有效性，確保信息系統安全運行；在系統廢棄階段，確保硬件和軟件等資產(chǎn)的殘留信息得到適當的處置，確保廢棄過(guò)程在安全的狀態(tài)下完成。

　　二、評估方法

　　企業(yè)信息系統的安全風(fēng)險評估大致可分為三個(gè)階段：計劃準備階段、現場(chǎng)評估階段、分析報告階段。三個(gè)階段的工作內容和步驟如圖 1 所示。

　　2.1 計劃準備階段。在進(jìn)行安全風(fēng)險評估之前，充分的準備工作是評估工作成功的基礎。在計劃準備階段，需要開(kāi)展以下工作：

　�。�1）制定項目計劃。確定評估目標、范圍和對象；明確評估人員組織，包括項目領(lǐng)導小組、項目負責人、項目技術(shù)顧問(wèn)組、風(fēng)險評估小組、被評估單位項目協(xié)調人和項目配合人員；制定項目進(jìn)度計劃；明確項目溝通與配合制度。（2）召開(kāi)項目啟動(dòng)會(huì )。進(jìn)行評估前的項目動(dòng)員。

　�。�3）收集相關(guān)信息。收集所有評估對象資產(chǎn)信息；收集文檔信息，包括安全管理文檔、技術(shù)設施文檔、應用系統文檔和機房環(huán)境文檔等。

　　2.2 現場(chǎng)評估階段�，F場(chǎng)評估階段包含文檔審閱、問(wèn)卷調查、脆弱性?huà)呙�、本地審計、滲透測試、現場(chǎng)觀(guān)測和人員訪(fǎng)談等工作內容。

　�。�1）文檔審閱。通過(guò)文檔審閱了解評估對象的基本信息（包括安全需求），了解各評估對象已被發(fā)現的問(wèn)題、已實(shí)施的安全措施，確定需要通過(guò)訪(fǎng)談了解的信息和澄清的問(wèn)題，以便盡量縮減人員訪(fǎng)談溝通時(shí)間，降低評估工作對相關(guān)人員正常業(yè)務(wù)工作的影響。

　�。�2）問(wèn)卷調查。由一組相關(guān)的封閉式或開(kāi)放式問(wèn)題組成，用于在評估過(guò)程中獲取信息系統在各個(gè)層面的安全狀況，包括安全策略、組織制度、執行情況等。

　�。�3）脆弱性?huà)呙�。利用技術(shù)手段對信息系統組件進(jìn)行脆弱性識別，收集各信息系統組件可能存在的技術(shù)脆弱性信息，以便在分析階段進(jìn)行詳細分析。

　�。�4）本地審計。本地審計與脆弱性?huà)呙杌パa，收集各信息系統組件可能存在的技術(shù)脆弱性信息，以便在分析階段進(jìn)行詳細分析。

　�。�5）滲透測試。利用模擬XX攻擊方式發(fā)現網(wǎng)絡(luò )、系統存在的可利用弱點(diǎn)，目的是檢測系統的安全配置情況，發(fā)現配置隱患。主要通過(guò)后門(mén)利用測試、DDos 強度測試、強口令攻擊測試等手段實(shí)現。需要注意，滲透測試的風(fēng)險較其它幾種手段要大得多，在實(shí)際評估中需要慎重使用，未必每次評估都要進(jìn)行滲透測試。

　�。�6）現場(chǎng)觀(guān)測。主要通過(guò)現場(chǎng)巡視和觀(guān)察等方法，觀(guān)察與應用系統、機房環(huán)境等有關(guān)的管理制度、安全運維相關(guān)的機制、系統配置現狀（如系統現有賬號、日志功能等），了解制度實(shí)際執行情況，保留檢查證據（截圖，日志文件等）并填寫(xiě)現場(chǎng)觀(guān)測結果。

　�。�7）人員訪(fǎng)談。訪(fǎng)談的對象包括：信息系統管理人員、應用系統相關(guān)人員、網(wǎng)絡(luò )及設備負責人和機房管理人員。主要涉及信息系統控制環(huán)境評估，包括安全策略、組織安全、人員、資產(chǎn)管理、風(fēng)險管理、法律法規符合性等；信息系統通用控制評估，包括程序開(kāi)發(fā)設計、變更管理、程序和數據訪(fǎng)問(wèn)控制、投產(chǎn)上線(xiàn)、系統運維等；應用系統的安全性評估，包括身份認證、標識與授權、會(huì )話(huà)管理、系統配置、日志與審計、用戶(hù)賬戶(hù)管理、輸入控制、異常處理、數據保護和通信等；應用控制評估，包括業(yè)務(wù)操作、權限管理、職責分離、業(yè)務(wù)流程、備份等。

　　2.3 分析報告階段。分析報告階段的主要工作是整理現場(chǎng)評估獲得的數據、資料，進(jìn)行綜合分析以及生成最終評估報告。

　　綜合分析根據收集到的各種信息，整理出系統 / 資產(chǎn)脆弱性，并對脆弱性進(jìn)行威脅分析，包括分析威脅發(fā)生的可能性、產(chǎn)生的后果，判定風(fēng)險級別，以及制定風(fēng)險處理計劃。綜合分析對分析人員的能力要求較高。主導綜合分析和報告生成的人員必須參與過(guò)信息系統風(fēng)險評估的各階段，對被評估系統有基本的了解，熟悉風(fēng)險評估的方法、手段、過(guò)程，掌握風(fēng)險計算方法，了解風(fēng)險評估基本理論，具備較強的文字功底。

　　最終編寫(xiě)的風(fēng)險評估報告是風(fēng)險評估重要的結果文件，是企業(yè)實(shí)施風(fēng)險管理的主要依據，是對風(fēng)險評估活動(dòng)進(jìn)行評審和認可的基礎資料。風(fēng)險評估報告通常應包括以下內容：

　�。�1）概述。簡(jiǎn)要描述被評估系統的基本情況，包括功能用途、系統體系結構以及風(fēng)險評估所使用的評估方法、評估過(guò)程等。

　�。�2）評估綜述。對被評估系統及其支撐平臺已經(jīng)實(shí)施的安全措施、評估發(fā)現的風(fēng)險進(jìn)行綜合評價(jià)。

　�。�3）評估詳述。概要描述評估過(guò)程所發(fā)現的被評估系統存在的風(fēng)險、以及不同級別的風(fēng)險數量和比例；針對被評估系統及其支撐平臺的每一個(gè)風(fēng)險點(diǎn)，進(jìn)行威脅分析、現有或計劃實(shí)施的安全措施分析、風(fēng)險評價(jià)等。

　�。�4）整改建議。綜合以上分析，說(shuō)明被評估系統及其支撐平臺需要采取的安全整改措施。

　�。�5）附件。說(shuō)明風(fēng)險評估過(guò)程中主要訪(fǎng)談的人員和審閱的文檔、脆弱性-風(fēng)險對應表、控制措施-風(fēng)險對應表等。

　　三、風(fēng)險控制措施

　　風(fēng)險評估的目的在于控制和規避風(fēng)險。風(fēng)險控制報告包括安全管理策略和風(fēng)險控制措施，要依據通過(guò)審批的風(fēng)險控制報告，落實(shí)控制措施。

　　控制信息安全風(fēng)險的重要措施是實(shí)施信息系統安全等級保護，而等級保護的基本前提是信息系統等級的劃分。企業(yè)要根據公安部等四部委聯(lián)合發(fā)布的《關(guān)于信息安全等級保護工作的實(shí)施意見(jiàn)》，結合企業(yè)實(shí)際情況和國內相關(guān)領(lǐng)域專(zhuān)家的建議，確定信息系統安全保護等級，實(shí)施相應的等級保護，有效控制信息安全風(fēng)險，支撐企業(yè)業(yè)務(wù)的連續運行。

　　四、風(fēng)險控制實(shí)施的監督與跟蹤

　　風(fēng)險評估通常還包括一個(gè)至關(guān)重要的跟蹤過(guò)程，即對執行與落實(shí)整改建議的情況進(jìn)行監督與跟蹤，必要時(shí)再次進(jìn)行評估。

　　要充分利用風(fēng)險評估管理信息系統作為基礎性必備工具，實(shí)現對資產(chǎn)信息、安全威脅信息、脆弱性信息、評估結果的統一管理，以提升評估結果的可用性。

　　監督與跟蹤主要工作包括建立監督與跟蹤機制、制定跟蹤計劃、執行主動(dòng)監督與報告等三個(gè)步驟：

　�。�1）企業(yè)各級信息管理部門(mén)指定專(zhuān)門(mén)人員，建立監督與跟蹤機制以跟蹤安全整改建議的實(shí)施和效果。

　�。�2）對關(guān)鍵的、意義重大而且至關(guān)緊要的安全整改措施，制定并實(shí)施跟蹤計劃，包括實(shí)施計劃、預計實(shí)施時(shí)間、事項清單、驗收方法與過(guò)程等。

　�。�3）實(shí)施單位主動(dòng)監督并報告整改實(shí)施的進(jìn)度與狀態(tài)，并對所有要求的整改采取跟蹤行動(dòng)，直到實(shí)施完成。執行監督與跟蹤可以包括一個(gè)再評估過(guò)程，也可以采用風(fēng)險評估管理信息系統來(lái)評估結果。

【公司信息系統安全風(fēng)險評估與管控的論文】相關(guān)文章：

信息系統安全風(fēng)險評估報告范文（精選5篇）08-14

信息系統安全風(fēng)險評估報告（通用17篇）11-19

風(fēng)險管控方案01-07

系統安全風(fēng)險評估報告范文（精選5篇）12-06

安全生產(chǎn)風(fēng)險管控報告08-01

住建系統安全風(fēng)險評估報告（精選13篇）09-25

安全風(fēng)險管控工作方案12-29

住建系統安全風(fēng)險評估報告范文（通用11篇）12-03

安全生產(chǎn)風(fēng)險管控報告（精選20篇）12-20

【合集】安全生產(chǎn)風(fēng)險管控報告5篇08-01