公司信息系統安全風險評估與管控的論文
當前,信息安全風險管理已成為企業信息化工作的關鍵,而信息系統安全風險已經成為企業信息化運營風險中最為重要的組成部分。信息系統風險管理是內控框架中的核心內容,并已成為判定企業成熟度的一項重要指標。信息系統安全風險評估是安全風險管理的基礎和重要內容,既是企業信息安全體系建設的起點,也將覆蓋其全生命周期。如何持續提升信息安全風險評估意識和能力,妥當開展信息系統安全風險評估及風險管控,是企業信息安全工作的重中之重,本文就此進行探討研究。
一、評估目的、原則及方式
1.1 評估的目的。企業進行信息系統安全風險評估,是為了提高信息安全保障體系的有效性,主要包括:發現現有基礎信息網絡和重要信息系統的安全問題和隱患,提出針對性改進措施;識別在用系統和在建系統在生命周期各個階段的安全風險;分析現有與信息安全相關的組織管理機構、管理制度和管理流程的缺陷與不足;評價已有信息安全措施的適當性、合規性等。
1.2 評估的原則。進行信息系統安全風險評估,要遵循以下原則:
(1)整體性。系統安全風險評估應從企業實際需求出發,不局限于網絡、主機等單一的安全層面,而是從業務角度進行評估,包括技術、管理和業務運營的安全性。
(2)動態性。風險評估應是動態、階段性重復的,并非一次評估即可解決所有問題。每次評估應達到有限的目標,并依據評估的動態特性考慮再次評估的時機,形成良性的評估生命周期。
(3)適當性。選擇恰當的評估對象、評估范圍、評估時機,評估對象要有代表性,確定評估范圍的恰當性、可行性等情況。
(4)規范化。應嚴格規范評估過程和成果文檔,便于項目跟蹤和控制。
(5)可控性。評估過程和所使用的工具應具有可控性。評估所采用的工具必須經過實踐檢驗,可根據企業實際現狀與需求進行定制。
(6)最小影響。評估工作應充分準備,精心籌劃,事先預見可能發生的情況并制定應急預案,不能對網絡和信息系統的運行及業務的正常運作產生影響。
(7)保密性。參與評估的工作人員應簽署保密協議,明確要求在評估過程中對所有的相關數據、信息嚴格保密,不得將評估中的任何數據用于與評估以外的任何活動。
1.3 評估方式。風險評估的方式可分為自評估、檢查評估、委托評估三種。自評估是由企業自身實施,以發現現有信息技術設施和信息系統的弱點、實施安全管理為目的的評估方式。檢查評估是由主管部門發起,對下級單位的安全風險管理工作進行檢查而實施的評估活動。委托評估是指企業委托具有風險評估能力和資質的專業評估機構實施的評估活動。
企業信息管理部門應定期或在重大、特殊事件發生時組織進行風險評估,識別和分析風險,實施控制措施,確保信息安全和信息系統的穩定安全運行。
1.4 評估時機。企業信息系統風險評估應貫穿于系統的整個生命周期,方可做好風險管控。在系統規劃設計階段,通過風險評估明確系統建設的安全目標;在系統建設階段,通過風險評估確定系統的安全目標是否達到;在系統運行維護階段,實施風險評估識別系統面臨不斷變化的風險和脆弱性,從而確定安全措施的有效性,確保信息系統安全運行;在系統廢棄階段,確保硬件和軟件等資產的殘留信息得到適當的處置,確保廢棄過程在安全的狀態下完成。
二、評估方法
企業信息系統的安全風險評估大致可分為三個階段:計劃準備階段、現場評估階段、分析報告階段。三個階段的工作內容和步驟如圖 1 所示。
2.1 計劃準備階段。在進行安全風險評估之前,充分的準備工作是評估工作成功的基礎。在計劃準備階段,需要開展以下工作:
(1)制定項目計劃。確定評估目標、范圍和對象;明確評估人員組織,包括項目領導小組、項目負責人、項目技術顧問組、風險評估小組、被評估單位項目協調人和項目配合人員;制定項目進度計劃;明確項目溝通與配合制度。(2)召開項目啟動會。進行評估前的項目動員。
(3)收集相關信息。收集所有評估對象資產信息;收集文檔信息,包括安全管理文檔、技術設施文檔、應用系統文檔和機房環境文檔等。
2.2 現場評估階段。現場評估階段包含文檔審閱、問卷調查、脆弱性掃描、本地審計、滲透測試、現場觀測和人員訪談等工作內容。
(1)文檔審閱。通過文檔審閱了解評估對象的基本信息(包括安全需求),了解各評估對象已被發現的問題、已實施的安全措施,確定需要通過訪談了解的信息和澄清的問題,以便盡量縮減人員訪談溝通時間,降低評估工作對相關人員正常業務工作的影響。
(2)問卷調查。由一組相關的封閉式或開放式問題組成,用于在評估過程中獲取信息系統在各個層面的安全狀況,包括安全策略、組織制度、執行情況等。
(3)脆弱性掃描。利用技術手段對信息系統組件進行脆弱性識別,收集各信息系統組件可能存在的技術脆弱性信息,以便在分析階段進行詳細分析。
(4)本地審計。本地審計與脆弱性掃描互補,收集各信息系統組件可能存在的技術脆弱性信息,以便在分析階段進行詳細分析。
(5)滲透測試。利用模擬XX攻擊方式發現網絡、系統存在的可利用弱點,目的是檢測系統的安全配置情況,發現配置隱患。主要通過后門利用測試、DDos 強度測試、強口令攻擊測試等手段實現。需要注意,滲透測試的風險較其它幾種手段要大得多,在實際評估中需要慎重使用,未必每次評估都要進行滲透測試。
(6)現場觀測。主要通過現場巡視和觀察等方法,觀察與應用系統、機房環境等有關的管理制度、安全運維相關的機制、系統配置現狀(如系統現有賬號、日志功能等),了解制度實際執行情況,保留檢查證據(截圖,日志文件等)并填寫現場觀測結果。
(7)人員訪談。訪談的對象包括:信息系統管理人員、應用系統相關人員、網絡及設備負責人和機房管理人員。主要涉及信息系統控制環境評估,包括安全策略、組織安全、人員、資產管理、風險管理、法律法規符合性等;信息系統通用控制評估,包括程序開發設計、變更管理、程序和數據訪問控制、投產上線、系統運維等;應用系統的安全性評估,包括身份認證、標識與授權、會話管理、系統配置、日志與審計、用戶賬戶管理、輸入控制、異常處理、數據保護和通信等;應用控制評估,包括業務操作、權限管理、職責分離、業務流程、備份等。
2.3 分析報告階段。分析報告階段的主要工作是整理現場評估獲得的數據、資料,進行綜合分析以及生成最終評估報告。
綜合分析根據收集到的各種信息,整理出系統 / 資產脆弱性,并對脆弱性進行威脅分析,包括分析威脅發生的可能性、產生的后果,判定風險級別,以及制定風險處理計劃。綜合分析對分析人員的能力要求較高。主導綜合分析和報告生成的人員必須參與過信息系統風險評估的各階段,對被評估系統有基本的了解,熟悉風險評估的方法、手段、過程,掌握風險計算方法,了解風險評估基本理論,具備較強的文字功底。
最終編寫的風險評估報告是風險評估重要的結果文件,是企業實施風險管理的主要依據,是對風險評估活動進行評審和認可的基礎資料。風險評估報告通常應包括以下內容:
(1)概述。簡要描述被評估系統的基本情況,包括功能用途、系統體系結構以及風險評估所使用的評估方法、評估過程等。
(2)評估綜述。對被評估系統及其支撐平臺已經實施的安全措施、評估發現的風險進行綜合評價。
(3)評估詳述。概要描述評估過程所發現的被評估系統存在的風險、以及不同級別的風險數量和比例;針對被評估系統及其支撐平臺的每一個風險點,進行威脅分析、現有或計劃實施的安全措施分析、風險評價等。
(4)整改建議。綜合以上分析,說明被評估系統及其支撐平臺需要采取的安全整改措施。
(5)附件。說明風險評估過程中主要訪談的人員和審閱的文檔、脆弱性-風險對應表、控制措施-風險對應表等。
三、風險控制措施
風險評估的目的在于控制和規避風險。風險控制報告包括安全管理策略和風險控制措施,要依據通過審批的風險控制報告,落實控制措施。
控制信息安全風險的重要措施是實施信息系統安全等級保護,而等級保護的基本前提是信息系統等級的劃分。企業要根據公安部等四部委聯合發布的《關于信息安全等級保護工作的實施意見》,結合企業實際情況和國內相關領域專家的建議,確定信息系統安全保護等級,實施相應的等級保護,有效控制信息安全風險,支撐企業業務的連續運行。
四、風險控制實施的監督與跟蹤
風險評估通常還包括一個至關重要的跟蹤過程,即對執行與落實整改建議的情況進行監督與跟蹤,必要時再次進行評估。
要充分利用風險評估管理信息系統作為基礎性必備工具,實現對資產信息、安全威脅信息、脆弱性信息、評估結果的統一管理,以提升評估結果的可用性。
監督與跟蹤主要工作包括建立監督與跟蹤機制、制定跟蹤計劃、執行主動監督與報告等三個步驟:
(1)企業各級信息管理部門指定專門人員,建立監督與跟蹤機制以跟蹤安全整改建議的實施和效果。
(2)對關鍵的、意義重大而且至關緊要的安全整改措施,制定并實施跟蹤計劃,包括實施計劃、預計實施時間、事項清單、驗收方法與過程等。
(3)實施單位主動監督并報告整改實施的進度與狀態,并對所有要求的整改采取跟蹤行動,直到實施完成。執行監督與跟蹤可以包括一個再評估過程,也可以采用風險評估管理信息系統來評估結果。
【公司信息系統安全風險評估與管控的論文】相關文章:
信息系統安全風險評估報告范文(精選5篇)08-14
信息系統安全風險評估報告(通用17篇)11-19
風險管控方案01-07
系統安全風險評估報告范文(精選5篇)12-06
安全生產風險管控報告08-01
住建系統安全風險評估報告(精選13篇)09-25
安全風險管控工作方案12-29
安全生產風險管控報告(精選20篇)12-20
【合集】安全生產風險管控報告5篇08-01
- 相關推薦