概述
风险评估应贯穿于评估对象生命周期
各阶段中。评估对象生命周期各阶段中涉及的风险评估原则和方法昆一致的,但由干各阶段实施内容对象、安全需求不同.使得风险评估的对象、目的、要求等各方面也有所不同。在规划设计阶段,通过风险评估以确定评估对象的安全目标;在建设验收阶段,通过风险评估以确定评估对象的安全目标达成与否;在运行维护阶段,要持续的实施风险评估以识别评估对象面临的不断变化的风险和脆弱性
,从而确定安全措施的有效性,确保安全目标得以实现。因此,每个阶段风险评估的具体实施应根据该阶段的特点有所侧重的进行。规划阶段的风险评估
规划阶段风险评估的目的是识别评估对象的业务规划,以支撑评估对象安全需求及安全规划等。
规划阶段的评估应能够描述评估对象建成后对现有业务模式的作用.包括技术、管理等方面.并根据其作用确定评估对象建设应达到的安全目标。
本阶段评估中,资产、脆弱性不需要识别;威胁应根据未来应用对象、应用环境、业务状况、操作要求等方面进行分析。评估着重在以下几方面∶
a) 是否依据相关规则,建立了与业务规划相一致的安全规划,并得到最高管理者的认可;
b) 是否依据业务建立与之相契合的安全策略.并得到最高安全管理
者的认可c) 系统规划中是否明确评估对象开发的组织、业务变更的管理、开发优先级;
d) 系统规划中是否考虑评估对象的威胁、环境,并制定总体的安全方针;
e) 系统规划中是否描述评估对象预期使用的信息,包括预期的信息系统、资产的重要性、潜在的价值、可能的使用限制、对业务的支持程度等;
f) 系统规划中是否描述所有与评估对象安全相关的运行环境,包括物理和人员的安全配置,以及明确相关的法规、组织安全策略、专门技术和知识等。规划阶段的评估结果应体现在评估对象整体规划或项目建议书中。
设计阶段的风险评估
设计阶段的风险评估需要根据规划阶段所明确的运行环境、业务重要性、资产重要性,提出安全功能需求设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断∶作为实施过程风险控制的依据。
本阶段评估中;应详细评估设让方案中面临威胁的描述,将评估对象使用的具体设备、软件等资产及其安全功能形成需求列表。对设计方案的评估着重在以下几方面;
a) 设计方案是否符合评估对象建设规划,并得到最高管理者的认可;
b) 设计方案是否对评估对象建设后面临的威胁进行了分析,重点分析来自物理环境和自然的威胁,以及由于内、外部入侵等造成的威胁;
c) 设计方案中的安全需求是否符合规划阶段的安全目标;并基于威胁的分析,制定评估对象的总体安全策略;
d) 设计方案是否采取了一定的手段来应对可能的故障;
e) 设计方案是否对设计原型中的技术实现以及人员、组织管理等方面的脆弱性进行评估.包括设计过程中的管理脆弱性和技术平台固有的脆弱性;
f)设计方案是否考虑随着其他系统接入而可能产生的风险;
g) 系统性能是否满足用户需求,并考虑到峰值的影响,是否在技术上考虑了满足系统性能要求的方法∶
h) 应用系统(含数据库)是否根据业务需要进行了安全设计;
i) 设计方案是否根据开发的规模、时间及系统的特点选择开发方法,并根据设计开发计划及用户需求,对系统涉及的软件、硬件与网络进行分析和选型;
j) 设计活动中所采用的安全控制措施、安全技术保障手段对风险的影响。在安全需求变更和设计变更后,也需要重复这项评估。
设计阶段的评估可以以安全建设方案评审的方式进行,判定方案所提供的安全功能与信息技术安全技术标准的符合性。评估结果应体现在评估对象需求分析报告或建设实施方案中。
实施阶段的风险评估
实施阶段风险评估的目的是根据安全需求和运行环境对系统开发,实施过程进行风险识别,并对建成后的安全功能进行验证。根据设计阶段分析的威胁和制定的安全措施。在实施及验收时进行质量控制。
基于设计阶段的资产列表、安全措施.实施阶段应对规划阶段的安全威胁进行进一步细分,同时评估安全措施的实现程度;从而确定安全措施能否抵御现有威胁、脆弱性的影响。实施阶段风险评估主要对业务及其相关信息系统的开发、技术与产品获取,系统交付实施两个过程进行评估。开发、技术与产
品获取过程的评估要点包括∶
a) 法律、政策、适用标准和指导方针;直接或间接影响评估对象安全需求的特定法律;影响评估对
象安全需求、产品选择的政府政策、国际或国家标准;
b) 评估对象的功能需要∶安全需求是否有效地支持系统的功能;
c) 成本效益风险;是否根据评估对象的资产、威胁和脆弱性的分析结果,确定在符合相关法律、政
策、标准和功能需要的前提下选择最合适的安全措施;
d) 评估保证级别∶是否明确系统建设后应进行怎样的测试和检查,从而确定是否满足项目建设、
实施规范的要求。
交付阶段的风险评估
系统交付实施过程的评估要点包括;
a) 根据实际建设的系统,详细分析资产、面临的威胁和脆弱性;
b) 根据系统建设目标和安全需求,对系统的安全功能进行验收测试;评价安全措施能否抵御安全威胁;
c) 评估是否建立了与整体安全策略一致的组织管理制度;
d) 对系统实现的风险控制效果与预期设计的符合性进行判断,如存在较大的不符合,应重新进行评估对象安全策略的设计与调整。
本阶段风险评估可以采取对照实施方案和标准要求的方式,对实际建设结果进行测试、分析。
运行阶段的风险评估
运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种较为全面的风险评估评估内容包括对真实运行的资产、威胁、脆弱性等各方面。
a) 资产评估∶包括对业务、系统资产、系统组件和单元资产的评估。业务评估包括业务定位、业务关联性、完整性、业务流程分析;系统资产评估包括系统分类和业务承载连续性的评估∶系统组件和单元资产是在真实环境下较为细致的评估,包括实施阶段采购的软硬件资产、系统运行过
程中生成的信息资产、相关的人员与服务等,本阶段资产识别是前期资产识别的补充与增加。
b) 威胁评估∶应全面地分析威胁的可能性和严重程度。对威胁导致安全事件的评估可以参照威胁来源动机、能力和安全事件的发生频率。
c) 脆弱性评估∶是全面的脆弱性评估。包括运行环境中物理、网络、系统、应用、安全保障设备,管理等各方面的脆弱性。技术脆弱性评估可以采取核查、扫描、案例验证、渗透性测试的方式实施;安全保障设备的脆弱性评估∶应包括安全功能的实现情况和安全保障设备本身的脆弱性;
管理脆弱性评估可以采取文档、记录核查等方式进行验证。
d) 风险计算∶根据本文件的相关方法,对风险进行定性或定量的风险分析.描述不同业务、系统资产的风险高低状况。
运行维护阶段的风险评估应定期执行∶当组织的业务流程、系统状况发生重大变更时,也应进行风险评估,重大变更包括以下情况(但不限于)∶
a)增加新的应用或应用发生较大变更∶
b)网络结构和连接状况发生较大变更∶
c) 技术平台大规模的更新;
d) 系统扩容或改造∶
e) 发生重大安全事件后,或基于某些运行记录怀疑将发生重大安全事件;
f) 组织结构发生重大变动对系统产生了影响。
废弃阶段的风险评估
废弃阶段风险评估着重在以下几方面∶
a) 确保硬件和软件等资产及残留信息得到了适当的处置,并确保系统组件被合理地丢弃或更换;
b) 如果被废弃的系统是某个系统的一部分,或与其他系统存在物理或逻辑上的连接,还需考虑系
统废弃后与其他系统的连接是否被关闭;
c) 如果在系统变更中废弃,除对废弃部分外,还应对变更的部分进行评估.以确定是否会增加风
险或引入新的风险;
d) 是否建立了流程,确保更新过程在一个安全、系统化的状态下完成。
本阶段应重点对废弃资产对组织的影响进行分析,并根据不同的影响制定不同的处理方式。对由于系统废弃可能带来的新的威胁进行分析,并改进新系统或管理模式。对废弃资产的处理过程应在有效的监督之下实施,同时对废弃的执行人员进行安全教育,评估对象的维护技术人员和管理人员均应参
与此阶段的评估。
风险评估具体操作流程
参考链接
GB-T 20984-2022 信息安全技术 信息安全风险评估方法
GB-T 20272-2019 信息安全技术 操作系统安全技术要求