- 相关推荐
公司信息系统安全风险评估与管控的论文
当前,信息安全风险管理已成为企业信息化工作的关键,而信息系统安全风险已经成为企业信息化运营风险中最为重要的组成部分。信息系统风险管理是内控框架中的核心内容,并已成为判定企业成熟度的一项重要指标。信息系统安全风险评估是安全风险管理的基础和重要内容,既是企业信息安全体系建设的起点,也将覆盖其全生命周期。如何持续提升信息安全风险评估意识和能力,妥当开展信息系统安全风险评估及风险管控,是企业信息安全工作的重中之重,本文就此进行探讨研究。
一、评估目的、原则及方式
1.1 评估的目的。企业进行信息系统安全风险评估,是为了提高信息安全保障体系的有效性,主要包括:发现现有基础信息网络和重要信息系统的安全问题和隐患,提出针对性改进措施;识别在用系统和在建系统在生命周期各个阶段的安全风险;分析现有与信息安全相关的组织管理机构、管理制度和管理流程的缺陷与不足;评价已有信息安全措施的适当性、合规性等。
1.2 评估的原则。进行信息系统安全风险评估,要遵循以下原则:
(1)整体性。系统安全风险评估应从企业实际需求出发,不局限于网络、主机等单一的安全层面,而是从业务角度进行评估,包括技术、管理和业务运营的安全性。
(2)动态性。风险评估应是动态、阶段性重复的,并非一次评估即可解决所有问题。每次评估应达到有限的目标,并依据评估的动态特性考虑再次评估的时机,形成良性的评估生命周期。
(3)适当性。选择恰当的评估对象、评估范围、评估时机,评估对象要有代表性,确定评估范围的恰当性、可行性等情况。
(4)规范化。应严格规范评估过程和成果文档,便于项目跟踪和控制。
(5)可控性。评估过程和所使用的工具应具有可控性。评估所采用的工具必须经过实践检验,可根据企业实际现状与需求进行定制。
(6)最小影响。评估工作应充分准备,精心筹划,事先预见可能发生的情况并制定应急预案,不能对网络和信息系统的运行及业务的正常运作产生影响。
(7)保密性。参与评估的工作人员应签署保密协议,明确要求在评估过程中对所有的相关数据、信息严格保密,不得将评估中的任何数据用于与评估以外的任何活动。
1.3 评估方式。风险评估的方式可分为自评估、检查评估、委托评估三种。自评估是由企业自身实施,以发现现有信息技术设施和信息系统的弱点、实施安全管理为目的的评估方式。检查评估是由主管部门发起,对下级单位的安全风险管理工作进行检查而实施的评估活动。委托评估是指企业委托具有风险评估能力和资质的专业评估机构实施的评估活动。
企业信息管理部门应定期或在重大、特殊事件发生时组织进行风险评估,识别和分析风险,实施控制措施,确保信息安全和信息系统的稳定安全运行。
1.4 评估时机。企业信息系统风险评估应贯穿于系统的整个生命周期,方可做好风险管控。在系统规划设计阶段,通过风险评估明确系统建设的安全目标;在系统建设阶段,通过风险评估确定系统的安全目标是否达到;在系统运行维护阶段,实施风险评估识别系统面临不断变化的风险和脆弱性,从而确定安全措施的有效性,确保信息系统安全运行;在系统废弃阶段,确保硬件和软件等资产的残留信息得到适当的处置,确保废弃过程在安全的状态下完成。
二、评估方法
企业信息系统的安全风险评估大致可分为三个阶段:计划准备阶段、现场评估阶段、分析报告阶段。三个阶段的工作内容和步骤如图 1 所示。
2.1 计划准备阶段。在进行安全风险评估之前,充分的准备工作是评估工作成功的基础。在计划准备阶段,需要开展以下工作:
(1)制定项目计划。确定评估目标、范围和对象;明确评估人员组织,包括项目领导小组、项目负责人、项目技术顾问组、风险评估小组、被评估单位项目协调人和项目配合人员;制定项目进度计划;明确项目沟通与配合制度。(2)召开项目启动会。进行评估前的项目动员。
(3)收集相关信息。收集所有评估对象资产信息;收集文档信息,包括安全管理文档、技术设施文档、应用系统文档和机房环境文档等。
2.2 现场评估阶段。现场评估阶段包含文档审阅、问卷调查、脆弱性扫描、本地审计、渗透测试、现场观测和人员访谈等工作内容。
(1)文档审阅。通过文档审阅了解评估对象的基本信息(包括安全需求),了解各评估对象已被发现的问题、已实施的安全措施,确定需要通过访谈了解的信息和澄清的问题,以便尽量缩减人员访谈沟通时间,降低评估工作对相关人员正常业务工作的影响。
(2)问卷调查。由一组相关的封闭式或开放式问题组成,用于在评估过程中获取信息系统在各个层面的安全状况,包括安全策略、组织制度、执行情况等。
(3)脆弱性扫描。利用技术手段对信息系统组件进行脆弱性识别,收集各信息系统组件可能存在的技术脆弱性信息,以便在分析阶段进行详细分析。
(4)本地审计。本地审计与脆弱性扫描互补,收集各信息系统组件可能存在的技术脆弱性信息,以便在分析阶段进行详细分析。
(5)渗透测试。利用模拟XX攻击方式发现网络、系统存在的可利用弱点,目的是检测系统的安全配置情况,发现配置隐患。主要通过后门利用测试、DDos 强度测试、强口令攻击测试等手段实现。需要注意,渗透测试的风险较其它几种手段要大得多,在实际评估中需要慎重使用,未必每次评估都要进行渗透测试。
(6)现场观测。主要通过现场巡视和观察等方法,观察与应用系统、机房环境等有关的管理制度、安全运维相关的机制、系统配置现状(如系统现有账号、日志功能等),了解制度实际执行情况,保留检查证据(截图,日志文件等)并填写现场观测结果。
(7)人员访谈。访谈的对象包括:信息系统管理人员、应用系统相关人员、网络及设备负责人和机房管理人员。主要涉及信息系统控制环境评估,包括安全策略、组织安全、人员、资产管理、风险管理、法律法规符合性等;信息系统通用控制评估,包括程序开发设计、变更管理、程序和数据访问控制、投产上线、系统运维等;应用系统的安全性评估,包括身份认证、标识与授权、会话管理、系统配置、日志与审计、用户账户管理、输入控制、异常处理、数据保护和通信等;应用控制评估,包括业务操作、权限管理、职责分离、业务流程、备份等。
2.3 分析报告阶段。分析报告阶段的主要工作是整理现场评估获得的数据、资料,进行综合分析以及生成最终评估报告。
综合分析根据收集到的各种信息,整理出系统 / 资产脆弱性,并对脆弱性进行威胁分析,包括分析威胁发生的可能性、产生的后果,判定风险级别,以及制定风险处理计划。综合分析对分析人员的能力要求较高。主导综合分析和报告生成的人员必须参与过信息系统风险评估的各阶段,对被评估系统有基本的了解,熟悉风险评估的方法、手段、过程,掌握风险计算方法,了解风险评估基本理论,具备较强的文字功底。
最终编写的风险评估报告是风险评估重要的结果文件,是企业实施风险管理的主要依据,是对风险评估活动进行评审和认可的基础资料。风险评估报告通常应包括以下内容:
(1)概述。简要描述被评估系统的基本情况,包括功能用途、系统体系结构以及风险评估所使用的评估方法、评估过程等。
(2)评估综述。对被评估系统及其支撑平台已经实施的安全措施、评估发现的风险进行综合评价。
(3)评估详述。概要描述评估过程所发现的被评估系统存在的风险、以及不同级别的风险数量和比例;针对被评估系统及其支撑平台的每一个风险点,进行威胁分析、现有或计划实施的安全措施分析、风险评价等。
(4)整改建议。综合以上分析,说明被评估系统及其支撑平台需要采取的安全整改措施。
(5)附件。说明风险评估过程中主要访谈的人员和审阅的文档、脆弱性-风险对应表、控制措施-风险对应表等。
三、风险控制措施
风险评估的目的在于控制和规避风险。风险控制报告包括安全管理策略和风险控制措施,要依据通过审批的风险控制报告,落实控制措施。
控制信息安全风险的重要措施是实施信息系统安全等级保护,而等级保护的基本前提是信息系统等级的划分。企业要根据公安部等四部委联合发布的《关于信息安全等级保护工作的实施意见》,结合企业实际情况和国内相关领域专家的建议,确定信息系统安全保护等级,实施相应的等级保护,有效控制信息安全风险,支撑企业业务的连续运行。
四、风险控制实施的监督与跟踪
风险评估通常还包括一个至关重要的跟踪过程,即对执行与落实整改建议的情况进行监督与跟踪,必要时再次进行评估。
要充分利用风险评估管理信息系统作为基础性必备工具,实现对资产信息、安全威胁信息、脆弱性信息、评估结果的统一管理,以提升评估结果的可用性。
监督与跟踪主要工作包括建立监督与跟踪机制、制定跟踪计划、执行主动监督与报告等三个步骤:
(1)企业各级信息管理部门指定专门人员,建立监督与跟踪机制以跟踪安全整改建议的实施和效果。
(2)对关键的、意义重大而且至关紧要的安全整改措施,制定并实施跟踪计划,包括实施计划、预计实施时间、事项清单、验收方法与过程等。
(3)实施单位主动监督并报告整改实施的进度与状态,并对所有要求的整改采取跟踪行动,直到实施完成。执行监督与跟踪可以包括一个再评估过程,也可以采用风险评估管理信息系统来评估结果。
【公司信息系统安全风险评估与管控的论文】相关文章:
信息安全风险评估探究的论文10-09
信息系统安全风险评估报告(通用15篇)12-30
信息系统安全风险评估报告范文(精选5篇)11-21
关于信息安全风险评估项目管理的论文10-09
系统安全风险评估报告范文(精选5篇)11-18
住建系统安全风险评估报告(精选13篇)03-22
医院成本管控分析论文10-09
安全生产风险管控报告(精选20篇)11-25
学校重大风险管控方案及措施12-12