公司信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估與管控的論文

　　當(dāng)前，信息安全風(fēng)險(xiǎn)管理已成為企業(yè)信息化工作的關(guān)鍵，而信息系統(tǒng)安全風(fēng)險(xiǎn)已經(jīng)成為企業(yè)信息化運(yùn)營風(fēng)險(xiǎn)中最為重要的組成部分。信息系統(tǒng)風(fēng)險(xiǎn)管理是內(nèi)控框架中的核心內(nèi)容，并已成為判定企業(yè)成熟度的一項(xiàng)重要指標(biāo)。信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估是安全風(fēng)險(xiǎn)管理的基礎(chǔ)和重要內(nèi)容，既是企業(yè)信息安全體系建設(shè)的起點(diǎn)，也將覆蓋其全生命周期。如何持續(xù)提升信息安全風(fēng)險(xiǎn)評(píng)估意識(shí)和能力，妥當(dāng)開展信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估及風(fēng)險(xiǎn)管控，是企業(yè)信息安全工作的重中之重，本文就此進(jìn)行探討研究。

　　一、評(píng)估目的、原則及方式

　　1.1 評(píng)估的目的。企業(yè)進(jìn)行信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估，是為了提高信息安全保障體系的有效性，主要包括：發(fā)現(xiàn)現(xiàn)有基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全問題和隱患，提出針對性改進(jìn)措施；識(shí)別在用系統(tǒng)和在建系統(tǒng)在生命周期各個(gè)階段的安全風(fēng)險(xiǎn)；分析現(xiàn)有與信息安全相關(guān)的組織管理機(jī)構(gòu)、管理制度和管理流程的缺陷與不足；評(píng)價(jià)已有信息安全措施的適當(dāng)性、合規(guī)性等。

　　1.2 評(píng)估的原則。進(jìn)行信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估，要遵循以下原則：

　�。�1）整體性。系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估應(yīng)從企業(yè)實(shí)際需求出發(fā)，不局限于網(wǎng)絡(luò)、主機(jī)等單一的安全層面，而是從業(yè)務(wù)角度進(jìn)行評(píng)估，包括技術(shù)、管理和業(yè)務(wù)運(yùn)營的安全性。

　�。�2）動(dòng)態(tài)性。風(fēng)險(xiǎn)評(píng)估應(yīng)是動(dòng)態(tài)、階段性重復(fù)的，并非一次評(píng)估即可解決所有問題。每次評(píng)估應(yīng)達(dá)到有限的目標(biāo)，并依據(jù)評(píng)估的動(dòng)態(tài)特性考慮再次評(píng)估的時(shí)機(jī)，形成良性的評(píng)估生命周期。

　�。�3）適當(dāng)性。選擇恰當(dāng)?shù)脑u(píng)估對象、評(píng)估范圍、評(píng)估時(shí)機(jī)，評(píng)估對象要有代表性，確定評(píng)估范圍的恰當(dāng)性、可行性等情況。

　　（4）規(guī)范化。應(yīng)嚴(yán)格規(guī)范評(píng)估過程和成果文檔，便于項(xiàng)目跟蹤和控制。

　�。�5）可控性。評(píng)估過程和所使用的工具應(yīng)具有可控性。評(píng)估所采用的工具必須經(jīng)過實(shí)踐檢驗(yàn)，可根據(jù)企業(yè)實(shí)際現(xiàn)狀與需求進(jìn)行定制。

　�。�6）最小影響。評(píng)估工作應(yīng)充分準(zhǔn)備，精心籌劃，事先預(yù)見可能發(fā)生的情況并制定應(yīng)急預(yù)案，不能對網(wǎng)絡(luò)和信息系統(tǒng)的運(yùn)行及業(yè)務(wù)的正常運(yùn)作產(chǎn)生影響。

　　（7）保密性。參與評(píng)估的工作人員應(yīng)簽署保密協(xié)議，明確要求在評(píng)估過程中對所有的相關(guān)數(shù)據(jù)、信息嚴(yán)格保密，不得將評(píng)估中的任何數(shù)據(jù)用于與評(píng)估以外的任何活動(dòng)。

　　1.3 評(píng)估方式。風(fēng)險(xiǎn)評(píng)估的方式可分為自評(píng)估、檢查評(píng)估、委托評(píng)估三種。自評(píng)估是由企業(yè)自身實(shí)施，以發(fā)現(xiàn)現(xiàn)有信息技術(shù)設(shè)施和信息系統(tǒng)的弱點(diǎn)、實(shí)施安全管理為目的的評(píng)估方式。檢查評(píng)估是由主管部門發(fā)起，對下級(jí)單位的安全風(fēng)險(xiǎn)管理工作進(jìn)行檢查而實(shí)施的評(píng)估活動(dòng)。委托評(píng)估是指企業(yè)委托具有風(fēng)險(xiǎn)評(píng)估能力和資質(zhì)的專業(yè)評(píng)估機(jī)構(gòu)實(shí)施的評(píng)估活動(dòng)。

　　企業(yè)信息管理部門應(yīng)定期或在重大、特殊事件發(fā)生時(shí)組織進(jìn)行風(fēng)險(xiǎn)評(píng)估，識(shí)別和分析風(fēng)險(xiǎn)，實(shí)施控制措施，確保信息安全和信息系統(tǒng)的穩(wěn)定安全運(yùn)行。

　　1.4 評(píng)估時(shí)機(jī)。企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于系統(tǒng)的整個(gè)生命周期，方可做好風(fēng)險(xiǎn)管控。在系統(tǒng)規(guī)劃設(shè)計(jì)階段，通過風(fēng)險(xiǎn)評(píng)估明確系統(tǒng)建設(shè)的安全目標(biāo)；在系統(tǒng)建設(shè)階段，通過風(fēng)險(xiǎn)評(píng)估確定系統(tǒng)的安全目標(biāo)是否達(dá)到；在系統(tǒng)運(yùn)行維護(hù)階段，實(shí)施風(fēng)險(xiǎn)評(píng)估識(shí)別系統(tǒng)面臨不斷變化的風(fēng)險(xiǎn)和脆弱性，從而確定安全措施的有效性，確保信息系統(tǒng)安全運(yùn)行；在系統(tǒng)廢棄階段，確保硬件和軟件等資產(chǎn)的殘留信息得到適當(dāng)?shù)奶幹�，確保廢棄過程在安全的狀態(tài)下完成。

　　二、評(píng)估方法

　　企業(yè)信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估大致可分為三個(gè)階段：計(jì)劃準(zhǔn)備階段、現(xiàn)場評(píng)估階段、分析報(bào)告階段。三個(gè)階段的工作內(nèi)容和步驟如圖 1 所示。

　　2.1 計(jì)劃準(zhǔn)備階段。在進(jìn)行安全風(fēng)險(xiǎn)評(píng)估之前，充分的準(zhǔn)備工作是評(píng)估工作成功的基礎(chǔ)。在計(jì)劃準(zhǔn)備階段，需要開展以下工作：

　�。�1）制定項(xiàng)目計(jì)劃。確定評(píng)估目標(biāo)、范圍和對象；明確評(píng)估人員組織，包括項(xiàng)目領(lǐng)導(dǎo)小組、項(xiàng)目負(fù)責(zé)人、項(xiàng)目技術(shù)顧問組、風(fēng)險(xiǎn)評(píng)估小組、被評(píng)估單位項(xiàng)目協(xié)調(diào)人和項(xiàng)目配合人員；制定項(xiàng)目進(jìn)度計(jì)劃；明確項(xiàng)目溝通與配合制度。（2）召開項(xiàng)目啟動(dòng)會(huì)。進(jìn)行評(píng)估前的項(xiàng)目動(dòng)員。

　�。�3）收集相關(guān)信息。收集所有評(píng)估對象資產(chǎn)信息；收集文檔信息，包括安全管理文檔、技術(shù)設(shè)施文檔、應(yīng)用系統(tǒng)文檔和機(jī)房環(huán)境文檔等。

　　2.2 現(xiàn)場評(píng)估階段�，F(xiàn)場評(píng)估階段包含文檔審閱、問卷調(diào)查、脆弱性掃描、本地審計(jì)、滲透測試、現(xiàn)場觀測和人員訪談等工作內(nèi)容。

　�。�1）文檔審閱。通過文檔審閱了解評(píng)估對象的基本信息（包括安全需求），了解各評(píng)估對象已被發(fā)現(xiàn)的問題、已實(shí)施的安全措施，確定需要通過訪談了解的信息和澄清的問題，以便盡量縮減人員訪談溝通時(shí)間，降低評(píng)估工作對相關(guān)人員正常業(yè)務(wù)工作的影響。

　�。�2）問卷調(diào)查。由一組相關(guān)的封閉式或開放式問題組成，用于在評(píng)估過程中獲取信息系統(tǒng)在各個(gè)層面的安全狀況，包括安全策略、組織制度、執(zhí)行情況等。

　�。�3）脆弱性掃描。利用技術(shù)手段對信息系統(tǒng)組件進(jìn)行脆弱性識(shí)別，收集各信息系統(tǒng)組件可能存在的技術(shù)脆弱性信息，以便在分析階段進(jìn)行詳細(xì)分析。

　�。�4）本地審計(jì)。本地審計(jì)與脆弱性掃描互補(bǔ)，收集各信息系統(tǒng)組件可能存在的技術(shù)脆弱性信息，以便在分析階段進(jìn)行詳細(xì)分析。

　�。�5）滲透測試。利用模擬XX攻擊方式發(fā)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)存在的可利用弱點(diǎn)，目的是檢測系統(tǒng)的安全配置情況，發(fā)現(xiàn)配置隱患。主要通過后門利用測試、DDos 強(qiáng)度測試、強(qiáng)口令攻擊測試等手段實(shí)現(xiàn)。需要注意，滲透測試的風(fēng)險(xiǎn)較其它幾種手段要大得多，在實(shí)際評(píng)估中需要慎重使用，未必每次評(píng)估都要進(jìn)行滲透測試。

　�。�6）現(xiàn)場觀測。主要通過現(xiàn)場巡視和觀察等方法，觀察與應(yīng)用系統(tǒng)、機(jī)房環(huán)境等有關(guān)的管理制度、安全運(yùn)維相關(guān)的機(jī)制、系統(tǒng)配置現(xiàn)狀（如系統(tǒng)現(xiàn)有賬號(hào)、日志功能等），了解制度實(shí)際執(zhí)行情況，保留檢查證據(jù)（截圖，日志文件等）并填寫現(xiàn)場觀測結(jié)果。

　�。�7）人員訪談。訪談的對象包括：信息系統(tǒng)管理人員、應(yīng)用系統(tǒng)相關(guān)人員、網(wǎng)絡(luò)及設(shè)備負(fù)責(zé)人和機(jī)房管理人員。主要涉及信息系統(tǒng)控制環(huán)境評(píng)估，包括安全策略、組織安全、人員、資產(chǎn)管理、風(fēng)險(xiǎn)管理、法律法規(guī)符合性等；信息系統(tǒng)通用控制評(píng)估，包括程序開發(fā)設(shè)計(jì)、變更管理、程序和數(shù)據(jù)訪問控制、投產(chǎn)上線、系統(tǒng)運(yùn)維等；應(yīng)用系統(tǒng)的安全性評(píng)估，包括身份認(rèn)證、標(biāo)識(shí)與授權(quán)、會(huì)話管理、系統(tǒng)配置、日志與審計(jì)、用戶賬戶管理、輸入控制、異常處理、數(shù)據(jù)保護(hù)和通信等；應(yīng)用控制評(píng)估，包括業(yè)務(wù)操作、權(quán)限管理、職責(zé)分離、業(yè)務(wù)流程、備份等。

　　2.3 分析報(bào)告階段。分析報(bào)告階段的主要工作是整理現(xiàn)場評(píng)估獲得的數(shù)據(jù)、資料，進(jìn)行綜合分析以及生成最終評(píng)估報(bào)告。

　　綜合分析根據(jù)收集到的各種信息，整理出系統(tǒng) / 資產(chǎn)脆弱性，并對脆弱性進(jìn)行威脅分析，包括分析威脅發(fā)生的可能性、產(chǎn)生的后果，判定風(fēng)險(xiǎn)級(jí)別，以及制定風(fēng)險(xiǎn)處理計(jì)劃。綜合分析對分析人員的能力要求較高。主導(dǎo)綜合分析和報(bào)告生成的人員必須參與過信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的各階段，對被評(píng)估系統(tǒng)有基本的了解，熟悉風(fēng)險(xiǎn)評(píng)估的方法、手段、過程，掌握風(fēng)險(xiǎn)計(jì)算方法，了解風(fēng)險(xiǎn)評(píng)估基本理論，具備較強(qiáng)的文字功底。

　　最終編寫的風(fēng)險(xiǎn)評(píng)估報(bào)告是風(fēng)險(xiǎn)評(píng)估重要的結(jié)果文件，是企業(yè)實(shí)施風(fēng)險(xiǎn)管理的主要依據(jù)，是對風(fēng)險(xiǎn)評(píng)估活動(dòng)進(jìn)行評(píng)審和認(rèn)可的基礎(chǔ)資料。風(fēng)險(xiǎn)評(píng)估報(bào)告通常應(yīng)包括以下內(nèi)容：

　�。�1）概述。簡要描述被評(píng)估系統(tǒng)的基本情況，包括功能用途、系統(tǒng)體系結(jié)構(gòu)以及風(fēng)險(xiǎn)評(píng)估所使用的評(píng)估方法、評(píng)估過程等。

　�。�2）評(píng)估綜述。對被評(píng)估系統(tǒng)及其支撐平臺(tái)已經(jīng)實(shí)施的安全措施、評(píng)估發(fā)現(xiàn)的風(fēng)險(xiǎn)進(jìn)行綜合評(píng)價(jià)。

　　（3）評(píng)估詳述。概要描述評(píng)估過程所發(fā)現(xiàn)的被評(píng)估系統(tǒng)存在的風(fēng)險(xiǎn)、以及不同級(jí)別的風(fēng)險(xiǎn)數(shù)量和比例；針對被評(píng)估系統(tǒng)及其支撐平臺(tái)的每一個(gè)風(fēng)險(xiǎn)點(diǎn)，進(jìn)行威脅分析、現(xiàn)有或計(jì)劃實(shí)施的安全措施分析、風(fēng)險(xiǎn)評(píng)價(jià)等。

　�。�4）整改建議。綜合以上分析，說明被評(píng)估系統(tǒng)及其支撐平臺(tái)需要采取的安全整改措施。

　�。�5）附件。說明風(fēng)險(xiǎn)評(píng)估過程中主要訪談的人員和審閱的文檔、脆弱性-風(fēng)險(xiǎn)對應(yīng)表、控制措施-風(fēng)險(xiǎn)對應(yīng)表等。

　　三、風(fēng)險(xiǎn)控制措施

　　風(fēng)險(xiǎn)評(píng)估的目的在于控制和規(guī)避風(fēng)險(xiǎn)。風(fēng)險(xiǎn)控制報(bào)告包括安全管理策略和風(fēng)險(xiǎn)控制措施，要依據(jù)通過審批的風(fēng)險(xiǎn)控制報(bào)告，落實(shí)控制措施。

　　控制信息安全風(fēng)險(xiǎn)的重要措施是實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)，而等級(jí)保護(hù)的基本前提是信息系統(tǒng)等級(jí)的劃分。企業(yè)要根據(jù)公安部等四部委聯(lián)合發(fā)布的《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》，結(jié)合企業(yè)實(shí)際情況和國內(nèi)相關(guān)領(lǐng)域?qū)＜业慕ㄗh，確定信息系統(tǒng)安全保護(hù)等級(jí)，實(shí)施相應(yīng)的等級(jí)保護(hù)，有效控制信息安全風(fēng)險(xiǎn)，支撐企業(yè)業(yè)務(wù)的連續(xù)運(yùn)行。

　　四、風(fēng)險(xiǎn)控制實(shí)施的監(jiān)督與跟蹤

　　風(fēng)險(xiǎn)評(píng)估通常還包括一個(gè)至關(guān)重要的跟蹤過程，即對執(zhí)行與落實(shí)整改建議的情況進(jìn)行監(jiān)督與跟蹤，必要時(shí)再次進(jìn)行評(píng)估。

　　要充分利用風(fēng)險(xiǎn)評(píng)估管理信息系統(tǒng)作為基礎(chǔ)性必備工具，實(shí)現(xiàn)對資產(chǎn)信息、安全威脅信息、脆弱性信息、評(píng)估結(jié)果的統(tǒng)一管理，以提升評(píng)估結(jié)果的可用性。

　　監(jiān)督與跟蹤主要工作包括建立監(jiān)督與跟蹤機(jī)制、制定跟蹤計(jì)劃、執(zhí)行主動(dòng)監(jiān)督與報(bào)告等三個(gè)步驟：

　�。�1）企業(yè)各級(jí)信息管理部門指定專門人員，建立監(jiān)督與跟蹤機(jī)制以跟蹤安全整改建議的實(shí)施和效果。

　�。�2）對關(guān)鍵的、意義重大而且至關(guān)緊要的安全整改措施，制定并實(shí)施跟蹤計(jì)劃，包括實(shí)施計(jì)劃、預(yù)計(jì)實(shí)施時(shí)間、事項(xiàng)清單、驗(yàn)收方法與過程等。

　　（3）實(shí)施單位主動(dòng)監(jiān)督并報(bào)告整改實(shí)施的進(jìn)度與狀態(tài)，并對所有要求的整改采取跟蹤行動(dòng)，直到實(shí)施完成。執(zhí)行監(jiān)督與跟蹤可以包括一個(gè)再評(píng)估過程，也可以采用風(fēng)險(xiǎn)評(píng)估管理信息系統(tǒng)來評(píng)估結(jié)果。

【公司信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估與管控的論文】相關(guān)文章：

信息安全風(fēng)險(xiǎn)評(píng)估探究的論文10-09

信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告（通用15篇）12-30

信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告范文（精選5篇）11-21

關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目管理的論文10-09

系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告范文（精選5篇）11-18

住建系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告（精選13篇）03-22

住建系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告范文（通用11篇）11-21

醫(yī)院成本管控分析論文10-09

安全生產(chǎn)風(fēng)險(xiǎn)管控報(bào)告（精選20篇）11-25

學(xué)校重大風(fēng)險(xiǎn)管控方案及措施12-12