公司信息系統(tǒng)安全風險評估與管控的論文

時間：2022-10-08 17:58:06 信息安全畢業(yè)論文我要投稿

相關推薦

　　當前，信息安全風險管理已成為企業(yè)信息化工作的關鍵，而信息系統(tǒng)安全風險已經(jīng)成為企業(yè)信息化運營風險中最為重要的組成部分。信息系統(tǒng)風險管理是內控框架中的核心內容，并已成為判定企業(yè)成熟度的一項重要指標。信息系統(tǒng)安全風險評估是安全風險管理的基礎和重要內容，既是企業(yè)信息安全體系建設的起點，也將覆蓋其全生命周期。如何持續(xù)提升信息安全風險評估意識和能力，妥當開展信息系統(tǒng)安全風險評估及風險管控，是企業(yè)信息安全工作的重中之重，本文就此進行探討研究。

公司信息系統(tǒng)安全風險評估與管控的論文

　　一、評估目的、原則及方式

　　1.1 評估的目的。企業(yè)進行信息系統(tǒng)安全風險評估，是為了提高信息安全保障體系的有效性，主要包括：發(fā)現(xiàn)現(xiàn)有基礎信息網(wǎng)絡和重要信息系統(tǒng)的安全問題和隱患，提出針對性改進措施；識別在用系統(tǒng)和在建系統(tǒng)在生命周期各個階段的安全風險；分析現(xiàn)有與信息安全相關的組織管理機構、管理制度和管理流程的缺陷與不足；評價已有信息安全措施的適當性、合規(guī)性等。

　　1.2 評估的原則。進行信息系統(tǒng)安全風險評估，要遵循以下原則：

　�。�1）整體性。系統(tǒng)安全風險評估應從企業(yè)實際需求出發(fā)，不局限于網(wǎng)絡、主機等單一的安全層面，而是從業(yè)務角度進行評估，包括技術、管理和業(yè)務運營的安全性。

　�。�2）動態(tài)性。風險評估應是動態(tài)、階段性重復的，并非一次評估即可解決所有問題。每次評估應達到有限的目標，并依據(jù)評估的動態(tài)特性考慮再次評估的時機，形成良性的評估生命周期。

　　（3）適當性。選擇恰當?shù)脑u估對象、評估范圍、評估時機，評估對象要有代表性，確定評估范圍的恰當性、可行性等情況。

　�。�4）規(guī)范化。應嚴格規(guī)范評估過程和成果文檔，便于項目跟蹤和控制。

　�。�5）可控性。評估過程和所使用的工具應具有可控性。評估所采用的工具必須經(jīng)過實踐檢驗，可根據(jù)企業(yè)實際現(xiàn)狀與需求進行定制。

　�。�6）最小影響。評估工作應充分準備，精心籌劃，事先預見可能發(fā)生的情況并制定應急預案，不能對網(wǎng)絡和信息系統(tǒng)的運行及業(yè)務的正常運作產生影響。

　�。�7）保密性。參與評估的工作人員應簽署保密協(xié)議，明確要求在評估過程中對所有的相關數(shù)據(jù)、信息嚴格保密，不得將評估中的任何數(shù)據(jù)用于與評估以外的任何活動。

　　1.3 評估方式。風險評估的方式可分為自評估、檢查評估、委托評估三種。自評估是由企業(yè)自身實施，以發(fā)現(xiàn)現(xiàn)有信息技術設施和信息系統(tǒng)的弱點、實施安全管理為目的的評估方式。檢查評估是由主管部門發(fā)起，對下級單位的安全風險管理工作進行檢查而實施的評估活動。委托評估是指企業(yè)委托具有風險評估能力和資質的專業(yè)評估機構實施的評估活動。

　　企業(yè)信息管理部門應定期或在重大、特殊事件發(fā)生時組織進行風險評估，識別和分析風險，實施控制措施，確保信息安全和信息系統(tǒng)的穩(wěn)定安全運行。

　　1.4 評估時機。企業(yè)信息系統(tǒng)風險評估應貫穿于系統(tǒng)的整個生命周期，方可做好風險管控。在系統(tǒng)規(guī)劃設計階段，通過風險評估明確系統(tǒng)建設的安全目標；在系統(tǒng)建設階段，通過風險評估確定系統(tǒng)的安全目標是否達到；在系統(tǒng)運行維護階段，實施風險評估識別系統(tǒng)面臨不斷變化的風險和脆弱性，從而確定安全措施的有效性，確保信息系統(tǒng)安全運行；在系統(tǒng)廢棄階段，確保硬件和軟件等資產的殘留信息得到適當?shù)奶幹�，確保廢棄過程在安全的狀態(tài)下完成。

　　二、評估方法

　　企業(yè)信息系統(tǒng)的安全風險評估大致可分為三個階段：計劃準備階段、現(xiàn)場評估階段、分析報告階段。三個階段的工作內容和步驟如圖 1 所示。

　　2.1 計劃準備階段。在進行安全風險評估之前，充分的準備工作是評估工作成功的基礎。在計劃準備階段，需要開展以下工作：

　�。�1）制定項目計劃。確定評估目標、范圍和對象；明確評估人員組織，包括項目領導小組、項目負責人、項目技術顧問組、風險評估小組、被評估單位項目協(xié)調人和項目配合人員；制定項目進度計劃；明確項目溝通與配合制度。（2）召開項目啟動會。進行評估前的項目動員。

　�。�3）收集相關信息。收集所有評估對象資產信息；收集文檔信息，包括安全管理文檔、技術設施文檔、應用系統(tǒng)文檔和機房環(huán)境文檔等。

　　2.2 現(xiàn)場評估階段�，F(xiàn)場評估階段包含文檔審閱、問卷調查、脆弱性掃描、本地審計、滲透測試、現(xiàn)場觀測和人員訪談等工作內容。

　　（1）文檔審閱。通過文檔審閱了解評估對象的基本信息（包括安全需求），了解各評估對象已被發(fā)現(xiàn)的問題、已實施的安全措施，確定需要通過訪談了解的信息和澄清的問題，以便盡量縮減人員訪談溝通時間，降低評估工作對相關人員正常業(yè)務工作的影響。

　　（2）問卷調查。由一組相關的封閉式或開放式問題組成，用于在評估過程中獲取信息系統(tǒng)在各個層面的安全狀況，包括安全策略、組織制度、執(zhí)行情況等。

　　（3）脆弱性掃描。利用技術手段對信息系統(tǒng)組件進行脆弱性識別，收集各信息系統(tǒng)組件可能存在的技術脆弱性信息，以便在分析階段進行詳細分析。

　�。�4）本地審計。本地審計與脆弱性掃描互補，收集各信息系統(tǒng)組件可能存在的技術脆弱性信息，以便在分析階段進行詳細分析。

　　（5）滲透測試。利用模擬XX攻擊方式發(fā)現(xiàn)網(wǎng)絡、系統(tǒng)存在的可利用弱點，目的是檢測系統(tǒng)的安全配置情況，發(fā)現(xiàn)配置隱患。主要通過后門利用測試、DDos 強度測試、強口令攻擊測試等手段實現(xiàn)。需要注意，滲透測試的風險較其它幾種手段要大得多，在實際評估中需要慎重使用，未必每次評估都要進行滲透測試。

　　（6）現(xiàn)場觀測。主要通過現(xiàn)場巡視和觀察等方法，觀察與應用系統(tǒng)、機房環(huán)境等有關的管理制度、安全運維相關的機制、系統(tǒng)配置現(xiàn)狀（如系統(tǒng)現(xiàn)有賬號、日志功能等），了解制度實際執(zhí)行情況，保留檢查證據(jù)（截圖，日志文件等）并填寫現(xiàn)場觀測結果。

　�。�7）人員訪談。訪談的對象包括：信息系統(tǒng)管理人員、應用系統(tǒng)相關人員、網(wǎng)絡及設備負責人和機房管理人員。主要涉及信息系統(tǒng)控制環(huán)境評估，包括安全策略、組織安全、人員、資產管理、風險管理、法律法規(guī)符合性等；信息系統(tǒng)通用控制評估，包括程序開發(fā)設計、變更管理、程序和數(shù)據(jù)訪問控制、投產上線、系統(tǒng)運維等；應用系統(tǒng)的安全性評估，包括身份認證、標識與授權、會話管理、系統(tǒng)配置、日志與審計、用戶賬戶管理、輸入控制、異常處理、數(shù)據(jù)保護和通信等；應用控制評估，包括業(yè)務操作、權限管理、職責分離、業(yè)務流程、備份等。

　　2.3 分析報告階段。分析報告階段的主要工作是整理現(xiàn)場評估獲得的數(shù)據(jù)、資料，進行綜合分析以及生成最終評估報告。

　　綜合分析根據(jù)收集到的各種信息，整理出系統(tǒng) / 資產脆弱性，并對脆弱性進行威脅分析，包括分析威脅發(fā)生的可能性、產生的后果，判定風險級別，以及制定風險處理計劃。綜合分析對分析人員的能力要求較高。主導綜合分析和報告生成的人員必須參與過信息系統(tǒng)風險評估的各階段，對被評估系統(tǒng)有基本的了解，熟悉風險評估的方法、手段、過程，掌握風險計算方法，了解風險評估基本理論，具備較強的文字功底。

　　最終編寫的風險評估報告是風險評估重要的結果文件，是企業(yè)實施風險管理的主要依據(jù)，是對風險評估活動進行評審和認可的基礎資料。風險評估報告通常應包括以下內容：

　　（1）概述。簡要描述被評估系統(tǒng)的基本情況，包括功能用途、系統(tǒng)體系結構以及風險評估所使用的評估方法、評估過程等。

　�。�2）評估綜述。對被評估系統(tǒng)及其支撐平臺已經(jīng)實施的安全措施、評估發(fā)現(xiàn)的風險進行綜合評價。

　�。�3）評估詳述。概要描述評估過程所發(fā)現(xiàn)的被評估系統(tǒng)存在的風險、以及不同級別的風險數(shù)量和比例；針對被評估系統(tǒng)及其支撐平臺的每一個風險點，進行威脅分析、現(xiàn)有或計劃實施的安全措施分析、風險評價等。

　�。�4）整改建議。綜合以上分析，說明被評估系統(tǒng)及其支撐平臺需要采取的安全整改措施。

　�。�5）附件。說明風險評估過程中主要訪談的人員和審閱的文檔、脆弱性-風險對應表、控制措施-風險對應表等。

　　三、風險控制措施

　　風險評估的目的在于控制和規(guī)避風險。風險控制報告包括安全管理策略和風險控制措施，要依據(jù)通過審批的風險控制報告，落實控制措施。

　　控制信息安全風險的重要措施是實施信息系統(tǒng)安全等級保護，而等級保護的基本前提是信息系統(tǒng)等級的劃分。企業(yè)要根據(jù)公安部等四部委聯(lián)合發(fā)布的《關于信息安全等級保護工作的實施意見》，結合企業(yè)實際情況和國內相關領域專家的建議，確定信息系統(tǒng)安全保護等級，實施相應的等級保護，有效控制信息安全風險，支撐企業(yè)業(yè)務的連續(xù)運行。

　　四、風險控制實施的監(jiān)督與跟蹤

　　風險評估通常還包括一個至關重要的跟蹤過程，即對執(zhí)行與落實整改建議的情況進行監(jiān)督與跟蹤，必要時再次進行評估。

　　要充分利用風險評估管理信息系統(tǒng)作為基礎性必備工具，實現(xiàn)對資產信息、安全威脅信息、脆弱性信息、評估結果的統(tǒng)一管理，以提升評估結果的可用性。

　　監(jiān)督與跟蹤主要工作包括建立監(jiān)督與跟蹤機制、制定跟蹤計劃、執(zhí)行主動監(jiān)督與報告等三個步驟：

　�。�1）企業(yè)各級信息管理部門指定專門人員，建立監(jiān)督與跟蹤機制以跟蹤安全整改建議的實施和效果。

　�。�2）對關鍵的、意義重大而且至關緊要的安全整改措施，制定并實施跟蹤計劃，包括實施計劃、預計實施時間、事項清單、驗收方法與過程等。

　�。�3）實施單位主動監(jiān)督并報告整改實施的進度與狀態(tài)，并對所有要求的整改采取跟蹤行動，直到實施完成。執(zhí)行監(jiān)督與跟蹤可以包括一個再評估過程，也可以采用風險評估管理信息系統(tǒng)來評估結果。

【公司信息系統(tǒng)安全風險評估與管控的論文】相關文章：

信息安全風險評估探究的論文10-09

信息系統(tǒng)安全風險評估報告（通用15篇）12-30

信息系統(tǒng)安全風險評估報告范文（精選5篇）11-21

關于信息安全風險評估項目管理的論文10-09