风险评估包括系统调研、资产识别、威胁分析、脆弱性识别(包括现有控制措施确认)、风险综合分析以及风险控制计划六个阶段,其中脆弱性识别又具体分为物理环境安全、网络安全、系统软件安全、应用信息保护、运行安全、安全管理体系等6个方面的内容。
系统调研是熟悉和了解组织和系统的基本情况,对组织IT战略,业务目标、业务类型和业务流程以及所依赖的信息系统基础架构的基本状况和安全需求等进行调研和诊断。
资产识别主要参照ISO/IEC 17799的要求,围绕组织IT业务流程对信息系统的IT资产进行识别,包括对主要的硬件、软件和数据信息进行信息收集、分类、统计,形成资产列表;综合组织不同层面(管理层、中层、一般员工)对资产重要性的认识和业务信息流分析,对资产价值进行分级标识,确定重要资产列表。
安全威胁分析主要针对已识别的系统重要资产,根据IT业务目标、模式、流程,信息系统基础架构、网络拓扑与边界等,从网络访问者、物理访问者、系统问题、自然灾害、其他问题五种威胁来源,同时区分非人力因素(自然因素)、管理因素、授权人员、非授权人员的原因,分析重要资产面临的威胁,对威胁的严重性(影响)进行分级标识。
脆弱性识别主要针对信息系统重要资产面临的威胁来源,从物理层、网络层、系统层、应用层、管理层五个方面分别识别系统的安全薄弱点。物理层包括机房与设施安全、机房控制、环境与人员安全;网络层主要对网络拓扑结构、网络隔离与边界控制、主要网络设备安全配置、网络通信与传输安全等进行分析;系统层评估的对象是针对重要服务器操作系统及部分终端操作系统、数据库服务器系统;应用层从典型应用系统的信息流出发,评估信息处理流程中的各类安全机制;管理层主要针对现有的业务流程、策略文档进行评审,从运行控制、管理制度等方面评估系统的保障措施。综合上述各个层面的评估结果,对系统各主要资产的脆弱性被威胁利用的可能性和影响性进行分析,为安全风险评估提供重要依据。
根据对系统资产识别,威胁分析,脆弱性评估的情况及收集的数据,定性和定量地评估系统安全现状及风险状况,评价现有保障措施的运行效能及对风险的抵御程度。并结合系统的IT战略和业务连续性目标,确定系统不可接受风险范围。
最后,针对风险评估中识别的安全风险,特别是不可接受风险,制定风险控制和处理计划,选择有效的风险控制措施将残余风险控制在可接受范围内。