基于风险分析的信息系统等级测评
信息系统等级保护、风险评估和等级测评
1.等级保护
信息安全的层次性防护涵盖了三个主要部分,即将信息科技产品划分为各种层次来实施管理,将用于处理和存储信息的信息体系划分为各种层次来实施安全防护,以及将信息安全问题划分为各种层次来做出反馈与解决。
我国于1999年发布的《计算机信息系统安全保护等级划分准则(GB 17859—1999)》根据各类信息技术产品(如操作系统等)的安全保护技术能力,将它们按照等级由低至高进行了五个层次的划分:用户自我保护、系统审核保护、安全标志保护、结构保护和访问验证保护。
考虑到信息系统的重要性,业内已制定了合理的方案。在信息系统被损毁的情况下,根据对其他事物(例如国家安全、社会秩序等)的威胁等级,可以把保护等级划分为五个等级:自身防御、引导防御、监控防御、强制防御以及特定的管理防御。
2.风险评估
2007年,《信息安全技术 信息安全风险管理指南(GB/T 20984—2007)》发布实施,对于信息安全的风险评估有着明确的引领,涵盖了主题、流程、方法和识别风险的准则。根据风险管理的规定,对信息系统内的每一层次的防护、可能面临的各类危害和系统防护的易损性做出了全面的评估。这样,就能评估出安全事件发生时可能引发的各种级别的危害,并提出具有针对性的防护措施,从而为信息安全风险的控制提供依据。
3.等级测评
根据《信息安全技术 信息系统安全等级保护实施指南》以及其他多项条例,五个关键步骤(分级、记录、建设修正、等级审查以及监督检查)的第四个部分,也就是所谓的等级审查。从本质上讲,评估信息安全等级保护的实质就是对其合规性的检验。更准确地说,这就代表着有政府许可的、具备一定检测技术能力的第三方评估机构。
4.三者之间的联系和区别
目前,我国的信息安全体系中,等级保护已经成了一个核心的组成部分。对风险进行评估并进行适当的风险处置,是等级保护的核心内容与其所依赖的准则。而对等级进行评估,则是执行信息安全等级保护的必要环节。
风险识别与控制的方法,实际上是通过研究各类资产的各个层次及其所承受的各种风险,然后根据这些数据来实施特定的控制。信息系统的等级防护任务展示出了这种控制策略。
在实施等级防护的过程中,评估等级是一个重要的步骤。《信息安全技术 信息安全风险评估规范》仅仅概述了风险评估的流程和手段,并未详细阐述各个层面的信息系统防护需求。此外,目前我国并未为负责风险评估的实施者设置任何规则,大部分负责实施等级评估的实施者也都是获得相应授权的第三方测评机构。经由等级评估,可以判断系统的安全防御手段是否达到了等级要求,同时也可以察觉到当前系统所遭遇的不同程度的危害。负责操作和维护信息系统的单位可以根据等级评估的数据,有目的地完善信息安全策略,调整工作内容。
基于风险分析的等级测评策略
在执行信息系统的等级保护过程中,等级评估主要包括三个核心的步骤:预先的评估、实地的评估以及对结果的解读和撰写。为了精确地识别出系统可能遭遇的安全威胁,以及精确地判定系统的安全防御功能是否达到了其等级标准,需要将风险分析的理念融入到每个等级评估的步骤之中。
1.测评准备阶段
在预备性的评估环节,首先需要搜集并分析与信息系统有关的数据,然后根据获取的数据,设计出适当的评估计划,并且准备好相关的评估手册、评估表格以及测试设备。此环节构成了接下来的任务的根本,对全部的等级评估流程的执行产生重大的影响。如果评估的预备工作准备不足,那么实际考核时就会受到影响,从而使得等级考核的成绩无法达到预期的结果。
在这一步骤,需要实现资产辨认与危害评估的任务。因此,需要运用风险分析的策略来明确评估的区域,思考如何辨认和评估资产,同时也需要执行危害的评估。接着,需要根据资产的价值以及系统的危害状态,规划测评的策略,全面地思考可能被危害使用的信息系统接口,以便有目标地构建漏洞检查、侵蚀检验的策略。
2.现场测评阶段
在实地评估阶段,评估员将根据评估计划的规定,遵循评估工作指南和等级保护相关标准的规定,运用现场观察、对话、配置核查、渗透测试等手段,对信息系统进行检查和确认,以便了解并确认信息系统的真实防护状况,并能够及时发现信息系统中的安全漏洞(即脆弱性)。
在这个阶段,需要进行风险评估中的脆弱性评估。为了确保系统的稳定性,判断其所面临的风险,必须将信息系统的资产和所面临的威胁纳入考虑,从技术、管理和策略等多个角度对其脆弱性进行评估。特别是在技术层面,通过配置审查、漏洞检测、渗透性测试以及恶意代码的检验等手段进行检验和评估,从而有效地认识到系统的脆弱性。
3.分析及报告编制
在进行分析与报告撰写的时候,评估员的核心任务就是依照实地考察阶段收集的资料,并参照《信息系统安全等级保护基本要求》的相应规则,运用科学的风险估算技术,对每一个测试的结果进行核验,并对控制点之间、不同级别之间、不同地区之间以及系统架构进行多维度的考察,以此来降低安全事故的发生概率以及由此产生的损害,进一步推断每一个安全缺陷的危害程度以及整体的信息系统的危害程度。对系统的防护策略进行最后评估,看其是否满足系统的防护水平,研究当前的防护情况和对应防护水平的需求之间的不同,并提供适当的修正意见。
在这个阶段,需要对风险进行评估。因此,需要实施科学的风险计算方式,以便精确地评估整个信息系统所遭遇的风险,从而为接下来的安全建设和改进工作提供依据,并协助信息安全相关主管部门顺利、高效地执行信息安全任务。
信息系统项目风险管理的具体措施分析
1.信息系统项目风险管理之风险计划编制
在执行相关系统和基础项目之前,相关管理人员需要对项目的整体架构进行集中的信息和数据搜集,制定基础的风险计划,并在这个计划中对基础项目进行有效的细分。只有当计划编制工作全面完成,整个项目才能真正达到完善和可行。
在构建基础风险规划的阶段,有关人员必须召集基础公司的项目主管、核心职员和基础顾客参与相应的会议,通过这些会议的交谈,确立项目的基本步骤,同时吸纳所有参与者的观点和提议,以便对集中规划的汇总和设计。
在初始规划阶段,有关的工作人员需要详尽地区分各个部门在全面的信息系统项目风险控制中的职能和职责,同时也需要规划基本的财务活动,重点解释各种基本的风险种类和风险评估会议的频率等数据,还需确保基本的会议的举办,构建出一个具有动态性的规划项目。
对风险计划的制定,有关工作人员需给予充分的关注,通过使用适当的标准和科学的评估方法,推动项目的全面正常实施。
2.信息系统项目风险管理之风险识别
在信息系统项目的风险管理中,基础的风险识别至关重要。唯有在相关的领导者清楚地认识到所有的风险形式后,才可能设计合适的处置方案和风险控制,从而保证整个项目的顺利进行。
在初级工程里,负责的领导者会借助风险识别技术,准确地识别和评估所有潜在的危险,并提前规划可能引发工程问题的因素,同时使用适当的比较标准来详细阐明风险工程的特征。
项目实施过程中,对风险的识别是一项基本的职责,必须贯彻到项目的全过程。关联人员应当充分利用风险管理会议,对基本风险进行实时识别。
在识别基本风险的流程中,相关工作人员应采用项目文件评估和检验表格等手段,借助相应的基本技术集中识别全部的项目风险种类,同时将风险的组成元素和基本属性进行汇总,创建出高效且详尽的风险项目记录。
在信息系统项目的风险管理过程中,主要的风险集中在计划执行能力、流程改革、实际的商务和解决策略、基本数据以及培训等方面。因此,相关管理者需要对这些问题进行集中的监控和评估,并在项目的运作过程中制定出有效的防范策略。
3.信息系统项目风险管理之风险分析
对于初级管理者而言,仅仅通过知识识别出相关的风险是远远不够的。在信息系统项目的风险管理流程中,需要对所识别的风险进行比较分析,并采取适当的方法进行控制。
在基本风险的评估阶段,相关的管理者需要将已经识别出的风险按照优先级进行排序,对优先的项目进行集中的分析和处理,同时为后续的风险管理活动构建基本的分析文件。
为了达到优化管理架构运作的目的,需要提供必需的信息参考。在特定的公司内部,需要借助项目总负责人和工程操作员的建议,对全面风险管理进行项目拆解。在举行风险会议时,需要对汇集的数据进行有效的分析和处理,确保基础信息的实时性,并且运用全面风险管理策略,对项目中出现的问题和错误数据进行有效的分析。
4.信息系统项目风险管理之风险应对
在信息系统项目的风险管理框架中,最核心的一环就是风险的处理。编制风险管理计划是项目运作的基础,识别风险是项目运作的根本,风险分析是项目运作的理论支撑。只有在做好相关数据和信息的准备后,风险处理才能成为真正的项目操作。因此,相关管理人员需要在优化项目运行和处理的基础上,进行风险应对。
制定基本的风险防范方案是为了设立适当的项目风险处理方法和应对策略,同时借助高效的组织运作模式来提高全面项目的成功概率。
在执行基本的风险防范项目时,相关工作人员需要使用定性和定量的分析,对数据进行全面的汇总和评估,利用相关的资料对已经识别的风险进行集中的管理,并且制订出高效的风险防范方案。在全面项目的防范方案执行过程中,管理层需确保风险处置策略与由此产生的财务损失相匹配,确保其经济效益高、实施性强且职责明确。
在处理风险的过程中,相关工作人员需要再次审查整个项目,同时考虑提升相关项目的能力,以防止可能出现的项目风险。针对各种项目风险,需要采取不同的处理方式,并运用全面的管理手段,制定出具备即时性的应对策略。
结语
综上所述,伴随着信息安全难题的不断升级,根据国家规定,需要执行等级防护、风险分析及等级检验,以确保数字化及其系统的隐私、完备、易用,使得保障系统运营机构的业务步骤能够正常运作的观念越来越被广大群众所接受。唯有遵循与等级保护相关的国家条例与准则,才能推动信息系统的安全构筑、操控及监督,确保其信息与商业的安全。作为等级保护的核心步骤与手段,基于风险识别的等级评估能够精确地识别出信息系统所遭遇的安全威胁,为信息系统的安全修复打下坚实的基石。
