风险评估工具
风险评估过程中,可以利用一些辅助性的工具和方法来采集数据,包括:调查问卷——风险评估者通过问卷形式对组织信息安全的各个方面进行
调查,问卷解答可以进行手工分析,也可以输入自动化评估工具进行分析。
从问卷调查中,评估者能够了解到组织的关键业务、关键资产、主要威胁、管理上的缺陷、采用的控制措施和安全策略的执行情况。
检查列表——检查列表通常是基于特定标准或基线建立的,对特定系统进行审查的项目条款,通过检查列表,操作者可以快速定位系统目前的安全状况与基线要求之间的差距。
人员访谈——风险评估者通过与组织内关键人员的访谈,可以了解到组织的安全意识、业务操作、管理程序等重要信息。
漏洞扫描器——漏洞扫描器(包括基于网络探测和基于主机审计)可以对信息系统中存在的技术性漏洞(弱点)进行评估。许多扫描器都会列出已发现漏洞的严重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop Scanner 等。
渗透测试——这是一种模拟黑客行为的漏洞探测活动,它不但要扫描目标系统的漏洞,还会通过漏洞利用来验证此种威胁场景。
除了这些方法和工具外,风险评估过程最常用的还是一些专用的自动化的风险评估工具,无论是商用的还是免费的,此类工具都可以有效地通过输入数据来分析风险,最终给出对风险的评价并推荐相应的安全措施。目前常见的自动化风险评估工具包括:
COBRA —— COBRA(Consultative, Objective and Bi-functional Risk Analysis)是英国的C&A 系统安全公司推出的一套风险分析工具软件,它
通过问卷的方式来采集和分析数据,并对组织的风险进行定性分析,最终的评估报告中包含已识别风险的水平和推荐措施。此外,COBRA 还支持基于知识的评估方法,可以将组织的安全现状与ISO 17799 标准相比较,从中找出差距,提出弥补措施。C&A 公司提供了COBRA 试用版下载:。
(COBRA can be purchased instantly via credit card. Simply proceed to the secure server as follows:
* - Special Offer... Only $US 1995
- $US 895
)
CRAMM —— CRAMM(CCTA Risk Analysis and Management Method)是由英国政府的中央计算机与电信局(Central Computer and Telecommunications Agency,CCTA)于1985 年开发的一种定量风险分析工具,同时支持定性分析。经过多次版本更新(现在是第四版),目前由 Insight 咨询公司负责管理和授权。CRAMM 是一种可以评估信息系统风险并确定恰当对策的结构化方法,适用于各种类型的信息系统和网络,也可以在信息系统生命周期的各个阶段使用。CRAMM 的安全模型数据库基于着名的“资产/威胁/弱点”模
型,评估过程经过资产识别与评价、威胁和弱点评估、选择合适的推荐对策这三个阶段。CRAMM 与BS 7799 标准保持一致,它提供的可供选择的安全
控制多达3000 个。除了风险评估,CRAMM 还可以对符合ITIL(IT
Infrastructure Library)指南的业务连续性管理提供支持。
CORA —— CORA(Cost-of-Risk Analysis)是由国际安全技术公司
(InternationalSecurity Technology, Inc. )开发的一种风险管理决策支持系统,它采用典型的定量分析方法,可以方便地采集、组织、分析并存储风险数据,为组织的风险管理决策支持提供准确的依据。
面对信息安全问题时,需要从组织的角度去评估他们实际上需要保护什么及其需求的原因。大多数安全问题深深的根植在一个或者多个组织和业务问题中。在实施安全方案之前,应当通过在业务环境中评估安全需求和风险,刻画出基本问题的真实本质,决定需要保护哪些对象,为什么要保护这些对象,需要从哪些方面进行保护,如何在生存期内进行保护。下面将从不同的角度比较现有的信息安全风险评估方法。
1)手动评估和工具辅助评估
在各种信息安全风险评估工具出现以前,对信息系统进行安全管理,一切工作都只能手工进行。对于安全风险分析人员而言,这些工作包括识别重要资产、安全需求分析、当前安全实践分析、威胁和弱点发现、基于资产的风险分析和评估等。对于安全决策者而言,这些工作包括资产估价、安全投资成本以及风险效益之间的平衡决策等。对于系统管理员而言,这些工作包括基于风险评估的风险管理等。总而言之,其劳动量巨大,容易出现疏漏,而且,他们都是依据各自的经验,进行与安全风险相关的工作。
风险评估工具的出现在一定程度上解决了手动评估的局限性。1985年,英国CCTA 开发了CRAMM风险评估工具。CRAMM包括全面的风险评估工具,并且完全遵循BS 7799规范,包括依靠资产的建模、商业影响评估、识别和评估威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制等。CRAMM评估风险依靠资产价值、威胁和脆弱点,这些参数值是通过CRAMM评估者与资产所有者、系统使用者、技术支持人员和安全部门人员一起的交互活动得到,最后给出一套安全解决方案。1991年,C&A System Security公司推出了COBRA工具,用来进行信息安全风险评估。COBRA由一系列风险分析、咨询和安全评价工具组成,它改变了传统的风险管理方法,提供了一个完整的风险分析服务,并且兼容许多风险评估方法学(如定性分析和定量分析等)。它可以看作一个基于专家系统和扩展知识库的问卷系统,对所有的威胁和脆弱点评估其相对重要性,并且给出合适的建议和解决方案。此外,它还对每个风险类别提供风险分析报告和风险值(或风险等级)。
信息安全风险评估工具的出现,大大缩短了评估所花费的时间。在系统应用和配置不断改变的情况,组织可以通过执行另外一次评估重新设置风险基线。两次评估的时间间隔可以预先确定(例如,以月为单位)或者由主要的事件触发(例如,企业重组、组织的计算基础结构重新设计等)。
2)技术评估和整体评估
技术评估是指对组织的技术基础结构和程序进行系统的、及时的检查,包括对组织内部计算环境的安全性及其对内外攻击脆弱性的完整性攻击。这些技术驱动的评估通常包括:(1)评估整个计算基础结构。(2)使用拥有的软件工具分析基础结构及其全部组件。(3)提供详细的分析报告,说明检测到的技术弱点,并且可能为解决这些弱点建议具体的措施。技术评估是通常意义上所讲的技术脆弱性评估,强调组织的技术脆弱性。但是组织的安全性遵循“木桶原则”,仅仅与组织内最薄弱的环节相当,而这一环节多半是组织中的某个人。
整体风险评估扩展了上述技术评估的范围,着眼于分析组织内部与安全相关的风险,包括内部和外部的风险源、技术基础和组织结构以及基于电子的和基于人的风险。这些多角度的评估试图按照业务驱动程序或者目标对安全风险进行排列,关注的焦点主要集中在安全的以下4个方面:(1)检查与安全相关的组织实践,标识当前安全实践的优点和弱点。这一程序可能包括对信息进行比较分析,根据工业标准和最佳实践对信息进行等级评定。(2)包括对系统进行技术分析、对政策进行评审,以及对物理安全进行审查。(3)检查IT的基础结构,以确定技术上的弱点。包括恶意代码的入侵、数据的破坏或者毁灭、信息丢失、拒绝服务、访问权限和特权的未授权变更等。(4)帮助决策制订者综合平衡风险以选择成本效益对策。
1999年,卡内基梅隆大学的SEI发布了OCTAVE框架,这是一种自主型信息安全风险评估方法。OCTAVE方法是一种从系统的、组织的角度开发的新型信息安全保护方法,主要针对大型组织,中小型组织也可以对其适当裁剪,以满足自身需要。它的实施分为三个阶段:(1)建立基于资产的威胁配置文件。这是从组织的角度进行的评估。组织的全体员工阐述他们的看法,如什么对组织重要(与信息相关的资产),应当采取什么样的措施保护这些资产等。分析团队整理这些信息,确定对组织最重要的资产(关键资产)并标识对这些资产的威胁。(2)标识基础结构的弱点。对计算基础结构进行的评估。分析团队标识出与每种关键资产相关的关键信息技术系统和组件,然后对这些关键组件进行分析,找出导致对关键资产产生未授权行为的弱点(技术弱点)。(3)开发安全策略和计划。分析团队标识出组织关键资产的风险,并确定要采取的措施。根据对收集到的信息所做的分析,为组织开发保护策略和缓和计划,以解决关键资产的风险。
3)定性评估和定量评估
定性分析方法是最广泛使用的风险分析方法。该方法通常只关注威胁事件所带来的损失(Loss),而忽略事件发生的概率(Probability)。多数定性风险分析方法依据组织面临的威胁、脆弱点以及控制措施等元素来决定安全风险等级。在定性评估时并不使用具体的数据,而是指定期望值,如设定每种风险的影响值和概
率值为“高”、“中”、“低”。有时单纯使用期望值,并不能明显区别风险值之间的差别。可以考虑为定性数据指定数值。如,设“高”的值为3,“中”的值为2,“低”的值为1。但是要注意的是,这里考虑的只是风险的相对等级,并不能说明该风险到底有多大。所以,不要赋予相对等级太多的意义,否则,将会导致错误的决策。
定量分析方法利用两个基本的元素:威胁事件发生的概率和可能造成的损失。把这两个元素简单相乘的结果称为ALE(Annual Loss Expectancy)或EAC(Estimated Annual Cost)。理论上可以依据ALE计算威胁事件的风险等级,并且做出相应的决策。定量风险评估方法首先评估特定资产的价值V,把信息系统分解成各个组件可更加有利于整个系统的定价,一般按功能单元进行分解;然后根据客观数据计算威胁的频率P;最后计算威胁影响系数,因为对于每一个风险,并不是所有的资产所遭受的危害程度都是一样的,程度的范围可能从无危害到彻底危害(即完全破坏)。根据上述三个参数,计算ALE:ALE =V × P × 定量风险分析方法要求特别关注资产的价值和威胁的量化数据,但是这种方法存在一个问题,就是数据的不可靠和不精确。对于某些类型的安全威胁,存在可用的信息。例如,可以根据频率数据估计人们所处区域的自然灾害发生的可能性(如洪水和地震)。也可以用事件发生的频率估计一些系统问题的概率,例如系统崩溃和感染病毒。但是,对于一些其他类型的威胁来说,不存在频率数据,影响和概率很难是精确的。此外,控制和对策措施可以减小威胁事件发生的可能性,而这些威胁事件之间又是相互关联的。这将使定量评估过程非常耗时和困难。
鉴于以上难点,可以转用客观概率和主观概率相结合的方法。应用于没有直接根据的情形,可能只能考虑一些间接信息、有根据的猜测、直觉或者其他主观因素,称为主观概率。应用主观概率估计由人为攻击产生的威胁需要考虑一些附加的威胁属性,如动机、手段和机会等。
4)基于知识的评估和基于模型的评估
基于知识的风险评估方法主要是依靠经验进行的,经验从安全专家处获取并凭此来解决相似场景的风险评估问题。这种方法的优越性在于能够直接提供推荐的保护措施、结构框架和实施计划。
“良好实践”的知识评估方法。该方法提出重用具有相似性组织(主要从组织的大小、范围以及市场来判断组织是否相似)的“良好实践”。为了能够较好地处理威胁和脆弱性分析,该方法开发了一个滥用和误用报告数据库,存储了30年来的上千个事例。同时也开发了一个扩展的信息安全框架,以辅助用户制定全面的、正确的组织安全策略。基于知识的风险评估方法充分利用多年来开发的保护措施和安全实践,依照组织的相似性程度进行快速的安全实施和包装,以减少组织的安全风险。然而,组织相似性的判定、被评估组织的安全需求分析以及关键资产的确定都是该方法的制约点。安全风险评估是一个非常复杂的任务,这要求存在一个方法既能描述系统的细节又能描述系统的整体。
基于模型的评估可以分析出系统自身内部机制中存在的危险性因素,同时又可以发现系统与外界环境交互中的不正常并有害的行为,从而完成系统脆弱点和安全
威胁的定性分析。如UML建模语言可以用来详细说明信息系统的各个方面:不同组件之间关系的静态图用class diagrams来表示;用来详细说明系统的行动这和功能的动态图用use case diagrams和sequence diagrams来表示;完整的系统使用UML diagrams来说明,它是系统体系结构的描述。
2001年,BITD开始了CORAS工程——安全危急系统的风险分析平台。该工程旨在开发一个基于面向对象建模技术的风险评估框架,特别指出使用UML建模技术。利用建模技术在此主要有三个目的:第一,在合适的抽象层次描述评估目标;第二,在风险评估的不同群组中作为通信和交互的媒介;第三:记录风险评估结果和这些结果依赖的假设。
准则和CORAS方法都使用了半形式化和形式化规范。CC准则是通用的,并不为风险评估提供方法学。然后,相对于CC准则而言,CORAS为风险评估提供方法学,开发了具体的技术规范来进行安全风险评估。
风险评估的基本过程-识别并评估弱点
风险评估的基本过程-识别并评估弱点
光有威胁还构不成风险,威胁只有利用了特定的弱点才可能对资产造成影响,所以,组织应该针对每一项需要保护的信息资产,找到可被威胁利用的弱点。常见的弱点有三类:
技术性弱点——系统、程序、设备中存在的漏洞或缺陷,比如结构设计问题和编程漏洞。
操作性弱点——软件和系统在配置、操作、使用中的缺陷,包括人员日常工作中的不良习惯,审计或备份的缺乏。
管理性弱点——策略、程序、规章制度、人员意识、组织结构等方面的不足。
识别弱点的途径有很多,包括各种审计报告、事件报告、安全复查报告、系统测试及评估报告等,还可以利用专业机构发布的列表信息,当然,许多技术性和操作性弱点,可以借助自动化的漏洞扫描工具和渗透测试等方法来识别和评估。
评估弱点时需要考虑两个因素,一个是弱点的严重程度(Severity),另一个是弱点的暴露程度(Exposure),即被利用的容易程度,当然,这两个因素也可以
用“高”、“中”、“低”三个等级来衡量。
需要注意的是,弱点是威胁发生的直接条件,如果资产没有弱点或者弱点很轻微,威胁源就很难利用其损害资产,哪怕它的能力多高动机多么强烈。
信息安全评估标准的发展
企业的网络环境和应用系统愈来愈复杂,每个企业都有这样的疑惑:自己的网络和应用系统有哪些安全漏洞应该怎样解决如何规划企业的安全建设信息安全评估回答了这些问题。
什么是信息安全评估?
关于这个问题,由于每个人的理解不同,可能有不同的答案。但比较流行的一种看法是:信息安全评估是信息安全生命周期中的一个重要环节,是对企业的网络拓扑结构、重要服务器的位置、带宽、协议、硬件、与Internet的接口、防火墙的配置、安全管理措施及应用流程等进行全面的安全分析,并提出安全风险分析报告和改进建议书。
信息安全评估的作用
信息安全评估具有如下作用:
(1)明确企业信息系统的安全现状。进行信息安全评估后,可以让企业准确地了解自身的网络、各种应用系统以及管理制度规范的安全现状,从而明晰企业的安全需求。
(2)确定企业信息系统的主要安全风险。在对网络和应用系统进行信息安全评估并进行风险分级后,可以确定企业信息系统的主要安全风险,并让企业选择避免、降低、接受等风险处置措施。
(3)指导企业信息系统安全技术体系与管理体系的建设。对企业进行信息安全评估后,可以制定企业网络和系统的安全策略及安全解决方案,从而指导企业信息系统安全技术体系(如部署防火墙、入侵检测与漏洞扫描系统、防病毒系统、数据备份系统、建立公钥基础设施PKI等)与管理体系(安全组织保证、安全管理制度及安全培训机制等)的建设。
主要的信息安全评估标准
信息安全评估标准是信息安全评估的行动指南。可信的计算机系统安全评估标准(TCSEC,从橘皮书到彩虹系列)由美国国防部于1985年公布的,是计算机系统信息安全评估的第一个正式标准。它把计算机系统的安全分为4类、7个级别,对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。
信息技术安全评估标准(ITSEC,欧洲百皮书)是由法、英、荷、德欧洲四国90年代初联合发布的,它提出了信息安全的机密性、完整性、可用性的安全属性。机密性就是保证没有经过授权的用户、实体或进程无法窃取信息;完整性就是保证没有经过授权的用户不能改变或者删除信息,从而信息在传送的过程中不会被偶然或故意破坏,保持信息的完整、统一;可用性是指合法用户的正常请求能及时、正确、安全地得到服务或回应。ITSEC把可信计算机的概念提高到可信信息技术的高度上来认识,对国际信息安全的研究、实施产生了深刻的影响。
信息技术安全评价的通用标准(CC)由六个国家(美、加、英、法、德、荷)于1996年联合提出的,并逐渐形成国际标准ISO15408。该标准定义了评价信息技术产品和系统安全性的基本准则,提出了目前国际上公认的表述信息技术安全性的结构,即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效地实施这些功能的保证要求。CC标准是第一个信息技术安全评价国际标准,它的发布对信息安全具有重要意义,是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。
ISO13335标准首次给出了关于IT安全的保密性、完整性、可用性、审计性、认证性、可靠性6个方面含义,并提出了以风险为核心的安全模型:企业的资产面临很多威胁(包括来自内部的威胁和来自外部的威胁);威胁利用信息系统存在的各种漏洞(如:物理环境、网络服务、主机系统、应用系统、相关人员、安全策略等),对信息系统进行渗透和攻击。如果渗透和攻击成功,将导致企业资产的暴露;资产的暴露(如系统高级管理人员由于不小心而导致重要机密信息的泄露),会对资产的价值产生影响(包括直接和间接的影响);风险就是威胁利用漏洞使资产暴露而产生的影响的大小,这可以为资产的重要性和价值所决定;对企业信息系统安全风险的分析,就得出了系统的防护需求;根据防护需求的不同制定系统的安全解决方案,选择适当的防护措施,进而降低安全风险,并抗击威胁。该模型阐述了信息安全评估的思路,对企业的信息安全评估工作具有指导意义。
BS7799是英国的工业、政府和商业共同需求而发展的一个标准,它分两部分:第一部分为“信息安全管理事务准则”;第二部分为“信息安全管理系统的规范”。目前此标准已经被很多国家采用,并已成为国际标准ISO17799。 BS7799包含10个控制大项、36个控制目标和127个控制措施。BS7799/ISO17799主要提供了有效地实施信息系统风险管理的建议,并介绍了风险管理的方法和过程。企业可以参照该标准制定出自己的安全策略和风险评估实施步骤。
AS/NZS 4360:1999是澳大利亚和新西兰联合开发的风险管理标准,第一版于1995年发布。在AS/NZS 4360:1999中,风险管理分为建立环境、风险识别、风险分析、风险评价、风险处置、风险监控与回顾、通信和咨询七个步骤。AS/NZS 4360:1999是风险管理的通用指南,它给出了一整套风险管理的流程,对信息安全风险评估具有指导作用。目前该标准已广泛应用于新南威尔士洲、澳大利亚政府、英联邦卫生组织等机构。
OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation)是可操作的关键威胁、资产和弱点评估方法和流程。OCTAVE首先强调的是O—可操作性,其次是C—关键系统,也就是说,它最注重可操作性,其次对关键性很关注。OCTAVE将信息安全风险评估过程分为三个阶段:阶段一,建立基于资产的威胁配置文件;阶段二,标识基础结构的弱点;阶段三,确定安全策略和计划。
国内主要是等同采用国际标准。公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》已正式颁布并实施。该准则将信息系统安全分为5个等级:自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计等,这些指标涵盖了不同级别的安全要求。GB18336也是等同采用ISO 15408标准。
现有信息安全评估标准的局限性
风险分析的方法有定性分析、半定量分析和定量分析。现有的信息安全评估标准主要采用定性分析法对风险进行分析,即通常采取安全事件发生的概率来计算风险。然而,在安全评估过程中,评估人员常常面临的问题是:信息资产的重要性如何度量资产如何分级什么样的系统损失可能构成什么样的经济损失如何构建技术体系和管理体系达到预定的安全等级一个由病毒中断了的邮件系统,企业因此造成的经济损失和社会影响如何计算如果黑客入侵,尽管没有造成较大的经济损失,但企业的名誉损失又该如何衡量另外,对企业的管理人员而言:哪些风险在企业可承受的范围内这些问题从不同角度决定了一个信息系统安全评估的结果。目前的信息安全评估标准都不能对这些问题进行定量分析,在没有一个统一的信息安全评估标准的情况下,各家专业评估公司大多数是凭借各自积累的经验来解决。因此,这就需要统一的信息安全评估标准的出台。
信息安全评估的市场前景
随着业界对于信息安全问题认识的不断深入,随着信息安全体系的不断实践,越来越多的人发现信息安全问题最终都归结为一个风险管理问题。据统计,国外发达国家用在信息安全评估上的投资能占企业总投资的1%~5%,电信和金融行业能达到3%~5%。照此计算,每年仅银行的安全评估费用就超过几个亿。而且,企业的安全风险信息是动态变化的,只有动态的信息安全评估才能发现和跟踪最新的安全风险。所以企业的信息安全评估是一个长期持续的工作,通常应该每隔1-3年就进行一次安全风险评估。因此,信息安全评估有着广阔的市场前景。
FRAP方法与风险管理
文章作者:董永乐
文章来源:启明星辰信息技术有限公司
1 引言
网络使原本独立的计算机系统相互连接构成了全球网络空间(CyberSpace)。这一方面整合了计算机资源与数据资源,另一方面也引入了新的风险--信息安全风险。
信息资产的所有者关心的是如何以合理的投入获得足够的安全,或者,如何把信息安全风险控制在可接受的范围内。信息安全风险管理针对信息安全风险的三个关键元素:资产、脆弱性与威胁,从信息安全风险的角度来衡量并保障连接在网络上的信息系统的安全性。信息安全风险评估(以下简称风险评估)正是从这三个关键元素分别入手来分析信息资产面临的风险。可以认为风险评估在风险管理过程的起点。
信息安全风险分析方法可以分为两大类:定性分析方法与定量分析方法。FRAP 方法是一种基于信息资产的半定量风险分析方法。在本文提到的案例中采用了经过剪裁并改进的FRAP方法(TailoredFRAP,简称T-FRAP)。
本文分为5个部分。除了引言之外,第2小节简单介绍了用到的案例项目的背景信息;第3小节简要介绍FRAP和OCTAVE,并引入T-FRAP方法;第4小节阐述T-FRAP方法相对于FRAP方法所做的改进以及如何利用T-FRAP将信息系统生命周期与风险管理过程结合在一起;最后给出了本文的结论。
2 案例分析
本文所用的案例来自一个实际项目P。项目的甲方是客户C,风险评估的对象是客户的应用系统A,分布在全国各地。项目P的范围是从系统A中抽取了5个节点,共计1,500台主机与网络设备进行信息采集和分析,利用T-FRAP方法进行风险评估,最后给出综合风险分析报告和风险控制建议。
目标系统简介
在项目P中,应用系统A包括16个子系统,主机操作系统类型主要有Windows 系列、UNIX类操作系统(RedHatLinux,TurboLinux,SCOUnixware),数据库管理系统包括Oracle、SQLServer,HTTP服务主要由MSIIS提供。系统A中的16个子系统由不同的软件开发商开发,最后由一个总集成商集成在一起。网络方面,同样采用了多种网络设备;安全方面则利用防火墙、IDS、VPN、反病毒软件等产品构成网络安全保障子系统。这是一个典型的企业网络。
用户需求分析
客户C对本项目提出了如下要求:
仅从技术上进行风险分析
风险分析时不涉及具体业务系统
对于信息安全风险评估项目来说,不结合资产,不结合具体业务系统进行分析而得出的结论与实际情况的偏差很可能会比较大。
为了保证在这种约束条件下,评估结果能尽可能真实地反映目标系统所面临的风险,需要改进现有的方法。其中有两个关键问题:
威胁分析的结果偏差大,而且难以预测
根据风险分析的结果采取技术保障措施来控制风险的原则
3 评估方法:T-FRAP
方法对比与选择
考虑到P项目的特点,我们需要选择一种恰当的方法。信息安全风险评估方法的基本理论与模型是从业务风险评估的理论与模型衍生而来。现在较为流行的是FRAP与OCTAVE。下面简要介绍两种方法。
OCTAVE简介
典型的OCTAVE过程包括3大步骤,8个阶段:
步骤1:提取基于资产的威胁概况
P1:确定高级管理层的认识
P2:确定运作管理层的认识
P3:确定全体职员的认识
P4:建立威胁轮廓
步骤2:确定基础设施漏洞
P5:确定关键组件
P6:评估选择的组件
步骤3:制订安全策略和计划
P7:实施风险分析
P8:制订保护策略
FRAP简介
FRAP是"便利的风险分析过程(FacilitatedRiskAnalysisProcess)"的缩写。这是一种高效的,严格的过程方法,主要为了保证业务运营的信息安全相关风险能得到考虑并归档。
FRAP的主要过程包括:信息收集(会谈,自动化工具,交互操作等方式),信息整理,信息分析,风险计算。整个过程涵盖技术、管理、运行三个方面的内容。
T-FRAP
从上面的简介可以看出,OCTAVE并不适合这个项目的要求。相对而言,FRAP 方法更接近项目的要求。
为了解决风险评估中较难克服的两个关键问题(威胁评估的偏差与控制措施缺乏针对性),我们在选用FRAP方法的同时考虑对它进行适当的剪裁与改进。
技术层面的风险分析
由于本项目要求仅从技术层面分析信息安全风险,因此T-FRAP略去了管理评估。
在技术层面的风险评估中,项目也明确要求不对已经非常完整的物理安全措施做任何评估,因此T-FRAP主要集中在评估网络结构和主机系统方面存在的脆弱性和面临的威胁。
简化的风险计算方法
由于本项目没有定义信息资产价值,因此所有的信息资产被认为是同等重要,这大大简化了风险计算方法。另外,在网络结构与主机系统的风险分析中用事件分析代替威胁分析,这样就避免了威胁分析造成的难以预测的偏差,同时也使风险控制措施有很强的针对性。
4 方法的改进
在简要介绍了FRAP方法与OCTAVE过程后,我们结合风险管理的过程简单地分析一下T-FRAP对FRAP的主要改进。
引入事件分析
在FRAP方法中,大致的流程如下图所示:
?
图1. FRAP风险分析方法简要流程
如图1所示,威胁分析直接影响风险分析的最终结果。因此,威胁分析是否准确直接影响到风险评估结果是否准确。
威胁分析的不足
FRAP方法面临的最大问题就是难以控制威胁分析的结果与实际情况之间的偏差,显然,这削减了基于资产、脆弱性、威胁三个关键元素进行风险综合分析的结果的参考价值。通常在风险评估的相关文献中都会给出几大类一百多项可能的威胁。如何从大量的威胁中选出真正能对目标系统产生影响的威胁非常困难。
事件分析的作用
与威胁密切相关的是事件。事件的参考定义如下:
event::=
表示"事件是针对目标的行为,意在导致目标的状态变化。"[]
attack:=
表示"攻击是借助于工具,利用系统弱点,得到未授权结果的一起事件。"
incident:=
表示"事故是攻击者执行攻击行为达到目的。"
图2. icident,attack,andevent
在T-FRAP中,事件分析的作用主要在于可视化并量化威胁,以及加强风险控制措施的针对性。
威胁可视化
从图2中可知,事件分析的作用之一是把原本具有潜在性的威胁用可以观察、可以比较的事件来表现。目前,观察、比较与统计事件都有成熟易用的工具。
威胁量化
同样,从图2中可知,事件分析的作用之二是把原本不可量化的威胁用可以统计的事件来表现。事件的数量,危害级别正好也是针对威胁的模糊性提出来的。
加强风险控制措施的针对性
同样,从图2中可知,事件分析的作用之三是使风险控制措施不再针对潜在的、难以量化的威胁,而是针对可以观察、可以比较、可以量化的事件。
风险控制措施的选择原则
在风险评估的结果中,综合风险决定了选择风险控制措施的总原则。此外,事件的级别与数量,弱点的严重程度与可达性都是影响风险控制措施的关键因素。
事件级别与数量
事件级别与数量在一定程度上反映了威胁成功的可能性与影响的大小。从这个角度来看,风险控制措施的力度应该和事件的级别与数量成正比。
弱点的严重程度与可达性
弱点的严重程度与可达性主要考虑信息系统的环境因素。它同样在一定程度上反映了风险的可能性与大小。从这个角度来看,风险控制措施的力度应该和弱点的严重程度与可达性成正比。
信息系统建设过程中的风险管理
引入事件分析的另一个好处是很容易把风险管理拓展到信息系统建设过程中,而非仅仅对已经建好的信息系统进行风险评估与控制。
信息系统生命周期
信息系统的生命周期包括需求分析,系统设计,系统运行与维护3大阶段。这3个阶段之外还有系统的检查与改进。
需求分析vs.风险分析
通常,信息系统从可行性论证开始就已经着手进行风险分析。然而,在可靠性论证阶段的风险分析并不是信息系统本身要面临的风险。
因此,在信息系统建设的生命周期中,需求分析是一个适于引入风险分析的阶段。在需求分析阶段需要考虑如下几方面:
信息系统可能存在的缺陷或瑕疵引起的安全问题;
信息系统的应用环境中可能存在的威胁;
信息系统的使用者在安全意识方面可能存在不足;
可能出现与信息系统相关的紧急事故。
这样,需求分析不仅要输出信息系统本身的功能需求,而且要给出信息系统的安全需求。包括但不限于如下几方面:
安全功能需求
安全管理需求
安全服务需求
系统设计vs.风险控制
根据在需求分析阶段得出的安全需求,在系统设计阶段除了设计信息系统本身的结构、系统硬件平台架构、协议体系、操作系统平台、应用软件框架、业务模型之外,还要设计风险控制措施。也就是用具体的控制措施搭建信息安全保障系统。
系统实现vs.风险控制措施实现
在系统实现阶段需要并行完成信息系统本身的实现和信息安全保障系统的实现。由于两者相互影响,关系密切,所以需要同步开发、调试、测试与发布。
运行与维护vs.修补加固
运行与维护阶段开始之前必须检查信息系统采用的软、硬件系统的脆弱性并及时修补加固。以确保信息系统的脆弱性在实际投入运行之前已经充分暴露并尽可能补救。
在遇到没有相应的成熟加固方案或者因为其它原因造成信息系统仍然存在脆弱性时,需要采取其它风险防范措施。例如:
分析脆弱性的相关事件,针对事件进行防范;
分析脆弱性的相关资产,在风险可接受时考虑隔离存在脆弱性的部分;
5 结论
信息系统的风险管理是信息安全的灵魂。风险评估则是风险管理的起点和基础。
FRAP是一种简便的风险评估方法,T-FRAP在FRAP的基础上作了适当剪裁与改进,使之更加适合偏向技术层面的信息安全风险评估。具体来说,T-FRAP相对于FRAP的主要改进体现在:
1、减小威胁评估的偏差;
2、根据风险评估的结果引入风险控制措施的决策原则;
3、将风险管理过程映射到信息系统生命周期的不同阶段。
天阗入侵风险评估系统
发布时间:2005-5-2222:09:45
文章来源:启明星辰
天阗入侵风险评估系统通过分布式的网络扫描引擎定期对网络和主机进行扫描,建立资产脆弱性分析数据库,采用协同关联分析技术,对入侵检测系统实时报警事件进行对应性校验,显示入侵事件的风险分析和评估结果。
评估过程:
天阗入侵风险评估系统是独立的软件系统,其作用发挥依赖如下系统的前期部署:※网络入侵检测系统:报告入侵事件和攻击目标,反映资产面临的威胁
※网络漏洞扫描系统:报告主机状态和漏洞分布,反映资产的脆弱性
天阗入侵风险评估系统采用如下的分析过程:
※判断入侵事件中的攻击对象是否落入所关心的资产范围之内。
※判断该入侵事件影响的系统和目标资产的实际系统是否有对应性。
※判断入侵事件针对的端口在目标资产上是否已经打开。
※判断目标资产上是否具有入侵事件所针对的漏洞。
根据以上的分析,给出入侵事件的风险分析和评估结果。
功能特点:
关联分析条件设置:关联分析条件包括指定关联分析对象、关联分析扫描策略、资产对象管理。通过设置,预先建立对资产主机、服务、系统信息和漏洞分布状况的资料库,为进行入侵事件的校验做好准备。
入侵风险评估结果显示:通过一系列实时关联分析判断,可以得出全面的风险评估结果,对于入侵事件和漏洞信息相对应的高风险隐患给出明确的警示,作为管理人员处理的有效依据。
支持扫描策略灵活调整和扩展:提供强大的扫描策略编辑功能,对关联分析扫描策略进行适应性调整。
支持资产脆弱性资料库的定期更新:由于实际环境的动态变化,为了保证风险分析的准确性,可以制定定时的扫描计划任务,更新资产脆弱性分析资料库。
入侵风险评估报告:通过报告明确给出具体的入侵检测事件信息、漏洞信息以及相应的关联分析结果,报告可以输出多种格式,如:WORD、PDF、HTML等。
通过7+7属性中的7个信息安全管理属性分析等级保护工作
在中办发【2003】27号文和公通字【2004】66号文中,都明确将信息安全等级保护制度确定为我国开展信息安全保障工作的一项基本制度。在有关等级保护的相关文件、标准、规范和指南中,指出了实施等级保护的一些基本原则和关键要素。本文提出了信息安全保障工作的7+7安全属性,并通过对于其中的7个信息安全管理属性来分析等级保护工作的实现思路。
本文认为信息安全的属性实际上是信息安全目标的抽象体现,而相关的信息安全措施的抽象体现就是信息安全机制。比如,加密技术(算法)是一个信息安全机制,这个机制的不同实现方式,可以满足不同的信息安全属性;加密技术用在数据的存储和传输上,可以满足数据的保密性和完整性的要求;加密技术用在数字签名的机制上,可以满足对于一个过程和操作的不可否认性要求。抽象的属性附着在具体的系统或者实体上的时候,就成为一个具体系统的安全目标;而抽象的机制以某种方式具体实现,那么就是一个信息安全产品或者措施了。
7+7安全属性是对于CIA(保密性、完整性、可用性)三性的扩展。将CIA三性扩展为:保密性、完整性、可用性、真实性、不可否认性、可追究性、可控性等7个信息安全技术属性(目标)。其中所增加的真实性、不可否认性、可追究性、可控性可以认为是完整性的扩展和细化。
同时,从管理的角度看,还应当存在一些纯管理的属性,可以作为实施信息安全管理工作,实现“技术与管理并重”要求的参考目标。我们把信息安全管理属性归纳为:目标性、执行性、效益性、时效性、适应性、整体性和符合性等7个属性。同样,各种各样的管理措施或者技术措施也会对于达成信息安全管理的属性(目标)有帮助。比如:一个应急响应体系,作为一个机制(措施),可以满足管理上的时效性和适应性的要求;再比如构建一个符合等级保护指南要求的信息安全管理体系,作为一些机制的组合,可以满足管理上的符合性等要求。
下面结合等级保护工作,来分析阐述这些与信息安全管理属性密切相关的原则、方法和建议。
一、目标性原则
信息安全要达到一个机构、一个单位、一个地区、一个行业乃至我国整体的信息安全保障目标,各项安全工作要有很好的针对性和目标性。由于信息安全工作非常复杂,通过等级保护的思路,可以帮助机构明确保护的重点和适当的强度。因此,在实施等级保护中,并不是为了等级而等级,而是能够促进将自身业务工作的、真正的安全要求明确出来。为了明确恰当的安全目标,运用风险评估的方法是一个比较可行的途径。风险评估方法的根本要义,实际上就是将安全问题和实际业务相结合,将业务及承载它的系统的风险识别出来,进而制定出等级。
二、执行性原则
也可称为实效性原则。等级保护工作的实施中,要能够切实帮助达成信息安全目标。因此,等级保护工作并不是要将信息安全保障工作变得复杂,而是力图将整个工作变得简单明确,提高可操作性。要想提高整体的可操作性,就要遵循工作的执行规律。用三观论(宏观、中观、微观)的思路分析整个工作的可执行性是非常好的思路之一,也就是等级保护工作要贯穿宏观的业务/价值层面、微观的技术/实现(产品和服务)层面,以及中观的管理/运营层面。使得等级保护工作不是一个形象工程或者单纯的政策,而是能够自上而下推进和自下而上贯彻的实效工作。
三、效益性原则
信息安全工作是做不到100%的。如果要过度地追求接近100%的绝对安全,会导致信息安全工作的成本急剧地升高。如果能够合适地把握这个度,就需要等级保护工作中的“级别”来帮助。也就是根据自身情况和外部要求制定合适的级别,并且采取相应级别的合适的措施(包括管理措施和技术措施)来达到恰当的安全度。这其中实际上是要考虑投入产出的,投入的是人力、资金、资源、时间等等,产出的安全保障或者说安全问题损失的减小。所以这里不仅仅有经济性问题,所以更加广泛地称之为效益性。要想能够更好地把握效益性,通过实施风险评估和风
险管理的理论和方法可以说是最佳实践,再进一步可以引进RoI(投资回报)的分析方法。
四、时效性原则
信息安全保障工作是一项非常特殊的工作,其特殊性之一就表现在其密切的时间相关性。离开时间来阐述和分析安全问题是没有意义的,是会有偏颇的。比如,没有破不了的加密算法,只有在有限的计算资源和时间之内破解概率接近零的算法。再比如:安全问题的一个非常根本的属性就是潜在性,安全事件没有发生之前都是潜在的隐性的,而当问题真的发生的时候,又需要在有限的时间内马上解决,尽量避免更大的损失。在我国获得广泛认可的PDR模型就是一个基于时间的安全模型。在考虑等级保护的策划和实施过程中,不能忽视时间因素,或者说时间因素应当作为一个重要的要素考虑在等级的确定和安全措施的要求上。具体应当会体现在应急等时效性要求非常明显的安全要求方面。
五、适应性原则
信息安全工作要面临不断变化的内外部环境,外部的威胁在变化,内部的组织结构在调整,自身的业务在发展,新的技术漏洞在不断被发现,性能更高功能更强的安全产品在频频推出,等等。总之,变化在所难免,我们必须主动去适应变化和利用变化。实际上,具体到一个入侵事件的处理,就是对于一个局部安全状态变化的一个应变、调整。在实施等级保护的过程中,这种适应性至少会体现在两个方面:一方面就是当确定了一个系统的安全等级后,当破坏这个系统安全等级状态的情况出现时,安全体系的响应、被攻击系统的恢复以及针对攻击源的反击都力图将系统调整会原来应有的状态;另一方面就是根据情况的变化和发展,一个系统的等级可能是需要变化的,以适应安全要求的提升或者降低,这都需要适当的管理流程来具体落实。
六、整体性原则
信息安全保障工作,是不能够仅仅通过局部的安全产品和服务等能力来实现的,必须有一个整体的部署和安排。而且这个整体性必须要体现在一些框架、结构、规划等上面。等级保护给出了分析和构建信息安全整体框架的一个角度,这个角度就是等级。等级关系是一个非常简单可操作的构造,在数学上,可以对应到一个数据结构“格”;这个结构比数学上的图结构(网状结构,也是更接近我们系统形态的结构)要简单的多。等级保护工作所体现的这种框架性、结构性和规划性,不仅仅给我们带来了信息安全保障工作的整体感,同时反而可以让我们有可能有计划地实现局部防护和分阶段实施。比如:对于一个机构高等级系统的重点防护。再比如:一个机构可以分阶段逐级提高系统的防护等级。
七、符合性原则
我们建议应当将等级保护的思路贯彻到具体的要求上去,甚至于可以说在某些环境和级别上应当体现出一定的强制性。这种要求的落实,就一定要体现在对于符合性的检查上。因此,在等级保护工作的落实工作中,要切实体会这项工作的严
肃性。借鉴国际标准ISO17799中对于符合性的描述思路:等级保护作为一项基本制度要从法规和标准的高度去理解并且遵守,等级保护工作中的定级和检查工作要有适当的独立性并受到保护,等级保护工作相关的资料也要注意保密并受到保护,等级保护工作自身也不能过当。
在实际的信息安全工作中,有效地应用这7+7信息安全属性的原则和思考方法,可以帮助我们落实等级保护相关规范和要求的工作。比如,在风险评估的过程中,针对7+7属性进行评估,在传统的CIA三性之外,能够给出更加具体和细化的安全要求和定级依据。而且这样的定级还能体现出管理在级别中的特色。再比如,根据等级进行技术措施和管理措施的选择和组合的时候,可以更加清晰地分析不同的措施对于7+7这不同的安全目标的满足程度和支持程度;仿照国际上ISO13335-4和NISTSP800-37等安全控制措施选择指南,结合7+7属性原则,形成更加细致的控制措施选择的指南性规范。
一个机构、单位、地区、行业如果能够在落实等级保护工作的过程中,参考、借鉴上面这七个信息安全管理属性所对应的原则,相信一定可以更好地帮助把握等级保护工作的精髓和重点。
风险评估和控制管理制度 为实现公司的安全生产,实现管理关口前移、重心下移,做到事前预防,达到消除减少危害、控制预防的目的,结合公司实际,特制定本制度。 一、评价目的 识别生产中的所有常规和非常规活动存在的危害,以及所有生产现场使用设备设施和作业环境中存在的危害,采用科学合理的评价方法进行评价。加强管理和个体防护等措施,遏止事故,避免人身伤害、死亡、职业病、财产损失和工作环境破坏。 二、评价范围 1、项目规划、设计和建设、投产、运行等阶段; 2、常规和异常活动; 3、事故及潜在的紧急情况; 4、所有进入作业场所的人员活动; 5、原材料、产品的运输和使用过程; 6、作业场所的设施、设备、车辆、安全防护用品; 7、人为因素,包括违反安全操作规程和安全生产规章制度; 8、丢弃、废弃、拆除与处置; 9、气候、地震及其他自然灾害等。 三、评价方法 可根据需要,选择有效、可行的风险评价方法进行风险评价。常
用的方法有工作危害分析法和安全检查表分析法等。 1、工作危害分析法(JHA Job Hazard Analysis) 作业危害分析又称作业安全分析、作业危害分解,是一种定性风险分析方法。实施作业危害分析,能够识别作业中潜在的危害,确定相应的工程措施,提供适当的个体防护装置,以防止事故发生,防止人员受到伤害。适用于涉及手工操作的各种作业。 (1)何谓作业危害分析 作业危害分析将作业活动划分为若干步骤,对每一步骤进行分析,从而辩识潜在的危害并制定安全措施。作业危害分析是有助于将认可的职业安全健康原则在特定作业中贯彻实施的一种方法。这种方法的基点是职业安全健康是任何作业活动的一个有机组成部分,而不能单独剥离出来。 所谓的“作业”(有时称“任务”)是指特定的工作安排,如“操作研磨机”、“使用高压水灭火器”等。“作业”的概念不宜过于原则如“大修机器”,也不宜过细。 (2)作业危害分析的作用及主要分析步骤 这种方法的优点是由许多有经验的人员参加危害分析,其结果是可以确定更为理想的操作程序。开展作业危害分析能够辩识原来未知的危害,增加职业安全健康方面的知识,促进操作人员与管理者之间的信息交流,有助于得到更为合理的安全操作规程。它还能用来对新的作业人员进行培训,为不经常进行的作业提供指导。作业危害分析的结果可以作为职业安全健康检查的标准,并协助进行事故调查。
信息安全风险评估模型及其算法研究 摘要:在信息科技日益发展,人类社会对信息的依赖性越来越强,信息资产的安全性受到空前的重视,而当前我国的信息安全水平普遍不高,与西方发达国家存在较大差距。在当前信息安全领域,主要的管理手段是奉行着“三分技术,七分管理”的原则。要想提高整体的信息安全水平,必须从一个组织整体的信息安全管理水平着手,而不仅是依赖于防火墙、入侵检测、漏洞扫描等传统信息安全技术手段,而目前信息安全管理的最起始的工作主要是信息安全风险评估,而信息安全风险评估的手段单一化、多元化、难以定量化。以往的信息安全风险评估多从AHP层析分析法、模糊综合评价及灰色理论入手,而较少采用V AR风险定量分析和概率论等数学方法去分析和评估信息安全的风险。以V AR风险定量分析每个风险源的损失额度,以概率论和数理统计的方法去评估每个风险源在整体信息安全的风险比例,从而便于组织合体调配资源,达到资源的最佳配置,降低组织的整体信息安全风险。 关键词:信息安全;风险评估;V AR分析;数理统计 1研究背景及现状 随着信息时代的迅速到来,众多的组织机构将重要信息存放在信息系统中,在业务上也越来越依赖信息系统的安全性、可用性、可恢复性。越来越多的组织机构意识到信息安全的重要性,例如金融、电力、通讯等相关涉及公共利益的组织机构投入巨资进行了信息安全能力的提升。而我国以公安部牵头的信息安全等级保护工作也在如火如荼的进行,对不同行业,不同机构进行分类保护,极大的从制度和法规方面促进了我国信息安全保护水平的提升,从国家宏观层面上积极推进了信息安全工作的开展。针对于国家公安部开展的信息安全等级保护工作,不同行业的信息安全等级易于测量,但对于某一行业具体金融机构的信息安全能力定级上难以定量化,不同金融机构所面对的信息安全风险大小不一,来源不同,极具差异化。小型银行在信息安全领域的花费将和大银行完全相同,将加大中小银行的商业负担,造成不必要的浪费,如何运用数量方法定量的而不是定性的去评估信息安全风险成为信息安全领域一个急需解决的学术问题。 ①国外的研究现状。目前在国外,最为流行的信息安全风险管理手段莫过于由信息系统审计与控制学会ISACA(InformationSystemsAuditandControl Association)在1996年公布的控制框架COBIT 目前已经更新至第四版,主要研究信息安全的风险管理。这个框架共有34个IT的流程,分成四个控制域:PO (Planning&Organization)、AI(Acquisition&Implementation)、DS (Delivery and Support)、ME(Monitor and Evaluate),共包含214个详细控制目标,提供了自我审计标准及最仕实践,能够指导组织有效利用信息资源。管理信息安全相关风险。文章总结了其中与信息安全管理相关的特点:更清晰的岗位责任划分。为了改善对IT流程模型的理解,COBIT4.0为每个IT流程进行了定义,对每个流程及基木输入/输出及与其他流程的关系进行了描述,确定它从哪个流程来,哪个
1111单位:1111系统安全项目信息安全风险评估报告 我们单位名 日期
报告编写人: 日期: 批准人:日期: 版本号:第一版本日期 第二版本日期 终板
目录 1概述 (5) 1.1项目背景 (5) 1.2工作方法 (5) 1.3评估范围 (5) 1.4基本信息 (5) 2业务系统分析 (6) 2.1业务系统职能 (6) 2.2网络拓扑结构 (6) 2.3边界数据流向 (6) 3资产分析 (6) 3.1信息资产分析 (6) 3.1.1信息资产识别概述 (6) 3.1.2信息资产识别 (7) 4威胁分析 (7) 4.1威胁分析概述 (7) 4.2威胁分类 (8) 4.3威胁主体 (8) 4.4威胁识别 (9) 5脆弱性分析 (9) 5.1脆弱性分析概述 (9) 5.2技术脆弱性分析 (10) 5.2.1网络平台脆弱性分析 (10) 5.2.2操作系统脆弱性分析 (10) 5.2.3脆弱性扫描结果分析 (10) 5.2.3.1扫描资产列表 (10) 5.2.3.2高危漏洞分析 (11) 5.2.3.3系统帐户分析 (11) 5.2.3.4应用帐户分析 (11)
5.3管理脆弱性分析 (11) 5.4脆弱性识别 (13) 6风险分析 (14) 6.1风险分析概述 (14) 6.2资产风险分布 (14) 6.3资产风险列表 (14) 7系统安全加固建议 (15) 7.1管理类建议 (15) 7.2技术类建议 (15) 7.2.1安全措施 (15) 7.2.2网络平台 (16) 7.2.3操作系统 (16) 8制定及确认................................................................................................................. 错误!未定义书签。9附录A:脆弱性编号规则.. (17)
1.0 范围 适用于公司生产制造过程中影响产品交付和产品质量的风险识别和控制因素策划及实施。 2.0 目的 为了控制可能会影响产品交付和产品质量有关的风险,为风险识别、评估和降低 确定技术、工具和对其应用,特制定本程序。 3.0 设备要求 不适用 4.0 职责 4.1 设备部负责对生产过程中产生质量风险、检验文件的制定和更改以及设 备设施的可利用性、可维护性的风险进行评估和控制; 4.2 营销主料采购和供应链辅料采购部负责对原辅材料采购、外包方和供方 业绩进行评估和控制;负责供方变化及其质量管理体系变化产生的风险 进行评估和控制; 4.3 销售/客服部和工程部负责不合格产品交付产生的风险进行评估和控制 4.4 质量安全部负责产品的检验与试验过程、检测设备的使用和维修 可能产生的质量风险进行评估和控制; 4.5 人事行政部负责对人员能力、专项技能的符合性、组织机构变更以及关 键或重要人员的改变产生的风险进行评估和风险控制。 5.0 程序 5.1 定义 5.1.1风险:有可能发生并有潜在负面结果的局面或境况 5.1.2 风险评估 评估来自可能发生的风险,考虑现有控制的适当性和决定该风险是否可接 受的过程。 5.2 风险辨识和风险评估过程 1)评估准备----收集资料,制定计划 2)风险识别----事故类型,影响因数及机制 3)风险评估----事故发生的可能性,事故的严重程度,风险值的确定,风险分级 4)风险控制----制定方案,落实风险防范措施 5)登记重大风险项目 6)定期检查提出整改方案 5.3 风险源的识别 5.3.1 风险源的识别应考虑以下方面: 5.3.1.1与产品交付相关的风险评估应包括: 1)设施/设备的可用性和可维护性 2)供应商绩效以及材料的可用性/供应
从最开始接触风险评估理论到现在,已经有将近5个年头了,从最开始的膜拜捧为必杀技,然后是有一阵子怀疑甚至预弃之不用,到现在重拾之,尊之为做好安全的必备法宝,这么一段起起伏伏的心理历程。对风险的方法在一步步的加深,本文从风险评估工作最突出的问题:如何得到一致的、可比较的、可重复的风险评估结果,来加以分析讨论。 1. 风险评估的现状 风险理论也逐渐被广大信息安全专业人士所熟知,以风险驱动的方法去管理信息安全已经被大部分人所共知和接受,这几年国内等级保护的如火如荼的开展,风险评估工作是水涨船高,加之国内信息安全咨询和服务厂商和机构不遗余力的推动,风险评估实践也在不断的深入。当前的风险评估的方法主要参照两个标准,一个是国际标准《ISO13335信息安全风险管理指南》和国内标准《GB/T 20984-2007信息安全风险评估规范》,其本质上就是以信息资产为对象的定性的风险评估。基本方法是识别并评价组织/企业内部所要关注的信息系统、数据、人员、服务等保护对象,在参照当前流行的国际国内标准如ISO2700 2,COBIT,信息系统等级保护,识别出这些保护对象面临的威胁以及自身所存在的能被威胁利用的弱点,最后从可能性和影响程度这两个方面来评价信息资产的风险,综合后得到企业所面临的信息安全风险。这是大多数组织在做风险评估时使用的方法。当然也有少数的组织/企业开始在资产风险评估的基础上,在实践中摸索和开发出类似与流程风险评估等方法,补充完善了资产风险评估。 2. 风险评估的突出问题 信息安全领域的风险评估甚至风险管理的方法是借鉴了银行业成熟的风险管理方法,银行业业务风险管理的方法已经发展到相当成熟的地步,并且银行业也有非常丰富的基础数据支撑着风险分析方法的运用。但是,风险评估作为信息安全领域的新生事物,或者说舶来之物,尽管信息安全本身在国内开展也不过是10来年,风险评估作为先进思想也存在着类似“马列主义要与中国的实际国情结合走中国特色社会主义道路”的问题。风险评估的定量评估方法缺少必要的土壤,没有基础的、统计数据做支撑,定量风险评估寸步难移;而定性的风险评估其方法的本质是定性,所谓定性,则意味着估计、大概,不准确,其本质的缺陷给实践带来无穷的问题,重要问题之一就是投资回报问题,由于不能从财务的角度去评价一个/组风险所带来的可能损失,因此,也就没有办法得到投资回报率,尽管这是个问题,但是实践当中,一般大的企业都会有个基本的年度预算,IT/安全占企业年度预算的百分之多少,然后就是反正就这么些钱,按照风险从高到低或者再结合其他比如企业现有管理和技术水平,项目实施的难易度等情况综合考虑得到风险处理优先级,从高到低依次排序,钱到哪花完,风险处理今年就处理到哪。这方法到也比较具有实际价值,操作起来也容易,预算多的企业也不怕钱花不完,预算少的企业也有其对付办法,你领导就给这么些钱,哪些不能处理的风险反正我已经告诉你啦,要是万一出了事情你也怪不得我,没有出事情,等明年有钱了再接着处理。
产品风险评估与控制管理程序 (新版) Safety management is an important part of enterprise production management. The object is the state management and control of all people, objects and environments in production. ( 安全管理 ) 单位:______________________ 姓名:______________________ 日期:______________________ 编号:AQ-SN-0942
产品风险评估与控制管理程序(新版) 1.目的: 为了控制可能会影响产品品质或对人员造成伤害的物理、化学和微生物污染的风险。通过风险评估,降低风险发生,提高质量意识,特制定此程序 2.范围: 本公司生产制造中来料,半成品加工,成品组装,包装等所有环节可能会影响产品品质或对人员造成伤害的物理、化学和微生物污染的过程、场所,工作环节均属之。 3.权责: 行政处:负责对工作环境,人员方面的风险评估及管控措施的跟进;
制造处:负责生产过程中的风险评估及管控措施的跟进; 制造处:负责原物料和产品维护方面的风险评估及管控措施的跟进; 4.作业内容 4.1产品风险评价准则 4.1.1风险严重度评价准则 4.2产品风险发生频度评价准则: 4.3产品风险探测度评价准则: 4.4产品风险顺序数计算方法 4.4.1风险顺序数(RPN)=风险严重度(S),频度(O)和探测度(D)的乘积。 4.4.2当S≥7且RPN≥60时,视为紧急状态,必须采取改进措施。 4.4.3当S<7且RPN≥100时,视为紧急状态,必须采取改进措施。 5.0评估作业程序
管理制度编号:YTO-FS-PD626 危险源风险评估和控制管理制度通用 版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards
危险源风险评估和控制管理制度通 用版 使用提示:本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理,通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态,从而达到安全生产和减少隐患的效果。文件下载后可定制修改,请根据实际需要进行调整和使用。 1 目的 为加强我厂风险管理,预防事故发生,实现安全技术,安全管理的标准化和科学化,特制定本制度。 2 范围 适用于检测装置、维修设备设施、维修作业现场的风险评价与控制,适用于作业现场,生产经营活动的正常和非正常情况,包括新改扩建项目的规划、设计和建设、投产、运行、拆除、报废各阶段的风险评价、风险控制、风险信息更新以及危险源的管理。 3 职责 3.1厂长组织建立危险源控制系统。 3.2厂长直接负责风险评价领导工作,组织制定风险评价程序和指导书,明确风险评价的目的、范围。成立评价组织,进行风险评价,确定风险等级,主持年终全我厂的风险评审工作。 3.3安全科是风险评价的归口管理部门,负责审查各部
第一章网络安全现状与问题 目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而
神华广东国华粤电台山发电有限公司企业标准 Q/GHTD SC-FX-2B02—2008 风险管理体系 风险评估及控制程序 2009-10-14发布2009-10-14实施 广东国华粤电台山发电有限公司发布
控制页目录 1、《制度发布审批表》 2、《制度评审表》 3、《文件控制表》 4、《制度控制表》 5、《关键内容》 6、《制度在管理体系中的位置》 分发控制表 发文范围:(共26份)所属体系:风险管理体系控制等级□绝密■机密□秘密□内部资料□公开资料发文份数发文份数发文份数总经理1总经理工作部1燃料部1党委书记1企业文化部1计划管理组1筹建处主任0人力资源部1工程部1经营副总经理0财务产权部1计划部1生产副总经理1经营管理部1物资部1基建副总经理0生产技术部1生产准备部1总工程师1安健环部1珠三角电力1 党委副书记、纪委书记兼 1供应部1鑫元实业公司1工会主席 总经理助理3发电运行部1 筹建处主任助理0设备维护部1
版本编号签发 日期 下次复 核日期 编写人 一级 评审 二级 评审 三级 评审 批准人 有否 修订 A2009-102010-10乔向镇吴锦江 鲍英智 王明喜 吕泽林 曹建军 凡明峰 王宏杰 韩敏 莫剑 李坚 梅剑云 白云学 杨建兴 高春富 魏凤文 陆成骏 杨远忠 韩敦伟 林彦君 王春光 王向前 孙月无 修订内容: 本制度监督实施及完善负责人本制度监督实施及完善执行人职务:安健环部经理职务:安健环部风险主管 签字:高春富签字:乔向镇
关键内容 1、明确了各级人员风险辩识与评估的职责。 2、明确了风险评估的范围。 3、明确了风险辨识、评估、控制的方法。 4、明确了风险评估及控制的流程。
新产品风险评估控制程序 1. 目的 为保证产品质量体系有效运行,识别产品危险源的因素,以实施有效控制。 2. 适用范围 适用于本公司所有的产品设计和生产过程实现所有活动的危害源的识别、控制。 3. 定义 3.1产品安全风险:可能导致产品存在重大的安全风险从而给公司和客户的财产损失造成严重的损失和给消费者造成严重的人身伤害。 3.2风险:某一特定情况发生的可能性和后果的组合。 4. 职责 4.1 管理者代表负责提供重大风险控制的资源以及产品安全识别、评价的组织领导工作, 并确认和批准; 4.2 技术研发部负责产品风险的识别和控制方案的制定; 4.3 各生产部门负责具体活动信息收集和风险控制方案的实施; 5. 工作程序和控制要点 5.1产品风险评估分为产品生产过程风险评估和产品设计风险评估; 5.2评估人员 产品风险评估由技术研发部牵头项目工程师、技术经理、品管经理及相关人员进行;参加风险评估人员进行相关风险评估专业知识的培训和对相关开发产品性能、结构、质量要求、生产工艺等熟悉,才能胜任。 5.3风险评估时机 设计风险评估在产品开发项目确立、设计开发前进行,生产过程风险评估在产品开发完成、批量试生产前进行;
5.4评估方法 5.4.1风险识别(风险严重度) 5.4.1.1根据产品的部件组成和功能、过程特点和作用等,分析可能产生的产品、过程的潜在失效模式和失效后果; 5.4.1.2通常失效分为两大类:一、不能完成规定的功能;二、产生了有害的非期望功能;并站在顾客或品质控制的角度来发现或经历的情况描述失效的后果,再通过严重度数表打分形式来判断风险失效的严重程度和确定产品关键、重要等风险分类; 5.4.2失效原因分析(风险发生率)列出失效模式下所有想象可能的失效产生原因,注意有时一个失效模式有多种原因造成,并通过风险发生机率表打分形式来判断每个风险失效原因可能产生的频率; 5.4.3设计控制方法(探测难度) 针对每个产品设计和过程的失效原因分析,现行设计此类问题时所采取的具体措施,以防止失效发生或减少失效发生的频次;并针对每个产品设计和过程的失效原因,现行确定使用的测试手段和方法的检测;再通过探测难度数表打分形式来判断风险失效由设计或过程控制可探测的可能性; 5.4.4失效模式及后果分析风险顺序数(PRN)风险顺序数RPN是对设计或过程风险的度量,RPN=S*O*D,应关注RPN较高的项目;当RPN相近的情况下,应先考虑S大的失效模式,以及S和D都较大的失效模式;当RPN值很高(>64)时设计人员必须采取纠正措施,同时S ≥8时也需要特别关注; 5.4.5 改进措施(改进后的风险顺序数)失效模式风险评估的结果就是是否采取措施、采取哪些措施和采取措施的结果是否降低的产品或过程的风险度,采取措施的目的就是降低潜在失效风险,即降低风险失效模式的严重度S、频率O、探测度D。根据风险顺序数(RPN)提出建议采取措施以减少RPN,并确立专人和具体时限完成,对采取措施后的风险顺序数再次进行计算,以验证采取的措施是否有效、RPN值是否降低。 5.5评审结果 根据产品评审的结果确定产品所需的测试和重要、关键生产控制岗位,进行重点控制和测试。
附件: 国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式 项目名称: 项目建设单位: 风险评估单位: 年月日
目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)
5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)
化学品风险评估及管理程序 1目的 为了对本公司化学品进行有效评估、管理﹐防止在采购﹑运输﹑储存﹑使用﹑报废的过程中对环境造成不良影响和对人员造成伤害﹐特制定本程序。 2适用围 本程序适用于本公司化学危险物品及油品从采购到废弃全过程的风险评估及管理。 3.0 职责 3.1物控部负责所采购的化学危险物品及油品的接收﹑储存﹑发放﹑废弃管理﹔ 3.2物控部负责收集、保存相应的MSDS(物质安全指引)复印件或包含物质特性﹑ 处理方法的作业指导书。 4.0 程序 4.1 化学品的采购 4.1.1各部门依据本部门实际生产中的需求﹐确定本部门正常生产消耗的化学危险 物品﹑油品的需求量﹐并有计划地进行采购﹐确保化学危险品及油品的库存量降到最低标准﹔ 4.1.2在选择使用化学危险品﹑油品时﹐根据生产工艺对化学危险品﹑油品的使 用 要求﹐满足相同条件下﹐优先选择毒害性与危险性较小的产品﹐ISO办搜集最新的科技成果﹐争取对危险﹑有毒害的化学品进行替换或减少使用﹔ 4.1.3物控部在与供货商签订购买合同或订货单时﹐应要求供货商在运输及装卸 过 程中采取防止泄漏﹑倾倒等预防措施﹔并提供化学危险物品及油品的化学性能方面的性质和禁忌﹐采取相应的预防和应急措施。 4.1.4由物控部负责组织制定本公司《化学危险品一览表》管理更新化学危险品清 单,并根据供应商提供的MSDS完善成相关的化学险品﹑油品的物质性能表及存储、使用规﹐并将其发放到相关危险品及油品的存储﹑使用部门。 4.2化学危险品及油品的运输 4.2.1运输﹑搬运化学危险品﹑油品时﹐要了解该化学危险品﹑油品的性质和禁 忌﹐严禁有禁忌的化学危险品﹑油品混装运输﹐严禁人货混装运输﹔ 4.2.2化学危险品及油品在搬运过程中﹐一定要注意箱体﹑桶体﹑箭头标识方
风险评估和控制管理规定 1.目的 为了明确公司生产经营范围内安全风险识别的内容和要求,对各种安全管理技术和资源进行整合优化,制定并实施经济有效的防范措施,从而有效规避和控制安全风险,确保生产安全,特制定本规定。 2.适用范围 适用于公司范围内的风险辨识、风险评估和控制管理(包含生产过程及物料、设备设施、器材、通道、作业环境及厂区周边环境的排查等)。 3.术语和定义 无 4.职责描述 4.1.总经理负责风险辨识、风险评价和控制管理的领导、组织、协调、分工等职责。 4.2.行政部对风险辨识、风险评价和控制管理工作进行全程策划,并组织实施。 4.3.安全管理员负责前期信息的收集与相关文本的起草工作,并按规定进行风险识别。 4.4.各部门负责本部门的风险辨识、风险评价和控制管理工作。 4.5.进行风险识别的人员应具备相应的资质和资格,若公司没有这个资质的技术人员, 应外聘有资质的单位和个人或专家进行协助。 5.内容及要求(工作程序) 5.1.风险辨识管理 5.1.1.风险辨识的范围 5.1.1.1.规划、设计和建设、投产、运行等阶段。 5.1.1.2.公司生产过程中的常规活动和非常规活动(如生产、起重、运输、登 高、高温、维修作业、办公活动等)。 5.1.1.3.所有进入作业场所的人员(包括合同方人员、外来人员)。 5.1.1.4.作业场所的设施、设备、器材、车辆及安全防护用品。 5.1.1.5.原材料、产品的运输和使用过程。 5.1.1. 6.作业环境及周边环境因素。
5.1.1.7.三种时态(过去、现在、将来)。 5.1.1.8.三种状态(正常、异常、紧急)。 5.1.1.9.危险因素分类 1.按能量分七种:机械能、电能、热能、化学能、放射能、生物因素、 人机工程因素(心理、生理)。 2.可参考GB/T13861-1992《生产过程危险和有害因素代码》六种类 型分类。 3.可参照GB/T6441-1996《企业职工伤亡事故分类》的二十种类别分 类。 5.1.1.10.按层次辨识厂址、厂区布局、建(构)筑物、生产工艺过程、 生产设备、装置等。 5.1.2.风险辨识方法 5.1.2.1.询问法:安全管理员与生产现场的管理、作业人员和技术人员进行交 流讨论,获取风险源资料。 5.1.2.2.现场观察法:安全管理员到作业现场观察各类设施、场地,分析操作 行为、安全管理状况等,获取风险源资料。 5.1.2.3.工作危害分析法(JHA):从作业活动清单中选定一项作业活动,将 作业活动分解为若干个相连的工作步骤,识别每个工作步骤的潜在危 害因素,然后通过风险评价,判定风险等级,制定控制措施。(参考 (AQ-07-7.1.1-01)) 5.1.2.4.安全检查表(SCL)法:行政部采用预先设计好的安全检查表或制度与 规程,到现场进行检查,发现安全隐患问题及时记录和分析,并据此 获取风险源资料。 5.1.2.5.针对不同的目的和应用范围,还可以采用交谈、查阅有关记录、对工 作任务分析、等方法较直观地辨识风险。 5.1.3.风险识别的步骤 5.1.3.1.行政部负责设计《工作危害分析记录表》、《工作危害安全检查表》 发至各部门。
本程序,作为《WX-WI-IT-001 信息安全管理流程A0版》的附件,随制度发行,并同步生效。 信息安全风险评估管理程序 1.0目的 在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施处理风险。 2.0适用范围 在ISMS 覆盖范围内主要信息资产 3.0定义(无) 4.0职责 4.1各部门负责部门内部资产的识别,确定资产价值。 4.2IT部负责风险评估和制订控制措施。 4.3财务中心副部负责信息系统运行的批准。 5.0流程图 同信息安全管理程序的流程 6.0内容 6.1资产的识别 6.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别,确定资产价值。 6.1.2资产分类 根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员 等类。 6.1.3资产(A)赋值 资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选 择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值 等级作为资产的最终赋值结果。资产等级划分为五级,分别代表资产重要性
的高低。等级数值越大,资产价值越高。 1)机密性赋值 根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产 2)完整性赋值 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产 3)可用性赋值 根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
3分以上为重要资产,重要信息资产由IT 部确立清单 6.2威胁识别 6.2.1威胁分类 对重要资产应由ISMS 小组识别其面临的威胁。针对威胁来源,根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。 6.2.2威胁(T)赋值 评估者应根据经验和(或)有关的统计数据来判断威胁出现的频率。 威胁频率等级划分为五级,分别代表威胁出现的频率的高低。等级数值越大,威胁出现
When the lives of employees or national property are endangered, production activities are stopped to rectify and eliminate dangerous factors. (安全管理) 单位:___________________ 姓名:___________________ 日期:___________________ 危险源辨识、风险评价和控制措 施管理程序(最新版)
危险源辨识、风险评价和控制措施管理程序 (最新版) 导语:生产有了安全保障,才能持续、稳定发展。生产活动中事故层出不穷,生产势必陷于混乱、甚至瘫痪状态。当生产与安全发生矛盾、危及职工生命或国家财产时,生产活动停下来整治、消除危险因素以后,生产形势会变得更好。"安全第一" 的提法,决非把安全摆到生产之上;忽视安全自然是一种错误。 1、目的和适用范围 充分辨识危险源,合理评价风险,进行风险控制策划,为管理体系运行和决策提供依据。 本程序适用于公司管理体系内各单位的危险源辨识、风险评价和风险控制措施的管理。 2、定义 危险源:可能导致人身伤害和(或)健康损害的根源、状态或行为,或其组合。 风险:某一特定危险情况发生的可能性和后果的组合。 风险评价:评估风险大小以及确定风险是否可容许的过程。 不可接受风险:指公司根据本程序辨识、评价的级别为二级(含二级)以上的,在体系运行中需特别关注、重点控制的风险。 三定四不推:指在风险控制计划的制定和实施中要做到定人员、
定措施、定时间;班组能够解决的不推给车间、车间能够解决的不推给分厂、分厂能够解决的不推给公司。 管理方案:对风险需投资或加强培训实现职业健康安全目标,而明确相关职能和层次的职责和权限,制定方法、资源、时间表,并落实专项检查所采取的措施。管理方案应通过年度检修计划、技改项目、固定资产投资计划、专项治理整改等方式实施。 3、职责 3.1安全环保部负责危险源辨识、风险评价和风险控制策划的组织、协调、监督检查,负责制定、修改程序并组织实施和检查。 3.2各单位负责实施本单位的危险源辨识、风险评价和风险控制措施,并配合安全环保部对不可接受风险进行确认。 4、工作程序 4.1安全环保部每年第四季度组织进行一次危险源辨识和风险评价。 4.2各单位依据安全环保部的安排,针对本单位区域内所有作业活动开展危险源辨识、风险评价和风险控制策划工作,填写“危险源辨识与风险评价调查表”,编制本单位《不可接受风险及控制计划清单》,经本单位主管领导审核、单位领导批准后,受控发放,并将电子文本
信息安全风险评估技术手段综述 王英梅1 (北京科技大学信息工程学院北京 100101) 摘要:信息安全成为国家安全的重要组成部分,因此为保证信息安全,建立信息安全管理体系已成为目前安全建设的首要任务。风险评估作为信息安全管理体系建设的基础,在体系建设的各个阶段发挥着重要的作用。风险评估的进行离不开风险评估工具,本文在对风险评估工具进行分类的基础上,探讨了目前主要的风险评估工具的研究现状及发展方向。 关键词:风险评估综合风险评估信息基础设施工具 引言 当今时代,信息是一个国家最重要的资源之一,信息与网络的运用亦是二十一世纪国力的象征,以网络为载体、信息资源为核心的新经济改变了传统的资产运营模式,没有各种信息的支持,企业的生存和发展空间就会受到限制。信息的重要性使得他不但面临着来自各方面的层出不穷的挑战,因此,需要对信息资产加以妥善保护。正如中国工程院院长徐匡迪所说:“没有安全的工程就是豆腐渣工程”。信息同样需要安全工程。而人们在实践中逐渐认识到科学的管理是解决信息安全问题的关键。信息安全的内涵也在不断的延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。 如何保证组织一直保持一个比较安全的状态,保证企业的信息安全管理手段和安全技术发挥最大的作用,是企业最关心的问题。同时企业高层开始意识到信息安全策略的重要性。突然间,IT专业人员发现自己面临着挑战:设计信息安全政策该从何处着手?如何拟订具有约束力的安全政策?如何让公司员工真正接受安全策略并在日常工作中执行?借助于信息安全风险评估和风险评估工具,能够回答以上的问题。 一.信息安全风险评估与评估工具 风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程,即利用定性或定量的方法,借助于风险评估工具,确定信息资产的风险等级和优先风险控制。 风险评估是风险管理的最根本依据,是对现有网络的安全性进行分析的第一手资料,也 1作者介绍:王英梅(1974-),博士研究生,研究方向为信息安全、风险评估。国家信息中心《信息安全风险评估指南》编写小组成员。
XXXXX公司 信息安全风险评估报告 历史版本编制、审核、批准、发布实施、分发信息记录表
一. 风险项目综述 1.企业名称: XXXXX公司 2.企业概况:XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持与 服务的企业。 3.ISMS方针:预防为主,共筑信息安全;完善管理,赢得顾客信赖。 4.ISMS范围:计算机应用软件开发,网络安全产品设计/开发,系统集成及服务的信息安全管理。
二. 风险评估目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,进行本次风险评估。 三. 风险评估日期: 2017-9-10至2017-9-15 四. 评估小组成员 XXXXXXX。 五. 评估方法综述 1、首先由信息安全管理小组牵头组建风险评估小组; 2、通过咨询公司对风险评估小组进行相关培训; 3、根据我们的信息安全方针、范围制定信息安全风险管理程序,以这个程序作为我们风险评估的依据和方 法; 4、各部门识别所有的业务流程,并根据这些业务流程进行资产识别,对识别的资产进行打分形成重要资产 清单; 5、对每个重要资产进行威胁、脆弱性识别并打分,并以此得到资产的风险等级; 6、根据风险接受准则得出不可接受风险,并根据标准ISO27001:2013的附录A制定相关的风险控制措施; 7、对于可接受的剩余风险向公司领导汇报并得到批准。 六. 风险评估概况 根据第一阶段审核结果,修订了信息安全风险管理程序,根据新修订程序文件,再次进行了风险评估工作从2017年9月10日开始进入风险评估阶段,到2017年9月15日止基本工作告一段落。主要工作过程如下: 1.2017-9-10 ~ 2017-9-10,风险评估培训; 2.2017-9-11 ~ 2017-9-11,公司评估小组制定《信息安全风险管理程序》,制定系统化的风险评估方法;
**信息安全风险评估管理办法 目录 总则 为确保**网络及信息系统安全、高效、可控的运行,提高业务系统安全运行能力,全面降低信息安全风险,特制定本管理办法。 组织与责任 信息安全管理组负责信息安全风险评估的具体实施。 技术支撑部门协助信息安全管理执行组的信息安全风险评估工作,并且实施信息安全管理执行组通过风险评估后提供的解决方案与建议。 其他部门协助信息安全管理执行组开展信息安全风险评估工作。 信息安全风险评估规定
弱点分析 概述 弱点评估是安全风险评估中最主要的内容。弱点是信息资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的弱点。 弱点检查 信息安全管理组应定期对集团IT系统进行全面的信息安全弱点检查,了解各IT系统的信息安全现状。 IT系统安全检查的范围包括:主机系统、网络设备、安全设备、数据库系统、应用系统、邮件系统以及其它在用系统。 IT系统安全检查的工具与方法如下: 1. 工具检查:针对IT设备建议采用专用的脆弱性评估工具进行检查,如Nessus、 BurpSuite等工具,针对应用系统及代码安全检查,建议采用商业专用软件进行检查, 如IBM AppScan。 2. 手工检查:由信息安全专员或技术支撑部门相关人员参照相关的指导文档上机进行手 工检查。 信息安全检查工作开展前,信息安全管理组需制定安全检查计划,对于部分可用性要求高的业务系统或设备,计划中要明确执行的时间,并且该计划要通知相关部门与系统维护人员,明确相关人员的及部门的职责与注意事项。 信息安全管理组与外服公司针对信息安全检查须制定《安全检查方案》,方案中,针对工具扫描部分需明确扫描策略,同时方案必须提供规避操作风险的措施与方法。并且该方案必须获得技术支撑部领导批准。 信息安全管理组应对IT系统安全检查的结果进行汇总,并进行详细分析,提供具体的安全解决建议,如安全加固、安全技术引进等。 当发生重大的信息安全事件,信息安全管理组应在事后进行一次全面的安全检查,并通过安全检查结果对重要的安全问题进行及时解决。 常见的弱点种类分为: 1. 技术性弱点:系统,程序,设备中存在的漏洞或缺陷,比如结构设计问题或编程 漏洞;
GMP质量风险管理程序 1 目的 建立质量风险管理系统,以保证产品质量。 2 范围 贯穿于质量和生产的各个方面。质量风险管理可以应用于以下方面: 2.1确定和评估产品或流程的偏差或产品投诉对质量和药政法规造成的潜在的影响,包括对不同市场的影响。 2.2评估和确定内部和外部的质量审计的范围。 2.3厂房设施、建筑材料、通用工程及预防性维护项目或计算机系统的新建或改造。 2.4确定质量体系,如材料、产品放行、标签或批审核的效果或变化。 2.5其他方面的应用。 3 依据 2010版GMP实施指南《质量管理体系》分册“质量风险管理”。 4 术语定义 4.1“质量风险管理”是质量管理方针、程序及规范在评估、控制、沟通和风险时的系统应用。 4.2“风险”由两个关键因素构成:即危害发生的可能性,危害发生的严重性。
5 职责 质量风险评估项目小组人员负责收集背景信息并选择相应的质量风险管理模式,然后进行风险评估。 6.内容 质量风险管理是通过掌握足够的知识、事实、数据后,前瞻性的推断未来可能会发生的事件,通过风险控制,避免危害发生。 6.1 质量风险管理模式 6.1.1 风险评估 6.1.2 风险控制 6.1.3 风险审核,文件和沟通 质量风险管理模式图请见下表:
6.2 质量风险管理流程 6.2.1 风险识别 6.2.2 风险分析 6.2.3 风险评价 6.2.4 风险控制 6.2.4.1 风险降低 6.2.4.2 风险接受 6.2.4.3 风险审核及回顾 6.3 质量风险管理步骤的详细说明 6.3.1 风险识别:确定事件并启动质量风险管理 6.3.1.1 确定风险评估的问题 6.3.1.2 收集和组织信息 在此阶段清楚地确定风险的问题或事件对质量风险管理的结果有很重要的影响。通常需要考虑的风险包括对患者的风险;产品不符合标准要求的风险;法规不符合的风险等。在此阶段还需收集背景信息并确定质量风险管理项目小组人员及资源配置等。用于识别风险的信息可以包括历史数据,理论分析,成型的意见,以及影响决策的一些厉害关系等。 6.3.2 风险分析 在进行风险分析时,需要评估风险发生和重现的可能性。也可以考虑测定风险发生或重现的能力。针对不同的风险项目需选择应用不同的分析工具。 选择风险评估的工具: