网络信息安全风险评估实施方法.pdf

网络信息安全风险评估实施方法

1评估准备

1.1第1步：成立评估工作组

在一个评估工作下达后，要组织人员来实施评估工作的内容。评估工作组

通常包括如下两方面的人员：

评估人员：外部专业评估机构的人员，或由内部专业人员组成的评估队伍。

系统管理人员：待评系统的运维管理人员。

以上两部份人员形成一个完整的评估项目组，根据项目组成员的职能，项目

组包括如下角色：

表5.1评估工作组人员角色安排

角色职责评估人员系统管理人员

**

评估项目负责人负责总体协调、项目管理

**

人工评估

*

工具检测

*

现场评估工程师

**

人员访谈

*

审计工程师数据分析、整理

*

咨询顾问风险处置、方案建议

*

文档工程师文档编制、维护

1.2第2步：确定评估范围

评估范围界定是对待评系统资产的抽样。在成立了评估工作组后，评估范围

可通过评估组的工作会议进行确定。

确定的评估范围应能代表待评估系统的所有关键资产，包括：网络范围、主

机范围、应用系统范围、制度与管理范围。

评估范围确定后，待评系统管理人员要根据选定的内容进行资料的准备工

作，包括：网络拓扑结构图、信息资产清单、应用系统的说明稳当、组织机构设

置说明等内容。本实施指南的附件《信息安全风险评估资料准备说明》中给出了

评估前要准备的清单C

1.3第3步：评估动员会议

安全评估工作是一个挑毛病、找问题的过程，一般情况下带评估系统的管理

和运行维护人员都会有一定的抵触情绪，因此，要通过评估动员让所有工作人

员明白评估的目的和意义。评估动员会议应由较高层的领导出席，并表明对评估

工作的支持态度。

评估动员会议要完成以下的议题：评估的时间和人员安排、评估工作中的风

险防范措施。

1.4第4步：信息系统调研

为了确保评估工作的全面性、提高评估工作的效率，在评估实施前，组织评

估工作组成员对确定的实施范围进行走访。通过前期快速的调研，评估工作组可

以基本掌握评估范围内信息系统和人员的实际情况，并与配合人员进行初步的沟

通，确定评估实施中必须具备的技术工具和手段，以及基本的时间安排和必要的

工作准备。

1.5第5步：评估工具准备

评估工作组根据收到的评估资料，进行评估工具的准备，这包括威胁列表、

网络评估工具、主机评估工具、资产统计工具、安全管理访谈表等内容。

评估工具中大部份内容要根据评估范围和评估的主要目的进行定制，例如

威胁列表要根据信息系统熨际的物理、网络