信息系统风险评估(三).pdfVIP

■妒方案 在信息系统风险评估系列文章的前两期中，提出了总体概念和量化风险分 析的方法．本期将根据实际经验向大家介绍可操作的定性风险评估方法。 信息系统风险评估(三) 魏忠 叶铭 一个完整的风险评估方案包括风险识别 调查主要分为两部分人员调查与技术调查。 风险分析风险管理三部分内容对于一个特定 1 人员调查 的企业明确需要保护的重点资产．以及了解企 ·目的 业信息系统的脆弱性将是明确进行风险分析的重 点。由于直接对信息系统环境定量分析的困难 面)调查了解有关内部最重视的信息资产、最担心发生的事故以及对重要资产 性此方法采用了间接通过对脆弱性与企业自身 进行安全保护的需求． 安全需求的风险分析避免了许多概念方面的分 b)内部安仝控制策略实施的情况与组织内部存在的问题。 析方法．具有良好的可操作性。 ·调查手段 采用问卷．访谈．会议的形式获取相关的数据最终获取目前信息管理的规 章制度以及实施情况的客观依据。 ·可以参考的标准 对于策略的调查7799标准、现有的管理制度。 ·标准的使用 标准用于对安全控制策略实施情况的评估，以7799标准作为主要的管理标准 的框架对现有标准从体系与内容完整性进行完善．以此为基准设计管理措施相 关的调查表格。 2技术调查 采用技术的手段对信息系统进行分析．对当前信息系统中技术方面存在的问 题进行识别此项工作由专业的技术人员进行。技术性调查的目的是为了对最终 的决策提供直接的技术方面的证据．因此不盛追求非常高的精度，对于类似的设 备只需要进行抽查。按照系统层次性分析的方式对系统的以下内容进行调查 a)网络架构：绘制出信息系统网络拓扑结构．标明网络薄弱点．目前网络 上虚网划分与使用的情况：明确网络边界《包括各系统设置的拨号接人服务器)。 对网络的可靠性和安全性做出评价．对业务系统给出安全等级建议(通过评估确 认目前达到的安全等级)。 评估由企业内部负责信息系统高层领导牵 b)业务流程主要业务系统之间的数据流量以及峰值流量出现时间．准确 头组织企业内部技术团队或第三方专业公司进 的获得目前的主要业务系统的数据流向，业务的实现方式．业务安全要求。总结 行。评估主要包括四个阶段： 业务的功能体系．对每个功能进行描述．即形成业务流程现状图．指出各业务流 第一阶段准备阶段 程现状中存在的问题．结合各问题的解决方案．提出业务流程优化思路。 就评估所需要开展的工作进行商讨 明确 c)主机系统：主机系统的漏洞(操作系统固有的漏洞与配置的问题)系统 任务的内容明确项目小组成员及其职责分 服务C明确不需要的系统服务】．帐号的安全情况．采用的访问控制策略；日志 工制定并批准实施计划。 审计情况。 d)数