安全等级保护测评项目中的风险管理文档格式.docx

1、风险管理；The risk management of Information security level protection assessmentHu Hao（China Unicom System Integration Limited Corporation, Beijing 100032）Abstract： Assessment is an important part of Information system security level protection, the result directly affect the level protection system and

2、 developing the implementation. At present the evaluation institutions would meet various factors which affect assessment project implementation. In order to effectively develop level protection, the possible risk in project implementation process should be managed. This paper mainly with the applic

3、ation of risk management methods of assessment activities, the main risk analysis in different stages, by analyzing the risks of value, to evaluate the test project phase is needs to deal with risk content, and based on this, it puts forward the corresponding countermeasures.Key words： Information s

4、ecurity level protection ,Assessment, Risk management0引言信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法，是 促进信息化健康发展，维护国家安全、社会秩序和公共利益的根本保障。信息安全等级保护 测评是等级保护工作的重要环节，信息系统备案单位通过开展等级测评，可以查找自身系统 安全隐患和薄弱环节，明确系统与相应等级标准要求的差距和不足，有针对性地进行安全建 设整改。等级测评工作对于测评机构来说，测评风险是一个非常重要的概念。参考美国风险管理 专家C Arther Williams, Jr Rocjard M Heoms

5、作出的风险定义，即“给定情况下的可能结果 的差异性”。也就是说，测评风险就是测评机构通过控制自身测评活动所产生的测评结果差 异性【3】而测评结果的差异性将直接影响到信息系统的安全性及等保测评工作的有效性上面，随 着等级保护工作的开展，行业主管部门及被测评单位对于测评结果的准确程度及测评过程中 的风险控制要求越来越严格。为了持续性的开展等保测评业务，测评项目工作中的风险控制 将成为测评机构所面临的重要任务。根据风险管理的定义：风险是指可能对目标的实现产生影响的事件发生的不确定性。对 企业来说，风险是某种不利因素产生并造成实际损失，致使企业目标无法实现或降低实现目 标的效率的可能性。风险管理就是采

6、取一定的措施对风险进行检测评价，使风险降到可以接 受的程度，并将其控制在某一可以接受的水平上。风险管理是一个系统过程，包括风险的识 别、衡量和控制等环节；风险管理的目标在于控制和减少损失，提高有关单位或个人的经济 利益或社会效果；风险管理是一种管理方法【6】。本文主要运用风险管理方法，对测评活动中的主要风险进行分析，并提出相应的应对措 施1测评项目风险识别等保测评工作存在风险，而测评风险是可以识别的，只有识别出测评风险，才能对风险 加以控制和防范。下文对在测评过程中，容易出现的主要风险进行分析。1.1有效性风险等级测评是对客户的信息系统进行标准符合性评判，系统信息的采集、评价尤为重要， 测评结

7、果的有效性、符合性与一致性直接关系测评机构的服务质量与信誉，关系到测评机构 的生存和发展。在等级测评过程中首先要进行的是信息收集工作，在信息收集的过程中，经常会存在信 息收集不完整、信息描述不准确等问题，而不准确的信息将会对测评方案编制工作中测评指 标及测评对象的选择带来偏差。而在作业指导书的编制过程及现场测评中，不同工程师对标 准要求的理解也会影响到测评工作的有效性和准确性。在报告编制过程中测评师对测评结果 的分析是否合理，对于测评结论的有效性也有较大影响。1.2公正性风险等级测评工作的结论对于国家等级保护体系及信息安全管理有着相当重要的作用。同 时，等级测评的报告对于被测评单位的信息安全管

8、理工作也有着比较重要的影响。因此，等 级保护测评报告的公正性是非常重要的，关系到测评机构的信誉。在测评过程中，测评工程师、测评机构通常会受到市场竞争压力、测评机构自身业务发 展压力、被测评机构合同及财务压力等多方面的影响，从而导致测评结论的公正性问题。1.3保密性风险等级测评工作，要求测评机构深入了解被测评系统的管理、技术及业务方面的信息。而 这些信息大部分涉及到企业或机构的商业、工作秘密。如果测评工作中，测评机构泄漏了检 测单位的系统状态信息，如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文 档信息，将会对检测单位的信息系统带来极大的安全问题。因此，保密性风险的控制，是测 评工作能

9、够顺利开展的前提条件。在测评过程中，资料收集、现场测评记录、编制报告等活动都会使用到被测评单位系统 相关信息，在信息的使用和交换过程中多存在着信息泄漏的风险。1.4实施操作风险测评人员在客户现场实施测评，是等级测评中的主要活动，被测评单位生产现场环境复 杂，信息系统在网运行。一旦在现场测评的过程中，发生信息安全问题，将会对被测评方的 信息系统带来比较严重的损害，有可能会造成系统中断、数据丢失等。严重的可能带来经济 方面的损失。因此，现场测评的安全风险规避是测评机构应当重视和研究的重要问题。在现场测评时，需要对设备和系统进行一定的验证测试工作，部分测试内容需要上机查 看一些信息，这就可能对系统的

10、运行造成一定的影响，甚至存在误操作的可能。同时，在测 评过程中，会使用一些技术测评工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。测 试可能会对系统的负载造成一定的影响，漏洞扫描测试和渗透测试可能对服务器和网络通信 造成一定影响甚至伤害。2测评项目风险评价风险评价是在风险识别的基础上，对测评过程中可能出现的任何事件所带来的后果的分 析，以确定该事件发生的概率以及与可能影响测评有效性的潜在的相关后果。测评风险评价 可采用风险值法来进行风险评价。风险评价的表达式为：“风险值” R= “风险可能性” PX “风险影响”F,其中：风险可能性P它是风险发生可能性大小，是一种主观判断【4】。判定步骤可以

11、分为三步。首先，确定风险发生可能性：某风险因素可能引起的风险发生 可能性，以高、中、低来标定，分别赋值10、5、1；其次，确定风险影响程度：假定某风 险因素引起风险，其风险对测评质量和有效性影响的大小，以高、中、低来标定，分别赋值 10、5、lo最后确定风险级别：根据风险发生可能性和风险影响大小的组成矩阵确定风险级 别。根据风险矩阵计算记过，风险值分布为100、50、25、10、5、l。其中风险值大于等于 50的定义为高风险，大于等于10小于50的定义为中风险，小于10的定义为低风险。等级保护测评工作一般分为系统信息收集、编制测评方案、现场测评、测评结果分析及 测评报告编制等几个阶段。上述风险

12、在不同阶段其风险值有所差异，因此在不同的测评阶段 应注意对其阶段主要风险进行防范。测评风险评价应考虑：政策法规、测评机构的能力和资源、系统特点。根据以上评价方 法，我们进行一下简单评价。初步估算上述测评风险的评价如下表。风险因素风险级别系统信息收集编制测评方案现场测评测评结果分析测评报告编制有效性风险高风险中风险公正性风险低风险保密性风险I实施操作风险I 低风险 I 低风险 I高风险I 低风险 I 低风险 I3测评项目风险应对措施风险管理的基本目标是以最小的经济成本获得最大的安全保障效益，即风险管理就是以 最少的费用支出达到最大限度地分散、转移、消除风险，以实现保障人们经济利益和社会稳 定的基

13、本目的。这又可以分为以下三种情形：第一，损失发生前的风险管理目标避免或 减少风险事故发生的机会；第二，损失发生中的风险管理目标控制风险事故的扩大和蔓 延，尽可能减少损失；第三，损失发生后的风险管理目标 努力使损失的标的恢复到损 失前的状态【5】。3.1有效性风险应对措施等级测评有效性风险既存在人员风险也存在技术风险，人员风险与测评机构的技术风险 是紧密相关的，高素质的人员队伍可以提升机构的技术水平，良好的技术保障平台也可以提 高人员的能力。为了有效的应对测评有效性风险，测评机构要加强日常人员培训及技术水平 的提高。另一方面，测评工具及测评流程规范化也是应对有效性风险的重要方法之一。规范 化可以

14、使得测评步骤、方法更加一致，避免因测评人员个人因素，而导致测评结果的差异性。为了应对有效性风险，测评单位从项目启动就应开始加强与被测评单位的沟通及交流， 尽可能从资料收集阶段就派驻现场测评人员指导被测评单位完成系统信息的收集整理，必要 时与被测评单位系统管理人员对系统的情况进行沟通交流，避免由于对系统的不了解而产生 的有效性风险。3.2公正性风险应对措施为防止测评机构的利益影响测评公正性，测评机构的业务范围应不涉及安全产品及安全 集成服务；为防止测评工程师影响公正性，应严格执行测评工程师与测评机构签订的公正性 声明，测评工程师不得参加与自己经历有关的组织的测评；同时应在组织内部建立测评项目 的

15、质量评估体系，对每个项目的测评过程、报告内容及结论进行独立的质量评估，质量评估 人员不得参与自己经历有关的项目的评估。3.3保密性风险应对措施对于测评过程中被测方信息的保密管理。首先测评双方应签署完善的、合乎法律规范的 保密协议，以约束测评双方现在及将来的行为。与此同时应加强测评人员的安全保密教育及 保密技术手段，在技术手段层面、管理层面共同应对保密性风险。在技术层面上，应为每一 位参与测评业务的工程师及管理人员配备专用加密移动存储介质，评测中心应配备专用的用 于保存纸质文档的保险柜，为评测中心配备专用的文档服务器用于存储电子文档（该服务器 与网络隔离，并放置在安全可靠的物理环境中，服务器中的文档以加密形式保存）。在管理 方面，应制定严格的文档保密、数据保密的相关规定。规定应对信