小师妹聊一聊安全标准

作为公司信息安全咨询岗上的小师妹儿，我对自己以后的安全路非常焦灼，到底该往哪个方向去发展?

上了快半年的班，每天都会浏览相关的专业文档，还要学习NIST的出版物，对等保、ISO 27001这些标准都要了解，这不，最近有空就在研究信安标委出的国家网络安全相关标准了。看了一下这些标准清单，现在正式发布的国家网络安全标准粗略看了一下，共有268项，再搜索出一些自己感兴趣的标准来看，突然发现，信息安全标准化这条路貌似还不错，为了鞭励自己，决定有时间就把自己看过的安全标准提炼出来分享给大家。并希望各位能够指点一二。

今天想和大家交流的是《GB/T 31509 信息安全技术 信息安全风险评估实施指南》。

该标准主要用来指导风险评估项目的组织、实施、验收等工作。并且规定了信息安全风险评估实施的过程和方法。

一、该标准的框架结构如下

二、风险评估的基本原则

(一)、标准性原则

意思是要按照本标准中规定的评估流程来实施风险评估。

(二)、关键业务原则

意思是要把被评估方的关键业务作为评估核心，围绕这个核心的相关网络与系统作为评估重点。

(三)、可控性原则

a)服务可控性(就是要提前和客户沟通好评估服务的流程)

b)人员与信息可控性(就是说参与风险评估项目的所有人都要签个保密协议)

c)过程可控性(这点呢就是要求要成立一个实施团队，项目组长负责制)

d)工具可控性(把实施过程中要使用的评估工具告诉客户，提前通气儿)

(四)、最小影响原则

在实施风险评估时一定要最大限度的减小评估工作带来的影响。

三、风险评估的流程

1. 评估准备阶段：对评估实施有效性的保证，是评估工作的开始。

2. 风险要素识别阶段：对评估活动中的各类关键要素资产、威胁、脆弱性、安全措施进行识别与赋值。

3. 风险分析阶段：对识别阶段中获得的各类信息进行关联分析，并计算风险值。

4. 风险处置建议：针对评估出的风险，提出相应的处置建议，以及按照处置建议实施安全加固后进行残余风险处置等内容。

四、风险评估的工作形式

两种形式：自评估与检查评估。自评估就是组织自身对信息系统进行的风险评估，也可以委托第三方服务机构来实施;检查评估是信息系统上级管理部门或国家有关职能部门依法开展的风险评估，一般来说，这种形式的评估采用的是抽样评估，同样也可以委托第三方服务机构来实施(在选择第三方单位时，应审查评估单位、评估人员的资质和资格)。

五、信息系统生命周期内的风险评估

信息系统生命周期一般包括以下五个阶段：

根据各个阶段的评估对象以及安全需求的不同，风险评估的目的也各不相同。

1. 规划阶段：识别系统的业务战略，支撑系统安全需求及安全战略。

2. 设计阶段：评估安全设计方案是否满足信息系统安全功能的需求。

3. 实施阶段：对系统开发、实施过程进行风险识别，对建成后的系统安全功能进行验证。

4. 运维阶段：了解和控制系统运行过程中的安全风险。

5. 废弃阶段：分析废弃资产对组织的影响。

六、风险评估的实施

在第三节我们已经讲过了风险评估的基本流程，这里主要是风险评估的具体实施。

(一)准备阶段

1.工作内容

这是评估工作的开始，分八步来完成准备工作

这几步都很好理解，其中需要注意的有以下几点

第一、确定评估范围时，需合理定义评估对象和评估范围边界，一般划分原则为：

a) 业务系统的业务逻辑边界;

b) 网络及设备载体边界;

c) 物理环境边界;

d) 组织管理权限边界;

第二、风险评估团队由被评估单位、评估机构共同组建风险评估小组，由被评估单位领导、相关部门负责人，以及评估机构相关人员成立风险评估领导小组;聘请相关专业的技术专家和技术骨干组成专家组。风险评估小组应完成评估前的表格、文档、检测工具等各项准备工作;进行风险评估技术培训和保密教育;制定风险评估过程管理相关规定;编制应急预案等，同时双方应签署保密协议，适情签署个人保密协议。

第三、信息系统调研的内容包括：

a) 信息系统安全保护等级;

b) 主要的业务功能和要求;

c) 网络结构与网络环境，包括内部连接和外部连接;

d) 系统边界，包括业务逻辑边界、网络及设备载体边界、物理环境边界、组织管理权限边界等;

e) 主要的硬件、软件;

f) 数据和信息;

g) 系统和数据的敏感性;

h) 支持和使用系统的人员;

i) 信息安全管理组织建设和人员配备情况;

j) 信息安全管理制度;

k) 法律法规及服务合同;

第四、评估依据包括：

a) 适用的法律、法规;

b) 现有国际标准、国家标准、行业标准;

c) 行业主管机关的业务系统的要求和制度;

d) 与信息系统安全保护等级相应的基本要求;

e) 被评估组织的安全要求;

f) 系统自身的实时性或性能要求等。

第五、合理选择相应的评估工具，遵循如下原则：

a) 对于系统脆弱性评估工具，应具备全面的已知系统脆弱性核查与检测能力;

b) 评估工具的检测规则库应具备更新功能，能够及时更新;

c) 评估工具使用的检测策略和检测方式不应对信息系统造成不正常影响;

d) 可采用多种评估工具对同一测试对象进行检测，如果出现检测结果不一致的情况，应进一步采用必要的人工检测和关联分析，并给出与实际情况最为相符的结果判定;

第六、风险评估方案的内容应包括：

a) 风险评估工作框架：包括评估目标、评估范围、评估依据等;

b) 评估团队组织：包括评估小组成员、组织结构、角色、责任;如有必要还应包括风险评估领导小组和专家组组建介绍等;

c) 评估工作计划：包括各阶段工作内容、工作形式、工作成果等;

d) 风险规避：包括保密协议、评估工作环境要求、评估方法、工具选择、应急预案等;

e) 时间进度安排：评估工作实施的时间进度安排;

（编辑：ASP站长网）