公司信息系统安全风险评估与管控(2)

　　2.2 现场评估阶段。现场评估阶段包含文档审阅、问卷调查、脆弱性扫描、本地审计、渗透测试、现场观测和人员访谈等工作内容。（1）文档审阅。通过文档审阅了解评估对象的基本信息（包括安全需求），了解各评估对象已被发现的问题、已实施的安全措施，确定需要通过访谈了解的信息和澄清的问题，以便尽量缩减人员访谈沟通时间，降低评估工作对相关人员正常业务工作的影响。（2）问卷调查。由一组相关的封闭式或开放式问题组成，用于在评估过程中获取信息系统在各个层面的安全状况，包括安全策略、组织制度、执行情况等。（3）脆弱性扫描。利用技术手段对信息系统组件进行脆弱性识别，收集各信息系统组件可能存在的技术脆弱性信息，以便在分析阶段进行详细分析。（4）本地审计。本地审计与脆弱性扫描互补，收集各信息系统组件可能存在的技术脆弱性信息，以便在分析阶段进行详细分析。（5）渗透测试。利用模拟黑客攻击方式发现网络、系统存在的可利用弱点，目的是检测系统的安全配置情况，发现配置隐患。主要通过后门利用测试、DDos 强度测试、强口令攻击测试等手段实现。需要注意，渗透测试的风险较其它几种手段要大得多，在实际评估中需要慎重使用，未必每次评估都要进行渗透测试。（6）现场观测。主要通过现场巡视和观察等方法，观察与应用系统、机房环境等有关的管理制度、安全运维相关的机制、系统配置现状（如系统现有账号、日志功能等），了解制度实际执行情况，保留检查证据（截图，日志文件等）并填写现场观测结果。（7）人员访谈。访谈的对象包括：信息系统管理人员、应用系统相关人员、网络及设备负责人和机房管理人员。主要涉及信息系统控制环境评估，包括安全策略、组织安全、人员、资产管理、风险管理、法律法规符合性等；信息系统通用控制评估，包括程序开发设计、变更管理、程序和数据访问控制、投产上线、系统运维等；应用系统的安全性评估，包括身份认证、标识与授权、会话管理、系统配置、日志与审计、用户账户管理、输入控制、异常处理、数据保护和通信等；应用控制评估，包括业务操作、权限管理、职责分离、业务流程、备份等。
　　
　　2.3 分析报告阶段。分析报告阶段的主要工作是整理现场评估获得的数据、资料，进行综合分析以及生成最终评估报告。
　　
　　综合分析根据收集到的各种信息，整理出系统 / 资产脆弱性，并对脆弱性进行威胁分析，包括分析威胁发生的可能性、产生的后果，判定风险级别，以及制定风险处理计划。综合分析对分析人员的能力要求较高。主导综合分析和报告生成的人员必须参与过信息系统风险评估的各阶段，对被评估系统有基本的了解，熟悉风险评估的方法、手段、过程，掌握风险计算方法，了解风险评估基本理论，具备较强的文字功底。
　　
　　最终编写的风险评估报告是风险评估重要的结果文件，是企业实施风险管理的主要依据，是对风险评估活动进行评审和认可的基础资料。风险评估报告通常应包括以下内容：（1）概述。简要描述被评估系统的基本情况，包括功能用途、系统体系结构以及风险评估所使用的评估方法、评估过程等。（2）评估综述。对被评估系统及其支撑平台已经实施的安全措施、评估发现的风险进行综合评价。（3）评估详述。概要描述评估过程所发现的被评估系统存在的风险、以及不同级别的风险数量和比例；针对被评估系统及其支撑平台的每一个风险点，进行威胁分析、现有或计划实施的安全措施分析、风险评价等。（4）整改建议。综合以上分析，说明被评估系统及其支撑平台需要采取的安全整改措施。（5）附件。说明风险评估过程中主要访谈的人员和审阅的文档、脆弱性-风险对应表、控制措施-风险对应表等。
　　
　　三、风险控制措施
　　
　　风险评估的目的在于控制和规避风险。风险控制报告包括安全管理策略和风险控制措施，要依据通过审批的风险控制报告，落实控制措施。
　　
　　控制信息安全风险的重要措施是实施信息系统安全等级保护，而等级保护的基本前提是信息系统等级的划分。企业要根据公安部等四部委联合发布的《关于信息安全等级保护工作的实施意见》，结合企业实际情况和国内相关领域专家的建议，确定信息系统安全保护等级，实施相应的等级保护，有效控制信息安全风险，支撑企业业务的连续运行。
　　
　　四、风险控制实施的监督与跟踪
　　
　　风险评估通常还包括一个至关重要的跟踪过程，即对执行与落实整改建议的情况进行监督与跟踪，必要时再次进行评估。
　　
　　要充分利用风险评估管理信息系统作为基础性必备工具，实现对资产信息、安全威胁信息、脆弱性信息、评估结果的统一管理，以提升评估结果的可用性。
　　
　　监督与跟踪主要工作包括建立监督与跟踪机制、制定跟踪计划、执行主动监督与报告等三个步骤：（1）企业各级信息管理部门指定专门人员，建立监督与跟踪机制以跟踪安全整改建议的实施和效果。（2）对关键的、意义重大而且至关紧要的安全整改措施，制定并实施跟踪计划，包括实施计划、预计实施时间、事项清单、验收方法与过程等。（3）实施单位主动监督并报告整改实施的进度与状态，并对所有要求的整改采取跟踪行动，直到实施完成。执行监督与跟踪可以包括一个再评估过程，也可以采用风险评估管理信息系统来评估结果。