信息安全等级保护评估

[db:作者]

信息安全等级保护风险评估的主要任务是评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合资产价值来判断安全事件一旦发生对组织造成的影响，进而为应如何进一步强化安全控制措施提供依据及建议。
信息安全风险评估是“对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。
其中最关键的4个过程就是资产识别、威胁识别、脆弱性识别和风险分析：
1)资产识别：首先是依据业务流程列出信息资产清单，包括：数据与文档、书面文件、软件、硬件、人员、服务等;然后对资产重要性进行量化，量化时应考虑的角度包括：资产损失可能对业务活动造成的影响、将信息资产恢复到正常状态所付出的代价、在公众形象和名誉上的损失、资产采购价值、对保密性/完整性/可用性的影响等多个方面。具体量化的的数值可以是1~5，也可以是1~100等，具体依赖于后面要讲到的风险计算方法。
2)威胁识别：是指对组织需要保护的每一项信息资产面临的威胁进行分析，应具体考虑每一项特定资产所处的环境条件以及以前遭受威胁损害的情况，应该指出的是，一项资产可能会有多个威胁。
3)脆弱性识别：是指全面评估信息资产由于由于缺乏充分的安全控制，自身存在的可能被威胁所利用的薄弱点。脆弱性识别将针对每一项信息资产，找出每一种威胁所能利用的薄弱点(脆弱性)、分析每一个脆弱性被特定威胁所利用的可能性、并分析每一个脆弱性一旦被特定威胁利用，对该资产造成的损失严重程度。
4)风险计算：即采用一种选定的计算方法对信息资产的风险进行量化计算。风险值的量化计算方法可以由评估者自主选定，国家标准中并没有规定必须采用哪种方法，常见的风险计算方法包括矩阵法和相乘法，简单的讲矩阵法就是根据资产的多个维度的属性在一个2维或多维矩阵中选择对应的风险值，而相乘法就是基于一个特定的函数，以资产的不同属性为变量计算风险值，“相乘”是函数关系的一般化表述，最简单的函数即多个变量的直接代数相乘。
最后，依据风险分析的结果得到各个资产的风险值，根据风险值的高低和种类以及提出合理的安全控制措施，具体包括接受现有风险、基于各种方法转移风险(如商业保险等)、采取措施降低或消除风险(如安全漏洞加固等)。
但应该指出的是：风险控制措施的选择是一种费用与风险的平衡，即风险要降低的越低，需要投入越高的费用(或资源)，信息安全风险不可能完全消除，要做的是投入可接受的资源将风险降低到合理的程度。
西部数码提供云平台用户与各省市等级保护测评机构的沟通渠道，促成用户与测评机构等级保护测评合作关系，并对测评机构提供的等级保护测评活动进行服务质量监督，帮助云平台用户的信息系统完成等级保护测评工作。
等保测评业务链接 https://www.west.cn/web/dengbao/