風(fēng)險分析評價(jià)報告

　　隨著(zhù)人們自身素質(zhì)提升，我們使用報告的情況越來(lái)越多，報告具有雙向溝通性的特點(diǎn)。那么什么樣的報告才是有效的呢？以下是小編整理的風(fēng)險分析評價(jià)報告，供大家參考借鑒，希望可以幫助到有需要的朋友。

　　一、引言

　　信息時(shí)代為國家和個(gè)人提供了全新的發(fā)展機遇和生活空間，但也帶來(lái)了新的安全威脅。信息安全的威脅可能來(lái)自?xún)炔康钠茐�、外部的攻擊、內外勾結的破壞和信息系統自身的意外事故等，因此我們應按照風(fēng)險管理的思想，對可能的威脅和需要保護的信息資源進(jìn)行風(fēng)險分析，以便采取安全措施，妥善應對可能發(fā)生的安全風(fēng)險。信息安全風(fēng)險評估是依據國家信息安全風(fēng)險評估有關(guān)管理要求和技術(shù)標準，對信息系統及由其存儲、處理和傳輸的信息的機密性、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評價(jià)的過(guò)程。根據ISO27001的管理思想，信息安全風(fēng)險評估在信息安全管理的PDCA環(huán)中是一個(gè)很重要的過(guò)程，如何處理信息安全風(fēng)險評估所產(chǎn)生的數據，是每一個(gè)信息安全管理者都非常迫切需要解決的一個(gè)問(wèn)題。最好的解決方法是開(kāi)發(fā)出一套實(shí)用性強、可操作性高的系統安全風(fēng)險評估管理工具。

　　二、風(fēng)險評估過(guò)程

　　信息安全風(fēng)險評估系統的設計是針對組織開(kāi)展信息安全風(fēng)險評估的過(guò)程。這個(gè)過(guò)程包括對信息系統中的安全風(fēng)險識別、信息收集、評估和報告等。風(fēng)險評估的實(shí)施過(guò)程如下頁(yè)圖1。

　　1.評估前準備。在風(fēng)險評估實(shí)施前，需要對以下工作進(jìn)行確定：確定風(fēng)險評估的目標、確定風(fēng)險評估的范圍、組建風(fēng)險評估團隊、進(jìn)行系統調研、確定評估依據和方法、制定評估計劃和評估方案、獲得最高管理者對工作的支持。

　　2.資產(chǎn)識別。資產(chǎn)識別過(guò)程分為資產(chǎn)分類(lèi)和資產(chǎn)評價(jià)兩個(gè)階段。資產(chǎn)分類(lèi)是將單位的信息資產(chǎn)分為實(shí)物資產(chǎn)、軟件資產(chǎn)、數據資產(chǎn)、人員資產(chǎn)、服務(wù)資產(chǎn)和無(wú)形資產(chǎn)六類(lèi)資產(chǎn)進(jìn)行識別；資產(chǎn)評價(jià)是對資產(chǎn)的三個(gè)安全屬性保密性、可用性及完整性分別等級評價(jià)及賦值，經(jīng)綜合評定后，得出資產(chǎn)的價(jià)值。

　　3.威脅識別。威脅識別主要工作是評估者需要從每項識別出的資產(chǎn)出發(fā)，找到可能遭受的威脅。識別威脅之后，還需要確定威脅發(fā)生的可能性。

　　4.脆弱性識別。評估者需要從每項識別出的資產(chǎn)和對應的威脅出發(fā)，找到可能被利用的脆弱性。識別脆弱性之后，還需要確定弱點(diǎn)可被利用的嚴重性。

　　5.已有安全措施確認。在識別脆弱性的同時(shí)，評估人員將對已采取的安全措施的有效性進(jìn)行確認，評估其是否真正地降低了系統的脆弱性，抵御了威脅。

　　6.風(fēng)險分析。風(fēng)險評估中完成資產(chǎn)賦值、威脅評估、脆弱性評估后，在考慮已有安全措施的情況下，利用恰當的方法與工具確定威脅利用資產(chǎn)脆弱性發(fā)生安全事件的可能性，并結合資產(chǎn)的安全屬性受到破壞后的影響得出信息資產(chǎn)的風(fēng)險。

　　三、系統設計

　　1.用角色設計。系統角色分為三種類(lèi)型，各用戶(hù)在登錄后自動(dòng)轉入各自的操作頁(yè)面。A.超級管理員：擁有系統所有權限；B.評估項目管理員：可以對所負責的評估項目進(jìn)行管理，對評估人員進(jìn)行分工和權限管理；C.評估人員：負責由項目管理員分配的測評工作，將評估數據導入系統。

　　2.系統模型。根據信息安全風(fēng)險評估管理的業(yè)務(wù)需求，我們構建了以安全知識庫為支撐，以風(fēng)險評估流程為系統主要業(yè)務(wù)流，以受測業(yè)務(wù)系統及其相關(guān)信息資產(chǎn)的風(fēng)險評估要素為對象的信息安全風(fēng)險評估綜合管理系統模型，系統模型如圖2所示。

　　3.系統功能設計。信息安全風(fēng)險評估綜合管理系統的功能模塊包括：①風(fēng)險評估項目管理：評估項目管理模塊包括評估項目的建立、項目列表、項目設置等功能。主要輸入項：項目名稱(chēng)、評估時(shí)間、評估對象等；主要輸出項：項目計劃書(shū)。②信息安全需求調研管理：該模塊用于用戶(hù)填寫(xiě)安全調研問(wèn)卷，為安全評估提供數據支持。主要輸入項：用戶(hù)ID、調查答案；主要輸出項：?jiǎn)?wèn)卷標題、調查題內容。③資產(chǎn)識別。系統提供的資產(chǎn)識別，包括：硬件、軟件、數據等，根據業(yè)務(wù)系統對組織戰略的影響程度，對相關(guān)資產(chǎn)的重要性進(jìn)行評價(jià)；主要輸入項：評估對象（信息資產(chǎn)）、賦值規則；主要輸出項：資產(chǎn)識別匯總表、資產(chǎn)識別報告。④威脅識別。威脅識別：系統提供多種網(wǎng)絡(luò )環(huán)境的威脅模板，支持和幫助用戶(hù)進(jìn)行威脅識別和分析，并提供資產(chǎn)、脆弱性、威脅自動(dòng)關(guān)聯(lián)功能：主要輸入項：評估對象、賦值規則；主要輸出項：威脅識別匯總表、威脅識別報告。⑤脆弱性識別。脆弱性識別：系統可提供多種系統的脆弱性識別功能，包括：主機、數據庫、網(wǎng)絡(luò )設備等對象的脆弱性識別。系統支持常用漏洞掃描軟件掃描結果的導入，目前支持的掃描系統有：Nessus、NMap等，主機系統支持：Windows、Linux、Unix等，數據庫支持：MSSQL、Oracle等：主要輸入項：評估對象、漏洞掃描結果、賦值規則；主要輸出項：漏洞掃描報告、脆弱性識別匯總表、脆弱性識別報告。⑥安全措施識別。安全措施識別：系統提供基于技術(shù)、管理等方面的安全措施檢查功能，幫助用戶(hù)了解目前的安全狀況，找到安全管理問(wèn)題，確定安全措施的有效性：主要輸出項：安全措施識別匯總表、安全措施識別報告。⑦風(fēng)險分析。系統通過(guò)資產(chǎn)評價(jià)、脆弱性評價(jià)、威脅評價(jià)、安全措施有效性評價(jià)、風(fēng)險分析等工作，可自動(dòng)生成安全風(fēng)險評估分析報告。主要輸入項：評估對象、資產(chǎn)值、脆弱性值、威脅值、安全措施值、計算規則；主要輸出項：風(fēng)險計算匯總表、風(fēng)險分析報告。⑧評估結果管理。主要功能是對歷史記錄查詢(xún)與分析。匯總所有的安全評估結果進(jìn)行綜合分析，并生成各階段風(fēng)險評估工作報告，主要包括如下：《資產(chǎn)識別報告》、《漏洞掃描報告》、《威脅識別報告》、《脆弱性識別報告》、《控制措施識別報告》、《風(fēng)險分析報告》。并可對當期風(fēng)險評估結果和原始數據進(jìn)行轉存或備份。在有需要時(shí)能調出評估歷史數據進(jìn)行查詢(xún)及風(fēng)險趨勢分析。⑨信息安全知識庫更新維護。信息安全知識庫的更新維護主要對象有：系統漏洞庫、安全威脅庫、安全脆弱點(diǎn)庫、控制措施庫。為避免造成數據的冗余，系統將在各評估項目中需要反復使用的數據歸入基礎數據庫進(jìn)行管理，在進(jìn)行評估活動(dòng)時(shí)再從基礎庫提取有關(guān)數據，這樣也能減少重復的輸入工作。⑩數據接口。導入數據接口：資產(chǎn)庫、脆弱點(diǎn)庫、威脅庫、控制措施庫。支持以下常用的格式：如EXCEL文件等；常用的漏洞掃描工具：如綠盟、啟明星辰、NESSUS、NMAP等。

　　四、結束語(yǔ)

　　該系統設計是以信息安全風(fēng)險評估工作流程為基礎，進(jìn)行信息安全評估項目管理、風(fēng)險要素數據收集與輔助風(fēng)險分析的系統，在實(shí)際風(fēng)險管理過(guò)程中，可引入了質(zhì)量管理理念――PDCA循環(huán)，即通過(guò)監控每一階段的信息系統風(fēng)險情況，及時(shí)發(fā)現問(wèn)題，不斷調整風(fēng)險控制工作計劃，從而實(shí)現信息安全風(fēng)險管理的工作目標。

【風(fēng)險分析評價(jià)報告】相關(guān)文章：

銀行風(fēng)險分析報告11-25

銀行風(fēng)險分析報告02-23

銀行風(fēng)險分析報告04-19

企業(yè)風(fēng)險隱患分析報告范文11-18

防范汛期安全風(fēng)險分析報告05-12

汛期安全風(fēng)險分析報告（精選5篇）02-16

銀行風(fēng)險分析報告(7篇)06-10

（經(jīng)典）銀行風(fēng)險分析報告7篇08-23

銀行風(fēng)險分析報告8篇06-18

銀行風(fēng)險分析報告7篇11-25