Info-RiskmanagerwithITBPM科飞管理咨询www.cofly.comsd@cofly.comNov.1,20071Info-RiskmanagerwithITBPM(ITBPM版ISO27001信息安全风险评估软件介绍)科飞管理咨询公司一、概述Info-RiskmanagerwithITBPM是基于局域网运行的信息安全风险评估和管理工具软件,用户可以利用该工具软件方便、快速、全面、持续地识别和管理信息安全风险,可用于ISO27001、ISO20000所要求的风险评估和风险管理过程。该工具软件还包含ITBPM(德国IT基线保护手册)的全部“资产-威胁-控制措施”模型,方便用户根据ITBPM建立适用的IT保护机制。Info-RiskmanagerwithITBPM将复杂、繁琐、耗时、多变的风险评估和管理过程转变为简单、直观、快速和易于管理。其评估过程严谨统一,全面细致,结果直观可靠,科学合理,能够大幅度提高风险评估和风险管理的效率和效果。Info-RiskmanagerwithITBPM是科飞在Info-Riskmanagerv1.0的基础上,根据国际信息安全风险评估的发展和应用趋势,并充分考虑用户的反馈意见,以改进软件的实用性、方便性为目的进行研发设计的。Info-RiskmanagerwithITBPM科飞管理咨询www.cofly.comsd@cofly.comNov.1,20072二、产品特点1.实用性¾Info-RiskmanagerwithITBPM既可用于ISO27001所要求信息安全管理体系,也可用于ISO20000所要求的信息安全管理,还适用于按照ITBPM建立信息安全保护机制的机构。¾Info-RiskmanagerwithITBPM内置ISO27002的全部控制措施(133项)、量化的风险计算模型,以及全部ITBPM基线保护模版,其风险评估过程和结果完全符合ISO27001和ISO27005的要求,对信息资产的管理过程符合ISO27002(原ISO17799)的资产管理要求。¾利用Info-RiskmanagerwithITBPM内置全部的ITBPM基线保护模型,用户既可以方便的完成ISO27001所要求的全部风险评估和风险管理过程,又能够按照ITBPM的“资产-威胁-控制措施”模型,快速构建适用的IT保护机制。不仅能大幅度的降低风险评估的难度和时间,还可以避免由于评估人员对IT和安全保护知识不熟悉导致识别的风险不完整。¾Info-RiskmanagerwithITBPM内置量化的风险管理模型,用户可以在ITBPM的基础上,进一步识别资产、威胁、薄弱点,深化风险评估。¾Info-RiskmanagerwithITBPM能对法律法规要求、顾客及合同要求,以及组织自身发展要求所导致的信息安全需求进行管理。2.符合性¾Info-RiskmanagerwithITBPM是按照ISO27001所要求的风险评估和风险管理进行设计的,并符合ISO27005、ITBPM、ISO13335-3的要求。其风险评估过程包括:资产分类识别、资产重要度评估、威胁识别、薄弱点识别、风险计算与分类、控制方式与控制措施选择、制定风险控制计划、计算剩余风险。¾Info-RiskmanagerwithITBPM将ISO27001和ISO27005要求的风险评估过程与ITBPM(德国IT基线保护手册)完整地结合到一起。软件内置最新版ITBPM的全部保护模型,包括资产类别(7大类,62子类)、威胁(5大类,370项)和控制措施(6大类,856项)。Info-RiskmanagerwithITBPM科飞管理咨询www.cofly.comsd@cofly.comNov.1,200733.保密性¾Info-RiskmanagerwithITBPM能充分保护风险评估的结果,通过数据集中管理、权限设置等措施,防止由于风险评估结果外泄造成的风险。风险评估是一把双刃剑,组织可以通过风险评估,发现风险,进而控制风险。但是,风险评估结果本身对组织也是一项威胁,如果保管不当,被泄漏出去,则攻击者将全面了解组织的风险所在,可以发起有的放矢的攻击。因此,必须妥善保护风险评估的结果。传统的风险评估一般利用Excel表格完成,非常容易利用E-mail,U盘等媒体传递,造成风险。4.方便性¾Info-RiskmanagerwithITBPM内置完整的风险计算模型和ITBPM模型,无需另行制定其他评估程序,在进行资产分类、CIAL赋值(保密性、完整性、可用性、合规性);威胁分类、薄弱点分类、可能性赋值、影响赋值、有效性赋值、控制措施分类等过程中,操作者仅需鼠标点选即可,方便易用。¾Info-RiskmanagerwithITBPM能根据软件内置的风险模型自动计算、分析和评价重要资产、风险等级、重要风险、剩余风险等。¾Info-RiskmanagerwithITBPM能够自动完成对信息资产和风险的分析,生成ISO27001所要求的《资产识别表》、《重要资产清单》、《风险评估报告》、《风险处理计划》、《适用性声明(SoA)》等必备的文件。5.连续性¾Info-RiskmanagerwithITBPM能对同一资产进行不限次数的风险评估,及时反映风险的变化。风险随环境的变化而变化,为了有效的控制风险,就需要连续不断的对风险进行评估。ISO/IEC27001要求每年至少评估一次,特殊情况随时评估。Info-RiskmanagerwithITBPM科飞管理咨询www.cofly.comsd@cofly.comNov.1,20074三、功能介绍1.资产管理软件预置二级通用的信息安全相关资产分类,允许对分类进行个性化的增、删、修改。对识别的具体资产,能够详细描述其属性、场所、管理、使用、备份、关联等信息,并对其中的信息资产进行分类管理。处于实施成本和可行性的考虑,任何组织都不能对全部的资产采取相同的严格保护,而只应重点保护重要的资产。本软件采取多维(6维)、分级(6级)计算模型,对资产的重要度进行量化评估,自动分析资产的重要度级别。资产识别及评估过程符合ISO27002对资产管理的要求。相关知识:ISO27002第七章资产管理:“组织应该识别所有资产并将这些资产的重要性进行文件化。资产清单应该包括用于灾难恢复的所有信息,包括:资产的类型、形式、场所、备份信息、许可信息以及商业价值等。”“信息应该根据其价值、法律要求、敏感度以及对组织的关键程度进行分类。”2.风险评估¾识别风险用户可以利用本软件工具逐一识别对应资产的威胁和薄弱点,分析风险发生的可能性,以及风险一旦发生后对资产的安全特性(保密性、完整性、可用性、法规符合性)造成的损失,并能够输入已采取的控制措施及有效性。相关知识:ISO27001第4.2.1建立信息安全管理体系:d)识别风险:1)识别ISMS控制范围内的资产以及这些资产的所有者;2)识别对这些资产的威胁;3)识别可能被威胁利用的脆弱性;4)识别保密性、完整性和可用性损失可能对资产造成的影响。Info-RiskmanagerwithITBPM科飞管理咨询www.cofly.comsd@cofly.comNov.1,20075¾分析评价风险软件内置14维、6级风险计算和评价模型。通过分析风险发生的可能性、发生风险后对保密性、完整性、可用性、法规符合性的影响程度,以及已采取的控制措施的有效性,按照风险模型自动完成对风险的计算和评级。相关知识:ISO27001第4.2.1建立信息安全管理体系:e)分析并评价风险:1)评估安全失效可能导致的组织业务影响,考虑因资产保密性、完整性、可用性的损失而导致的后果;2)根据资产的主要威胁、脆弱性、有关的影响以及已经实施的安全控制,评估安全失效发生的现实可能性;3)评价风险的等级;4)根据4.2.1c)2)已建立的准则,判断风险是否可接受或需要处理。3.处理风险¾选择风险处理方法对评估出的高风险,按照软件的提示,评价并选择处理风险的方法。相关知识:ISO27001第4.2.1建立信息安全管理体系:f)识别并评价风险处理的选择:可能包括的活动有:1)应用适当的控制;2)如果能证明风险满足组织的方针和风险接受准则,有意的、客观的接受风险;[见4.2.1C)2)]3)避免风险;4)将有关的业务风险转移到其他方,例如保险公司、供方。¾选择控制措施对应每项风险和风险处理方法,选择处理风险的具体控制措施,每项控制措施与Info-RiskmanagerwithITBPM科飞管理咨询www.cofly.comsd@cofly.comNov.1,20076ISO27002的133项控制措施建立关联。相关知识:ISO27001第4.2.1建立信息安全管理体系:g)为风险的处理选择控制目标与控制措施。应选择并实施控制目标和控制措施,以满足风险评估和风险处理过程所识别的要求。选择时,应考虑接受风险的准则[见4.2.1C)2)]以及法律法规和合同要求。从附录A中选择的控制目标和控制措施应作为这一过程的一部分,并满足上述要求。附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施,组织也可能需要选择另外的控制目标和控制措施。¾制定风险处理计划将选择的风险控制措施落实到风险处理计划,选择执行计划的责任部门,时间安排,以及与计划相关的文件。相关知识:ISO27001第4.2.2实施并运作ISMS:组织应:a)制定风险处理计划阐明为控制信息安全风险确定的适当的管理活动、职责以及优先权(见5)。b)为了达到所确定的控制目标,实施风险处理计划,包括考虑资金以及角色和职责的分配。c)实施4.2.1g)中所选的控制,以满足控制目标。4.检查计划的完成状况检查各责任部门是否按计划实施了风险处理计划。5.评估剩余风险风险处理计划实施后,评定风险降低的程度,判断剩余风险是否可接受。如剩余风险仍不可接受,可继续增加新的控制措施。Info-RiskmanagerwithITBPM科飞管理咨询www.cofly.comsd@cofly.comNov.1,200776.识别法律法规识别适用的法律、法规、上级要求、合作协议和合同,提取其中的信息安全要求,并转化为相应风险处理计划。7.识别业务要求识别组织自身对信息安全的业务要求,并转化为相应的风险处理计划。8.自动生成文件和报告¾资产清单自动生成资产清单、重要资产清单。可按资产的全部属性进行查找、筛选和排序。允许将结果导出Excel文件。¾风险处理计划自动生成风险处理计划清单。可按资产、风险等级、处理方式、处理措施、资产所有者、措施实施责任部门、计划时间、关联业务或系统等方式查看、分析风险处理计划。可按资产的属性、风险评估的过程参数或结果对风险处理计划进行查找、筛选和排序。允许将结果导出Excel文件。¾SOA自动生成SOA(适用性声明)。相关知识:ISO27001第4.2.1建立信息安全管理体系:j)准备适用性声明。1)4.2.1g)中选择的控制目标和控制措施,以及选择的原因;2)当前实施的控制目标和控制措施[见4.2.1e)2)];3)附录A中控制目标和控制措施的删减,以及删减的理由。¾风险评估报告自动生成风险评估报告,系统性的对资产、风险、风险处理方法、风险处理措施和Info-RiskmanagerwithITBPM科飞管理咨询www.cofly.comsd@cofly.comNov.1,20078剩余风险进行全面统计和分析。通过风险评估报告,可以概括性的了解一个组织的信息资产构成和分布、风险分布趋势、风险控制措施概况,便于决策者从宏观分析信息安全风险,采取相应的风险管理方法。允许将结果导出Word文件。9.ITBPM内置ITBPM的全部保护模型。资产类别完全按照ITBPM的7大类,62子类设置,类别允许用户增、删、修改。全部资产类别与ITBPM的威胁(5大类,370项)和控制措施(6大类,856项)建立关联,用户仅需点选即可完成风险识别和确定控制措施。而且,软件将ITBMP保护模型与ISO27002建立了关联,