DB32∕T 1439-2009 信息安全风险评估实施规范

eyoumk
0 ℃
2021-04-20

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

ICS35.040L70备案号：27548-2010江苏省地方标准DB32DB32/T1439-2009信息安全风险评估实施规范Implementationspecificationofriskassessmentforinformationsecurity2009-08-26发布2009-10-26实施江苏省质量技术监督局发布DB32/T1439-2009I目次前言...............................................................................Ⅱ引言.............................................................................Ⅲ1范围.................................................................................12规范性引用文件.......................................................................13术语和定义...........................................................................14风险评估实施.........................................................................14.1风险评估准备.......................................................................14.1.1评估目的.........................................................................14.1.2确定评估范围......................................................................14.1.3建立评估团队......................................................................14.1.4前期系统调研......................................................................14.1.5确定评估依据......................................................................14.1.6制定评估方案......................................................................14.2资产识别...........................................................................14.2.1资产识别内容......................................................................24.2.2资产赋值.........................................................................24.3威胁识别...........................................................................24.3.1威胁识别内容......................................................................24.3.2威胁赋值.........................................................................24.4脆弱性识别.........................................................................24.4.1脆弱性识别内容....................................................................24.4.2脆弱性识别方式....................................................................84.4.3脆弱性赋值........................................................................84.5已有安全措施确认...................................................................84.6风险分析...........................................................................84.7风险评估文档记录...................................................................8附录A（规范性性附录）信息安全风险评估报告..............................................10DB32/T1439-2009Ⅱ前言信息安全风险评估是信息安全保障工作的基础性工作和重要环节，是信息安全等级保护制度建设的重要科学方法之一。本规范依据GB/T1.1—2000《标准化工作导则第1部分：标准的结构和编写规则》和GB/T1.2—2002《标准化工作导则第2部分：标准中规范性技术要素内容的确定方法》编写。本规范附录A为规范性附录。本规范由江苏省信息产业厅提出。本规范起草单位：江苏省电子信息产品质量监督检验研究院（江苏省信息安全测评中心）。本规范起草人：吴兰、张影秋、黄申、薛凤鸣。本规范由江苏省经济和信息化委员会归口。DB32/T1439-2009Ⅲ引言脆弱性的识别是风险评估最重要的环节，对脆弱性识别的强度、粒度及深度将直接关系到风险评估的准确性、有效性。GB/T20984-2007《信息安全技术信息安全风险评估规范》中对脆弱性的识别只是给出了一个识别内容的框架参考，对具体的识别内容未做详细的规定。此规范是对GB/T20984-2007《信息安全技术信息安全风险评估规范》的细化和补充，本规范的4.2“资产识别”、4.3“威胁识别”、4.6“风险分析”执行的标准是GB/T20984-2007《信息安全技术信息安全风险评估规范》。本规范条款中所指的“风险评估”，其含义均为“信息安全风险评估”。DB32/T1439—20091信息安全风险评估实施技术规范1范围本规范规定了信息安全风险评估实施技术规范的术语和定义、风险评估实施。本规范适用于信息安全风险评估实施技术规范，与GB/T20984-2007配合使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T20984—2007信息安全技术信息安全风险评估规范3术语和定义GB/T20984—2007确立的术语和定义适用于本标准。4风险评估实施4.1风险评估准备4.1.1评估目的按GB/T20984—2007中5.1.2的规定执行。4.1.2确定评估范围4.1.2.1在符合GB/T20984-2007中5.1.3的基础上,应包含但不限于信息系统、组织和人员、安全管理与操作实践及地理范围四个方面。4.1.2.2应至少识别信息系统的资产、威胁、脆弱性以及已有安全措施等要素。4.1.2.3确定与信息系统相关的组织人员以及相互关系。4.1.2.4确定对信息系统的安全管理与操作实践。4.1.2.5确定涉及信息系统评估的场所。4.1.3建立评估团队按GB/T20984—2007中5.1.4的规定执行。4.1.4前期系统调研按GB/T20984—2007中5.1.5的规定执行。4.1.5确定评估依据按GB/T20984—2007中5.1.6的规定执行。4.1.6制定评估方案4.1.6.1按GB/T20984—2007中5.1.7制定评估方案。4.1.6.2将风险评估实施方案提交给最高管理者，对涉及评估的组织和人员进行培训，以明确有关人员在风险评估活动中的任务。4.2资产识别DB32/T1439—200924.2.1资产识别内容按GB/T20984—2007中5.2.1的规定进行分类，填写《资产清单》（见表A.1）。识别内容至少包括：a)物理资产和地点；b)网络和逻辑连接；c)软件（操作系统和应用软件等）；d)通过网络传送的数据流等。4.2.2资产赋值按GB/T20984—2007中5.2.2的规定执行。对风险评估的重要资产进行赋值，填写《资产赋值表》（见表A.2）。4.3威胁识别4.3.1威胁识别内容按GB/T20984—2007中5.3.1的规定执行。对威胁进行识别，填写《威胁列表》（见表A.3）。4.3.2威胁赋值按GB/T20984—2007中5.3.2的规定执行。在威胁识别的基础上，对每个关键资产或关键资产类别构建威胁场景图，排除不可能的“资产—威胁”对，填写《威胁赋值表》（见表A.4）。4.4脆弱性识别4.4.1脆弱性识别内容脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理环境、网络结构、主机系统、应用系统、数据及备份恢复方面；管理脆弱性涉及技术管理和组织管理方面。4.4.1.1物理环境4.4.1.1.1物理位置的选择机房和办公场地的选择。4.4.1.1.2物理访问控制a）机房出入口的控制；b）进入机房的来访人员的控制；c）对机房区域的其他管理。4.4.1.1.3防盗窃和防破坏a)主要设备的放置地点；b)设备的固定及标记；c)线缆的铺设；d)介质分类标识；e)设备或存储介质带出工作场所时的控制措施；f)机房的监控、防盗报警系统。4.4.1.1.4接地与防雷a）机房建筑避雷装置的设置；DB32/T1439—20093b）防雷保安器（单元）的设置；c）机房交流电源地线的设置；d）线路防雷的设置。4.4.1.1.5防火a）机房火灾消防系统的设置；b）机房及相关的工作房间和辅助房采用的建筑材料；c）机房采取的防火措施；d）防火设备的有效期。4.4.1.1.6防水和防潮a)水管安装及保护措施；b)防雨措施；c)防水的检测和报警；d)防止机房内水蒸气结露和地下积水的转移与渗透措施。4.4.1.1.7防静电机房及主要设备采用的防静电措施。4.4.1.1.8温湿度控制机房温、湿度控制措施。4.4.1.1.9供配电a）计算机系统供电与其他供电的关系；b）机房供电稳压和过压防护设备的配置；c）机房备用电力供应；d）主要设备在断电情况下的电力供应。4.4.1.1.10电磁防护a)对外界电磁干扰和设备寄生耦合干扰的防护；b)对电源线和通信线缆干扰的防护；c)对关键设备和磁介质电磁防护；d)机房的电磁屏蔽。4.4.1.1.11通信线缆的保护对光缆、电缆、网络线缆的保护、维护措施。4.4.1.2网络系统4.4.1.2.1网络结构安全a)网络拓扑设计的安全性；b)网络地址的划分的合理性、可扩展性、规范性；c)网络边界连接的安全性。4.4.1.2.2网络访问控制DB32/T1439—20094a)网络边界部署的访问控制设备的控制功能；b)数据流的允许/拒绝访问的能力，控制粒度；c)对进出网络的信息