路径: 主页 > YD/T > 第55页 > YD/T 1730-2008 | 标准编号 | YD/T 1730-2008 (YD/T1730-2008) | | 中文名称 | 电信网和互联网安全风险评估实施指南 | | 英文名称 | Implementation Guide for Security Risk Assessment of Telecom Network and Internet | | 行业 | 邮电行业标准 (推荐) | | 中标分类 | M10 | | 国际标准分类 | 33.020 | | 字数估计 | 26,267 | | 发布日期 | 2008-01-14 | | 实施日期 | 2008-01-14 | | 标准依据 | 信部科[2008]27号; | | 发布机构 | 工业和信息化部 | | 范围 | 本标准规定了对电信网和互联网安全进行风险评估的要素及要素之间的关系、实施流程、工作形式、遵循的原则, 在电信网和互联网生命周期不同阶段的不同要求和实施要点。本标准适用于电信网和互联网的风险评估工作。本标准可作为电信网和互联网安全风险评估的总体指导性文件, 针对具体网络的安全风险评估可参见具体网络的安全防护要求和安全防护检测要求。 | YD/T 1730-2008: 电信网和互联网安全风险评估实施指南
YD/T 1730-2008 英文名称: Implementation Guide for Security Risk Assessment of Telecom Network and Internet
中华人民共和国通信行业标准
电信网和互联网安全风险评估实施指南
中华人民共和国工业和信息化部 发布
1 范围
本标准规定了对电信网和互联网安全进行风险评估的要素及要素之间的关系、实施流程、工作形式、
遵循的原则,在电信网和互联网生命周期不同阶段的不同要求和实施要点。
本标准适用于电信网和互联网的风险评估工作。
本标准可作为电信网和互联网安全风险评估的总体指导性文件,针对具体网络的安全风险评估可参见具体网络的安全防护要求和安全防护检测要求。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的 修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
3 术语和定义
GB/T 5271.8-2001确立的术语和定义以及下列术语和定义适用于本标准。
4 风险评估框架及流程
4.1 风险要素关系
风险评估中各要素的关系如图1所示。
图 1 中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。风险评估围绕其基本要素展开,在对这些要素的评估过程中需要充分考虑基本要素相关的各类属性。
风险要素及属性之间存在着以下关系。
a) 业务战略依赖资产去实现。
b) 资产是有价值的,组织的业务战略对资产的依赖度越高,资产价值就越大。
c) 资产价值越大则其面临的风险越大。
d) 风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件。
e) 脆弱性越多,威胁利用脆弱性导致安全事件的可能性越大。
f) 脆弱性是未被满足的安全需求,威胁要利用脆弱性来危害资产,从而形成风险。
g) 风险的存在及对风险的认识导出安全需求。
h) 安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本。
i) 安全措施可抵御威胁,降低安全事件发生的可能性,并减少影响。
j) 风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险。有些残余风险来 自于安全措施的不当或无效,需要进一步控制,而有些残余风险则是在综合考虑了安全成本与效益后未控制的风险,是可以被接受的。
k) 残余风险应受到密切监视,它可能会在将来诱发新的安全事件。
4.2 实施流程
图2给出了风险评估的实施流程,第5章将围绕风险评估流程阐述风险评估的具体实施步骤。
4.3 工作形式
根据评估发起者的不同,可以将风险评估的工作形式分为自评估和检查评估。风险评估应以自评估为主,自评估和检查评估相互结合、互为补充。
4.3.1 自评估
自评估是由网络和业务运营商发起,依据通信行业标准,对其所运营的电信网和互联网及相关系统 进行的风险评估。通过自评估,网络和业务运营商可以更好地了解自己运营的电信网和互联网及相关系 统的安全状况以及存在的风险,从而进一步选择合适的安全措施,降低被评估的电信网和互联网及相关系统的安全风险。
4.3.2 检查评估
检查评估是由上级主管部门发起、通过行政手段加强电信网和互联网及相关系统安全的重要措施。
检查评估旨在检查网络和业务运营商的风险评估工作的开展情况,电信网和互联网及相关系统的关键点的安全风险是否在可接受的范围内,实施自评估后采取的风险控制措施取得的效果等。
4.4 遵循的原则
为顺利完成风险评估,应遵循如下原则。
4.4.1 标准性原则
风险评估工作的指导性原则,指遵循通信行业相关标准开展电信网和互联网及相关系统的安全风险
评估工作。
4.4.2 可控性原则
在评估过程中,应保证参与评估的人员、使用的技术和工具、评估过程都是可控的。
4.4.3 完备性原则
严格按照被评估方提供的评估范围进行全面的评估。
4.4.4 最小影响原则
从项目管理层面和工具技术层面,将评估工作对电信网和互联网及相关系统正常运行的可能影响降
低到最低限度,不会对被评估网络上的业务运行产生显著影响。
4.4.5 保密原则
评估方应与被评估的网络和业务运营商签署相关的保密协议和非侵害性协议,以保障被评估方的
利益。
5 风险评估实施
5.1 风险评估的准备
风险评估的准备是整个风险评估过程有效性的保证。实施风险评估是一种战略性的考虑,其结果将 受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响,因此,在风险评估实施前,应做以下准备:
a) 获得支持和配合;
b) 确定风险评估的目标;
c) 确定风险评估的内容;
d) 组建风险评估团队;
e) 对被评估对象进行调研;
f) 确定评估依据和方法。
5.1.1 获得支持和配合
自评估应该获得本单位负责相关工作的管理者的认可,明确风险评估工作中相关的管理和技术人员 的任务。对于检查评估,被评估的网络和业务运营商有支持和配合的责任和义务,以确保检查评估的顺利进行。
5.1.2 确定目标
风险评估的准备阶段应明确风险评估的目标,为风险评估的过程提供导向。
电信网和互联网及相关系统风险评估的目标是,通过识别电信网和互联网及相关系统的技术和管理 上的脆弱性、面临的威胁以及可能造成的风险大小,认清客观风险并有重点、有针对地提出和落实相适 应的安全保护措施,从而减少安全事件的发生,满足组织业务持续发展在安全方面的需要,维持并提高组织的竞争优势、获利能力和企业形象,满足国家、行业对电信网和互联网及相关系统的要求。
5.1.3 确定内容
基于风险评估目标确定风险评估内容是完成风险评估的前提。电信网和互联网及相关系统安全风险 评估内容可以是整个电信网和互联网及相关系统中全部资产、管理机构,也可以是电信网和互联网及相 关系统中的某个部分的独立资产、相关的部门等。风险评估的内容包括管理安全的风险和技术安全的风 险。管理安全的风险评估内容包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等,技术安全的风险评估内容包括业务/应用安全、网络安全、设备安全、物理环境安全等内容。
5.1.4 组建团队
应组建适当的风险评估管理与实施团队,以支持整个风险评估过程的推进。自评估可由网络和业务 运营商内部开发、维护和管理的相关业务骨干、技术人员和管理人员组成风险评估团队。检查评估可由主管机构、评估机构组成风险评估团队。评估团队应能够保证风险评估工作的有效开展。
5.1.5 评估对象调研
风险评估团队应对电信网和互联网及相关系统中的评估对象进行充分的调研。调研内容应包括网络 结构与网络环境,主要的硬件、软件及其包含的数据和信息,管理、维护和使用的人员等。重点调研评 估对象的资产价值、存在的脆弱性以及面临的威胁,从而为风险评估的依据和方法的选择,评估的实施奠定基础。
评估对象调研可以采取问卷调查、现场面谈相结合的方式进行。调查问卷是提供一套关于管理或操 作控制的问题表格,供技术或管理人员填写;现场面谈则是由评估人员到现场观察并......
|