安全风险评估与审核 (SRA)
了解 IT 基础设施的潜在漏洞和威胁
遵守政府资讯科技总监办公室(OGCIO)的要求
加强安全控制,保护敏感信息
公正客观的评估
什么是安全风险评估(SRA)和安全审核(SA)?
SRAA 适合哪些人?
SRAA 有哪些优势?
SRAA 如何工作?
安全风险评估和审核 (SRAA):
规划在确定和选择最有效、最高效的审核或评估方法方面起着至关重要的作用。
审核/评估前应确定以下关键要素:
- 项目范围和目标
- 背景资料
- 制约因素
- 利益相关者的角色和责任
- 方式和方法
- 项目规模和时间表
- 数据和工具保护考虑因素。
安全风险评估和审核 (SRAA):
目的是了解现有系统和环境。通常要收集以下类型的信息:
- 安全要求和目标
- 系统或网络架构和基础设施,包括说明资产配置和互连的网络图
- 公开信息和网页内容
- 硬件设备等有形资产
- 操作系统和网络管理系统等系统
- 数据库和文件等内容
- 应用程序和服务器信息
- 网络详情,如支持的协议和提供的网络服务
- 访问控制措施
- 流程,如业务、核算机、网络和应用程序操作流程
- 识别和认证机制
- 适用于最低安全控制的法定、监管和合同要求
- 成文或非正式的政策和指导方针
风险分析(SRA):
这对确定资产价值和评估相关风险至关重要。必须对各个方面进行风险分析,包括但不限于
- 人力资源安全
- 资产管理
- 访问控制
- 密码学
- 物理和环境安全
- 操作安全
- 通信安全
- 系统采购、开发和维护
- 外包安全
- 业务连续性管理的 IT 安全方面
一般来说,风险分析流程可分为几个子流程,其中包括
- 资产识别和估价
- 威胁分析
- 脆弱性分析
- 资产/威胁/漏洞映射
- 影响和可能性评估
- 风险结果分析
- 各组织的改进行动
组织的改进
通常情况下,在进行后续安全审核之前,组织会采取行动解决 SRA 中发现的风险。不过,根据组织的需要,也可以不执行 SRA 而执行安全审核。
安全审核 (SA):
经过精心策划和数据收集,安全审核人员可开展以下活动:
- 在规定的审核范围内对现有的安全策略或标准进行全面审查。
- 对安全配置进行彻底检查。
- 使用各种自动化工具进行诊断审查和/或渗透测试,开展技术调查。
审核范围将决定安全审核涉及哪些系统或网络。
安全风险评估和审核 (SRAA):
完成审核/评估后,将提交一份针对上述主题的安全审核报告/评估报告。