CN107730128A - 基于业务流程的风险评估方法及系统 - Google Patents
基于业务流程的风险评估方法及系统 Download PDFInfo
- Publication number
- CN107730128A CN107730128A CN201710994902.5A CN201710994902A CN107730128A CN 107730128 A CN107730128 A CN 107730128A CN 201710994902 A CN201710994902 A CN 201710994902A CN 107730128 A CN107730128 A CN 107730128A
- Authority
- CN
- China
- Prior art keywords
- information
- risk
- estimation items
- sensitive information
- sensitive
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
Landscapes
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Engineering & Computer Science (AREA)
- Strategic Management (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- Operations Research (AREA)
- Game Theory and Decision Science (AREA)
- Development Economics (AREA)
- Marketing (AREA)
- Educational Administration (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于业务流程的风险评估方法及系统,所述风险评估方法包括业务安全评估步骤,业务安全评估步骤包括以下步骤:S11、获取需风险评估的业务流程中涉及的敏感信息,敏感信息为根据预设保护规则来进行保护的信息;S12、敏感信息包括至少一个评估项,每一个评估项分别对应一个预设信息安全要求,判断敏感信息的评估项是否符合对应的预设信息安全要求;S13、输出判断结果。本发明提供的基于业务流程的风险评估方法及系统省去了耗时的资产识别和赋值的过程,对业务流程及相关的数据流进行梳理,识别敏感信息的风险隐患,而且与业务流程紧密结合,易于被业务人员理解,进而提高了风险评估的评估准确性及评估效率。
Description
技术领域
本发明涉及风险评估领域,特别涉及一种基于业务流程的风险评估方法及系统。
背景技术
信息安全风险评估是对企业信息系统进行信息安全风险管理的首要环节,通过风险评估及早发现安全隐患并采取相应的整改措施是为企业的信息安全保障的必不可少的一部分。
目前,大多数企业实施风险评估参照ISO27005:2008(信息安全技术风险管理)和GBT20984:2007(信息安全风险评估规范)的国际/国外基于资产的风险评估方法论,风险评估的重点在于实时维护企业的信息资产,由于企业内部资产非常繁杂,信息资产列表需要协调各个资产所有者、使用者、运维者以及信息安全管理人员手工维护,不仅工作量大,而且可能由于不同人员的理解不同,导致资产的评估不准确。
发明内容
本发明要解决的技术问题是为了克服现有技术中基于资产的进行风险评估,导致评估准确性低,且评估效率低的缺陷,提供一种基于业务流程的风险评估方法及系统。
本发明是通过下述技术方案来解决上述技术问题:
一种基于业务流程的风险评估方法,其特点在于,所述风险评估方法包括业务安全评估步骤,所述业务安全评估步骤包括以下步骤:
S11、获取需风险评估的业务流程中涉及的敏感信息,所述敏感信息为根据预设保护规则来进行保护的信息;
S12、所述敏感信息包括至少一个评估项,每一个评估项分别对应一个预设信息安全要求,判断所述敏感信息的评估项是否符合对应的预设信息安全要求;
S13、输出判断结果。
较佳地,在步骤S11中,还获取用于存储所述敏感信息的数据库的信息,还获取用于管理所述敏感信息的后台管理系统的信息,还获取用于接收所述敏感信息的应用程序的信息。
较佳地,在步骤S12中,所述评估项为针对信息生成、信息显示、信息访问、信息传输、信息使用、信息存储或信息销毁的评估项。
较佳地,在步骤S12中,根据敏感信息的类别对每一个敏感信息分别设定一个敏感级别,对每一个敏感级别的敏感信息之间相同的评估项分别设定不同的预设信息安全要求。
较佳地,在步骤S12中,若所述敏感信息的评估项符合对应的预设信息安全要求,设该评估项为符合评估项;
若所述敏感信息的评估项不符合对应的预设信息安全要求,设该评估项为不符合评估项,并且根据预设评估规则对不符合评估项设定一个风险级别,所述风险级别为高风险、中风险或低风险。
较佳地,在步骤S12中,所述敏感信息包括若干个评估项;
在步骤S13中,分别输出符合评估项及不符合评估项的数量,计算并输出缺陷率,所述缺陷率的计算公式如下:
缺陷率=不符合评估项的数量/评估项的总数量;
在步骤S13中,还分别输出高风险、中风险及低风险的不符合评估项的数量,计算并输出风险值,所述风险值用于表征所述敏感信息的信息安全程度,所述风险值的计算公式如下:
风险值=(高风险的不符合评估项的数量*x)+(中风险的不符合评估项的数量*y)+(低风险的不符合评估项的数量*z),x>y>z。
较佳地,所述业务安全评估步骤还包括根据预设业务安全规则对业务流程进行业务连续性风险评估,并且输出业务连续性风险评估结果的步骤:
所述风险评估方法还包括安全技术评估步骤及安全管理评估步骤;
所述安全技术评估步骤包括以下步骤:
S21、根据预设安全技术评估要求分别对企业信息系统的物理安全信息、网络安全信息、主机安全信息、应用安全信息及数据安全信息进行信息安全的风险评估;
S22、输出安全技术风险评估结果;
所述安全管理评估步骤包括以下步骤:
S31、根据预设安全管理评估要求分别对企业信息系统的策略制度信息、人力资源信息、系统建设信息及系统运维信息进行信息安全的风险评估;
S32、输出安全管理风险评估结果。
一种基于业务流程的风险评估系统,其特点在于,所述风险评估系统包括业务安全评估模块,所述业务安全评估模块包括信息获取模块、第一处理模块及第一输出模块;
所述信息获取模块用于获取需风险评估的业务流程中涉及的敏感信息,所述敏感信息为根据预设保护规则来进行保护的信息,所述敏感信息包括至少一个评估项,每一个评估项分别对应一个预设信息安全要求;
所述第一处理模块用于判断所述敏感信息的评估项是否符合对应的预设信息安全要求;
所述第一输出模块用于输出判断结果。
较佳地,所述信息获取模块还用于获取用于存储所述敏感信息的数据库的信息,还用于获取用于管理所述敏感信息的后台管理系统的信息,还用于获取用于接收所述敏感信息的应用程序的信息。
较佳地,所述评估项为针对信息生成、信息显示、信息访问、信息传输、信息使用、信息存储或信息销毁的评估项。
较佳地,所述第一处理模块还用于根据敏感信息的类别对每一个敏感信息分别设定一个敏感级别,对每一个敏感级别的敏感信息之间相同的评估项分别设定不同的预设信息安全要求。
较佳地,所述第一处理模块还用于若所述敏感信息的评估项符合对应的预设信息安全要求,设该评估项为符合评估项;
所述第一处理模块还用于若所述敏感信息的评估项不符合对应的预设信息安全要求,设该评估项为不符合评估项,并且根据预设评估规则对不符合评估项设定一个风险级别,所述风险级别为高风险、中风险或低风险。
较佳地,所述敏感信息包括若干个评估项;
所述第一输出模块用于分别输出符合评估项及不符合评估项的数量;
所述第一处理模块用于计算缺陷率,所述缺陷率的计算公式如下:
缺陷率=不符合评估项的数量/评估项的总数量;
所述第一输出模块还用于输出所述缺陷率;
所述第一输出模块还用于分别输出高风险、中风险及低风险的不符合评估项的数量;
所述第一处理模块用于计算风险值,所述风险值用于表征所述敏感信息的信息安全程度,所述风险值的计算公式如下:
风险值=(高风险的不符合评估项的数量*x)+(中风险的不符合评估项的数量*y)+(低风险的不符合评估项的数量*z),x>y>z;
所述第一输出模块还用于输出所述风险值。
较佳地,所述第一处理模块还用于根据预设业务安全规则对业务流程进行业务连续性风险评估,所述第一输出模块还用于输出业务连续性风险评估结果;
所述风险评估系统还包括安全技术评估模块及安全管理评估模块;
所述安全技术评估模块包括第二处理模块及第二输出模块,所述第二处理模块用于根据预设安全技术评估要求分别对企业信息系统的物理安全信息、网络安全信息、主机安全信息、应用安全信息及数据安全信息进行信息安全的风险评估,所述第二输出模块用于输出安全技术风险评估结果;
所述安全管理评估模块包括第三处理模块及第三输出模块,所述第三处理模块用于根据预设安全管理评估要求分别对企业信息系统的策略制度信息、人力资源信息、系统建设信息及系统运维信息进行信息安全的风险评估,所述第三输出模块用于输出安全管理风险评估结果。
在符合本领域常识的基础上,上述各优选条件,可任意组合,即得本发明各较佳实例。
本发明的积极进步效果在于:
本发明提供的基于业务流程的风险评估方法及系统省去了耗时的资产识别和赋值的过程,对业务流程及相关的数据流进行梳理,识别敏感信息的风险隐患,确保敏感信息在整个生命周期的安全,而且与业务紧密结合,便于信息安全人员与业务人员沟通,进而提高了风险评估的评估准确性及评估效率。
本发明通过业务安全、安全技术及安全管理等三个方面,全面的进行风险评估,可同时满足国家信息系统等级保护、ISO27001(信息安全管理体系的规范标准)、PCI-DSS(第三方支付行业数据安全标准)、SOX(萨班斯法案)及企业安全策略制度的安全要求。
附图说明
图1为本发明较佳实施例的基于业务流程的风险评估方法中业务安全评估步骤的流程图。
图2为本发明较佳实施例的基于业务流程的风险评估方法中安全技术评估步骤的流程图。
图3为本发明较佳实施例的基于业务流程的风险评估方法中安全管理评估步骤的流程图。
图4为本发明较佳实施例的基于业务流程的风险评估系统的结构示意图。
具体实施方式
下面通过实施例的方式进一步说明本发明,但并不因此将本发明限制在所述的实施例范围之中。
本实施例提供一种基于业务流程的风险评估方法,所述风险评估方法包括业务安全评估步骤、安全技术评估步骤及安全管理评估步骤。
在本实施例中,所述风险评估方法与业务融合,ISO27001于2013年进行了更新,新标准更关注业务,反映了与业务的融合,对风险评估的方法论进行了修改,摒弃了原来识别资产、资产威胁与脆弱性的方法论,要求信息安全风险管理要聚焦信息,而信息是融合在整个业务流程中。
具体地,如图1所示,所述业务安全评估步骤包括以下步骤:
步骤101、获取需风险评估的业务流程中涉及的敏感信息。
在本步骤中,所述敏感信息为根据预设保护规则来进行保护的信息。
在本实施例中,所述敏感信息通过类型及类别进行分类,敏感信息的类型为类别的上位分类概念,敏感信息的类型包括持卡数据、账户支付、账户认证、客户信息、订单信息等,敏感信息的类别包括信用卡号、支付密码、优惠券号、用户名、手机号、邮箱、地址、证件号、设备号、行程信息、入住信息、支付金额等,但并不具体限定敏感信息的类型及类别,均可根据实际情况来进行设定。
在本步骤中,还获取用于存储所述敏感信息的数据库的信息,还获取用于管理所述敏感信息的后台管理系统的信息,还获取用于接收所述敏感信息的应用程序的信息。
步骤102、判断敏感信息的评估项是否符合对应的预设信息安全要求。
在本步骤中,所述敏感信息包括37个评估项(参考表1),所述评估项为针对信息生成、信息显示、信息访问、信息传输、信息使用、信息存储或信息销毁的评估项,每一个评估项分别对应一个预设信息安全要求,当然,并不具体限定每一个评估项的评估内容及评估项的数量,均可根据实际情况进行设定。
在本步骤中,根据敏感信息的类别对每一个敏感信息分别设定一个敏感级别,对每一个敏感级别的敏感信息之间相同的评估项分别设定不同的预设信息安全要求。
在本实施例中,敏感级别分为一级、二级和三级,级别越高说明对信息安全的保护需求越高,因此,级别高的敏感信息针对于相同的评估项,也需要更高的信息安全要求。例如,所述信用卡号及支付密码等类别的敏感信息为三级的敏感级别,所述优惠券号等类别的敏感信息为二级的敏感级别,所述用户名等类别的敏感信息为一级的敏感级别。当然,并不具体限定敏感级别的设定方式,可根据实际情况来自行设定。
在本步骤中,若所述敏感信息的评估项符合对应的预设信息安全要求,设该评估项为符合评估项;若所述敏感信息的评估项不符合对应的预设信息安全要求,设该评估项为不符合评估项,并且根据预设评估规则对不符合评估项设定一个风险级别,所述风险级别为高风险、中风险或低风险。
在本实施例中,所述高风险的定义为易发生信息泄露或导致业务中断,所述中风险的定义为可能会产生信息泄露或业务中断,所述低风险的定义为因控制措施失效产生的风险可能性低。当然,并不具体限定风险级别的设定方式,可根据实际情况来自行设定。
步骤103、输出判断结果。
在本步骤中,分别输出符合评估项及不符合评估项的数量,计算并输出缺陷率,所述缺陷率的计算公式如下:
缺陷率=不符合评估项的数量/评估项的总数量。
在本步骤中,还分别输出高风险、中风险及低风险的不符合评估项的数量,计算并输出风险值,所述风险值的计算公式如下:
风险值=(高风险的不符合评估项的数量*x)+(中风险的不符合评估项的数量*y)+(低风险的不符合评估项的数量*z),x>y>z。
在本实施例中,x为3,y为2,z为1,但并不仅限于此数值,可根据实际情况来进行设定。所述风险值用于表征所述敏感信息的信息安全程度,所述风险值越高说明所述敏感信息的信息安全程度越低,信息泄露风险高。
在本实施例中,所述业务安全评估步骤还包括根据预设业务安全规则对业务流程进行业务连续性风险评估,并且输出业务连续性风险评估结果的步骤,即通过模拟业务流程进行相应的应急演练与响应。
在本实施例中,下述表1为业务安全方面的评估项列表,参考表1,可知敏感信息包括37个评估项,业务连续性包括7个评估项,分别针对信息生成、信息显示、信息访问、信息传输和使用、信息存储、信息销毁、业务连续性计划及应急演练与响应,当然并不仅限于此类评估项,可根据实际情况来进行调整。
表1:
下面说明业务安全评估的具体调研过程。
1、业务流程调研
1)通过调研访谈、现场查看等方式了解业务运作的过程,以及每个业务过程的重要活动。
2)梳理每个活动涉及的客户使用前端页面和后端业务及运维人员使用的后台管理系统。
3)识别每个活动是否存在敏感信息。
4)识别该些敏感信息获取的来源(即客户录入还是调用其他应用接口等)。
5)确定该些敏感信息的存储方式和位置,以及其他应用程序是否会调用(即数据流向)。
6)根据调研的结果,绘制业务数据流程图。
2、敏感信息调研
1)敏感信息识别:识别各个业务过程中涉及敏感信息的类型及类别。
2)数据库识别:识别敏感信息存储的数据库,每个数据库中含有哪些敏感信息,敏感信息的加密情况以及数据保存策略。
3)后台管理系统识别:识别业务过程中涉及敏感信息操作的后台管理系统,后台管理系统的用途,含有哪些敏感信息,敏感信息是否做掩码处理,是否可以进行数据导出。
4)第三方识别:识别业务流程中会将敏感信息传输给哪些第三方,敏感信息的类型是什么,传输方式是否安全,是否与其签署数据保密协议。
如图2所示,所述安全技术评估步骤包括以下步骤:
步骤201、根据预设安全技术评估要求分别对企业信息系统的物理安全信息、网络安全信息、主机安全信息、应用安全信息及数据安全信息进行信息安全的风险评估。
在本步骤中,下述表2为安全技术方面的评估项列表,参考表2,可知物理安全包括30个评估项,网络安全包括44个评估项,主机安全包括37个评估项,应用安全包括29个评估项,数据安全包括25个评估项,分别针对位置选择、访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护、设备管理、结构安全、访问控制、身份鉴别、安全审计、边界完整性检查、入侵防范、恶意代码防范、身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制、身份鉴别、访问控制、账号管理、安全审计、通信安全、软件容错、资源控制、日志记录、数据完整性、数据保密性、备份和恢复、介质管理及秘钥管理,当然并不仅限于此类评估项,可根据实际情况来进行调整。
表2:
步骤202、输出安全技术风险评估结果。
在本步骤中,输出方式与所述业务安全评估步骤的输出方式相似。
如图3所示,所述安全管理评估步骤包括以下步骤:
步骤301、根据预设安全管理评估要求分别对企业信息系统的策略制度信息、人力资源信息、系统建设信息及系统运维信息进行信息安全的风险评估。
在本步骤中,下述表3为业务安全方面的评估项列表,参考表3,可知策略制度包括9个评估项,安全组织包括12个评估项,人力资源包括11个评估项,系统建设包括45个评估项,系统运维包括30个评估项,分别针对安全方针、管理制度、岗位设置、内外部沟通、人员录用、安全教育与考核、人员离岗、系统设计、系统开发、测试验收、系统交付、供应商管理、办公环境管理、资产管理、网络安全管理、系统安全管理、变更管理、容量管理、安全监控及安全事件处置,当然并不仅限于此类评估项,可根据实际情况来进行调整。
表3:
步骤302、输出安全管理风险评估结果。
在本步骤中,输出方式与所述业务安全评估步骤的输出方式相似。
在本实施例中,输出风险评估结果如下述表4,但并不仅限于此数据表结构,可根据实际情况来选择树状图等多种数据呈现方式。
表4:
在表4中,不适用是指针对该评估域不适用的评估项的数量,综合评价的计算公式如下:
综合评价=风险值*各BU权重值;
其中,BU为业务单元,各BU权重值可根据实际情况来设定,综合评价仅在各BU横向对比时使用。
在本实施例中,根据风险评估的结果,组织相关部门对识别出的风险选择适当的处置方式,制定《风险整改跟踪表》,经相关领导审批后执行,对风险评估情况进行跟踪,确保整改措施能够在计划时间内完成。
如图4所示,本实施例还提供一种基于业务流程的风险评估系统1,包括业务安全评估模块2、安全技术评估模块3及安全管理评估模块4,业务安全评估模块2包括信息获取模块21、第一处理模块22及第一输出模块23,安全技术评估模块3包括第二处理模块31及第二输出模块32,安全管理评估模块4包括第三处理模块41及第三输出模块42,基于业务流程的风险评估系统1利用上述的风险评估方法。
信息获取模块用于获取需风险评估的业务流程中涉及的敏感信息,还用于获取用于存储所述敏感信息的数据库的信息,还用于获取用于管理所述敏感信息的后台管理系统的信息,还用于获取用于接收所述敏感信息的应用程序的信息。
在本实施例中,所述敏感信息包括37个评估项,所述评估项为针对信息生成、信息显示、信息访问、信息传输、信息使用、信息存储或信息销毁的评估项,每一个评估项分别对应一个预设信息安全要求,当然,并不具体限定每一个评估项的评估内容及评估项的数量,均可根据实际情况进行设定。
第一处理模块用于判断所述敏感信息的评估项是否符合对应的预设信息安全要求,若所述敏感信息的评估项符合对应的预设信息安全要求,设该评估项为符合评估项;若所述敏感信息的评估项不符合对应的预设信息安全要求,设该评估项为不符合评估项,并且根据预设评估规则对不符合评估项设定一个风险级别,所述风险级别为高风险、中风险或低风险。
第一处理模块还用于根据敏感信息的类别对每一个敏感信息分别设定一个敏感级别,对每一个敏感级别的敏感信息之间相同的评估项分别设定不同的预设信息安全要求。
第一输出模块用于分别输出符合评估项及不符合评估项的数量。
第一处理模块用于计算缺陷率,所述缺陷率的计算公式如下:
缺陷率=不符合评估项的数量/评估项的总数量。
第一输出模块还用于输出所述缺陷率。
第一输出模块还用于分别输出高风险、中风险及低风险的不符合评估项的数量。
第一处理模块用于计算风险值,所述风险值的计算公式如下:
风险值=(高风险的不符合评估项的数量*x)+(中风险的不符合评估项的数量*y)+(低风险的不符合评估项的数量*z)。
在本实施例中,x为3,y为2,z为1,但并不仅限于此数值,可根据实际情况来进行设定。
第一输出模块还用于输出所述风险值。
在本实施例中,所述风险值用于表征所述敏感信息的信息安全程度,所述风险值越高说明所述敏感信息的信息安全程度越低,信息泄露风险高。
在本实施例中,第一处理模块还用于根据预设业务安全规则对业务流程进行业务连续性风险评估,第一输出模块还用于输出业务连续性风险评估结果。
第二处理模块用于根据预设安全技术评估要求分别对企业信息系统的物理安全信息、网络安全信息、主机安全信息、应用安全信息及数据安全信息进行信息安全的风险评估,第二输出模块用于输出安全技术风险评估结果,第二输出模块的输出方式与第一输出模块的输出方式相似。
第三处理模块用于根据预设安全管理评估要求分别对企业信息系统的策略制度信息、人力资源信息、系统建设信息及系统运维信息进行信息安全的风险评估,第三输出模块用于输出安全管理风险评估结果,第三输出模块的输出方式与第一输出模块的输出方式相似。
在本实施例中,风险评估中将信息安全要求和信息安全现状作为两项主要的风险分析要素。信息安全要求是按照公司相关信息安全策略,参照ISO27001、国家信息系统等级保护、PCI-DSS、SOX等国内外的安全标准制定;信息安全现状就是公司各BU(业务单元)业务流程及敏感数据目前所具备的安全控制能力。通过以上两项要素的对比,确定风险值,并由此判断各BU业务流程及数据安全管控的水平,以及存在的风险。
本实施例提供的基于业务流程的风险评估方法及系统省去了耗时的资产识别和赋值的过程,对业务流程及相关的数据流进行梳理,识别敏感信息的风险隐患,确保敏感信息在整个生命周期的安全,而且与业务紧密结合,便于信息安全人员与业务人员沟通,进而提高了风险评估的评估准确性及评估效率。
虽然以上描述了本发明的具体实施方式,但是本领域的技术人员应当理解,这仅是举例说明,本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下,可以对这些实施方式做出多种变更或修改,但这些变更和修改均落入本发明的保护范围。
Claims (14)
1.一种基于业务流程的风险评估方法,其特征在于,所述风险评估方法包括业务安全评估步骤,所述业务安全评估步骤包括以下步骤:
S11、获取需风险评估的业务流程中涉及的敏感信息,所述敏感信息为根据预设保护规则来进行保护的信息;
S12、所述敏感信息包括至少一个评估项,每一个评估项分别对应一个预设信息安全要求,判断所述敏感信息的评估项是否符合对应的预设信息安全要求;
S13、输出判断结果。
2.如权利要求1所述的风险评估方法,其特征在于,在步骤S11中,还获取用于存储所述敏感信息的数据库的信息,还获取用于管理所述敏感信息的后台管理系统的信息,还获取用于接收所述敏感信息的应用程序的信息。
3.如权利要求1所述的风险评估方法,其特征在于,在步骤S12中,所述评估项为针对信息生成、信息显示、信息访问、信息传输、信息使用、信息存储或信息销毁的评估项。
4.如权利要求1所述的风险评估方法,其特征在于,在步骤S12中,根据敏感信息的类别对每一个敏感信息分别设定一个敏感级别,对每一个敏感级别的敏感信息之间相同的评估项分别设定不同的预设信息安全要求。
5.如权利要求1所述的风险评估方法,其特征在于,在步骤S12中,若所述敏感信息的评估项符合对应的预设信息安全要求,设该评估项为符合评估项;
若所述敏感信息的评估项不符合对应的预设信息安全要求,设该评估项为不符合评估项,并且根据预设评估规则对不符合评估项设定一个风险级别,所述风险级别为高风险、中风险或低风险。
6.如权利要求5所述的风险评估方法,其特征在于,在步骤S12中,所述敏感信息包括若干个评估项;
在步骤S13中,分别输出符合评估项及不符合评估项的数量,计算并输出缺陷率,所述缺陷率的计算公式如下:
缺陷率=不符合评估项的数量/评估项的总数量;
在步骤S13中,还分别输出高风险、中风险及低风险的不符合评估项的数量,计算并输出风险值,所述风险值用于表征所述敏感信息的信息安全程度,所述风险值的计算公式如下:
风险值=(高风险的不符合评估项的数量*x)+(中风险的不符合评估项的数量*y)+(低风险的不符合评估项的数量*z),x>y>z。
7.如权利要求1~6中任意一项所述的风险评估方法,其特征在于,所述业务安全评估步骤还包括根据预设业务安全规则对业务流程进行业务连续性风险评估,并且输出业务连续性风险评估结果的步骤:
所述风险评估方法还包括安全技术评估步骤及安全管理评估步骤;
所述安全技术评估步骤包括以下步骤:
S21、根据预设安全技术评估要求分别对企业信息系统的物理安全信息、网络安全信息、主机安全信息、应用安全信息及数据安全信息进行信息安全的风险评估;
S22、输出安全技术风险评估结果;
所述安全管理评估步骤包括以下步骤:
S31、根据预设安全管理评估要求分别对企业信息系统的策略制度信息、人力资源信息、系统建设信息及系统运维信息进行信息安全的风险评估;
S32、输出安全管理风险评估结果。
8.一种基于业务流程的风险评估系统,其特征在于,所述风险评估系统包括业务安全评估模块,所述业务安全评估模块包括信息获取模块、第一处理模块及第一输出模块;
所述信息获取模块用于获取需风险评估的业务流程中涉及的敏感信息,所述敏感信息为根据预设保护规则来进行保护的信息,所述敏感信息包括至少一个评估项,每一个评估项分别对应一个预设信息安全要求;
所述第一处理模块用于判断所述敏感信息的评估项是否符合对应的预设信息安全要求;
所述第一输出模块用于输出判断结果。
9.如权利要求8所述的风险评估系统,其特征在于,所述信息获取模块还用于获取用于存储所述敏感信息的数据库的信息,还用于获取用于管理所述敏感信息的后台管理系统的信息,还用于获取用于接收所述敏感信息的应用程序的信息。
10.如权利要求8所述的风险评估系统,其特征在于,所述评估项为针对信息生成、信息显示、信息访问、信息传输、信息使用、信息存储或信息销毁的评估项。
11.如权利要求8所述的风险评估系统,其特征在于,所述第一处理模块还用于根据敏感信息的类别对每一个敏感信息分别设定一个敏感级别,对每一个敏感级别的敏感信息之间相同的评估项分别设定不同的预设信息安全要求。
12.如权利要求8所述的风险评估系统,其特征在于,所述第一处理模块还用于若所述敏感信息的评估项符合对应的预设信息安全要求,设该评估项为符合评估项;
所述第一处理模块还用于若所述敏感信息的评估项不符合对应的预设信息安全要求,设该评估项为不符合评估项,并且根据预设评估规则对不符合评估项设定一个风险级别,所述风险级别为高风险、中风险或低风险。
13.如权利要求12所述的风险评估系统,其特征在于,所述敏感信息包括若干个评估项;
所述第一输出模块用于分别输出符合评估项及不符合评估项的数量;
所述第一处理模块用于计算缺陷率,所述缺陷率的计算公式如下:
缺陷率=不符合评估项的数量/评估项的总数量;
所述第一输出模块还用于输出所述缺陷率;
所述第一输出模块还用于分别输出高风险、中风险及低风险的不符合评估项的数量;
所述第一处理模块用于计算风险值,所述风险值用于表征所述敏感信息的信息安全程度,所述风险值的计算公式如下:
风险值=(高风险的不符合评估项的数量*x)+(中风险的不符合评估项的数量*y)+(低风险的不符合评估项的数量*z),x>y>z;
所述第一输出模块还用于输出所述风险值。
14.如权利要求8~13中任意一项所述的风险评估系统,其特征在于,所述第一处理模块还用于根据预设业务安全规则对业务流程进行业务连续性风险评估,所述第一输出模块还用于输出业务连续性风险评估结果;
所述风险评估系统还包括安全技术评估模块及安全管理评估模块;
所述安全技术评估模块包括第二处理模块及第二输出模块,所述第二处理模块用于根据预设安全技术评估要求分别对企业信息系统的物理安全信息、网络安全信息、主机安全信息、应用安全信息及数据安全信息进行信息安全的风险评估,所述第二输出模块用于输出安全技术风险评估结果;
所述安全管理评估模块包括第三处理模块及第三输出模块,所述第三处理模块用于根据预设安全管理评估要求分别对企业信息系统的策略制度信息、人力资源信息、系统建设信息及系统运维信息进行信息安全的风险评估,所述第三输出模块用于输出安全管理风险评估结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710994902.5A CN107730128A (zh) | 2017-10-23 | 2017-10-23 | 基于业务流程的风险评估方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710994902.5A CN107730128A (zh) | 2017-10-23 | 2017-10-23 | 基于业务流程的风险评估方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107730128A true CN107730128A (zh) | 2018-02-23 |
Family
ID=61212460
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710994902.5A Pending CN107730128A (zh) | 2017-10-23 | 2017-10-23 | 基于业务流程的风险评估方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107730128A (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109165832A (zh) * | 2018-08-13 | 2019-01-08 | 郑州向心力通信技术股份有限公司 | 信息安全管理方法及系统 |
CN109829311A (zh) * | 2019-01-21 | 2019-05-31 | 深圳临海科技有限公司 | 一种信息安全评估方法 |
CN110087238A (zh) * | 2019-05-13 | 2019-08-02 | 商洛学院 | 一种移动电子设备信息安全保护系统 |
CN111563254A (zh) * | 2020-05-07 | 2020-08-21 | 中国工商银行股份有限公司 | 用于产品的威胁风险处理方法和装置、计算机系统和介质 |
CN112017059A (zh) * | 2020-07-14 | 2020-12-01 | 北京淇瑀信息科技有限公司 | 一种分级优化的风险控制方法、装置和电子设备 |
CN112346995A (zh) * | 2020-12-04 | 2021-02-09 | 中信银行股份有限公司 | 一种基于银行业的测试风险预估模型的构建方法及装置 |
CN113488127A (zh) * | 2021-07-28 | 2021-10-08 | 中国医学科学院医学信息研究所 | 一种人口健康数据集敏感度处理方法及系统 |
CN113656122A (zh) * | 2021-07-28 | 2021-11-16 | 上海纽盾科技股份有限公司 | 面向等保测评的信息筛选方法、装置及系统 |
CN114648256A (zh) * | 2022-05-19 | 2022-06-21 | 杭州世平信息科技有限公司 | 一种数据安全检查方法和系统及设备 |
CN117195297A (zh) * | 2023-09-18 | 2023-12-08 | 陕西众维信息科技有限公司 | 基于erp的数据安全与隐私保护系统及方法 |
CN117473509A (zh) * | 2023-12-26 | 2024-01-30 | 信联科技(南京)有限公司 | 一种面向数据处理活动的数据安全风险评估方法及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105635112A (zh) * | 2015-12-18 | 2016-06-01 | 国家电网公司 | 信息系统安全性能的评估方法 |
CN105656871A (zh) * | 2015-06-30 | 2016-06-08 | 宇龙计算机通信科技(深圳)有限公司 | 安全通信方法及装置 |
-
2017
- 2017-10-23 CN CN201710994902.5A patent/CN107730128A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105656871A (zh) * | 2015-06-30 | 2016-06-08 | 宇龙计算机通信科技(深圳)有限公司 | 安全通信方法及装置 |
CN105635112A (zh) * | 2015-12-18 | 2016-06-01 | 国家电网公司 | 信息系统安全性能的评估方法 |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109165832A (zh) * | 2018-08-13 | 2019-01-08 | 郑州向心力通信技术股份有限公司 | 信息安全管理方法及系统 |
CN109829311A (zh) * | 2019-01-21 | 2019-05-31 | 深圳临海科技有限公司 | 一种信息安全评估方法 |
CN110087238A (zh) * | 2019-05-13 | 2019-08-02 | 商洛学院 | 一种移动电子设备信息安全保护系统 |
CN111563254B (zh) * | 2020-05-07 | 2024-05-07 | 中国工商银行股份有限公司 | 用于产品的威胁风险处理方法和装置、计算机系统和介质 |
CN111563254A (zh) * | 2020-05-07 | 2020-08-21 | 中国工商银行股份有限公司 | 用于产品的威胁风险处理方法和装置、计算机系统和介质 |
CN112017059A (zh) * | 2020-07-14 | 2020-12-01 | 北京淇瑀信息科技有限公司 | 一种分级优化的风险控制方法、装置和电子设备 |
CN112346995A (zh) * | 2020-12-04 | 2021-02-09 | 中信银行股份有限公司 | 一种基于银行业的测试风险预估模型的构建方法及装置 |
CN112346995B (zh) * | 2020-12-04 | 2023-08-01 | 中信银行股份有限公司 | 一种基于银行业的测试风险预估模型的构建方法及装置 |
CN113488127A (zh) * | 2021-07-28 | 2021-10-08 | 中国医学科学院医学信息研究所 | 一种人口健康数据集敏感度处理方法及系统 |
CN113656122A (zh) * | 2021-07-28 | 2021-11-16 | 上海纽盾科技股份有限公司 | 面向等保测评的信息筛选方法、装置及系统 |
CN113656122B (zh) * | 2021-07-28 | 2023-05-16 | 上海纽盾科技股份有限公司 | 面向等保测评的信息筛选方法、装置及系统 |
CN113488127B (zh) * | 2021-07-28 | 2023-10-20 | 中国医学科学院医学信息研究所 | 一种人口健康数据集敏感度处理方法及系统 |
CN114648256A (zh) * | 2022-05-19 | 2022-06-21 | 杭州世平信息科技有限公司 | 一种数据安全检查方法和系统及设备 |
CN117195297B (zh) * | 2023-09-18 | 2024-04-30 | 陕西众维信息科技有限公司 | 基于erp的数据安全与隐私保护系统及方法 |
CN117195297A (zh) * | 2023-09-18 | 2023-12-08 | 陕西众维信息科技有限公司 | 基于erp的数据安全与隐私保护系统及方法 |
CN117473509A (zh) * | 2023-12-26 | 2024-01-30 | 信联科技(南京)有限公司 | 一种面向数据处理活动的数据安全风险评估方法及系统 |
CN117473509B (zh) * | 2023-12-26 | 2024-04-02 | 信联科技(南京)有限公司 | 一种面向数据处理活动的数据安全风险评估方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107730128A (zh) | 基于业务流程的风险评估方法及系统 | |
Lee | Using data envelopment analysis and decision trees for efficiency analysis and recommendation of B2C controls | |
Lis et al. | Cyberattacks on critical infrastructure: An economic perspective | |
Park et al. | Analysis of information security management systems at 5 domestic hospitals with more than 500 beds | |
CN102521663A (zh) | 一种电子监察方法 | |
CN105046404A (zh) | 利用应用程序对市场主体进行社区巡检的方法和系统 | |
Sardjono et al. | Information systems risk analysis using octave allegro method based at deutsche bank | |
Legowo et al. | Risk management; risk assessment of information technology security system at bank using ISO 27001 | |
Pérez-Morón | Eleven years of cyberattacks on Chinese supply chains in an era of cyber warfare, a review and future research agenda | |
Ohki et al. | Information security governance framework | |
Sukri et al. | Risk Management Analysison Administration System Using Octave Allegro Framework | |
Shimels et al. | Maturity of information systems' security in Ethiopian banks: case of selected private banks | |
Dewi et al. | The effect of fraud specialist role on internal control using the mediation of credit card fraud detection (Case study of a state-owned bank) | |
Cheng | Information security risk assessment model of IT outsourcing managed service | |
CN109962882A (zh) | 一种网络身份管理服务可信等级评估方法与系统 | |
Bandopadhyay et al. | A quantitative methodology for information security control gap analysis | |
Tejay et al. | Reducing cyber harassment through de jure standards: a study on the lack of the information security management standard adoption in the USA | |
CN112613753A (zh) | 一种基于神经网络模型的大数据智能交易风险管理系统 | |
Kim et al. | Human centric security policy and management design for small and medium business | |
Mohammed et al. | Survey of information security risk management models | |
ALEMAYEHU | Assessing Practice of Information Technology Audit And Fraud Detection On Commercial Banks In Ethiopia | |
Ashari | Information Security Governance and Management Capability Assessment: A Lesson Learned from Directorate General of Taxes | |
Rezaei et al. | A huiristic method for information scaling in manufacturing organizations | |
Kroeger et al. | Development of a risk measure as a sustainable project selection criterion | |
AKYÜZ et al. | CYBER SECURITY AND DIGITAL AUDIT |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180223 |