iso iec 13335检测

ISO/IEC 13335 信息安全风险管理检测技术体系

1. 检测项目与方法原理

ISO/IEC 13335（信息技术-信息安全的管理指南）核心在于构建系统化的风险管理流程，其“检测”实质是对风险管理各环节有效性的评估与验证。主要检测项目围绕风险要素展开：

1.1 资产识别与赋值有效性检测

• 检测方法： 采样核查法与追溯法。

• 原理： 从组织申报的资产清单中抽样，通过检查系统配置管理数据库（CMDB）、财务台账、系统访问日志等，验证资产是否存在、标识是否唯一、归属是否明确。赋值检测通过审查赋值依据（如资产购置成本、业务关键性评估报告、恢复成本测算），判断机密性、完整性、可用性赋值是否合理、一致。

1.2 威胁识别与频率评估合理性检测

• 检测方法： 日志分析法、模拟攻击法、历史数据统计法。

• 原理： 分析网络设备、安全设备、应用系统及操作系统在检测周期内的安全日志，统计异常访问、攻击尝试、系统故障等事件，验证组织自行识别的威胁列表是否覆盖实际发生的威胁。通过注入模拟攻击流量（如漏洞扫描、渗透测试）或审查历史安全事件报告，评估组织对威胁发生频率的估算是否客观。

1.3 脆弱性识别与严重性评估深度检测

• 检测方法： 工具扫描法、人工审计法、配置核查法。

• 原理： 使用自动化漏洞扫描工具对目标网络、主机、应用进行深度扫描，识别技术性脆弱点。结合人工代码审计（对关键应用）、安全配置核查（如对照安全基线），识别管理性和流程性脆弱点。通过评估脆弱点被利用后对资产造成的潜在影响，验证组织对脆弱性严重性分级是否准确。

1.4 风险分析计算模型与结果验证检测

• 检测方法： 模型复审法、数据验证法、结果复现法。

• 原理： 审查组织采用的风险计算模型（如定性、定量或半定量模型），评估其公式、参数权重设置的合理性。输入经过验证的资产、威胁、脆弱性数据至标准模型中，将计算结果与组织自行评估结果进行比对，分析偏差原因，验证风险评估过程的可靠性与一致性。

1.5 安全措施选择与实施符合性检测

• 检测方法： 符合性测试、有效性测试。

• 原理： 将组织已选择并实施的安全控制措施（管理类、技术类、物理类）与风险处理计划进行比对，检测其是否符合“降低、转移、规避、接受”的风险决策。通过功能性测试（如防火墙策略验证）、渗透测试、文档审查（如检查培训记录、应急演练报告），验证安全措施是否按设计正确实施并有效运行。

2. 检测范围

检测覆盖ISO/IEC 13335风险管理过程应用于的各领域：

• 信息系统生命周期管理： 涵盖系统规划、设计、开发、实施、运维及废弃各阶段的风险管理活动检测。

• 关键信息基础设施保护： 对能源、金融、交通、电信等重要行业的核心系统，检测其风险管理是否满足高可靠、高可用的特殊需求。

• 云计算与大数据环境： 检测在虚拟化、多租户环境下，资产边界界定、共享资源风险、数据主权风险的管理有效性。

• 供应链安全管理： 检测组织对第三方供应商、服务商引入的风险识别、评估与管控过程。

• 合规性审计支持： 为满足国内外各类信息安全法规（如网络安全等级保护、关键基础设施指令等）的要求，提供风险管理过程合规性的客观证据。

3. 检测标准与依据

检测活动严格参照国内外广泛认可的风险管理与信息安全框架文献，确保检测的权威性和普适性。核心依据文献包括：

• 国际标准化组织与国际电工委员会联合发布的信息技术安全管理指南系列文献，特别是其中关于风险管理概念与模型、安全措施选择的指南部分。

• 美国国家标准与技术研究院发布的风险管理框架指南，该文献详细阐述了将风险管理整合到系统开发生命周期中的步骤。

• 国际信息系统审计协会发布的信息及相关技术控制目标框架，其为风险控制措施的评估提供了详细的控制目标体系。

• 国内信息安全标准化技术委员会发布的一系列关于信息安全风险管理、风险评估指南的国家标准文献。这些文献通常与国内网络安全法等法规要求紧密结合，为风险管理的实施提供了具体指导。

4. 检测仪器与设备

检测工作依赖专业化的软硬件设备，主要类别及功能如下：

4.1 漏洞扫描与评估系统

• 功能： 通过网络主动探测，识别目标主机、网络设备、数据库、Web应用的已知安全漏洞、错误配置及弱口令。系统内置标准化漏洞库，可依据通用漏洞评分系统（CVSS）对漏洞严重性进行评级，并生成详细的技术报告，为脆弱性评估提供量化数据。

4.2 渗透测试平台

• 功能： 集成了信息收集、漏洞利用、权限提升、报告生成等模块的综合工具集。在授权范围内，模拟真实攻击者的技术和手段，验证脆弱点被利用的可能性和实际影响，是验证风险分析结果（特别是高等级风险）的关键工具。

4.3 网络协议分析与流量监控设备

• 功能： 通过镜像或探针捕获网络流量，进行深度包检测（DPI）和协议分析。用于检测异常网络行为、未知威胁、数据泄露迹象，验证网络访问控制措施的有效性，并为威胁频率的评估提供实证数据。

4.4 安全配置核查系统

• 功能： 通过远程或本地方式，自动采集操作系统、数据库、中间件及网络设备的安全配置参数，与内置的行业或组织安全基线进行比对，发现不符合安全策略的配置项，为管理性脆弱点的识别提供支持。

4.5 日志审计与分析系统

• 功能： 集中采集、归一化处理并关联分析来自不同厂商、不同类型设备（防火墙、IDS/IPS、服务器、应用系统）的安全日志。通过设定关联规则和统计模型，从海量日志中筛选出安全事件，为威胁识别和事后追溯提供依据。

4.6 风险评估辅助工具

• 功能： 提供资产库管理、风险矩阵定义、风险计算引擎、问卷管理、工作流管理和报告生成等功能。此类工具用于支持并检测组织自身的风险管理流程是否规范、数据是否可追溯、计算是否可复核。