基于业务流程的风险评估方法及系统技术方案

本发明专利技术公开了一种基于业务流程的风险评估方法及系统，所述风险评估方法包括业务安全评估步骤，业务安全评估步骤包括以下步骤：S11、获取需风险评估的业务流程中涉及的敏感信息，敏感信息为根据预设保护规则来进行保护的信息；S12、敏感信息包括至少一个评估项，每一个评估项分别对应一个预设信息安全要求，判断敏感信息的评估项是否符合对应的预设信息安全要求；S13、输出判断结果。本发明专利技术提供的基于业务流程的风险评估方法及系统省去了耗时的资产识别和赋值的过程，对业务流程及相关的数据流进行梳理，识别敏感信息的风险隐患，而且与业务流程紧密结合，易于被业务人员理解，进而提高了风险评估的评估准确性及评估效率。

Risk assessment method and system based on business process

【技术实现步骤摘要】
基于业务流程的风险评估方法及系统
本专利技术涉及风险评估领域，特别涉及一种基于业务流程的风险评估方法及系统。
技术介绍
信息安全风险评估是对企业信息系统进行信息安全风险管理的首要环节，通过风险评估及早发现安全隐患并采取相应的整改措施是为企业的信息安全保障的必不可少的一部分。目前，大多数企业实施风险评估参照ISO27005:2008(信息安全技术风险管理)和GBT20984:2007(信息安全风险评估规范)的国际/国外基于资产的风险评估方法论，风险评估的重点在于实时维护企业的信息资产，由于企业内部资产非常繁杂，信息资产列表需要协调各个资产所有者、使用者、运维者以及信息安全管理人员手工维护，不仅工作量大，而且可能由于不同人员的理解不同，导致资产的评估不准确。
技术实现思路
本专利技术要解决的技术问题是为了克服现有技术中基于资产的进行风险评估，导致评估准确性低，且评估效率低的缺陷，提供一种基于业务流程的风险评估方法及系统。本专利技术是通过下述技术方案来解决上述技术问题：一种基于业务流程的风险评估方法，其特点在于，所述风险评估方法包括业务安全评估步骤，所述业务安全评估步骤包括以下步骤：S11、获取需风险评估的业务流程中涉及的敏感信息，所述敏感信息为根据预设保护规则来进行保护的信息；S12、所述敏感信息包括至少一个评估项，每一个评估项分别对应一个预设信息安全要求，判断所述敏感信息的评估项是否符合对应的预设信息安全要求；S13、输出判断结果。较佳地，在步骤S11中，还获取用于存储所述敏感信息的数据库的信息，还获取用于管理所述敏感信息的后台管理系统的信息，还获取用于接收所述敏感信息的应用程序的信息。较佳地，在步骤S12中，所述评估项为针对信息生成、信息显示、信息访问、信息传输、信息使用、信息存储或信息销毁的评估项。较佳地，在步骤S12中，根据敏感信息的类别对每一个敏感信息分别设定一个敏感级别，对每一个敏感级别的敏感信息之间相同的评估项分别设定不同的预设信息安全要求。较佳地，在步骤S12中，若所述敏感信息的评估项符合对应的预设信息安全要求，设该评估项为符合评估项；若所述敏感信息的评估项不符合对应的预设信息安全要求，设该评估项为不符合评估项，并且根据预设评估规则对不符合评估项设定一个风险级别，所述风险级别为高风险、中风险或低风险。较佳地，在步骤S12中，所述敏感信息包括若干个评估项；在步骤S13中，分别输出符合评估项及不符合评估项的数量，计算并输出缺陷率，所述缺陷率的计算公式如下：缺陷率＝不符合评估项的数量/评估项的总数量；在步骤S13中，还分别输出高风险、中风险及低风险的不符合评估项的数量，计算并输出风险值，所述风险值用于表征所述敏感信息的信息安全程度，所述风险值的计算公式如下：风险值＝(高风险的不符合评估项的数量*x)+(中风险的不符合评估项的数量*y)+(低风险的不符合评估项的数量*z)，x>y>z。较佳地，所述业务安全评估步骤还包括根据预设业务安全规则对业务流程进行业务连续性风险评估，并且输出业务连续性风险评估结果的步骤：所述风险评估方法还包括安全技术评估步骤及安全管理评估步骤；所述安全技术评估步骤包括以下步骤：S21、根据预设安全技术评估要求分别对企业信息系统的物理安全信息、网络安全信息、主机安全信息、应用安全信息及数据安全信息进行信息安全的风险评估；S22、输出安全技术风险评估结果；所述安全管理评估步骤包括以下步骤：S31、根据预设安全管理评估要求分别对企业信息系统的策略制度信息、人力资源信息、系统建设信息及系统运维信息进行信息安全的风险评估；S32、输出安全管理风险评估结果。一种基于业务流程的风险评估系统，其特点在于，所述风险评估系统包括业务安全评估模块，所述业务安全评估模块包括信息获取模块、第一处理模块及第一输出模块；所述信息获取模块用于获取需风险评估的业务流程中涉及的敏感信息，所述敏感信息为根据预设保护规则来进行保护的信息，所述敏感信息包括至少一个评估项，每一个评估项分别对应一个预设信息安全要求；所述第一处理模块用于判断所述敏感信息的评估项是否符合对应的预设信息安全要求；所述第一输出模块用于输出判断结果。较佳地，所述信息获取模块还用于获取用于存储所述敏感信息的数据库的信息，还用于获取用于管理所述敏感信息的后台管理系统的信息，还用于获取用于接收所述敏感信息的应用程序的信息。较佳地，所述评估项为针对信息生成、信息显示、信息访问、信息传输、信息使用、信息存储或信息销毁的评估项。较佳地，所述第一处理模块还用于根据敏感信息的类别对每一个敏感信息分别设定一个敏感级别，对每一个敏感级别的敏感信息之间相同的评估项分别设定不同的预设信息安全要求。较佳地，所述第一处理模块还用于若所述敏感信息的评估项符合对应的预设信息安全要求，设该评估项为符合评估项；所述第一处理模块还用于若所述敏感信息的评估项不符合对应的预设信息安全要求，设该评估项为不符合评估项，并且根据预设评估规则对不符合评估项设定一个风险级别，所述风险级别为高风险、中风险或低风险。较佳地，所述敏感信息包括若干个评估项；所述第一输出模块用于分别输出符合评估项及不符合评估项的数量；所述第一处理模块用于计算缺陷率，所述缺陷率的计算公式如下：缺陷率＝不符合评估项的数量/评估项的总数量；所述第一输出模块还用于输出所述缺陷率；所述第一输出模块还用于分别输出高风险、中风险及低风险的不符合评估项的数量；所述第一处理模块用于计算风险值，所述风险值用于表征所述敏感信息的信息安全程度，所述风险值的计算公式如下：风险值＝(高风险的不符合评估项的数量*x)+(中风险的不符合评估项的数量*y)+(低风险的不符合评估项的数量*z)，x>y>z；所述第一输出模块还用于输出所述风险值。较佳地，所述第一处理模块还用于根据预设业务安全规则对业务流程进行业务连续性风险评估，所述第一输出模块还用于输出业务连续性风险评估结果；所述风险评估系统还包括安全技术评估模块及安全管理评估模块；所述安全技术评估模块包括第二处理模块及第二输出模块，所述第二处理模块用于根据预设安全技术评估要求分别对企业信息系统的物理安全信息、网络安全信息、主机安全信息、应用安全信息及数据安全信息进行信息安全的风险评估，所述第二输出模块用于输出安全技术风险评估结果；所述安全管理评估模块包括第三处理模块及第三输出模块，所述第三处理模块用于根据预设安全管理评估要求分别对企业信息系统的策略制度信息、人力资源信息、系统建设信息及系统运维信息进行信息安全的风险评估，所述第三输出模块用于输出安全管理风险评估结果。在符合本领域常识的基础上，上述各优选条件，可任意组合，即得本专利技术各较佳实例。本专利技术的积极进步效果在于：本专利技术提供的基于业务流程的风险评估方法及系统省去了耗时的资产识别和赋值的过程，对业务流程及相关的数据流进行梳理，识别敏感信息的风险隐患，确保敏感信息在整个生命周期的安全，而且与业务紧密结合，便于信息安全人员与业务人员沟通，进而提高了风险评估的评估准确性及评估效率。本专利技术通过业务安全、安全技术及安全管理等三个方面，全面的进行风险评估，可同时满足国家信息系统等级保护、ISO27001(信息安全管理本文档来自技高网...

【技术保护点】
一种基于业务流程的风险评估方法，其特征在于，所述风险评估方法包括业务安全评估步骤，所述业务安全评估步骤包括以下步骤：S11、获取需风险评估的业务流程中涉及的敏感信息，所述敏感信息为根据预设保护规则来进行保护的信息；S12、所述敏感信息包括至少一个评估项，每一个评估项分别对应一个预设信息安全要求，判断所述敏感信息的评估项是否符合对应的预设信息安全要求；S13、输出判断结果。

【技术特征摘要】
1.一种基于业务流程的风险评估方法，其特征在于，所述风险评估方法包括业务安全评估步骤，所述业务安全评估步骤包括以下步骤：S11、获取需风险评估的业务流程中涉及的敏感信息，所述敏感信息为根据预设保护规则来进行保护的信息；S12、所述敏感信息包括至少一个评估项，每一个评估项分别对应一个预设信息安全要求，判断所述敏感信息的评估项是否符合对应的预设信息安全要求；S13、输出判断结果。2.如权利要求1所述的风险评估方法，其特征在于，在步骤S11中，还获取用于存储所述敏感信息的数据库的信息，还获取用于管理所述敏感信息的后台管理系统的信息，还获取用于接收所述敏感信息的应用程序的信息。3.如权利要求1所述的风险评估方法，其特征在于，在步骤S12中，所述评估项为针对信息生成、信息显示、信息访问、信息传输、信息使用、信息存储或信息销毁的评估项。4.如权利要求1所述的风险评估方法，其特征在于，在步骤S12中，根据敏感信息的类别对每一个敏感信息分别设定一个敏感级别，对每一个敏感级别的敏感信息之间相同的评估项分别设定不同的预设信息安全要求。5.如权利要求1所述的风险评估方法，其特征在于，在步骤S12中，若所述敏感信息的评估项符合对应的预设信息安全要求，设该评估项为符合评估项；若所述敏感信息的评估项不符合对应的预设信息安全要求，设该评估项为不符合评估项，并且根据预设评估规则对不符合评估项设定一个风险级别，所述风险级别为高风险、中风险或低风险。6.如权利要求5所述的风险评估方法，其特征在于，在步骤S12中，所述敏感信息包括若干个评估项；在步骤S13中，分别输出符合评估项及不符合评估项的数量，计算并输出缺陷率，所述缺陷率的计算公式如下：缺陷率＝不符合评估项的数量/评估项的总数量；在步骤S13中，还分别输出高风险、中风险及低风险的不符合评估项的数量，计算并输出风险值，所述风险值用于表征所述敏感信息的信息安全程度，所述风险值的计算公式如下：风险值＝(高风险的不符合评估项的数量*x)+(中风险的不符合评估项的数量*y)+(低风险的不符合评估项的数量*z)，x>y>z。7.如权利要求1～6中任意一项所述的风险评估方法，其特征在于，所述业务安全评估步骤还包括根据预设业务安全规则对业务流程进行业务连续性风险评估，并且输出业务连续性风险评估结果的步骤：所述风险评估方法还包括安全技术评估步骤及安全管理评估步骤；所述安全技术评估步骤包括以下步骤：S21、根据预设安全技术评估要求分别对企业信息系统的物理安全信息、网络安全信息、主机安全信息、应用安全信息及数据安全信息进行信息安全的风险评估；S22、输出安全技术风险评估结果；所述安全管理评估步骤包括以下步骤：S31、根据预设安全管理评估要求分别对企业信息系统的策略制度信息、人力资源信息、系统建设信息及系统运维信息进行信息安全的风险评估；S32、输出安全管理风险评估结果。8.一种基于业务流程的风险评估系统，其特征在于，所述风险评估系统包括业务安全评估模块，所述业务安全评估模块包括信息获取模块、第一处理模块及第一输出模块...

【专利技术属性】
技术研发人员：刘洋，章锦成，卢佳蓓，郭君豪，朱卫东，叶云霞，史虹，
申请(专利权)人：上海携程商务有限公司，
类型：发明
国别省市：上海,31