信息安全管理制度信息安全風(fēng)險(xiǎn)評(píng)估管理程序

1、信息安全風(fēng)險(xiǎn)評(píng)估管理程序1.0目的在 ISMS 覆蓋范圍內(nèi)對(duì)信息安全現(xiàn)行狀況進(jìn)行系統(tǒng)風(fēng)險(xiǎn)評(píng)估，形成評(píng)估報(bào)告，描述風(fēng) 險(xiǎn)等級(jí)，識(shí)別和評(píng)價(jià)供處理風(fēng)險(xiǎn)的可選措施，選擇控制目標(biāo)和控制措施處理風(fēng)險(xiǎn)。2.0適用范圍在 ISMS 覆蓋范圍內(nèi)主要信息資產(chǎn)3.0定義（無(wú)） 4.0職責(zé)4.1各部門(mén)負(fù)責(zé)部門(mén)內(nèi)部資產(chǎn)的識(shí)別，確定資產(chǎn)價(jià)值。4.2IT 部負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估和制訂控制措施。4.3財(cái)務(wù)中心副部負(fù)責(zé)信息系統(tǒng)運(yùn)行的批準(zhǔn)。5.0流程圖同信息安全管理程序的流程6.0內(nèi)容6.1資產(chǎn)的識(shí)別6.1.1 各部門(mén)每年按照管理者代表的要求負(fù)責(zé)部門(mén)內(nèi)部資產(chǎn)的識(shí)別，確定資產(chǎn)價(jià)值。6.1.2 資產(chǎn)分類(lèi)根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、

2、軟件、硬件、文檔、服務(wù)、人員 等類(lèi)。6.1.3資產(chǎn)（A）賦值資產(chǎn)賦值就是對(duì)資產(chǎn)在機(jī)密性、完整性和可用性上的達(dá)成程度進(jìn)行分析，選擇對(duì)資產(chǎn)機(jī)密性、完整性和可用性最為重要（分值最高）的一個(gè)屬性的賦值 等級(jí)作為資產(chǎn)的最終賦值結(jié)果。資產(chǎn)等級(jí)劃分為五級(jí)，分別代表資產(chǎn)重要性 的高低。等級(jí)數(shù)值越大，資產(chǎn)價(jià)值越高。1）機(jī)密性賦值根據(jù)資產(chǎn)在機(jī)密性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn) 在機(jī)密性上的應(yīng)達(dá)成的不同程度或者機(jī)密性缺失時(shí)對(duì)整個(gè)組織的影響。賦值標(biāo)識(shí)定義5極咼包含組織最重要的秘密， 關(guān)系未來(lái)發(fā)展的前途命運(yùn)， 對(duì)組織 根本利益有著決定性影響，如果泄漏會(huì)造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會(huì)

3、使組織的安全和利益遭受?chē)?yán) 重?fù)p害3中等包含組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到 損害2低包含僅能在組織內(nèi)部或在組織某 部門(mén)內(nèi)部公幵的信息，向外擴(kuò)散有可能對(duì)組織的利益造成損害1可忽 略包含可對(duì)社會(huì)公幵的信息， 公用的信息處理設(shè)備和系統(tǒng)資源 等2）完整性賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在完整性上的達(dá)成的不同程度或者完整性缺失時(shí)對(duì)整個(gè)組織的影響。賦值標(biāo)識(shí)定義5極咼完整性?xún)r(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成 重大的或無(wú)法接受的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán) 重的業(yè)務(wù)中斷，難以彌補(bǔ)4高完整性?xún)r(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大 影

4、響，對(duì)業(yè)務(wù)沖擊嚴(yán)重，比較難以彌補(bǔ)3中等完整性?xún)r(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影 響，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)2低完整性?xún)r(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微 影響，可以忍受，對(duì)業(yè)務(wù)沖擊輕微，容易彌補(bǔ)1可忽略完整性?xún)r(jià)值非常低，未經(jīng)授權(quán)的修改或破壞對(duì)組織造成的影 響可以忽略，對(duì)業(yè)務(wù)沖擊可以忽略3）可用性賦值根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn) 在可用性上的達(dá)成的不同程度。賦值標(biāo)識(shí)定義5極咼可用性?xún)r(jià)值非常高，合法使用者對(duì)信息及信息系統(tǒng)的可用 度達(dá)到年度99.9%以上4高可用性?xún)r(jià)值較咼，合法使用者對(duì)信息及信息系統(tǒng)的可用度 達(dá)到每天90%以上3中等可用性

5、價(jià)值中等，合法使用者對(duì)信息及信息系統(tǒng)的可用度 在正常工作時(shí)間達(dá)到 70%以上2低可用性?xún)r(jià)值較低，合法使用者對(duì)信息及信息系統(tǒng)的可用度 在正常工作時(shí)間達(dá)到 25%以上1可忽略可用性?xún)r(jià)值可以忽略，合法使用者對(duì)信息及信息系統(tǒng)的可 用度在正常工作時(shí)間低于 25%3分以上為重要資產(chǎn)，重要信息資產(chǎn)由IT部確立清單6.2威脅識(shí)別6.2.1威脅分類(lèi)對(duì)重要資產(chǎn)應(yīng)由ISMS小組識(shí)別其面臨的威脅。針對(duì)威脅來(lái)源，根據(jù)其表現(xiàn) 形式將威脅分為軟硬件故障、物理環(huán)境威脅、無(wú)作為或操作失誤、管理不到位、 惡意代碼和病毒、越權(quán)或?yàn)E用、黑客攻擊技術(shù)、物理攻擊、泄密、篡改和抵賴(lài) 等。6.2.2威脅（T）賦值評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)

6、的統(tǒng)計(jì)數(shù)據(jù)來(lái)判斷威脅出現(xiàn)的頻率。威脅頻率等級(jí)劃分為五級(jí)，分別代表威脅出現(xiàn)的頻率的高低。等級(jí)數(shù)值越大，威脅出現(xiàn) 的頻率越高。威脅賦值見(jiàn)下表。等級(jí)標(biāo)識(shí)定義5很高威脅出現(xiàn)的頻率很高，在大多數(shù)情況下幾乎不可避免或者可 以證實(shí)經(jīng)常發(fā)生過(guò)（每天）4高威脅出現(xiàn)的頻率較高，在大多數(shù)情況下很有可能會(huì)發(fā)生或者 可以證實(shí)多次發(fā)生過(guò)（每周）3中威脅出現(xiàn)的頻率中等，在某種情況下可能會(huì)發(fā)生或被證實(shí)曾 經(jīng)發(fā)生過(guò)（每月、曾經(jīng)發(fā)生過(guò)）2低威脅出現(xiàn)的頻率較小，般不太可能發(fā)生，也沒(méi)有被證實(shí)發(fā)生過(guò)（每年）1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見(jiàn)和例外的情況下發(fā) 生（特殊情況）6.3脆弱性識(shí)別6.3.1脆弱性識(shí)別內(nèi)容脆弱性識(shí)別主要從

7、技術(shù)和管理兩個(gè)方面進(jìn)行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò) 層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問(wèn)題。管理脆弱性又可分為技術(shù)管理 和組織管理兩方面，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)。6.3.2脆弱性（V）嚴(yán)重程度賦值脆弱性嚴(yán)重程度的等級(jí)劃分為五級(jí)，分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。 等級(jí)數(shù)值越大，脆弱性嚴(yán)重程度越高。脆弱性嚴(yán)重程度賦值見(jiàn)下表等級(jí)標(biāo)識(shí)定義5很高如果被威脅利用，將對(duì)資產(chǎn)造成完全損害（90 %以上）4高如果被威脅利用，將對(duì)資產(chǎn)造成重大損害（70 %）3中如果被威脅利用，將對(duì)資產(chǎn)造成一般損害（30 %）2低如果被威脅利用，將對(duì)資產(chǎn)造成較小損害（10 %）1很低如果被威脅利用，將對(duì)資產(chǎn)造

8、成的損害可以忽略 （10 %以下）6.4已有安全措施的確認(rèn)ISMS小組應(yīng)對(duì)已采取的安全措施的有效性進(jìn)行確認(rèn)， 對(duì)有效的安全措施繼續(xù)保持， 以避免不必要的工作和費(fèi)用， 防止安全措施的重復(fù)實(shí)施。 對(duì)于確認(rèn)為不適當(dāng)?shù)陌踩?措施應(yīng)核實(shí)是否應(yīng)被取消，或者用更合適的安全措施替代。6.5風(fēng)險(xiǎn)分析完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及對(duì)已有安全措施確認(rèn)后，ISMS小組采用矩陣法確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴(yán)重程度判斷安全事件造成的損失對(duì)組 織的影響，即安全風(fēng)險(xiǎn)。6.5.1安全事件發(fā)生的可能性等級(jí) P=（T*V） 0.5,6.5.2安全事件

9、發(fā)生后的損失等級(jí) L = （A*V） o.5,6.5.3風(fēng)險(xiǎn)值R = （L*P），風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)值1-56 1011 1516 2021 25風(fēng)險(xiǎn)等級(jí)123456.5.4風(fēng)險(xiǎn)管理策略6.541完全的消除風(fēng)險(xiǎn)是不可能和不實(shí)際的。公司需要有效和經(jīng)濟(jì)的運(yùn)轉(zhuǎn)，因 此必須根據(jù)安全事件的可能性和對(duì)業(yè)務(wù)的影響來(lái)平衡費(fèi)用、時(shí)間、安 全尺度幾個(gè)方面的問(wèn)題。公司在考慮接受殘余風(fēng)險(xiǎn)時(shí)的標(biāo)準(zhǔn)為只接受 中或低范圍內(nèi)的風(fēng)險(xiǎn)；但是對(duì)于必須投入很高的費(fèi)用才能將殘余風(fēng)險(xiǎn) 降為中或低的情況，則分階段實(shí)施控制。6.5.4.2 風(fēng)險(xiǎn)值越高，安全事件發(fā)生的可能性就越高，安全事件對(duì)該資產(chǎn)以及業(yè) 務(wù)的影響也就越大，風(fēng)險(xiǎn)管理策略有以下：接受風(fēng)

10、險(xiǎn)： 接受潛在的風(fēng)險(xiǎn)并繼續(xù)運(yùn)行信息系統(tǒng)， 不對(duì)風(fēng)險(xiǎn)進(jìn)行處 理。降低風(fēng)險(xiǎn)： 通過(guò)實(shí)現(xiàn)安全措施來(lái)降低風(fēng)險(xiǎn)， 從而將脆弱性被威脅源 利用后可能帶來(lái)的不利影響最小化（如使用防火墻、漏洞掃描系 統(tǒng)等安全產(chǎn)品）。規(guī)避風(fēng)險(xiǎn)：不介入風(fēng)險(xiǎn)，通過(guò)消除風(fēng)險(xiǎn)的原因和 /或后果（如放棄 系統(tǒng)某項(xiàng)功能或關(guān)閉系統(tǒng)）來(lái)規(guī)避風(fēng)險(xiǎn)。轉(zhuǎn)移風(fēng)險(xiǎn)： 通過(guò)使用其它措施來(lái)補(bǔ)償損失， 從而轉(zhuǎn)移風(fēng)險(xiǎn)， 如購(gòu)買(mǎi) 保險(xiǎn)。6.5.4.3 風(fēng)險(xiǎn)等級(jí) 3（含）以上為不可接受風(fēng)險(xiǎn)， 3（不含）以下為可接受風(fēng)險(xiǎn)。 如果是可接受風(fēng)險(xiǎn)，可保持已有的安全措施； 如果是不可接受風(fēng)險(xiǎn)， 則 需要采取安全措施以降低、 控制風(fēng)險(xiǎn)。 安全措施的選擇應(yīng)兼顧管理與技 術(shù)兩個(gè)方

11、面，可以參照信息安全的相關(guān)標(biāo)準(zhǔn)實(shí)施。6.6確定控制目標(biāo)、控制措施和對(duì)策 基于在風(fēng)險(xiǎn)評(píng)估結(jié)果報(bào)告中提出的風(fēng)險(xiǎn)級(jí)別， ISMS 小組對(duì)風(fēng)險(xiǎn)處理的工作進(jìn)行優(yōu) 先級(jí)排序。高等級(jí)（例如被定義為“非常高”或“高”風(fēng)險(xiǎn)級(jí)的風(fēng)險(xiǎn)）的風(fēng)險(xiǎn)項(xiàng)應(yīng)該最 優(yōu)先處理。評(píng)估所建議的安全措施 實(shí)施成本效益分析 選擇安全措施 制定安全措施的實(shí)現(xiàn)計(jì)劃 實(shí)現(xiàn)所選擇的安全措施6.7殘余風(fēng)險(xiǎn)的監(jiān)視與處理 風(fēng)險(xiǎn)處理的最后過(guò)程中， ISMS 小組應(yīng)列舉出信息系統(tǒng)中所有殘余風(fēng)險(xiǎn)的清單。 在 信息系統(tǒng)的運(yùn)行中，應(yīng)密切監(jiān)視這些殘余風(fēng)險(xiǎn)的變化，并及時(shí)處理。 每年年初評(píng)估信息系統(tǒng)安全風(fēng)險(xiǎn)時(shí)， 對(duì)殘余風(fēng)險(xiǎn)和已確定的可接受的風(fēng)險(xiǎn)級(jí)別進(jìn)行 評(píng)審時(shí)，應(yīng)考慮以下方面的變化：組織結(jié)構(gòu)；技術(shù)；業(yè)務(wù)目標(biāo)和過(guò)程；已識(shí)別的威脅； 已實(shí)施控制措施的有效性； 外部事件，如法律法規(guī)環(huán)境的變更、合同義務(wù)的變更和社會(huì)環(huán)境的變更。6.8信息系統(tǒng)運(yùn)行的批準(zhǔn)ISMS小組考察風(fēng)險(xiǎn)處理的結(jié)果，判斷殘余風(fēng)險(xiǎn)是否處在可接受的水平之內(nèi)?；?這一判斷，管理層將做出決策，決定是否允許信息系統(tǒng)運(yùn)行。如果信息系統(tǒng)的殘余風(fēng)險(xiǎn)不可接受， 而現(xiàn)實(shí)情況又要求系統(tǒng)必須投入運(yùn)行， 且當(dāng)前 沒(méi)有其它資源能勝任單位的使命。這時(shí)可以臨時(shí)批準(zhǔn)信息系統(tǒng)投入運(yùn)行。在這種情況下， 必須由信息系統(tǒng)的