信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理控制程序

1、*有限公司風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理控制程序修訂歷史文檔編號(hào)保密級(jí)別內(nèi)部分發(fā)范圍日期修訂情況修訂人批準(zhǔn)人10目的根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，確定公司需要實(shí)施的安全控制措施和其實(shí)施的優(yōu)先級(jí)。2.0范圍公司全體員工3. 0職責(zé)3. 1信息技術(shù)部負(fù)責(zé)評(píng)估各個(gè)部門(mén)的資產(chǎn)，識(shí)別威脅、漏洞、計(jì)算風(fēng)險(xiǎn)，并草擬風(fēng)險(xiǎn)處置計(jì)劃，處置風(fēng)險(xiǎn)。3. 2信息安全委員會(huì)確定安全基線，為風(fēng)險(xiǎn)處理給出指導(dǎo)意見(jiàn)。4. 0流程5.0內(nèi)容5. 1識(shí)別流程和資產(chǎn)1）風(fēng)險(xiǎn)評(píng)估的第一步是定義范圍，并在范圍內(nèi)識(shí)別所有相關(guān)資產(chǎn)。資產(chǎn)包括數(shù)據(jù)資 產(chǎn)、軟件、人員、實(shí)物和服務(wù)五大類(lèi)。2；而后會(huì)進(jìn)行業(yè)務(wù)流程的梳理工作，根據(jù)部門(mén)職責(zé)梳理相應(yīng)的流程，并匯總。3）根據(jù)流程中

2、所涉及到的內(nèi)容，根據(jù)五類(lèi)資產(chǎn)的分類(lèi)，識(shí)別資產(chǎn)。4）對(duì)每一個(gè)資產(chǎn)依據(jù)其ClA三個(gè)角度，確定資產(chǎn)的價(jià)值，每個(gè)角度，并根據(jù)公式計(jì)算 出其重要性。具體的計(jì)算方法：重要性定義：1： CIA都為1,重要性為1 2: ClA中最大為2, 1個(gè)或2個(gè)2,重要性為23: CIA中，3個(gè)2或1個(gè)3,重要性為3 4: CIA中，2個(gè)3或3個(gè)3,重要性為45. 2選出重要典型資產(chǎn)1）每個(gè)部門(mén)根據(jù)自己選出的資產(chǎn)，透過(guò)頭腦風(fēng)暴的形式選出部門(mén)的重要資產(chǎn),擇重要資產(chǎn)的依據(jù)是：資產(chǎn)的重要性、面臨的風(fēng)險(xiǎn)是相似的、資產(chǎn)是否具有代 表 性。2）匯總各個(gè)部門(mén)的重點(diǎn)典型資產(chǎn)，再站在宏觀的角度，根據(jù)以上方法選出公司級(jí)別 的重要核心資產(chǎn)。a

3、）由風(fēng)險(xiǎn)評(píng)估范圍內(nèi)的各部門(mén)識(shí)別出相關(guān)的信息的資產(chǎn)并初定CIA值，通過(guò)現(xiàn)場(chǎng)會(huì)議論確認(rèn)資產(chǎn)的ClA值，并共同典型資產(chǎn)，典型資產(chǎn)的依據(jù)是：b）典型資產(chǎn)代表的必須同是類(lèi)型的資產(chǎn)，同類(lèi)型是指相同的資產(chǎn)類(lèi)型（如人員 的典型資產(chǎn)均是代表人員這一類(lèi)別的）。C）典型資產(chǎn)必須有一定的代表性，如所處的環(huán)境、管理的方式與所代表的資產(chǎn)均 存在較大的相似性，所面臨的威脅及存在的弱點(diǎn)均有一定的相似性。d）典型資產(chǎn)的重要性應(yīng)該是被代表的資產(chǎn)之中最高的。5. 3針對(duì)重要資產(chǎn)識(shí)別所有弱點(diǎn)1）弱點(diǎn)是指資產(chǎn)本身的可被利用的弱點(diǎn)。2）識(shí)別弱點(diǎn)可透過(guò)資產(chǎn)的特性來(lái)進(jìn)行。5. 4分析弱點(diǎn)1）針對(duì)不同的資產(chǎn)類(lèi)別對(duì)應(yīng)不同類(lèi)別的弱點(diǎn)。2）根據(jù)其弱

4、點(diǎn)一旦被威脅利用所帶來(lái)的影響分析其弱點(diǎn)值，弱點(diǎn)值定義如下:等級(jí)弱點(diǎn)值嚴(yán)重性描述（弱點(diǎn)一旦被利用可能對(duì)資產(chǎn)造成的沖擊）高3導(dǎo)致資產(chǎn)完全破壞（保密性、可用性和完整性）中2導(dǎo)致資產(chǎn)較大破壞（保密性、可用性和完整性）低1導(dǎo)致資產(chǎn)部分破壞（保密性、可用性和完整性）極低0導(dǎo)致資產(chǎn)輕微破壞（保密性、可用性和完整性）5. 5識(shí)別所有威脅1）威脅利用資產(chǎn)的弱點(diǎn)，對(duì)資產(chǎn)帶來(lái)潛在危險(xiǎn)。威脅可以是意外產(chǎn)生的、也可以是 人為故意的。2）識(shí)別威脅的來(lái)源，威脅來(lái)源是指對(duì)資產(chǎn)帶來(lái)潛在危險(xiǎn)的任何情況和事件。3）對(duì)識(shí)別出的重要資產(chǎn)逐個(gè)進(jìn)行威脅識(shí)別。4）針對(duì)不同類(lèi)別的弱點(diǎn)會(huì)對(duì)應(yīng)不同類(lèi)別的威脅。5. 6分析威脅1）辨別所有可能對(duì)資產(chǎn)

5、帶來(lái)影響的威脅。2）針對(duì)人員的威脅，應(yīng)該考慮其背后的能力和資源的要求。3）根據(jù)威脅發(fā)生的概率來(lái)確定其威脅值：等級(jí)威脅值可能性描述（威脅發(fā)生的頻率）高3曾經(jīng)發(fā)生過(guò)，預(yù)期會(huì)多次發(fā)生中2曾經(jīng)發(fā)生過(guò)，預(yù)期會(huì)再次發(fā)生或從未發(fā)生過(guò)，預(yù)期 會(huì)多次發(fā)生低1從未發(fā)生過(guò)，預(yù)期會(huì)發(fā)生極低0預(yù)期幾乎不發(fā)生5. 7分析現(xiàn)有的控制措施1）識(shí)別現(xiàn)有的控制措施2）分析控制措施是否可以降低威脅發(fā)生的可能性和威脅帶來(lái)的影響。3）控制措施包括技術(shù)和管理方面的。技術(shù)措施包括硬件、軟件、加密設(shè)備等。管理措施包括策略、標(biāo)準(zhǔn)、操作程序、人員安全等。5. 8確定風(fēng)險(xiǎn)1）總結(jié)前幾個(gè)階段的結(jié)果，確定風(fēng)險(xiǎn)包括以下三個(gè)因素:a）根據(jù)資產(chǎn)的重要性（A） b）威脅利用漏洞而造成損害的可能性（B）C）影響信息機(jī)密性、完整性和可用性的嚴(yán)重程度（C）2）根據(jù)此公式風(fēng)險(xiǎn)二AX BX C,計(jì)算出最終的風(fēng)險(xiǎn)值5. 9確定安全基線1）根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，由管理委員會(huì)確定安全基線。5. 10風(fēng)險(xiǎn)處理1）比較每個(gè)資產(chǎn)的風(fēng)險(xiǎn)優(yōu)先級(jí)和安全基線，對(duì)超過(guò)安全基線的資產(chǎn)進(jìn)行風(fēng)險(xiǎn)管理處 理。2）采取控制措施，將風(fēng)險(xiǎn)降低到安全基線以下。控制措施的選擇應(yīng)該包括以下考慮因 素：a）控制措施的安全性、有效性和穩(wěn)定性b）控制措施的代價(jià)和帶來(lái)的效益C）法律法規(guī)的要求d）公司的安全策略e）對(duì)日常運(yùn)行和操作的影響3)信息安全管理委員會(huì)經(jīng)過(guò)頭腦風(fēng)暴的形式對(duì)采取措施后的殘余風(fēng)險(xiǎn)