ISO27001風(fēng)險(xiǎn)評(píng)估程序

1、ISO27001風(fēng)險(xiǎn)評(píng)估程序1目的為了對(duì)公司的信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制，評(píng)估組織信息資產(chǎn)所面臨的風(fēng)險(xiǎn)并對(duì)風(fēng)險(xiǎn)實(shí)施有效控制，以確保風(fēng)險(xiǎn)被降低或消除，特制定本程序。2適用范圍本程序適用于適用于對(duì)公司的信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制。3職責(zé)與權(quán)限3.1信息安全委員會(huì)² 制定資產(chǎn)評(píng)估準(zhǔn)則，確定風(fēng)險(xiǎn)評(píng)估方法；² 負(fù)責(zé)對(duì)控制目標(biāo)、控制措施的有效性進(jìn)行監(jiān)督和評(píng)審。² 確定風(fēng)險(xiǎn)評(píng)估的范圍；² 指導(dǎo)各部門進(jìn)行風(fēng)險(xiǎn)評(píng)估；² 匯總和分析風(fēng)險(xiǎn)評(píng)估結(jié)果，作出風(fēng)險(xiǎn)評(píng)價(jià)；² 制定風(fēng)險(xiǎn)處理計(jì)劃，向信息安全委員會(huì)提交信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告。3.3各部門²

2、 各部門資產(chǎn)負(fù)責(zé)人按規(guī)定維護(hù)相關(guān)資產(chǎn)。² 識(shí)別并列出跟本部門業(yè)務(wù)有關(guān)的資產(chǎn)；² 對(duì)本部門資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估。4風(fēng)險(xiǎn)評(píng)估程序和工作流程4.1風(fēng)險(xiǎn)評(píng)估與管理4.1.1過(guò)程識(shí)別在ISMS范圍內(nèi)，各部門識(shí)別本部門涉及的主要業(yè)務(wù)過(guò)程及使用的各類信息資產(chǎn)。4.1.2風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估是依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過(guò)程。即風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的全過(guò)程。4.1.3風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理是識(shí)別、控制、消除、減小可能影響信息系統(tǒng)資源的不確定事件的過(guò)程。指導(dǎo)和控制一個(gè)組織的風(fēng)險(xiǎn)的協(xié)調(diào)的活動(dòng)。4.1.4風(fēng)險(xiǎn)評(píng)估方法結(jié)合公司在

3、風(fēng)險(xiǎn)評(píng)估時(shí)投入的時(shí)間、人力、成本等各方面的因素，公司采用基本風(fēng)險(xiǎn)評(píng)估方法?；镜娘L(fēng)險(xiǎn)評(píng)估方法是指應(yīng)用直接和簡(jiǎn)易的方法達(dá)到基本的安全水平，就能滿足組織及其業(yè)務(wù)環(huán)境的所有要求。公司采用這種方法使得組織在識(shí)別和評(píng)估基本安全需求的基礎(chǔ)上，通過(guò)建立相應(yīng)的信息安全管理體系，獲得對(duì)信息資產(chǎn)的基本保護(hù)。4.1.5風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理的區(qū)分風(fēng)險(xiǎn)管理是把整個(gè)組織內(nèi)的風(fēng)險(xiǎn)降低到可接受水平的整個(gè)過(guò)程。􀂺² 是一個(gè)持續(xù)的周期，通常以一定的間隔重新開(kāi)始來(lái)更新流程中各個(gè)地區(qū)階段的數(shù)據(jù)² 是一個(gè)持續(xù)循環(huán)、不斷上升的過(guò)程。風(fēng)險(xiǎn)評(píng)估是確定組織面臨的風(fēng)險(xiǎn)并確定其優(yōu)先級(jí)的過(guò)程，是風(fēng)險(xiǎn)管理流程中最必

4、須、最謹(jǐn)慎的一個(gè)過(guò)程。􀂺² 當(dāng)潛在的與安全相關(guān)的事件在企業(yè)內(nèi)發(fā)生時(shí)，如變動(dòng)業(yè)務(wù)方法、發(fā)現(xiàn)新的漏洞等，組織都可能會(huì)啟動(dòng)風(fēng)險(xiǎn)評(píng)估。4.2 風(fēng)險(xiǎn)評(píng)估實(shí)施流程總要求:組織應(yīng)根據(jù)整體業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持并改進(jìn)文件化的ISMS。圖 風(fēng)險(xiǎn)評(píng)估實(shí)施流程4.2.1風(fēng)險(xiǎn)評(píng)估準(zhǔn)備² 確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)；(滿足我公司業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要及法律法規(guī))² 確定風(fēng)險(xiǎn)評(píng)估的范圍；(組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機(jī)構(gòu))² 組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)；(由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等組成的風(fēng)險(xiǎn)評(píng)估小組)

5、78; 選擇與組織相適應(yīng)的具體的風(fēng)險(xiǎn)判斷方法；(考慮評(píng)估的目的、范圍、時(shí)間、效果、人員素質(zhì)等因素來(lái)選擇具體的風(fēng)險(xiǎn)判斷方法)² 獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持。(得到組織的最高管理者的支持、批準(zhǔn))4.2.2資產(chǎn)識(shí)別列出在信息安全管理體系范圍內(nèi)，與我公司內(nèi)的業(yè)務(wù)環(huán)境、業(yè)務(wù)運(yùn)營(yíng)及信息相關(guān)的資產(chǎn)。² 資產(chǎn)分類；(人員、實(shí)體、軟件、文件、數(shù)據(jù)、服務(wù)、無(wú)形、服務(wù)及其他資產(chǎn))² 資產(chǎn)賦值（CIA:對(duì)資產(chǎn)在機(jī)密性、完整性和可用性上的達(dá)成程度進(jìn)行綜合評(píng)定得出）；² 資產(chǎn)重要性等級(jí)確定。4.2.3威脅識(shí)別使用與資產(chǎn)相關(guān)的通用威脅列表，檢查并列出資產(chǎn)的威脅。²

6、威脅分類；² 威脅賦值；4.2.4脆弱性識(shí)別使用與資產(chǎn)相關(guān)的通用薄弱點(diǎn)列表，檢查并列出資產(chǎn)的脆弱性。² 識(shí)別方法² 識(shí)別內(nèi)容² 脆弱性賦值4.2.5對(duì)現(xiàn)有安全控制的識(shí)別識(shí)別并整理所有與資產(chǎn)相關(guān)聯(lián)的、現(xiàn)有的或者已經(jīng)作了計(jì)劃的控制措施。4.2.6風(fēng)險(xiǎn)分析分析由上述評(píng)估產(chǎn)生的有關(guān)資產(chǎn)、威脅和脆弱性的信息，以實(shí)用的、簡(jiǎn)單的方法進(jìn)行風(fēng)險(xiǎn)測(cè)量，計(jì)算出風(fēng)險(xiǎn)等級(jí)。把識(shí)別分析出來(lái)的風(fēng)險(xiǎn)與風(fēng)險(xiǎn)判據(jù)進(jìn)行比較，以判斷特定的風(fēng)險(xiǎn)是否可接受或需采取其它措施處置。風(fēng)險(xiǎn)分析的結(jié)果為具有不同等級(jí)的風(fēng)險(xiǎn)列表，并記錄在資產(chǎn)風(fēng)險(xiǎn)評(píng)估表中。4.2.7風(fēng)險(xiǎn)處理對(duì)評(píng)定后的風(fēng)險(xiǎn)等級(jí)進(jìn)行判定，確定是否能

7、接受，如可接受，則按現(xiàn)有控制措施進(jìn)行控制，如不可接受，則應(yīng)選擇采取新的安全控制措施，并對(duì)需要投入較長(zhǎng)時(shí)間和較高費(fèi)用的高風(fēng)險(xiǎn)制定風(fēng)險(xiǎn)處理計(jì)劃，記錄在資產(chǎn)風(fēng)險(xiǎn)評(píng)估表中，按風(fēng)險(xiǎn)處理計(jì)劃進(jìn)行處理后重新評(píng)價(jià)風(fēng)險(xiǎn)，直至風(fēng)險(xiǎn)降低或可接受為止。² 確定可接受的殘余風(fēng)險(xiǎn)的水平；² 持續(xù)地評(píng)審?fù){以及薄弱點(diǎn)；² 評(píng)審現(xiàn)有的安全控制方法；² 應(yīng)用ISO/IEC 27001中的其它安全控制方法；² 引入方針和程序。4.2.8殘余風(fēng)險(xiǎn)根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果，判斷殘余風(fēng)險(xiǎn)是否可接受，是，則實(shí)施風(fēng)險(xiǎn)控制；否，則制定風(fēng)險(xiǎn)處理計(jì)劃。4.2.9風(fēng)險(xiǎn)控制根據(jù)風(fēng)險(xiǎn)處理結(jié)果，按照確定的風(fēng)險(xiǎn)控

8、制措施和計(jì)劃進(jìn)行落實(shí)，必要時(shí)形成相關(guān)控制文件。風(fēng)險(xiǎn)控制措施可根據(jù)控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則，參照以下方式進(jìn)行選擇，以降低風(fēng)險(xiǎn)：² 避免風(fēng)險(xiǎn)；² 轉(zhuǎn)移風(fēng)險(xiǎn)；² 減少風(fēng)險(xiǎn)；² 減少薄弱點(diǎn)；² 減少威脅可能的影響程度；² 探測(cè)有害事故，對(duì)其做出反應(yīng)并恢復(fù)。4.3風(fēng)險(xiǎn)值的計(jì)算方法4.3.1風(fēng)險(xiǎn)計(jì)算原理風(fēng)險(xiǎn)值=R（A，T，V）= R(L(T，V)，F(xiàn)(Ia，Va)其中，R：表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A：表示資產(chǎn)；T：表示威脅；V：表示脆弱性；Ia：表示安全事件所作用的資產(chǎn)重要程度；Va：表示脆弱性嚴(yán)重程度；L：表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生

9、的可能性；F：表示安全事件發(fā)生后產(chǎn)生的損失。4.3.2風(fēng)險(xiǎn)計(jì)算準(zhǔn)則資產(chǎn)價(jià)值計(jì)算方法：資產(chǎn)價(jià)值 = 保密性賦值完整性賦值可用性賦值風(fēng)險(xiǎn)值計(jì)算方法： 風(fēng) 險(xiǎn) 值 = 資產(chǎn)等級(jí)威脅性賦值脆弱性賦值資產(chǎn)等級(jí)、風(fēng)險(xiǎn)等級(jí)評(píng)定方法：見(jiàn)下表表一:保密性的要求評(píng)價(jià)準(zhǔn)則表二:完整性的要求評(píng)價(jià)準(zhǔn)則表三:可用性的要求評(píng)價(jià)準(zhǔn)則表四:資產(chǎn)等級(jí)的評(píng)價(jià)準(zhǔn)則表五: 脆弱性被威脅利用后的嚴(yán)重性的評(píng)價(jià)準(zhǔn)則表六: 脆弱性被威脅利用后的嚴(yán)重性的評(píng)價(jià)準(zhǔn)則表七: 脆弱性被威脅利用后的嚴(yán)重性的評(píng)價(jià)準(zhǔn)則按風(fēng)險(xiǎn)值的評(píng)價(jià)準(zhǔn)則計(jì)算出信息資產(chǎn)風(fēng)險(xiǎn)值后，按上記表七對(duì)應(yīng)獲得風(fēng)險(xiǎn)級(jí)別。4.3.3風(fēng)險(xiǎn)結(jié)果判定按風(fēng)險(xiǎn)值的評(píng)價(jià)準(zhǔn)則計(jì)算出信息資產(chǎn)風(fēng)險(xiǎn)值后獲得的風(fēng)險(xiǎn)級(jí)別，對(duì)風(fēng)險(xiǎn)進(jìn)行判定。4.3.4風(fēng)險(xiǎn)評(píng)估的時(shí)機(jī)正常情況下每年進(jìn)行一次全面的風(fēng)險(xiǎn)評(píng)估復(fù)查，對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果尤其是采取的控制