信息安全風(fēng)險(xiǎn)評(píng)估管理程序ISO27001

格爾軟件公司材料之格爾軟件公司材料之頁(yè)腳內(nèi)容PAGE頁(yè)腳內(nèi)容PAGE5格爾軟件公司材料之頁(yè)腳內(nèi)容PAGE1.目的在ISMS覆蓋范圍內(nèi)對(duì)信息安全現(xiàn)行狀況進(jìn)行系統(tǒng)風(fēng)險(xiǎn)評(píng)估，形成評(píng)估報(bào)告，描述風(fēng)險(xiǎn)等級(jí)，識(shí)別和評(píng)價(jià)供處理風(fēng)險(xiǎn)的可選措施，選擇控制目標(biāo)和控制措施處理風(fēng)險(xiǎn)。2.范圍在ISMS覆蓋范圍內(nèi)主要信息資產(chǎn)3.職責(zé)3.1各部門負(fù)責(zé)部門內(nèi)部資產(chǎn)的識(shí)別，確定資產(chǎn)價(jià)值。3.2ISMS小組負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估和制訂控制措施和信息系統(tǒng)運(yùn)行的批準(zhǔn)。4.內(nèi)容4.1資產(chǎn)的識(shí)別4.1.1各部門4.根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類。4.1.3資產(chǎn)賦值就是對(duì)資產(chǎn)在機(jī)密性、完整性和可用性上的達(dá)成程度進(jìn)行分析，選擇對(duì)資產(chǎn)機(jī)密性、完整性和可用性最為重要（分值最高）的一個(gè)屬性的賦值等級(jí)作為資產(chǎn)的最終賦值結(jié)果。資產(chǎn)等級(jí)劃分為五級(jí)，分別代表資產(chǎn)重要性的高低。等級(jí)數(shù)值越大，資產(chǎn)價(jià)值越高。1）機(jī)密性賦值根據(jù)資產(chǎn)在機(jī)密性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在機(jī)密性上的應(yīng)達(dá)成的不同程度或者機(jī)密性缺失時(shí)對(duì)整個(gè)組織的影響。賦值標(biāo)識(shí)定義5極高包含組織最重要的秘密，關(guān)系未來(lái)發(fā)展的前途命運(yùn)，對(duì)組織根本利益有著決定性影響，如果泄漏會(huì)造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受嚴(yán)重?fù)p害3中等包含組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到損害2低包含僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴(kuò)散有可能對(duì)組織的利益造成損害1可忽略包含可對(duì)社會(huì)公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等2）完整性賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在完整性上的達(dá)成的不同程度或者完整性缺失時(shí)對(duì)整個(gè)組織的影響。賦值標(biāo)識(shí)定義5極高完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無(wú)法接受的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)4高完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響，對(duì)業(yè)務(wù)沖擊嚴(yán)重，比較難以彌補(bǔ)3中等完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)2低完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響，可以忍受，對(duì)業(yè)務(wù)沖擊輕微，容易彌補(bǔ)1可忽略完整性價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞對(duì)組織造成的影響可以忽略，對(duì)業(yè)務(wù)沖擊可以忽略3）可用性賦值根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在可用性上的達(dá)成的不同程度。賦值標(biāo)識(shí)定義5極高可用性價(jià)值非常高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上4高可用性價(jià)值較高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到每天90%以上3中等可用性價(jià)值中等，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到70%以上2低可用性價(jià)值較低，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到25%以上1可忽略可用性價(jià)值可以忽略，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間低于25%3分以上為重要資產(chǎn)，重要信息資產(chǎn)由IT部門確立清單4.2威脅識(shí)別4.對(duì)重要資產(chǎn)應(yīng)由ISMS小組識(shí)別其面臨的威脅。針對(duì)威脅來(lái)源，根據(jù)其表現(xiàn)形式將威脅分為軟硬件故障、物理環(huán)境威脅、無(wú)作為或操作失誤、管理不到位、惡意代碼和病毒、越權(quán)或?yàn)E用、黑客攻擊技術(shù)、物理攻擊、泄密、篡改和抵賴等。4.評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)判斷威脅出現(xiàn)的頻率。威脅頻率等級(jí)劃分為五級(jí)，分別代表威脅出現(xiàn)的頻率的高低。等級(jí)數(shù)值越大，威脅出現(xiàn)的頻率越高。威脅賦值見下表。等級(jí)標(biāo)識(shí)定義5很高威脅出現(xiàn)的頻率很高，在大多數(shù)情況下幾乎不可避免或者可以證實(shí)經(jīng)常發(fā)生過(guò)（每天）4高威脅出現(xiàn)的頻率較高，在大多數(shù)情況下很有可能會(huì)發(fā)生或者可以證實(shí)多次發(fā)生過(guò)（每周）3中威脅出現(xiàn)的頻率中等，在某種情況下可能會(huì)發(fā)生或被證實(shí)曾經(jīng)發(fā)生過(guò)（每月、曾經(jīng)發(fā)生過(guò)）2低威脅出現(xiàn)的頻率較小，一般不太可能發(fā)生，也沒(méi)有被證實(shí)發(fā)生過(guò)（每年）1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生（特殊情況）4.3脆弱性識(shí)別4.3.脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問(wèn)題。管理脆弱性又可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)。4.脆弱性嚴(yán)重程度的等級(jí)劃分為五級(jí)，分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。等級(jí)數(shù)值越大，脆弱性嚴(yán)重程度越高。脆弱性嚴(yán)重程度賦值見下表等級(jí)標(biāo)識(shí)定義5很高如果被威脅利用，將對(duì)資產(chǎn)造成完全損害（90％以上）4高如果被威脅利用，將對(duì)資產(chǎn)造成重大損害（70％）3中如果被威脅利用，將對(duì)資產(chǎn)造成一般損害（30％）2低如果被威脅利用，將對(duì)資產(chǎn)造成較小損害（10％）1很低如果被威脅利用，將對(duì)資產(chǎn)造成的損害可以忽略（10％以下）4.4已有安全措施的確認(rèn)ISMS小組應(yīng)對(duì)已采取的安全措施的有效性進(jìn)行確認(rèn)，對(duì)有效的安全措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止安全措施的重復(fù)實(shí)施。對(duì)于確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實(shí)是否應(yīng)被取消，或者用更合適的安全措施替代。4.5風(fēng)險(xiǎn)分析完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及對(duì)已有安全措施確認(rèn)后，ISMS小組采用相乘法確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴(yán)重程度判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn)。4.5.1安全事件發(fā)生的可能性等級(jí)P=(T*V)0.5脆弱性嚴(yán)重程度V12345威脅發(fā)生頻率T1112232122343123344223455234454.5.2、安全事件發(fā)生后的損失等級(jí)L＝(A*V)0.5,(四舍五入脆弱性嚴(yán)重程度V12345資產(chǎn)價(jià)值A(chǔ)1112232112343123344223455234554.5.3、風(fēng)險(xiǎn)等級(jí)R＝(L*P)0.5,可能性P12345損失L1122232122333123344223445234454.完全的消除風(fēng)險(xiǎn)是不可能和不實(shí)際的。公司需要有效和經(jīng)濟(jì)的運(yùn)轉(zhuǎn)，因此必須根據(jù)安全事件的可能性和對(duì)業(yè)務(wù)的影響來(lái)平衡費(fèi)用、時(shí)間、安全尺度幾個(gè)方面的問(wèn)題。公司在考慮接受殘余風(fēng)險(xiǎn)時(shí)的標(biāo)準(zhǔn)為只接受中或低范圍內(nèi)的風(fēng)險(xiǎn)；但是對(duì)于必須投入很高的費(fèi)用才能將殘余風(fēng)險(xiǎn)降為中或低的情況，則分階段實(shí)施控制。風(fēng)險(xiǎn)值越高，安全事件發(fā)生的可能性就越高，安全事件對(duì)該資產(chǎn)以及業(yè)務(wù)的影響也就越大，風(fēng)險(xiǎn)管理策略有以下:接受風(fēng)險(xiǎn)：接受潛在的風(fēng)險(xiǎn)并繼續(xù)運(yùn)行信息系統(tǒng)，不對(duì)風(fēng)險(xiǎn)進(jìn)行處理。降低風(fēng)險(xiǎn)：通過(guò)實(shí)現(xiàn)安全措施來(lái)降低風(fēng)險(xiǎn)，從而將脆弱性被威脅源利用后可能帶來(lái)的不利影響最小化（如使用防火墻、漏洞掃描系統(tǒng)等安全產(chǎn)品）。規(guī)避風(fēng)險(xiǎn)：不介入風(fēng)險(xiǎn)，通過(guò)消除風(fēng)險(xiǎn)的原因和/或后果（如放棄系統(tǒng)某項(xiàng)功能或關(guān)閉系統(tǒng)）來(lái)規(guī)避風(fēng)險(xiǎn)。轉(zhuǎn)移風(fēng)險(xiǎn)：通過(guò)使用其它措施來(lái)補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險(xiǎn)，如購(gòu)買保險(xiǎn)。風(fēng)險(xiǎn)等級(jí)3（含）以上為不可接受風(fēng)險(xiǎn)，3（不含）以下為可接受風(fēng)險(xiǎn)。如果是可接受風(fēng)險(xiǎn)，可保持已有的安全措施；如果是不可接受風(fēng)險(xiǎn)，則需要采取安全措施以降低、控制風(fēng)險(xiǎn)。安全措施的選擇應(yīng)兼顧管理與技術(shù)兩個(gè)方面，可以參照信息安全的相關(guān)標(biāo)準(zhǔn)實(shí)施。4.6確定控制目標(biāo)、控制措施和對(duì)策基于在風(fēng)險(xiǎn)評(píng)估結(jié)果報(bào)告中提出的風(fēng)險(xiǎn)級(jí)別，ISMS小組對(duì)風(fēng)險(xiǎn)處理的工作進(jìn)行優(yōu)先級(jí)排序。高等級(jí)（例如被定義為“非常高”或“高”風(fēng)險(xiǎn)級(jí)的風(fēng)險(xiǎn)）的風(fēng)險(xiǎn)項(xiàng)應(yīng)該最優(yōu)先處理。評(píng)估所建議的安全措施實(shí)施成本效益分析選擇安全措施制定安全措施的實(shí)現(xiàn)計(jì)劃實(shí)現(xiàn)所選擇的安全措施4.7殘余風(fēng)險(xiǎn)的監(jiān)視與處理風(fēng)險(xiǎn)處理的最后過(guò)程中，ISMS小組應(yīng)列舉出信息系統(tǒng)中所有殘余風(fēng)險(xiǎn)的清單。在信息系統(tǒng)的運(yùn)行中，應(yīng)密切監(jiān)視這些殘余風(fēng)險(xiǎn)的變化，并及時(shí)處理。每年年初評(píng)估信息系統(tǒng)安全風(fēng)險(xiǎn)時(shí)，對(duì)殘余風(fēng)險(xiǎn)和已確定的可接受的風(fēng)險(xiǎn)級(jí)別進(jìn)行評(píng)審時(shí)，應(yīng)考慮以下方面的變化：組織結(jié)構(gòu)；技術(shù)；業(yè)務(wù)目標(biāo)和過(guò)程；已識(shí)別的威脅；已實(shí)施控制措施的有效性；外部事件，如法律法規(guī)環(huán)境的變更、合同義務(wù)的變更和社會(huì)環(huán)境的變更。4.8信息系統(tǒng)運(yùn)行的批準(zhǔn)ISMS小組考察風(fēng)險(xiǎn)處理的結(jié)果，判斷殘余風(fēng)險(xiǎn)是否處在可接受的水平之內(nèi)?；谶@一判斷，管理層將做出決策，決定是否允許信息系統(tǒng)運(yùn)行。如果信息系統(tǒng)的殘余風(fēng)險(xiǎn)不可接受，而現(xiàn)實(shí)情況又要求系統(tǒng)必須投入運(yùn)行，且當(dāng)前沒(méi)有其它資源能勝任單位的使命。這時(shí)可以臨時(shí)