01信息安全风险管理程序.docx

《01信息安全风险管理程序.docx》由会员分享，可在线阅读，更多相关《01信息安全风险管理程序.docx（13页珍藏版）》请在课桌文档上搜索。

1、1目的12范围13职责14相关文件15风险管理过程25.1 建立环境25.2 制定沟通和协商36风险评估36.1 风险评估的准备36.2 信息资产的识别36.3 资产赋值46.4 判定重要资产56.5 重要资产风险评估66.6 风险计算86.7 安全风险接受准则96.8 风险评估工具106.9 风险处理106.10 剩余风险评估116.11 信息安全风险的连续评估117记录121目的为规范公司在开展风险识别、评估和处置过程中的工作流程与方法，明确相关人员职责，特制定本规定。2范围本规范适用于公司依据ISOIEC27001:2013信息安全管理体系要求、GB/T20984-2007信息安全技术信

2、息安全风险评估规范、ISO/IEC27005:2008信息技术安全技术信息安全风险评估管理标准要求对信息资产进行风险评估与处置活动的管理。3职责3.1 管理者代表负责牵头成立风险评估小组。3.2 风险评估小组负责编制信息安全风险评估计划，确认评估结果，形成信息安全风险评估报告。3.3 各部门负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制工作。4相关文件信息安全管理手册商业秘密管理程序ISMS程序文件文件编号：YAXX-ISMS-B-OI信息安全风险管理程序版本：A/1第2页共13页5风险管理过程5.1 建立环境通过建立环境，明确组织目标，界定风险管理应该考虑

3、的外部和内部参数，并设置风险管理过程的范围和风险准则。根据各部门对内外部环境的分析，制定出组织环境描述。5.1.1 建立外部环境外部环境是组织在实现目标过程中所面临的外界环境的历史、现在和未来的各种相关信息。为保证在制定风险准则时能充分考虑外部利益相关者的目标和关注点，组织需要了解外部环境。外部环境以组织所处的整体环境为基础，包括法律和监管要求、利益相关者的诉求和与具体风险管理过程相关的其他方面的信息等。从以下方面识别公司的外部环境，并形成外部环境描述。（1）国际、国内、地区及当地的政治、经济、文化、法律、法规、技术、金融以及自然环境和竞争环境；（2）影响组织目标实现的外部关键因素及其历史和变

4、化趋势；（3）外部利益相关者及其诉求、价值观、风险承受度；外部利益相关者与组织的关系等。5.1.2 建立内部环境内部环境是组织在实现目标过程中所面临的内在环境的历史、现在和未来的各种相关信息。风险管理过程要与组织的文化、经营过程和结构相适应，包括组织内影响其风险管理的任何事物。从以下方面识别公司的内部环境，形成内部环境描述。（1）治理、组织结构、作用和责任；（2）方针、目标，为实现方针和目标制定的战略；（3）基于资源和知识理解的能力（如：资金、时间、人员、过程、系统和技术）；（4）与内部利益相关方的关系，内部利益相关者的观点和价值观；（5）组织的文化；（6）信息系统、信息流和决策过程；（7）组

5、织所采用的标准、指南和模式；ISMS程序文件文件编号：Yaxx-ISMS-B-OI信息安全风险管理程序版本：A/1第3页共13页（8）合同关系的形式与范围。5.2 制定沟通和协商5.2.1 制定沟通和协商计划与内部和外部利益相关者进行充分的沟通和协商，帮助识别内外部风险，并确保利益相关者认同和支持风险处理（应对）计划。风险评估小组制定总的风险评估计划，各部门制定与利益相关者的沟通和协商计划，并在此基础上识别出本部门的所有有关风险。5.2.2 适当地帮助明确环境：1）确保利益相关者的利益被理解和考虑；2）帮助确保风险充分地被识别；3）将不同领域的专业知识一并用于分析风险；4）确保在界定风险准则和

6、评定风险时，不同的观点被恰当地考虑；5）确保认同和支持风险处理（应对）计划；6）加强在风险管理过程中的变更管理；7）制定一个恰当的内部和外部沟通和协商计划。6风险评估6.1 风险评估的准备6.1.1 成立风险评估小组管理者代表牵头成立风险评估小组，小组成员应包含信息安全重要责任部门的成员。6.1.2 制定计划风险评估小组制定信息安全风险评估计划，下发各部门。6.2 信息资产的识别62.1本公司的资产范围包括：D数据：财务数据、项目数据、各业务系统机密文件、人力资源机密文件、普通文件。ISMS程序文件文件编号：Yaxx-ISMS-B-OI信息安全风险管理程序版本：A/1第4页共13页2)环境设施

7、：外围设备。3)软件：办公软件、操作系统、业务系统软件、安全软件、工具软件、应用软件。4)硬件：工作站、网络设备、终端、办公设备、财务设备、存储设备。5)人员：高层管理类人员、中层管理类人员、技术人员、职能人员、财务人员。6)服务：云服务、运维服务、咨询服务。7)无形：形象声誉6.3资产赋值6.3.1部门赋值各部门风险评估小组成员识别本部门资产，并进行资产赋值。6.3.2赋值计算资产赋值的过程是对资产在保密性、完整性、可用性的达成程度进行分析，并在此基础上得出综合结果的过程。6.3.3保密性(C)赋值根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上的应达成的不同程度

8、或者保密性缺失时对整个组织的影响。保密性赋值方法:级别价值分级描述1很低可对社会公开的信息公用的信息处理设备和系统资源等2低组织/部门内公开仅能在组织内部或在组织某部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害3中等组织的一般性秘密其泄露会使组织的安全和利益受到损害4高包含组织的重要秘密其泄露会使组织的安全和利益遭受严重损害6.3.4完整性(I)赋值：根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。完整性(I)赋值的方法：级别价值分级描述1很低完整性价值非常低未经授权的修改或破坏对组织造成的影响可以忽略，

9、对业务冲击可以忽略2低完整性价值较低未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补ISMS程序文件文件编号：Yaxx-ISMS-B-OI信息安全风险管理程序版本：A/1第5页共13页3中等完整性价值中等未经授权的修改或破坏会对组织造成影响，对业务冲击明显4高完整性价值较高未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补6.3.5可用性（八）赋值：根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上的达成的不同程度。可用性（八）赋值的方法级别价值分级描述1很低可用性价值可以忽略合法使用者对信息及信息系统的可用度在正常工作时间低于25%

10、2低可用性价值较低合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或系统允许中断时间小于60min3中等可用性价值中等合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上，或系统允许中断时间小于30min4高可用性价值较高合法使用者对信息及信息系统的可用度达到每天90%以上，或系统允许中断时间小于IOnIin6.3.6导出信息资产资产清单6.4判定重要资产按照资产赋值的结果，经过相加法得出重要性值，从而得出重要性等级，资产重要性划分为5级,级别越高表示资产重要性程度越高。重要性等级说明重要性等级重要程度重要性值1不重要0二值=32不太重要3值=63一般重要6tt=94

11、重要9值二12重要性等级为3,4和5的为重要资产。ISMS程序文件文件编号：YAXX-ISMS-B-Ol信息安全风险管理程序版本：A/1第6页共13页6.4.1审核确认风险评估小组对各部门资产识别情况进行审核，确保没有遗漏重要资产，导出重要信息资产识别清单，报管理者代表确认。6.5重要资产风险评估6.5.1要求应对所有的重要资产进行风险评估，评估应考虑威胁、脆弱性、威胁事件发生的可能性和威胁事件发生后对资产造成的影响程度及已经采取的措施等方面因素。6.5.2识别威胁威胁是对组织及其资产构成潜在破坏的可能性因素，造成威胁的因素可分为人为因素和环境因索。威胁作用形式可以是对信息系统直接或间接的攻击

12、，例如非授权的泄露、篡改、删除等，在保密性、完整性或可用性等方面造成损害；也可能是偶发的、或蓄意的事件。威胁可基于表现形式分类。例如可分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、网络攻击、黑客攻击技术、物理攻击、泄密信息、篡改、抵赖等。各部门根据资产本身所处的环境条件，识别每个资产所面临的威胁。6.5.3识别脆弱性脆弱性是对一个或多个资产弱点的总称。脆弱性是资产本身存在的，如果没有相应的威胁发生，单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健，再严重的威胁也不会导致安全事件,并造成损失。即，威胁总是要利用资产的弱点才可能造成危害。资产的脆弱

13、性具有隐蔽性，有些弱点只有在一定条件和环境下才能显现，这是脆弱性识别中最为困难的部分。需要注意的是，不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性。脆弱性识别将针对每一项需要保护的资产，找出可能被威胁利用的脆弱性，并对脆弱性的严重程度进行评估。脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域的专家和软硬件方面的专业人员。脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动相关,后者与管理环境相关。6.5.4识别威胁发生频率ISMS程序文件

14、文件编号：Yaxx-ISMS-B-OI信息安全风险管理程序版本：A/1第7页共13页分析威胁发生频率等级标识分级定义1很低几乎不可能出现的频率极小（或=1次/十年）；仅可能在非常罕见和例外的情况下发生2低不太可能出现的频率较小（或次/两年）；或一般不太可能发生；或没有被证实发生过3中可能出现的频率中等（或%1次/半年）；或在某种情况下可能会发生；或被证实曾经发生过4高很可能出现的频率较高（或71次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过5极高非常可能出现的频率极高（或=1次/周）；或在大多数情况下几乎不可避免：或可以证实经常发生过分析脆弱性被利用率等级标识定义1很低强度好，

15、如果被威胁利用，造成损害的可能性二5%2低强度不好，如果被威胁利用，5%造成损害的可能性二30%3中等脆弱，如果被威胁利用，30%造成损害的可能性=70%4高很脆弱，如果被威胁利用，70球造成损害的可能性=95%5很高正常脆弱，如果被威胁利用，造成损害的可能性95%6.5.5已有安全措施的确认应对已采取的安全措施的有效性进行确认，对有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。对于确认为不适当的安全措施应核实是否应被取消，或者用更合适的安全措施替代。安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入

16、侵检测系统；保护性安全措施可以减少因安全事件发生对信息系统造成的影响，如业务持续性计划。已有安全措施的确认与脆弱性识别存在一定的联系。一般来说，安全措施的使用将减少脆弱性，但安全措施的确认并不需要与脆弱性识别过程那样具体到每个资产、组件的弱点，而是一类具体措施ISMS程序文件文件编号：YAXX-ISMS-B-Ol信息安全风险管理程序版本：A/1第8页共13页的集合。已有安全措施一般会通过控制资产的威胁和脆弱性降低资产的固有风险，因此需要对威胁程度和脆弱性进行打分。6.6风险计算6.6.1 安全事件发生可能性等级（影响范围和程度）z=（,y）=7,并对Z的计算值四舍五入取整得到最终结果。Z二发生

17、可能性X二威胁发生频率Y=脆弱性被利用率等级标识描述1很低出现的频率极小（或次/十年）；仅可能在非常罕见和例外的情况下发生2低出现的频率较小（或次/两年）；或般不太可能发生；或没有被证实发生过3中等出现的频率中等（或次/半年）；或在某种情况下可能会发生；或被证实曾经发生过4高出现的频率较高（或次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过5很高出现的频率极高（或=1次/周）；或在大多数情况下几乎不可避免：或可以证实经常发生过6 .6.2安全事件损失等级z=f（x,y）=4xy,并对z的计算值四舍五入取整得到最终结果。Z=损失程度X=资产的重要性Y=脆弱性被利用率等级标识定义1很

18、低如果被威胁利用，造成损害的可能性05%2低如果被威胁利用，5%造成损害的可能性=30%3中等脆弱，如果被威胁利用，30%造成损害的可能性二70%4高很脆弱，如果被威胁利用，70球造成损害的可能性=95%5很高非常脆弱，如果被威胁利用，造成损害的可能性95%6.6.3计算风险值ISMS程序文件文件编号：YAXX-ISMS-B-Ol信息安全风险管理程序版本：A/1第9页共13页计算安全风险值。其中计算公式使用：风险值=发生可能性X损失程度7 .6.4风险等级风险等级根据风险值划分为五级，等级越高，风险越高。风险等级划分风险值134679101212以上风险等级12345等级风险值标识描述11-3

19、低风险旦发生造成的影响几乎不存在，通过简单的措施就能弥补。24-6一般风险一旦发生造成的影响程度较低，一般仅限于组织内部，通过一定手段很快能解决。37-9高风险一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大。410-12高风险旦发生将产生较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成提害。512以上高风险一旦发生将产生极大的经济或社会影响，在很大范围内给组织的经营和组织信誉造成损害。6.7 安全风险接受准则等级描述5严重不可接受的风险4严重不可接受的风险3一般不可接收风险2有条件接受的风险（需经评估小组评审，判断是否可以接受的风险）1不需要评审即可接受的风险

20、根据风险等级，等级为3,4、5的为高风险，为不可接受的风险。导出信息安全风险评估汇总表，报管理者代表批准。ISMS程序文件文件编号：YAXX-ISMS-B-OI信息安全风险管理程序版本：A/1第10页共13页6.8 风险评估工具主要使用到的风险评估工具有：嗅探工具、扫描工具、渗透测试工具集等。6.9 风险处理对风险应进行处理。对可接受风险，可保持已有的安全措施；如果是不可接受风险（高风险），则需要采取安全措施以降低、控制风险。对不可接受风险，应采取新的风险处理的措施，规定风险处理方式、责任部门和时间进度，高风险应得到优先的考虑。风险处理方式说明标识描述保持现有控制措施完全可以应付或防止此风险的

21、发生，控制措施保持不变控制现有控制措施不足或没有控制措施，必须制作重新相应的对策防止此风险发生接受控制现有风险所花费的成本过高、超出公司随范围且风险发生的可能性极小或没有适当的解决方案，公司决定接受此风险避免公司放弃可能涉及此风险的行为，以保证风险不会发生转移将风险转嫁至其他公司或第三方人员身上，公司内部不再对此风险作任何控制措施6.9.1计划导出信息安全风险处置计划。6.9.2 报告风险评估小组导出信息安全风险评估报告，陈述信息安全管理现状，分析存在的信息安全风险，提出信息安全管理（控制）的建议与措施，提交综合部进行审核。6.9.3 审核综合部考虑成本与风险的关系，对信息安全风险评估报告及信

22、息安全风险处置计划的相关内容审核，对认为不合适的控制或风险处理方式等提出说明，由风险评估小组协同相关部门重新考虑综合部的意见，选择其他的控制或风险处理方式，并重新提交综合部审核，由管理者代表批准实施。6.9.4实施各货任部门按照批准后的信息安全风险处置计划的要求采取有效安全控制措施，确保所采取的控制措施是有效的。ISMS程序文件文件编号：Yaxx-ISMS-B-OI信息安全风险管理程序版本：A/1第11页共13页6.10 剩余风险评估6.10.2 再评估对采取安全措施处理后的风险，综合部应进行再评估，以判断实施安全措施后的残余风险是否已经降低到可接受的水平。6.10.3 再处理某些风险可能在选

23、择了适当的安全措施后仍处于不可接受的风险范围内，应考虑是否接受此风险或进一步增加相应的安全措施。6.10.4 审核批准剩余风险评估完成后，导出信息安全剩余风险评估报告，报管理者代表批准。6.11 信息安全风险的连续评估6.11.2 定期评估综合部每年应组织对信息安全风险重新评估一次，以适应信息资产的变化，确定是否存在新的威胁或脆弱性及是否需要增加新的控制措施。6.11.3 非定期评估当发生以下情况时需及时进行风险评估：a）当发生重大信息安全事故时；b）当信息网络系统发生重大更改时；C）综合部确定有必要时。6.11.4 更新资产各部门对新增加、转移的或授权销毁的资产应及时更新资产清单。6.11.5 调整控制措施综合部应分析信息资产的风险变化情况，以便根据企业的资金和技术，确定、增加或调整适当的信息安全控制措施。ISMS程序文件文件编号：Yaxx-ISMS-B-OI信息安全风险管理程序版本：A/1第12页共13页7记录信息安全风险评估计划信息资产识别清单重要信息资产识别清单信息安全风险评估汇总表信息安全风险处置计划信息安全风险评估报告信息安全剩余风险评估报告组织环境描述