信息安全风险管理程序

城云科技（杭州）有限公司信息安全风险管理程序
目录
信息安全风险管理程序 (1)
第一章目的 (1)
第二章范围 (1)
第三章名词解释 (1)
第四章风险评估方法 (2)
第五章风险评估实施 (5)
第六章风险管理要求 (24)
第七章附则 (25)
第八章检查要求 (25)
第一章目的
第一条目的：指导信息安全组织针对信息系统及其管理开展的信息风险评估工作。

本指南定义了风险评估的基本概念、原理及实施流程；对资产、威胁和脆弱性识别要求进行了详细描述。

第二章范围
第二条范围：适用于风险评估组开展各项信息安全风险评估工作。

第三章名词解释
第三条资产
对组织具有价值的信息或资源，是安全策略保护的对象。

第四条资产价值
资产的重要程度或敏感程度的表征。

资产价值是资产的属性，也是进行资产识别的主要内容。

资产价值通过机密性、完整性和可用性三个方面评估计算获得。

（一）机密性（Confidentiality）：确保只有经过授权的人才能访问信息；
（二）完整性（Integrality）：保护信息和信息的处理方法准确而完整；
（三）可用性（Availability）：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。

第五条威胁
可能导致对系统或组织危害的不希望事故潜在起因。

第六条脆弱性
可能被威胁所利用的资产或若干资产的弱点。

第七条信息安全风险
人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。

第八条信息安全评估
依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。

它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

第九条残余风险
采取了安全措施后，信息系统仍然可能存在的风险。

第四章风险评估方法
第十条风险管理模型
图1 风险管理模型
图1为风险管理的基本模型，椭圆部分的内容是与这些要素相关的属性。

风险管理围绕着资产、威胁、脆弱性和安全措施这些基本要素展开。

信息安全风险评估在对风险管理要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。

图1中的风险管理要素及属性之间存在着以下关系：
（一）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；
（二）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；
（三）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件；
（四）资产的脆弱性可能暴露资产的价值，资产具有的弱点越多则风险越大；
（五）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；
（六）风险的存在及对风险的认识导出安全需求；
（七）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；
（八）安全措施可抵御威胁，降低风险；
（九）残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后不去控制的风险；
（十）残余风险应受到密切监视，它可能会在将来诱发新的安全事件。

第十一条风险评估模型
图2 风险评估原理图
风险评估的过程中主要包含信息资产（Information Asset），脆弱性（Vulnerability）、威胁（Threat）、影响（Impact）和风险（Risk）五个要素。

信息资产的基本属性是资产价值（Assets Value），脆弱性的基本属性是被威胁利用的难易程度（How Easily Exploited by Threats）、威胁的基本属性是威胁的可能性（Threat Likelihood）、影响度的基本属性是严重性（Severity），它们直接影响风险的两个属性，风险的后果（Risk Consequence）和风险的可能性（Risk Likelihood）。

其中资产价值和影响的严重性构成风险的后果，脆弱性被威胁利用的难易程度和威胁的可能性构成风险的可能性，风险的后果和风险的可能性构成风险。

第十二条风险评估方法
图3 风险评估方法
风险评估的主要内容为：
（一）对资产进行识别，并对资产的价值进行赋值；
（二）对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；
（三）对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；
（四）根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性；
（五）根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失；
（六）根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响；
（七）综合分析，采用适当的方式计算风险值。

第五章风险评估实施
第十三条风险评估的准备
风险评估的准备是整个风险评估过程有效性的保证。

组织实施风险评估是一种战略性的考虑，其结果将受到组织业务战略、业务流程、安全需
求、系统规模和结构等方面的影响。

因此，在风险评估实施前应：（一）确定风险评估的目标；
（二）确定风险评估的范围；
（三）组建适当的评估管理与实施团队；
（四）进行系统调研；
（五）确定评估依据和方法（即评估列表）；
（六）获得最高管理者对风险评估工作的支持。

第十四条资产识别
资产识别是对直接赋予了价值因而需要保护的资产进行分类和价值等级赋值。

资产分类和赋值方法可根据ISO27001体系结合组织自身情况完成，资产价值作为风险计算的输入。

第十五条威胁评估
安全威胁是一种对系统、组织及其资产构成潜在破坏的可能性因素或者事件。

产生安全威胁的主要因素可以分为人为因素和环境因素。

人为因素包括有意因素和无意因素。

环境因素包括自然界的不可抗力因素和其它物理因素。

威胁可能是对信息系统直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。

威胁也可能是偶发的、或蓄意的事件。

一般来说，威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。

安全事件及其后果是分析威胁的重要依据。

但是有相当一部分威胁发生时，由于未能造成后果，或者没有意识到，而被安全控制人员忽略。

这将导致对安全威胁的认识出现偏差。

威胁分析方法首先需要考虑威胁的来源，然后分析各种来源存在哪些威胁种类，最后做出威胁来源和威胁种类的列表进行威胁赋值。

（一）威胁来源分析
信息系统的安全威胁来源可考虑以下方面：
表1：威胁来源
对安全威胁进行分类的方式有多种多样，针对上表威胁来源，组织信息管理部的安全威胁种类按类列举如下表所示。

威胁的编号按照类别进行划分，以字母“T”开头（Threats），第二个字母为威胁类型，例如人员威胁为TP为前缀，以“-”连接，以数字后缀为序列。

（三）威胁赋值
本风险评估管理办法通过对于威胁的可能性（Likelihood）属性（*注意: 此处描述的是威胁的可能性，并不是风险的可能性，威胁要实际产生影响还要考虑脆弱性被利用的难易程度这个因素。

）进行分析赋值。

赋值取决于威胁发生的概率和威胁发生的频率。

我们用变量T来表示威胁的可能性，它可以被赋予一个数值，来表示该属性的程度。

确定威胁发生
的可能性是风险评估的重要环节，评估人员应该根据经验和相关的统计数据来判断威胁发生的概率和频率。

实际评估过程中，威胁的可能性赋值需要参考下面三方面的资料和信息来源，综合考虑，形成在特定评估环境中各种威胁发生的可能性。

（1）通过评估体过去的安全事件报告或记录，统计各种发生过的威胁和其发生频率；
（2）在评估体实际环境中，通过安全设备系统获取的威胁发生数据的统计和分析，各种日志中威胁发生的数据的统计和分析；
（3）过去一年或两年来相关信息安全管理机构发布的对于整个社会或特定行业安全威胁发生频率的统计数据均值。

威胁的赋值标准参照下表：
第十六条脆弱性评估
脆弱性评估主要目的是评估信息资产的弱点。

通常信息资产存在的弱点主要表现在三个方面：安全控制方面、承载信息资产的IT设备方面以
及处理、加工这些信息资产的应用系统方面。

因此弱点评估也主要按照这三个方面进行。

（一）脆弱性的识别
脆弱性的识别和获取通过以下多种方式：工具扫描、人工分析、模拟攻击测试（Penetration Testing）、网络架构分析、业务流程分析等。

评估人员根据具体的评估对象、评估目的来选择具体的脆弱性获取方式。

在脆弱性的识别和获取必须对应前一个过程中识别出的威胁列表，不能被列表中威胁所利用的脆弱性在风险评估中没有意义，可以不进行识别。

同时，因为威胁来源可以分为内部和外部，所以脆弱性的获取方法也可以根据威胁的来源不同而选择不同的获取方式，比如从内网获取和从外网获取。

●安全控制脆弱性评估：可根据ISO 27002的14个方面对
整体安全控制评估；
●设备脆弱性评估：可通过网络扫描及专家人工评估方法对
IT设备进行评估；
●应用系统脆弱性评估：可通过对应用系统的网络构架、系统
主机、数据流分析等方法进行评估。

（二）脆弱性分类
脆弱性包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。

脆弱性的编号按照类别进行划分，以字母“V”开头（Vulnerabilities），第二个字母为脆弱性类型，例如组织管理脆弱性以VP为前缀，以“-”连接，以数字后缀为序列。

（三）脆弱性属性
参照国际安全标准，本管理办法将脆弱性属性定义为脆弱性的严重性，既脆弱性被某些威胁利用后产生的影响的严重程度，
（三）脆弱性赋值
在CVE和业界大多数的扫描器中关于技术性脆弱性的严重性（Severity）定义中，都是指可能引发的影响的严重性，参考业界通用的脆弱性严重性等级划分标准，我们采用的等级划分标准如下：
在实际评估工作中，脆弱性的值一般参考扫描工具的归类标准，并参考CVE、中国国家漏洞库等相关漏洞库标准中的说明，按照实际情况进行修正，从而获得适用的脆弱性值。

管理类的脆弱性值按照管理成熟度进行赋值。

第十七条影响评估
影响的属性的评估方法主要考察一个属性：严重性。

本办法将将影响严重性分为5个等级，分别是很高（VH）、高（H）、中等（M）、低（L）、可忽略（N），并且从高到低分别赋值4-0。

赋值标准参照下表。

第十八条风险计算
在完成了资产识别、威胁识别、脆弱性识别，以及对已有安全措施确
认后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。

综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险。

(一)风险分析方法
风险分析方法可以是定性分析、半定量分析或定量分析，或者是这些分析方法的组合。

如果按递升次序将这些分析的复杂性和成本加以排列的话，将会是：定性分析、半定量、定量。

实际上，定性分析往往首先被采用，来得到风险程度的总的提示
组织可根据信息管理实际评估效果、工作量、成本效益、技术复杂度和数据收集困难度等方面的考虑，选择合适的分析方法作为安全风险的计算方法。

（二）风险的计算
本管理办法采用相乘法进行量值计算。

相乘法提供一种定量的计算方法，直接使用两个要素值进行相乘得到另一个要素的值。

相乘法的特点是简单明确，直接按照统一公式计算，即可得到所需结果。

在风险值计算中，通常需要对两个要素确定的另一个要素值进行计算，例如由威胁和脆弱性确定安全事件发生可能性值、由资产和脆弱性确定安全事件的损失值，因此相乘法在风险分析中得到广泛采用即：风险值=资产价值×威胁可能性值×脆弱性值×影响性值
（三）风险等级化方法
对风险进行定量取值后，将风险值按照以“4”为底取对数计算并四舍五入得到风险等级值，将风险划分为五个登记，如下表所描述：
（三）风险矩阵定性分析
本管理办法采用下面的赋值矩阵来获得风险点的定量分析表。

通过资产分析、威胁分析、脆弱性分析以及影响分析进行风险点汇总。

通过技术、管理、运维各方面风险点的综合定性分析，我们将风险项
合并归类，总结出相应的风险项并进行编号，
风险的编号按照类别进行划分，以字母“R”开头（Risk），第二个字母为风险类别，如管理风险为RM为前缀，后缀以数字为序列、技术风险以RT为前缀，后缀以数字为序列、运维风险以RO为前缀，后缀以数字为序列。

第十九条风险处置方法
根据计算出的风险值，对风险进行排序，并根据企业自身的特点和具体条件、需求，选择相应的风险处置方式。

风险处置方法描述如下：
（1）消除风险：在某些情况下，可以决定不继续进行可能产生风险的活动来回避风险。

在某些情况可能是较为稳妥的处理办法，但是在某些情况下可能会因此而丧失机会。

（2）降低风险：在某些情况下，可以决定通过合同、要求、规范、法律、监察、管理、测试、技术开发、技术控制等措施来减小风险的可能性，来达到减小风险的目的。

（3）转移风险：这涉及承担或分担部分风险的另一方。

手段包括合同、保险安排、合伙、资产转移等。

（4）接受风险：不管如何处置，一般资产面临的风险总是在一定程
度上存在。

决策者可以在继续处置需要的成本和风险之间进行抉择。

在适当的情况下，决策者可以选择接受/承受风险。

第二十条选择处置方式的原则
（1）风险可能造成的危害性；
（2）控制、降低该风险方案的可行性,它需对成本因素、技术实现的难度、技术的成熟度以及对企业现有业务系统的影响等各方面进行综合考虑。

建议风险处置策略如下：
（3）原则上风险值在48以上的风险需要进行处置第二十一条制定风险处置计划
对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。

风险处理计划中明确应采取的弥补弱点的安全措施、预期效果、实施条件、进度安排、责任部门等。

安全措施的选择应从管理与技术两个方面考虑，管理措施可以作为技术措施的补充。

在对于不可接受的风险选择适当安全措施后，为确保安全措施的有效性，可进行再评估，以判断实施安全措施后的残余风险是否已经降低到可接受的水平。

某些风险可能在选择了适当的安全措施后，残余风险的结果
仍处于不可接受的风险范围内，应考虑是否接受此风险或进一步增加相应的安全措施。

第六章风险管理要求
第二十二条全面的风险评估和管理要至少每年进行一次。

当信息系统重大变更（新系统试运行上线、业务系统重大版本变化、核心层或机房接入层的网络架构调整、机房搬迁）、业务环境重大改变、发生重大安全事件或者其他组织认为有必要的情况下，也应进行全面或局部的风险评估。

第二十三条技术管理办公室负责风险评估的组织工作，按照业务需要和风险变化情况商定风险评估的范围，成立具备风险评估和管理方法的知识的风险评估小组进行风险评估，在内部资源不足的情况下应选用外包的形式进行风险评估。

第二十四条风险评估应产出风险评估报告及相关的中间产物，记录评估过程和结论，最终对风险进行整体展现。

第二十五条技术管理办公室根据业务需求和风险情况制定可接受风险准则，并获得信息安全管理委员会批准，对于不可接受风险增加风险化解措施，例如：
增加新的安全控制措施；
变更现有的安全控制措施；
增加新的控制目标、控制措施、过程和程序；
资源的调配安排。

第二十六条技术管理办公室组织制定风险处置计划，将风险评估报告及处置建议报信息安全领导小组进行审议。

第二十七条获得部门领导批准后，各职能线按照风险处置计划进行风险处置工作，技术管理办公室应定期跟踪风险处置情况，并对残余风险
进行分析，对于尚不可接受的风险应进一步加强控制或报部门领导批准接受。

第七章附则
第二十八条本管理程序自发布之日起开始实施；
第二十九条本管理程序的解释和修改权属于信息安全管理委员会；
第三十条信息安全管理委员会组织人员每年统一检查和评估本管理规定，并做出适当更新。

在业务环境和安全需求发生重大变化时，也将对本规定进行检查和更新。

第八章检查要求。