信息安全系统风险管理系统程序

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

1目的

为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。

2范围

本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。

3职责

3.1研发中心

负责牵头成立信息安全管理委员会。

3.2信息安全管理委员会

负责编制《信息安全风险评估计划》,确认评估结果,形成《风险评估报告》及《风险处理计划》。

3.3各部门

负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。

4相关文件

《信息安全管理手册》

《GB-T20984-2007信息安全风险评估规范》

《信息技术安全技术信息技术安全管理指南第3部分:IT安全管理技术》

5程序

5.1风险评估前准备

①研发中心牵头成立信息安全管理委员会,委员会成员应包含信息安全重要责任部门的成员。

②信息安全管理委员会制定《信息安全风险评估计划》,下发各部门。

③风险评估方法-定性综合风险评估方法

本项目采用的是定性的风险评估方法。定性风险评估并不强求对构成风险的各个要素(特别是资产)进行精确的量化评价,它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准,来对风险要素进行相对的等级分化,最终得出的风险大小,只需要通过等级差别来分出风险处理的优先顺序即可。

综合评估是先识别资产并对资产进行赋值评估,得出重要资产,然后对重要资产进行详细的风险评估。

5.2资产赋值

①各部门信息安全管理委员会成员对本部门资产进行识别,并进行资产赋值。

资产价值计算方法:资产价值= 保密性赋值+完整性赋值+可用性赋值

②资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估,并在此基础上

得出综合结果的过程。

③确定信息类别

信息分类按“5.9 资产识别参考(资产类别)”进行,信息分类不适用时,可不填写。

④机密性(C)赋值

根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。

⑤完整性(I)赋值

根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。

⑥可用性(A)赋值

根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。

资产价值判断标准

准则数据资产实体/服务资产文件/软件资产无形资产人员资产

可用性按资产

使用或

允许中

断的时

间次数

来评估

数据存储、

传输及处

理设施在

一个工作

日内允许

中断的次

数或时间

比例

每次中断允许

时间

使用频次要

使用频次

允许离岗时

16次以上

或全部工

作时间中

1 3天以上 1

每年都要使

用至少1次

1

每年都要使用

至少1次

1

10个工作日

及以上

1

9-15次或

1/2工作时

2 1-3天 2

每个季度都

要使用至少1

2

每个季度都要

使用至少1次

2 6-9工作日 2

间中断次3-8次或

1/4工作时间中断3 12小时-1天 3

每个月都要

使用至少1次

3

每个月都要使

用至少1次

3 3-5个工作日 3

1-2次或

1/8工作时间中断4 3小时-12小时 4 每周都要使

用至少1次

4 每周都要使用

至少1次

4 2个工作日 4

不允许 5 0-3小时 5 每天都要使

用至少1次

5

每天都要使用

至少1次

5 1个工作日 5

⑦形成资产清单

各部门的《重要资产调查与风险评估表》经本部门负责人审核,报管理者代表确认。

5.3判定重要资产

①根据前面的资产机密性、完整性、可用性的赋值相加得到资产的价值,资产价值越高表示资产

重要性程度越高。

要素标识相对价值范围等级

资产等级很高15,14,13 4 高12,11,10 3 一般9,8,7,6 2 低5,4,3 1

②按资产价值得出重要资产,资产价值为4,3的是重要资产,资产价值为2,1的是非重要资产。

③信息安全管理委员会对各部门资产识别情况进行审核,确保没有遗漏重要资产,形成各部门的

《资产识别清单》。

④各部门的《资产识别清单》经本部门负责人审核,报管理者代表确认,并分发各部门存档。

5.4重要资产风险评估

①应对所有的重要资产进行风险评估,评估应考虑威胁、脆弱性、威胁事件发生的可能性、威胁

事件发生后对资产造成的影响程度、风险的等级、风险是否在可接受范围内及已采取的措施等

方面因素。

②识别威胁

威胁是对组织及其资产构成潜在破坏的可能性因素,造成威胁的因素可分为人为因素和环境因素。威胁作用形式可以是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、

删除等,在保密性、完整性或可用性等方面造成损害;也可能是偶发的、或蓄意的事件。

威胁可基于表现形式分类,基于表现形式的威胁分类标准可参考下表:

相关文档
最新文档