信息系统安全风险评估管理办法

信息系统安全风险评估管理办法

第一章总则

第1条公司安全评估管理办法是指导公司进行周期性的信息安全评估，目的是评估出公司信息网络范围内的弱点，并指导进一步的安全修补，从而消除潜在的危险，使整个公司的信息安全水平保持在一个较高的水平。

第2条安全评估的范围包括公司范围内所有的信息资产，并包括与公司签订有第三方协议的外部信息资产。安全评估的具体对象包括服务器、网络和应用系统，以及管理和维护这些对象的过程。

第二章风险的概念

第3条资产：资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。

它们分别具有不同的价值属性和存在特点，存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。

第4条弱点：弱点和资产紧密相连，它可能被威胁（威胁的定义参见威胁一章）利用、引起资产损失或伤害。值得注意的是，弱点本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失。弱点的出现有各种原因，例如可能是软件开发过程中的质量问题，也可能是系统管理员配置方面的，也可能是管理方面的。但是，它们的共同特性就是给攻击者提供了机会。

第5条威胁：威胁是对系统和企业网的资产引起不期望事件而造成的损害的潜在可能性。

威胁可能源于对企业信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、

页脚内容1

完整性或可用性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。一般来说，威胁总是要利用企业网络中的系统、应用或服务的弱点（弱点的定义参见弱点一章）才可能成功地对资产造成伤害。从宏观上讲，威胁按照产生的来源可以分为非授权蓄意行为、不可抗力、人为错误、以及设施/设备错误等。鉴于本项目的特点，将威胁的评估专注于非授权蓄意行为上面。

第6条风险：风险是一种潜在可能性，是指某个威胁利用弱点引起某项资产或一组资产的损害，从而直接地或间接地引起企业或机构的损害。因此，风险和具体的资产、其价值、威胁等级以及相关的弱点直接相关。

第7条安全评估：安全评估是识别被保护的资产和评价资产风险的过程。

第三章安全评估过程

第8条安全评估的方法是首先选定某项资产、评估资产价值、挖掘并评估资产面临的威胁、挖掘并评估资产存在的弱点、评估该资产的风险、进而得出整个评估目标的风险。

第9条安全评估的过程包含以下4个步骤：

1.识别资产并进行确定资产价值赋值：在确定的评估范围内识别要保护的资产，并

对资产进行分类，根据资产的安全属性进行资产价值评估。

2.评估对资产的威胁：评估在当前安全环境中资产能够受到的威胁来源和威胁的可

能性。

3.评估资产威胁相关的弱点：评估威胁可能利用的资产的弱点及其严重程度。

4.评估风险并排列优先级：根据威胁和弱点评估的结果，评估资产受到的风险，并

对资产的风险进行优先级排列。

第10条根据安全评估结果，制定对风险实施安全控制的计划。

页脚内容2

第四章安全评估策略

第11条公司的安全评估需要周期性地进行，并通过实施风险安全控制使公司的整体安全保持在一个较高的水平。

第12条全面的安全评估每年进行一次。安全评估的执行者可以是公司信息安全部门或者是在信息安全部门的组织下由安全服务提供商执行。

第13条公司各业务网络每年至少执行两次安全评估。安全评估由各业务部门自行执行或者由安全服务提供商执行。

第14条当引入新的业务系统或者网络或者业务系统发生重大改变时，需要立刻进行局部或者整体的安全评估。

第五章审计和执行

第15条各部门领导及管理员应当对本部门的安全评估工作进行有效的监督和管理，对违反管理规定的行为要及时指正，对严重违反者要立即上报。

第16条公司安全审计小组应当对定期对安全评估执行进行审计，对违反管理规定的情况要通报批评；对严重违反规定，可能或者己经造成重大损失的情况要立即汇报公司最高领导。

第17条本策略自发布之日起执行。

页脚内容3