信息安全风险管理程序完整版
ISMS-B-01信息安全风险管理程序
深圳市ABC有限公司信息安全风险管理程序编号:ISMS-B-01版本号:V1.0编制:AAA 日期:2023-11-01 审核:BBB 日期:2023-11-01 批准:CCC 日期:2023-11-01受控状态1 目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。
2 范围本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。
3 职责3.1 信息安全管理小组负责牵头成立风险评估小组。
3.2 风险评估小组负责编制《信息安全风险评估计划》,确认评估结果,形成《信息安全风险评估报告》。
3.3 各部门负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。
4 相关文件《信息安全管理手册》《商业秘密管理程序》5 程序5.1 风险评估前准备5.1.1 成立风险评估小组信息安全小组牵头成立风险评估小组,小组成员应包含信息安全重要责任部门的成员。
5.1.2 制定计划风险评估小组制定《信息安全风险评估计划》,下发各部门。
5.2 资产赋值5.2.1 部门赋值各部门风险评估小组成员识别本部门资产,并进行资产赋值。
5.2.2 赋值计算资产赋值的过程是对资产在保密性、完整性、可用性的达成程度进行分析,并在此基础上得出综合结果的过程。
5.2.3 保密性(C)赋值根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。
5.2.4 完整性(I)赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。
完整性(I)赋值的方法5.2.5 可用性(A)赋值根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
可用性(A)赋值的方法5.2.7 导出资产清单识别出来的信息资产需要详细登记在《信息资产清单》中。
ISO27001信息安全风险评估管理程序
惠州培训网
更多免费资料下载请进: 好好学习社区
信息安全风险评估管理程序
1.目的
在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施处理风险。
2.范围
在ISMS 覆盖范围内主要信息资产
3.职责
3.1各部门负责部门内部资产的识别,确定资产价值。
3.2ISMS 小组负责风险评估和制订控制措施和信息系统运行的批准。
4.内容
4.1资产的识别
4.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别,确定资产价值。
4.1.2资产分类
根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。
4.1.3资产赋值
资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值等级作为资产的最终赋值结果。
资产等级划分为五级,分别代表资产重要性的高低。
等级数值越大,资产价值越高。
1)机密性赋值
根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。
信息安全风险管理程序
城云科技(杭州)有限公司信息安全风险管理程序目录信息安全风险管理程序 (1)第一章目的 (1)第二章范围 (1)第三章名词解释 (1)第四章风险评估方法 (2)第五章风险评估实施 (5)第六章风险管理要求 (24)第七章附则 (25)第八章检查要求 (25)第一章目的第一条目的:指导信息安全组织针对信息系统及其管理开展的信息风险评估工作。
本指南定义了风险评估的基本概念、原理及实施流程;对资产、威胁和脆弱性识别要求进行了详细描述。
第二章范围第二条范围:适用于风险评估组开展各项信息安全风险评估工作。
第三章名词解释第三条资产对组织具有价值的信息或资源,是安全策略保护的对象。
第四条资产价值资产的重要程度或敏感程度的表征。
资产价值是资产的属性,也是进行资产识别的主要内容。
资产价值通过机密性、完整性和可用性三个方面评估计算获得。
(一)机密性(Confidentiality):确保只有经过授权的人才能访问信息;(二)完整性(Integrality):保护信息和信息的处理方法准确而完整;(三)可用性(Availability):确保经过授权的用户在需要时可以访问信息并使用相关信息资产。
第五条威胁可能导致对系统或组织危害的不希望事故潜在起因。
第六条脆弱性可能被威胁所利用的资产或若干资产的弱点。
第七条信息安全风险人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
第八条信息安全评估依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。
它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
第九条残余风险采取了安全措施后,信息系统仍然可能存在的风险。
第四章风险评估方法第十条风险管理模型图1 风险管理模型图1为风险管理的基本模型,椭圆部分的内容是与这些要素相关的属性。
4-信息安全风险管理程序
1范围为了方便在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。
本程序适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。
2职责2.1运管部负责牵头成立风险评估小组并组织协调信息安全风险管理工作。
2.2风险评估小组负责编制[信息安全风险处置计划],确认评估结果,形成[信息安全风险评估报告]。
2.3各部门负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。
3程序3.1风险评估前准备3.1.1运管部牵头成立风险评估小组,小组成员应包含信息安全重要责任部门的成员。
3.1.2风险评估小组制定[信息安全风险评估计划]。
3.1.3运管部协助各部门负责按[信息安全风险评估计划],对影响本公司经营、服务和日常管理的重要业务系统以及涉及资产进行识别和风险评估。
3.2风险评估的方法3.2.1运用FEMA (评估潜在失效模式及影响的定量分析)方法从以下三个方面进行风险评价,然后算出风险值RPN,以确定风险等级。
a)S-严重性:失效可能产生后果的严重程度;b)O-可能性:预计出现的频率;c)W-脆弱性:引起威胁脆弱点的脆弱程度;计算公式:风险值RPN=S×O×W3.3判定标准a)严重性(S):INT{影响(E)* 资产重要性分值(CIA)/10}影响(E)分值1)不影响正常工作及客户的满意度,对公司运营影响不大-------------------------------22)工作停止一个工作日以下,对公司运营有一定影响--------------------------------------53)工作停止一个工作日以上,严重影响公司运营、声誉、竞争力;4)违反法律法规或合同要求-------------------------------------------8注:严重性分值取决于两部分,影响和资产的重要性,最后的分值如产生小数,直接进1取整,如E=6分,CIA=8分,S=4.8分,取整为5分。
信息安全风险评估管理程序
信息安全风险评估管理程序一、概述信息安全风险评估是指对系统、网络、数据等信息资产进行全面分析和评估,识别和量化可能存在的风险,为安全管理决策提供科学依据。
信息安全风险评估管理程序是指为了实施信息安全风险评估而制定的相应程序。
二、程序内容1. 确定评估目标和范围在进行信息安全风险评估之前,应明确评估的目标和范围。
评估目标是指评估过程的目的,例如评估系统的安全性、风险管控水平等。
评估范围是指评估的具体对象和范围,例如具体的系统、网络、数据等。
2. 选择评估方法和工具根据评估目标和范围,选择适合的评估方法和工具。
常用的评估方法包括定性评估法、定量评估法、风险矩阵法等。
评估工具可以是专业的风险评估软件,也可以是自主开发的评估工具。
3. 收集必要信息收集必要的信息是进行评估的基础。
可以通过面谈、观察、文档查阅等方式收集相关信息。
需要收集的信息包括系统的功能、架构、权限管理、日志记录等。
4. 风险识别与分析在收集完相关信息后,进行风险识别与分析。
通过对信息进行全面的分析,识别可能存在的风险。
分析风险的因素包括潜在威胁、弱点、潜在损失等。
5. 风险评估与量化对识别出的风险进行评估和量化,确定其危害程度和可能发生的概率。
评估风险可以采用定性评估方法,即根据风险的重要性、严重性、可接受性等级进行评估;也可以采用定量评估方法,即通过数学模型和统计方法对风险进行量化。
6. 制定风险处理措施根据评估结果,制定针对风险的处理措施。
处理措施可以包括风险规避、风险转移、风险减轻和风险接受等策略。
制定措施时还应考虑措施的可行性、成本效益等因素。
7. 实施风险控制根据制定的风险处理措施,进行风险控制工作。
控制风险可以通过技术手段、政策制度、培训教育等方式实施。
8. 监督和评估监督和评估是信息安全风险评估管理程序的重要环节。
监督是指对风险控制措施的执行情况进行监督和检查,以确保措施的有效性。
评估是指定期对信息安全风险进行重新评估,以确定控制措施的有效性和风险状况的变化情况。
信息安全风险评估管理程序
:A1:第页共页1适用本程序适用于本公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。
2目的本程序规定了本公司所采用的信息安全风险评估方法。
通过识别信息资产、风险等级评估,认知本公司的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持本公司业务持续性发展,以满足本公司信息安全管理方针的要求。
具体操作步骤,参照《信息安全风险评估指南》具体执行。
3范围本程序适用于第一次完整的风险评估和定期的再评估。
在辨识资产时,本着尽量细化的原则进行,但在评估时我司又会把资产按照系统进行规划。
辨识与评估的重点是信息资产,不区分物理资产、软件和硬件。
4职责4.1成立风险评估小组4.2策划与实施风险评估小组每年至少一次,或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后,负责编制信息安全风险评估计划,确认评估结果,形成《信息安全风险评估报告》。
4.3信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别和风险评估,并负责本部门所涉及的信息资产的具体安全控制工作。
4.3.1各部门负责人负责本部门的信息资产识别。
4.3.2管理部经理负责汇总、校对全公司的信息资产。
4.3.3管理部负责风险评估的策划。
4.3.4信息安全委员会负责进行第一次评估与定期的再评估。
5程序4.1风险评估前准备4.1.1管理部牵头成立风险评估小组,小组成员至少应该包含:信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。
4.2信息资产的识别5.2.1本公司的资产范围包括:5.2.1.1信息资产1)软件资产:应用软件、系统软件、开发工具和适用程序。
2)物理资产:计算机设备、通讯设备、可移动介质和其他设备。
3)服务:培训服务、租赁服务、公用设施(能源、电力)。
4)人员:人员的资格、技能和经验。
5)无形资产:组织的声誉、商标、形象。
5.2.1.2本公司的资产范围包括:数据库、数据文件、数据合同、系统文件、研究信息、培训教材、培训操作、培训软件、支持性程序、业务连续性计划、应变安排、审核记录、审核的追踪、归档信息。
信息安全风险评估管理程序1.doc
信息安全风险评估管理程序1 信息安全风险评估管理程序1.0目的在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施处理风险。
2.0适用范围在ISMS 覆盖范围内主要信息资产3.0定义(无)4.0职责4.1各部门负责部门内部资产的识别,确定资产价值。
4.2信息安全部负责风险评估和制订控制措施。
4.3CEO负责信息系统运行的批准。
5.0流程图6.0内容6.1资产的识别6.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别,确定资产价值。
6.1.2资产分类根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。
6.1.3资产(A)赋值资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值等级作为资产的最终赋值结果。
资产等级划分为五级,分别代表资产重要性的高低。
等级数值越大,资产价值越高。
1)机密性赋值根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产2)完整性赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产3)可用性赋值根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产3分以上为重要资产,重要信息资产由信息安全部确立清单6.2威胁识别6.2.1威胁分类对重要资产应由ISMS小组识别其面临的威胁。
针对威胁来源,根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。
6.2.2威胁(T)赋值。
信息安全管理制度信息安全风险评估管理程序
信息安全管理制度附件信息安全风险评估管理程序信息安全风险评估管理程序第一章概述为了规范信息安全风险评估工作,提高信息安全管理水平,保证信息安全,制定本程序。
第二章工作范围本程序适用于公司内部对信息系统和信息资源进行安全风险评估的全部过程。
第三章责任1. 信息安全管理部门负责本程序的执行和监督。
2. 系统管理员负责信息系统和信息资源的风险评估工作。
3. 相关部门应主动配合信息安全管理部门和系统管理员开展安全风险评估工作。
第四章评估流程1. 评估组成员的确定评估组由系统管理员和信息安全管理部门的专业人员组成。
评估组成员应具有信息安全领域的相关知识和经验。
2. 现场勘察评估组成员在现场勘察时要对系统构架、信息资源进行详细的检查,了解安全管理制度的执行情况,收集相关信息。
3. 风险识别在现场勘察后,评估组要对发现的问题进行分析和评估,并识别可能存在的风险。
4. 风险评估评估组要根据风险的概率、影响程度等因素对风险进行评估,确定风险等级。
5. 风险报告评估组应编写风险评估报告,报告内容包括评估结果、存在风险、建议措施等,并提供详细的技术支持。
6. 风险控制针对风险评估报告提出的存在风险和建议措施,评估组应采取有效措施,控制风险。
7. 风险跟踪评估组应对风险控制措施进行跟踪,确保控制措施的有效性。
第五章评估方法1. 定性分析法通过实地调查,结合公司实际情况,对所有潜在的信息安全风险进行分析,得出相应的意见和建议。
2. 定量分析法建立风险评估模型,根据各种因素的权重,对风险进行定量分析。
第六章安全风险等级根据风险评估结果,将风险划分为高、中、低三个等级。
第七章安全风险评估报告1. 报告开头呈现评估主题、评估组成员、评估时间、评估范围等相关信息。
2. 风险评估结果将评估结果按风险等级进行分类,明确各种风险的范围,描述风险的关键特征。
3. 存在风险和控制建议对于识别和评估出的风险,提供相应的控制建议,包括技术和管理措施,以及建议的优先级。
(2020年最新版本)信息安全风险评估管理程序
1.0目的在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施处理风险。
2.0适用范围在ISMS 覆盖范围内主要信息资产3.0定义(无)4.0职责4.1各部门负责部门内部资产的识别,确定资产价值。
4.2信息安全部负责风险评估和制订控制措施。
4.3CEO负责信息系统运行的批准。
5.0流程图6.0内容6.1资产的识别6.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别,确定资产价值。
6.1.2资产分类根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。
6.1.3资产(A)赋值资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值等级作为资产的最终赋值结果。
资产等级划分为五级,分别代表资产重要性的高低。
等级数值越大,资产价值越高。
1)机密性赋值根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影2)完整性赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。
3)可用性赋值根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应3分以上为重要资产,重要信息资产由信息安全部确立清单6.2威胁识别6.2.1威胁分类对重要资产应由ISMS小组识别其面临的威胁。
针对威胁来源,根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。
6.2.2威胁(T)赋值评估者应根据经验和(或)有关的统计数据来判断威胁出现的频率。
威胁频率等级划分为五级,分别代表威胁出现的频率的高低。
等级数值越大,威6.3脆弱性识别6.3.1脆弱性识别内容脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。
信息安全管理制度信息安全风险评估管理程序
本程序,作为《WX-WI-IT-001 信息安全管理流程 A0版》的附件,随制度发行,并同步生效。
信息安全风险评估管理程序1.0目的在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,辨认和评价供解决风险的可选措施,选择控制目的和控制措施解决风险。
2.0合用范围在ISMS 覆盖范围内重要信息资产3.0定义(无)4.0职责4.1各部门负责部门内部资产的辨认,拟定资产价值。
4.2IT部负责风险评估和制订控制措施。
4.3财务中心副部负责信息系统运营的批准。
5.0流程图同信息安全管理程序的流程6.0内容6.1资产的辨认6.1.1各部门每年按照管理者代表的规定负责部门内部资产的辨认,拟定资产价值。
6.1.2资产分类根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。
6.1.3资产(A)赋值资产赋值就是对资产在机密性、完整性和可用性上的达成限度进行分析,选择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值等级作为资产的最终赋值结果。
资产等级划分为五级,分别代表资产重要性的高低。
等级数值越大,资产价值越高。
1)机密性赋值根据资产在机密性上的不同规定,将其分为五个不同的等级,分别相应资产在机密性上的应达成的不同限度或者机密性缺失时对整个组织的影响。
2)完整性赋值根据资产在完整性上的不同规定,将其分为五个不同的等级,分别相应资产在完整性上的达成的不同限度或者完整性缺失时对整个组织的影响。
3)可用性赋值根据资产在可用性上的不同规定,将其分为五个不同的等级,分别相应资产在可用性上的达成的不同限度。
3分以上为重要资产,重要信息资产由IT部确立清单6.2威胁辨认6.2.1威胁分类对重要资产应由ISMS小组辨认其面临的威胁。
针对威胁来源,根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客袭击技术、物理袭击、泄密、篡改和抵赖等。
信息安全风险评估管理程序(含表格)
信息安全风险评估管理程序(含表格)信息安全风险评估管理程序(ISO27001-2013)1、目的本程序规定了本公司所采用的信息安全风险评估方法。
通过识别信息资产、风险等级评估,认知本公司的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持本公司业务持续性发展,以满足本公司信息安全管理方针的要求。
具体操作步骤,参照《信息安全风险评估指南》具体执行。
2、适用范围本程序适用于本公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。
本程序适用于第一次完整的风险评估和定期的再评估。
在辨识资产时,本着尽量细化的原则进行,但在评估时我司又会把资产按照系统进行规划。
辨识与评估的重点是信息资产,不区分物理资产、软件和硬件。
3、术语无4、职责4.1成立风险评估小组人事部负责牵头成立风险评估小组。
4.2策划与实施风险评估小组每年至少一次,或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后,负责编制信息安全风险评估计划,确认评估结果,形成《信息安全风险评估报告》。
4.3信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别和风险评估,并负责本部门所涉及的信息资产的具体安全控制工作。
4.3.1各部门负责人负责本部门的信息资产识别。
4.3.2人事部经理负责汇总、校对全公司的信息资产。
4.3.3人事部负责风险评估的策划。
4.3.4信息安全委员会负责进行第一次评估与定期的再评估。
5、程序5.1风险评估前准备5.1.1人事部牵头成立风险评估小组,小组成员至少应该包含:信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。
5.1.2风险评估小组制定信息安全风险评估计划,下发各部门内审员。
5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。
5.2信息资产的识别5.2.1本公司的资产范围包括:5.2.1.1信息资产1) 软件资产:应用软件、系统软件、开发工具和适用程序。
信息安全风险识别与评价管理程序
通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平。
二、范围:适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。
三、责任:3.1 管理者代表信息中心执行信息安全风险的识别与评价;审核并批准重大信息安全风险,并负责编制《信息资产风险评估准则》,执行信息安全风险调查与评价,提出重大信息安全风险报告。
3.2 各部门协助信息中心的调查,参与讨论重大信息安全风险的管理办法。
四、内容:4.1 资产识别保密性、完整性和可用性是评价资产的三个安全属性。
风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。
安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。
为此,应对组织中的资产进行识别。
在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。
这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。
在实资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。
表1 列出了一种资产分类方法。
表1 一种基于表现形式的资产分类方法4.2.1信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。
4.2.2 信息分类定义:b)“企业秘密事项”:不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害,或者由于业务上的需要仅限有关人员知道的商业秘密事项;c)“敏感信息事项”:为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项;d)“一般事项”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项;e)“公开事项”:其他可以完全公开的事项。
2002信息安全风险评估管理程序
信息安全风险评估管理程序变更记录信息安全风险评估管理程序1 适用本程序适用于本公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。
2 目的本程序规定了本公司所采用的信息安全风险评估方法。
通过识别信息资产、风险等级评估,认知本公司的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持本公司业务持续性发展,以满足本公司信息安全管理方针的要求。
具体操作步骤,参照《信息安全风险评估指南》具体执行。
3 范围本程序适用于第一次完整的风险评估和定期的再评估。
在辨识资产时,本着尽量细化的原则进行,但在评估时我司又会把资产按照系统进行规划。
辨识与评估的重点是信息资产,不区分物理资产、软件和硬件。
4 职责4.1 成立风险评估小组XX部负责牵头成立风险评估小组。
4.2 策划与实施风险评估小组每年至少一次,或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后,负责编制信息安全风险评估计划,确认评估结果,形成《信息安全风险评估报告》。
4.3 信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别和风险评估,并负责本部门所涉及的信息资产的具体安全控制工作。
4.3.1各部门负责人负责本部门的信息资产识别。
4.3.2 XX部经理负责汇总、校对全公司的信息资产。
4.3.3 XX部负责风险评估的策划。
4.3.4信息安全委员会负责进行第一次评估与定期的再评估。
5 程序5.1 风险评估前准备5.1.1 XX部牵头成立风险评估小组,小组成员至少应该包含:信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。
5.1.2风险评估小组制定信息安全风险评估计划,下发各部门内审员。
5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。
5.2 信息资产的识别5.2.1 本公司的资产范围包括:5.2.1.1信息资产1)软件资产:应用软件、系统软件、开发工具和适用程序。
信息安全管理风险防范控制程序
为规范公司计算机及办公网络管理,确保网络安全、稳定、高效运行,保障院正常办公秩序,根据《中华人民共和国保守国家秘密法》、《中华人民共和国计算机信息网络国际互联网安全保护管理办法》和《互联网信息管理规定》,结合公司实际,制定本规定。
二、范围:本管理程序适用于公司及分子公司的信息安全管理活动。
三、责任:3.1信息中心为负责公司计算机网络建设、管理事务与各信息化系统的领导与监督组织。
3.2信息中心负责规划、管理、协调办公网络工作,负责办公网络设备、办公网络信息和各信息化系统的管理、维护等工作。
3.3信息中心、各部门负责对各部门计算机网络管理进行监督指导。
四、内容:4.1公司办公网络包括网络硬件设备、软件设备及其它相关设备。
4.1.1硬件设备包括:网络所连接的服务器、交换机、光纤收发器、终端电脑、网络打印机、网络模块以及未连入网络的电脑、打印机、电脑桌、网络模块等设备;4.1.2软件设备包括:各设备上安装的操作系统、办公专用软件、文字编辑软件以及办公室安装的其它软件。
4.2安全风险类别:(1)人员风险。
(2)组织风险。
(4)信息机密性和完整性风险。
(5)系统风险。
(6)操作风险。
(7)基础设施风险。
(8)业务连续性风险。
(9)第三方合作风险。
(10)风险评估风险。
(11)法律风险。
(12)决策风险。
4.3日常运行要求4.3.1每位员工应当做到上班时打开计算机,下班时关闭计算机,不准频繁地开关计算机,开、关机应规范操作,避免损坏硬件。
4.3.2上班时间不得用计算机玩游戏,不得打印和存入与工作无关的信息,不得在网上进行非工作性质的操作和交流。
4.3.3计算机的日常维护由使用者负责,日常维护包括:计算机外部清洁、运行杀毒软件及其他计算机安全管理软件、计算机设备的电源管理。
4.3.4每位员工应当定期对所使用的计算机进行病毒清理和安全检测,杜绝各类病毒的传播与破坏,并停止带病毒的计算机运行。
4.3.5计算机在正常工作中发生故障时,应及时告知信息中心,由信息中心人员进行故障排除。
信息安全风险识别与评价管理程序
题目:编号版本号生效日期起草部门颁发部门解释/示例存在电子媒介的各种数据资料,包括源代码、数据库数据,各种数据资料、系统文档、运行管理过程、计划、报告、 用户手册等。
应用软件、系统软件、开辟工具和资源库等。
软件维护等计算机硬件、路由器,交换机。
硬件防火墙。
程控交换机、 布线、备份存储纸质的各种文件、传真、电报、财务报告、发展计划。
电源、空调、保险柜、文件柜、门禁、消防设施等 各级人员和雇主、合同方雇员 企业形象、客户关系等简称DataSoftwareServiceHardwareDocument Facility HR Other类别数据软件服务硬件文档 设备 人员 其它 题目:编号版本号 生效日期定义包含组织最重要的秘密,关系未来发展的前途命运,对组织根 本利益有着决定性的影响,如果泄露会造成灾难性的伤害 包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重 伤害组织的普通性秘密,其泄露会使组织的安全和利益受到伤害 仅能在组织内部或者在组织某一部门内部公开的信息,向外扩散 有可能对组织的利益造成轻微伤害可对社会公开的信息,公用的信息处理设备和系统资源等标识很高高中等低很低赋值54321 题目:编号版本号 生效日期定义完整性价值非常关键,未经授权的修改或者破坏会对组织造成重 大的或者无法接受的影响,对业务冲击重大,并可能造成严重的 业务中断,难以弥补完整性价值较高,未经授权的修改或者破坏会对组织造成重大影 响,对业务冲击严重,较难弥补完整性价值中等,未经授权的修改或者破坏会对组织造成影响, 对业务冲击明显,但可以弥补完整性价值较低,未经授权的修改或者破坏会对组织造成轻微影 响,对业务冲击轻微,容易弥补很低完整性价值非常低,未经授权的修改或者破坏对组织造成的 影响可以忽略,对业务冲击及小定义可用性价值非常高,合法使用者对信息及信息系统的可用度达 到年度 99.9%以上,或者系统不允许中断可用性价值较高,合法使用者对信息及信息系统的可用度达到 每天 90%以上,或者系统允许中断时间小于 10min可用性价值中等,合法使用者对信息及信息系统的可用度在正 常工作时间达到 70%以上,或者系统允许中断时间小于 30min标识很高高中等低赋值5432题目:编号版本号 生效日期高中等低较低标识很高赋值54321定义严重不符合信息安全管理休系要求,对组织造成无法接受的影 响,对业务冲击重大,并可能造成严重的业务中断,难以弥补。
信息安全管理制度信息安全风险评估管理程序
信息安全管理制度信息安全风险评估管理程序一、风险评估管理程序的重要性信息安全风险评估管理程序的重要性在于它能够帮助组织客观地了解当前信息系统的安全状况,识别潜在的风险和威胁,为组织制定合理的信息安全措施和安全策略提供依据。
二、风险评估管理程序的基本流程1.确定评估目标:明确评估的范围、目标和目的,并明确评估的对象,即要评估的信息系统。
2.收集信息:搜集相关信息,包括组织的政策、制度、安全需求以及系统的结构、功能、安全特性等。
3.识别风险:通过对系统进行分析,明确系统中存在的潜在威胁和漏洞,进而识别出可能的风险。
4.评估风险:对识别出的风险进行定量和定性评估,确定其对信息系统和组织的影响程度和概率。
5.制定控制措施:根据风险评估结果,制定相应的控制措施,包括技术控制和管理控制,用于降低或消除风险。
6.评估风险的效果:对采取的控制措施进行审查和评估,判断其对风险的控制效果。
7.更新评估结果:随着时间的推移,信息系统和风险环境都会发生变化,因此需要不断更新风险评估结果,保持其良好的实施效果。
三、风险评估管理程序的具体内容1.风险分级管理:根据信息资产的重要性和风险程度,将风险进行分级管理,划分为高、中、低三个等级,并制定相应的风险应对策略。
2.风险识别和评估方法:明确风险识别和评估的方法和工具,如利用漏洞扫描工具、安全测试、安全审计等方式,进行风险评估。
3.风险控制措施:根据评估结果制定风险控制措施,包括技术控制和管理控制,如加固系统、访问控制、备份和恢复、员工培训等。
4.风险监测和报告:建立风险监测和报告机制,定期对风险进行监测和分析,并生成风险报告,及时向组织高层管理层提供风险评估结果和建议。
5.风险溯源和应急响应:在发生安全事件后,利用风险溯源技术,对事件的起因进行追溯,并采取相应的应急响应措施,以降低损失。
四、风险评估管理程序的执行要求1.充分参考相关法律法规和标准,确保风险评估过程的合法性和适用性。
信息安全风险评估与管理程序
信息安全风险评估与管理程序信息安全在当今社会中越来越受到重视,各种网络攻击和数据泄漏事件频发,给企业和个人带来了巨大的损失。
为了保护信息资产的安全,许多组织和机构都建立了信息安全风险评估与管理程序。
本文将介绍这个程序的基本流程和关键步骤。
一、背景介绍信息安全风险评估与管理程序是指通过系统性的方法评估和管理信息系统中可能存在的安全风险,以保护信息资产的完整性、可用性和机密性。
该程序包括以下几个基本步骤:风险识别、风险评估、风险处理和风险监控。
二、风险识别风险识别是信息安全风险评估与管理程序的第一步,目的是识别出可能对信息系统造成威胁的因素。
在这一步中,需要对信息系统进行全面的审查和分析,包括内部和外部因素。
内部因素包括组织内部的人员、流程和技术,外部因素包括政策法规、竞争对手和供应商等。
通过对这些因素的评估,可以识别出潜在的风险。
三、风险评估风险评估是信息安全风险评估与管理程序的核心步骤,目的是评估识别到的风险对信息系统的威胁程度和潜在影响。
在这一步中,需要制定评估指标并进行数据采集和分析,包括对潜在威胁的可能性和影响程度进行评估。
通过这些评估,可以确定出风险的优先级和紧急程度。
四、风险处理风险处理是信息安全风险评估与管理程序的重要步骤,目的是采取措施来减轻风险的影响或防止风险的发生。
在这一步中,需要制定风险管理计划并实施相应的控制措施,包括技术措施、组织措施和人员培训等。
通过这些措施,可以降低风险的发生概率或减轻风险的影响程度。
五、风险监控风险监控是信息安全风险评估与管理程序的持续步骤,目的是监控已采取措施的实施效果并及时调整。
在这一步中,需要建立监控机制和指标,并定期进行风险评估和报告。
通过这些监控,可以及时发现和应对新的风险,并确保已采取措施的有效性。
六、总结与展望信息安全风险评估与管理程序是保护信息资产安全的重要工具,通过对信息系统中存在的风险进行识别、评估、处理和监控,可以有效地降低信息安全事故的发生概率和影响程度。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全风险管理程序 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】1目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。
2范围本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。
3职责3.1研发中心负责牵头成立信息安全管理委员会。
3.2信息安全管理委员会负责编制《信息安全风险评估计划》,确认评估结果,形成《风险评估报告》及《风险处理计划》。
3.3各部门负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。
4相关文件《信息安全管理手册》《GB-T20984-2007信息安全风险评估规范》《信息技术安全技术信息技术安全管理指南第3部分:IT安全管理技术》5程序5.1风险评估前准备①研发中心牵头成立信息安全管理委员会,委员会成员应包含信息安全重要责任部门的成员。
②信息安全管理委员会制定《信息安全风险评估计划》,下发各部门。
③风险评估方法-定性综合风险评估方法本项目采用的是定性的风险评估方法。
定性风险评估并不强求对构成风险的各个要素(特别是资产)进行精确的量化评价,它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准,来对风险要素进行相对的等级分化,最终得出的风险大小,只需要通过等级差别来分出风险处理的优先顺序即可。
综合评估是先识别资产并对资产进行赋值评估,得出重要资产,然后对重要资产进行详细的风险评估。
5.2资产赋值①各部门信息安全管理委员会成员对本部门资产进行识别,并进行资产赋值。
资产价值计算方法:资产价值 = 保密性赋值+完整性赋值+可用性赋值②资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估,并在此基础上得出综合结果的过程。
③确定信息类别信息分类按“资产识别参考(资产类别)”进行,信息分类不适用时,可不填写。
④机密性(C)赋值根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。
⑤完整性(I)赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。
⑥可用性(A)赋值根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
资产价值判断标准形成资产清单各部门的《重要资产调查与风险评估表》经本部门负责人审核,报管理者代表确认。
5.3判定重要资产①根据前面的资产机密性、完整性、可用性的赋值相加得到资产的价值,资产价值要素标识相对价值范围等级资产等级很高15,14,134高12,11,103一般9,8,7,62低5,4,31②按资产价值得出重要资产,资产价值为4,3的是重要资产,资产价值为2,1的是非重要资产。
③信息安全管理委员会对各部门资产识别情况进行审核,确保没有遗漏重要资产,形成各部门的《资产识别清单》。
④各部门的《资产识别清单》经本部门负责人审核,报管理者代表确认,并分发各部门存档。
5.4重要资产风险评估①应对所有的重要资产进行风险评估,评估应考虑威胁、脆弱性、威胁事件发生的可能性、威胁事件发生后对资产造成的影响程度、风险的等级、风险是否在可接受范围内及已采取的措施等方面因素。
②识别威胁威胁是对组织及其资产构成潜在破坏的可能性因素,造成威胁的因素可分为人为因素和环境因素。
威胁作用形式可以是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在保密性、完整性或可用性等方面造成损害;也可能是偶发的、或蓄意的事件。
威胁可基于表现形式分类,基于表现形式的威胁分类标准可参考下表:威胁分类表种类描述威胁子类软硬件故障对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等物理环境影响对信息系统正常运行造成影响的物理环境问题和自然灾害断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等无作为或操作失误应该执行而没有执行相应的操作,或无意执行了错误的操作维护错误、操作失误等管理不到位安全管理无法落实或不到位,从而破坏信息系统正常有序运行管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等恶意代码故意在计算机系统上执行恶意任务的程序代码病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等越权或滥用通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的权限,做出破坏信息系统的行为非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵网络探测和信息采集、漏洞探测、嗅探(帐号、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等物理攻击通过物理的接触造成对软件、硬件、数据的破坏物理接触、物理破坏、盗窃等泄密信息泄露给不应了解的他人内部信息泄露、外部信息泄露等篡改非法修改信息,破坏信息的完整性使系统的安全性降低或信息不可用篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等抵赖不承认收到的信息和所作的操作和交易原发抵赖、接收抵赖、第三方抵赖等各部门根据资产本身所处的环境条件,识别每个资产所面临的威胁。
③识别脆弱性脆弱性是对一个或多个资产弱点的总称。
脆弱性是资产本身存在的,如果没有相应的威胁发生,单纯的脆弱性本身不会对资产造成损害。
而且如果系统足够强健,再严重的威胁也不会导致安全事件,并造成损失。
即,威胁总是要利用资产的脆弱性才可能造成危害。
资产的脆弱性具有隐蔽性,有些脆弱性只有在一定条件和环境下才能显现,这是脆弱性识别中最为困难的部分。
需要注意的是,不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性。
脆弱性识别将针对每一项需要保护的资产,找出可能被威胁利用的脆弱性,并对脆弱性的严重程度进行评估。
脆弱性识别时的数据应来自于资产的所有者、使用者,以及相关业务领域的专家和软硬件方面的专业人员。
脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。
管理脆弱性又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关。
序号类别薄弱点威胁1. 环境和基础设施建筑物/门以及窗户缺少物理保护例如,可能会被偷窃这一威胁所利用●对建筑物\房间物理进入控制不充分,或松懈可能会被故意损害这一威胁所利用●电网不稳定可能会被功率波动这一威胁所利用●所处位置容易受到洪水袭击可能会被洪水这一威胁所利用2. 硬件缺少定期替换计划可能会被存储媒体退化这一威胁所利用●容易受到电压不稳定的侵扰可能会被功率波动这一威胁所利用●容易受到温度变化的侵扰可能会温度的极端变化这一威胁所利用●容易受到湿度、灰尘和污染的侵扰可能会被灰尘这一威胁所利用●对电磁辐射的敏感性可能会被电磁辐射这一威胁所利用●不充分的维护/存储媒体的错误安装可能会被维护失误这一威胁所利用●缺少有效的配置变化控制可能会被操作职员失误这一威胁所利用3. 软件开发人员的说明不清楚或不完整可能会被软件故障这一威胁所利用●没有软件测试或软件测试不充分可能会被未经授权许可的用户使用软件这一威胁所利用●复杂的用户界面可能会被操作职员失误这一威胁所利用●缺少识别和鉴定机制,如:用户鉴定可能会被冒充用户身份这一威胁所利用●缺少审核跟踪可能会被以未经授权许可的方式使用软件这一威胁所利用●软件中存在众所周知的缺陷可能会被软件未经许可的用户使用软件这一威胁所利用●口令表没有受到保护可能会被冒充用户身份这一威胁所利脆弱性识别内容表类型识别对象识别内容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别④威胁利用脆弱性发生风险之后的影响后果描述⑤风险描述⑥识别现有控制措施⑦评估威胁发生的可能性分析威胁利用脆弱性给资产造成损害的可能性。
确定各个威胁利用脆弱性造成损害的可能性。
判断每项重要资产所面临威胁发生的可能性时应注意:威胁事件本身发生的可能性;现有的安全控制措施;现存的安全脆弱性。
要素标识发生的频率等级威胁利用弱点导致危害的可能性很高出现的频率很高(或≥1 次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过5高出现的频率较高(或≥ 1 次/月);或在大多数情况下很有可能会发生;或可以证4实多次发生过一般出现的频率中等(或> 1 次/半年);或在某种情况下可能会发生;或被证实曾经发生过3低出现的频率较小;或一般不太可能发生;或没有被证实发生过2很低威胁几乎不可能发生;仅可能在非常罕见和例外的情况下发生1⑧影响程度分析影响程度指一旦威胁事件实际发生时,将给资产带来多大程度的损失。
在分析时,可以从影响相关方和影响业务连续性两个不同维度方面来评估打分。
如果改风险可能引起法律起诉,则影响程度值为最高5分。
要素标识严重程度等级威胁被利用后的严重性很高如果被威胁利用,将对公司重要资产造成重大损害5高如果被威胁利用,将对重要资产造成一般损害4一般如果被威胁利用,将对一般资产造成重要损害3低如果被威胁利用,将对一般资产造成一般损害2很低如果被威胁利用,将对资产造成的损害可以忽略1⑨风险的等级风险值由威胁发生的可能性、影响程度和资产价值这三个因素共同决定。
风险值计算方法:风险值 = 威胁发生可能性 * (威胁发生对保密性的影响+威胁发生对完整性的影响+威胁发生对可用性的影响)风险等级标准见下表:要素标识风险值范围级别可接受准则风险级别高风险>20 4风险不可接受,必须立即采取有效的措施降低风险较高风险>15 且 <=20 3风险可以接受,但需要采取进一步措施降低风险一般风险>10 且 <=152风险可以接受低风险<=101⑩建议控制措施安全措施可以分为预防性安全措施和保护性安全措施两种。