信息安全风险管理程序完整版

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息安全风险管理程序 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】

1目的

为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。

2范围

本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的

管理。

3职责

3.1研发中心

负责牵头成立信息安全管理委员会。

3.2信息安全管理委员会

负责编制《信息安全风险评估计划》,确认评估结果,形成《风险评估报告》及《风险处理计划》。

3.3各部门

负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。

4相关文件

《信息安全管理手册》

《GB-T20984-2007信息安全风险评估规范》

《信息技术安全技术信息技术安全管理指南第3部分:IT安全管理技术》

5程序

5.1风险评估前准备

①研发中心牵头成立信息安全管理委员会,委员会成员应包含信息安全重要责任

部门的成员。

②信息安全管理委员会制定《信息安全风险评估计划》,下发各部门。

③风险评估方法-定性综合风险评估方法

本项目采用的是定性的风险评估方法。定性风险评估并不强求对构成风险的各个要素(特别是资产)进行精确的量化评价,它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准,来对风险要素进行相对的等级分化,最终得出的风险大小,只需要通过等级差别来分出风险处理的优先顺序即可。

综合评估是先识别资产并对资产进行赋值评估,得出重要资产,然后对重要资产进行详细的风险评估。

5.2资产赋值

①各部门信息安全管理委员会成员对本部门资产进行识别,并进行资产赋值。

资产价值计算方法:资产价值 = 保密性赋值+完整性赋值+可用性赋值

②资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评

估,并在此基础上得出综合结果的过程。

③确定信息类别

信息分类按“资产识别参考(资产类别)”进行,信息分类不适用时,可不填写。

④机密性(C)赋值

根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。

⑤完整性(I)赋值

根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。⑥可用性(A)赋值

根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。

资产价值判断标准

形成资产清单

各部门的《重要资产调查与风险评估表》经本部门负责人审核,报管理者代表确认。

5.3判定重要资产

①根据前面的资产机密性、完整性、可用性的赋值相加得到资产的价值,资产价值

要素标识相对价值范围等级

资产等级很高15,14,134高12,11,103一般9,8,7,62低5,4,31

②按资产价值得出重要资产,资产价值为4,3的是重要资产,资产价值为2,1的

是非重要资产。

③信息安全管理委员会对各部门资产识别情况进行审核,确保没有遗漏重要资产,

形成各部门的《资产识别清单》。

④各部门的《资产识别清单》经本部门负责人审核,报管理者代表确认,并分发各

部门存档。

5.4重要资产风险评估

①应对所有的重要资产进行风险评估,评估应考虑威胁、脆弱性、威胁事件发生的

可能性、威胁事件发生后对资产造成的影响程度、风险的等级、风险是否在可接受范围内及已采取的措施等方面因素。

②识别威胁

威胁是对组织及其资产构成潜在破坏的可能性因素,造成威胁的因素可分为

人为因素和环境因素。威胁作用形式可以是对信息系统直接或间接的攻击,

例如非授权的泄露、篡改、删除等,在保密性、完整性或可用性等方面造成

损害;也可能是偶发的、或蓄意的事件。

威胁可基于表现形式分类,基于表现形式的威胁分类标准可参考下表:

威胁分类表

种类描述威胁子类

软硬件故障对业务实施或系统运行产生影响的设备

硬件故障、通讯链路中断、系统本身或

软件缺陷等问题

设备硬件故障、传输设备故障、

存储媒体故障、系统软件故障、

应用软件故障、数据库软件故

障、开发环境故障等

物理环境影响对信息系统正常运行造成影响的物理环

境问题和自然灾害

断电、静电、灰尘、潮湿、温

度、鼠蚁虫害、电磁干扰、洪

灾、火灾、地震等

无作为或操作失误应该执行而没有执行相应的操作,或无

意执行了错误的操作

维护错误、操作失误等

管理不到位安全管理无法落实或不到位,从而破坏

信息系统正常有序运行

管理制度和策略不完善、管理规

程缺失、职责不明确、监督控管

机制不健全等

恶意代码故意在计算机系统上执行恶意任务的程

序代码

病毒、特洛伊木马、蠕虫、陷

门、间谍软件、窃听软件等

越权或滥用通过采用一些措施,超越自己的权限访

问了本来无权访问的资源,或者滥用自

己的权限,做出破坏信息系统的行为

非授权访问网络资源、非授权访

问系统资源、滥用权限非正常修

改系统配置或数据、滥用权限泄

露秘密信息等

网络攻击利用工具和技术通过网络对信息系统进

行攻击和入侵

网络探测和信息采集、漏洞探

测、嗅探(帐号、口令、权限

等)、用户身份伪造和欺骗、用

户或业务数据的窃取和破坏、系

统运行的控制和破坏等

物理攻击通过物理的接触造成对软件、硬件、数

据的破坏

物理接触、物理破坏、盗窃等

泄密信息泄露给不应了解的他人内部信息泄露、外部信息泄露等

篡改非法修改信息,破坏信息的完整性使系

统的安全性降低或信息不可用

篡改网络配置信息、篡改系统配

置信息、篡改安全配置信息、篡

改用户身份信息或业务数据信息

抵赖不承认收到的信息和所作的操作和交易原发抵赖、接收抵赖、第三方抵赖等

各部门根据资产本身所处的环境条件,识别每个资产所面临的威胁。

③识别脆弱性

相关文档
最新文档