0101-信息安全风险识别与评价管理程序
ISO27001认证注意事项
ISO27001认证注意事项注意事项1.整个ISO27001从发布文件到最终评估最少4个月2.首先修改信息安全手册:公司组织架构:10人以下3.然后修改适应性声明文档;ISO27001标准的附录A很重要,适应性声明是根据附录A制定的,评估时根据适应性声明作为评估范围4.重点是管理评审和内审,至少1次,内审后至少1周之后进行管理评审5.“风险评估”每个部门必须看,重要资产清单、风险识别、评估、缓解措施很重要,针对资产风险制定的安全措施的实施记录要全6.0101-信息安全风险识别与评价管理程序:每个部门必须看,关键是资产、威胁、脆弱性赋值、风险等级评价1.重要的文档a.信息安全手册i.重要的是确定组织架构、总共的人员数量,每个部门的人员数量ii.信息安全角色和职责iii.确定授权的管理者代表b.适应性声明i.与ISO27001标准的附录A条款的对应表,确定哪些条款适用、哪些条款不适用ii.不适用的条款需要写明不适应的理由c.0101-信息安全风险识别与评价管理程序i.信息资产识别与评价ii.对资产价值、威胁、脆弱性的评分d.“风险评估”相关的记录文档2.重要的活动a.内审i.确定至少2个内审员(属于不同的部门),对公司所有部门的ISO27001遵循情况进行内审ii.至少内审1次,正式评估之前一个半月左右进行内审即可b.管理评审i.确定1个管理者代表ii.内审后一周做管理评审3.重要的资产管理a.服务器b.办公区域,门禁管理c.软件是否是正版的,正版软件需要提供正版的证明,不是正版的软件需要提供使用授权书4.文档修改要求a.发布时间为年月日b.修改公司名称、人员姓名、时间5.ISO27001体系建立与实施过程a.年月日ISO27001开始启动b.ISO27001培训(公司所有员工)i.培训签到表c.年月日体系正式发布d.资产识别与风险评估i.资产识别ii.风险评估iii.风险评估报告iv.风险处置计划(处置开始时间、结束时间)v.风险处置计划检查vi.残余风险报告e.实施记录文件f.年月日内审g.年月日管理评审6.现场审核注意事项a.灭火设备要经过检查记录b.个人办公桌面整理整洁3.网线\电线\电缆等理顺4.所有有形资产必须贴上标签5.所有电子文档准备完整,可供评估师审核6.手册,SOA,程序文件打印出来签字7.内审员、管理者代表协助评估师评估(负责提供证据,解答评估师的问题)。
信息安全 风险评估程序
信息安全风险评估程序信息安全风险评估程序是指针对一个组织或企业的信息系统进行安全风险评估的一系列程序和方法。
该程序旨在识别和评估信息系统中的潜在风险,以帮助组织采取适当的措施来降低风险。
以下是一个常见的信息安全风险评估程序的一般步骤:1. 确定评估目标:明确评估的范围和目标。
确定要评估的信息系统、网络或应用程序,并确定所需的评估结果。
2. 收集信息:收集与评估目标相关的信息和数据。
这可能包括组织的安全策略、安全控制和程序、网络架构、系统配置文件等。
3. 识别潜在威胁:分析收集的信息,识别潜在的安全威胁和漏洞。
这可能包括网络攻击、恶意软件、物理安全威胁等。
4. 评估风险:评估每个已识别的威胁的潜在风险程度。
通常使用风险矩阵或定量评估方法来衡量风险的可能性和影响程度。
5. 评估现有控制措施:评估组织已实施的安全控制措施,以确定其有效性和合规性。
这包括网络防火墙、入侵检测系统、访问控制等。
6. 确定风险等级:通过综合考虑威胁的潜在风险和现有安全控制的效果,确定每个威胁的风险等级。
这可以帮助组织确定哪些威胁是最紧迫的。
7. 提供建议和解决方案:根据评估结果,提供相应的建议和解决方案,以降低风险。
这可以包括加强现有控制、实施新的安全措施、培训员工等。
8. 编制报告:将评估结果和建议总结在一份报告中,向组织的决策者和相关人员进行报告。
报告应包括识别的威胁、风险级别和建议的解决方案。
9. 实施改进措施:根据报告中的建议和解决方案,组织应采取行动来改进信息系统的安全性。
这可能包括安全培训、更新安全控制、修补漏洞等。
10. 定期复评估:信息安全风险评估是一个持续的过程。
组织应建立定期复评估的机制,以确保其信息系统的安全性保持有效,及时应对新的安全风险。
0101-信息安全风险识别与评价管理程序
信息安全风险识别与评价管理程序1目的通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平。
2 范围适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。
3 职责与权限3.1 管理者代表组织信息安全审查小组执行信息安全风险的识别与评价;审核并批准重大信息安全风险。
3.2 风险评估小组负责编制《信息安全风险评估计划》,执行信息安全风险调查与评价,提出重大信息安全风险报告。
3.3 各部门协助信息安全风险小组的调查,参与讨论重大信息安全风险的管理办法。
4 作业说明4.1 资产识别保密性、完整性和可用性是评价资产的三个安全属性。
风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。
安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。
为此,应对组织中的资产进行识别。
在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。
这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。
在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。
根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。
表1 列出了一种资产分类方法。
表1 一种基于表现形式的资产分类方法4.2 信息类别4.2.1信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。
4.2.2 信息分类定义:a)“国家秘密事项”:《中华人民共和国保守国家秘密法》中指定的秘密事;b)“企业秘密事项”:不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害,或者由于业务上的需要仅限有关人员知道的商业秘密事项;c)“敏感信息事项”:为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项;d)“一般事项”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项;e)“公开事项”:其他可以完全公开的事项。
信息安全风险评估 一级
信息安全风险评估一级
摘要:
一、信息安全风险评估概述
二、风险评估的基本要素
三、风险评估的基本过程
四、风险评估在信息安全中的作用
正文:
信息安全风险评估是一种评估方法,用于确定信息系统的安全性和潜在威胁。
在进行信息安全风险评估时,需要考虑资产、威胁、脆弱性和风险等基本要素。
首先,资产是指信息系统的各种资源,包括硬件、软件、数据和人员等。
其次,威胁是指可能对信息系统造成损害的外部因素,例如自然灾害、人为破坏和网络攻击等。
脆弱性是指信息系统的安全漏洞或弱点,这些漏洞或弱点可能被威胁利用来攻击信息系统。
最后,风险是指威胁利用脆弱性对资产造成损害的可能性及其后果。
信息安全风险评估的基本过程包括风险评估准备过程、资产识别过程、威胁识别过程、脆弱性识别过程和风险分析过程。
在风险评估准备过程中,需要确定评估的目标、范围和标准。
在资产识别过程中,需要识别信息系统的各种资源。
在威胁识别过程中,需要分析可能对信息系统造成损害的外部因素。
在脆弱性识别过程中,需要检查信息系统的安全漏洞和弱点。
在风险分析过程中,需要评估风险的可能性及其后果,并确定风险的等级。
信息安全风险评估在信息安全中起着重要的作用。
可以帮助组织了解信息系统的安全状况,识别潜在的安全威胁和漏洞,并采取相应的措施来降低风险。
信息安全风险评估与应对作业指导书
信息安全风险评估与应对作业指导书1. 概述信息安全风险评估与应对是保证信息系统安全和数据安全的重要措施。
本文将介绍信息安全风险评估的概念和意义,以及如何进行风险评估和相应的应对措施。
2. 信息安全风险评估2.1 定义信息安全风险评估是指对信息系统及其相关资源面临的潜在威胁和可能导致损失的风险进行评估和分析的过程。
其目的是识别风险并提供决策支持,以制定相应的信息安全策略和措施。
2.2 重要性信息安全风险评估对于组织的信息安全战略至关重要。
它可以帮助组织了解潜在的风险和威胁,并采取相应的措施进行预防和应对,从而减少损失和风险。
2.3 风险评估方法2.3.1 信息收集:收集与信息系统、网络和数据安全相关的信息,包括系统架构、重要数据、网络拓扑等。
2.3.2 风险识别:根据收集到的信息,识别出潜在的风险和威胁,包括人为因素、技术因素和自然因素等。
2.3.3 风险评估:对已识别的风险进行评估,包括风险的概率、影响程度和严重性等。
2.3.4 风险报告:根据风险评估的结果,生成详细的风险报告,包括风险清单、风险级别和建议的应对措施等。
3. 信息安全风险应对措施3.1 风险规避风险规避是指通过采取相应的措施,降低风险的发生概率或避免风险的发生。
例如,加强访问控制、修补漏洞、更新安全补丁等。
3.2 风险转移风险转移是指将风险转移给第三方,通过购买保险或签订合同等方式来管理风险。
例如,购买网络安全保险,以减少组织承担的风险。
3.3 风险缓解风险缓解是指通过采取相应的措施,减少风险的影响和损失。
例如,制定应急响应计划、备份重要数据和建立灾备机制等。
3.4 风险接受风险接受是指组织选择不对风险采取进一步的措施,而是接受风险的存在和可能带来的损失。
这通常是一种权衡成本和效益的决策。
4. 信息安全风险评估与应对实施步骤4.1 制定风险评估计划:明确评估的目标、范围和方法,确定评估团队和时间计划。
4.2 收集信息:收集与风险评估相关的信息,包括系统架构、重要数据、安全政策和流程等。
信息安全风险评估与处理规范
信息安全风险评估与处理规范一、引言随着信息技术的快速发展,信息安全面临着越来越多的威胁与风险。
为了保护信息系统的安全与可靠运行,确保敏感信息的保密性、完整性和可用性,信息安全风险评估与处理成为了至关重要的工作。
本文将介绍信息安全风险评估与处理的规范与方法。
二、信息安全风险评估1. 信息安全风险评估的概念信息安全风险评估是指对信息系统中存在的潜在威胁和可能损害的情况进行量化评估和分析,确定风险等级,为制定安全防护策略和措施提供依据。
2. 信息安全风险评估的步骤(1)确定评估目标:明确评估范围和目标,包括评估的系统、网络、数据等要素。
(2)风险识别:通过调查、访谈、检查等方式,确定可能存在的风险源。
(3)风险分析与评估:对识别出的风险进行分析和评估,包括潜在损失的大小、风险的概率等。
(4)确定风险等级:根据评估结果,对不同风险进行等级划分,为后续的处理提供依据。
(5)编制评估报告:撰写详细的评估报告,包括风险描述、评估结果、风险等级分析等内容。
三、信息安全风险处理1. 信息安全风险处理的原则(1)防范优先:通过采取各种措施,降低风险的产生概率。
(2)综合治理:采取综合的安全防护策略,包括技术、管理和人员方面的措施,全面提高信息系统的安全性。
(3)动态管理:随时关注信息系统的安全状况,及时调整策略和措施。
2. 信息安全风险处理的具体方法(1)风险避免:通过移除潜在风险源或改变系统结构来避免风险的发生。
(2)风险减轻:采取措施减少风险的损害程度,如备份数据、建立灾难恢复机制等。
(3)风险转移:将部分风险转移给他方,如购买保险等方式。
(4)风险控制:通过合理的权限管理、访问控制等措施,控制风险的范围和影响。
四、信息安全风险评估与处理的重要性1. 保护用户隐私:信息安全风险评估与处理能有效保护个人信息和敏感数据的安全,防止用户隐私泄露。
2. 维护企业声誉:及时评估和处理信息安全风险,能够避免信息系统遭受攻击或数据泄露,维护企业声誉和客户信任。
ISMS-B-01信息安全风险管理程序
深圳市ABC有限公司信息安全风险管理程序编号:ISMS-B-01版本号:V1.0编制:AAA 日期:2023-11-01 审核:BBB 日期:2023-11-01 批准:CCC 日期:2023-11-01受控状态1 目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。
2 范围本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。
3 职责3.1 信息安全管理小组负责牵头成立风险评估小组。
3.2 风险评估小组负责编制《信息安全风险评估计划》,确认评估结果,形成《信息安全风险评估报告》。
3.3 各部门负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。
4 相关文件《信息安全管理手册》《商业秘密管理程序》5 程序5.1 风险评估前准备5.1.1 成立风险评估小组信息安全小组牵头成立风险评估小组,小组成员应包含信息安全重要责任部门的成员。
5.1.2 制定计划风险评估小组制定《信息安全风险评估计划》,下发各部门。
5.2 资产赋值5.2.1 部门赋值各部门风险评估小组成员识别本部门资产,并进行资产赋值。
5.2.2 赋值计算资产赋值的过程是对资产在保密性、完整性、可用性的达成程度进行分析,并在此基础上得出综合结果的过程。
5.2.3 保密性(C)赋值根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。
5.2.4 完整性(I)赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。
完整性(I)赋值的方法5.2.5 可用性(A)赋值根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
可用性(A)赋值的方法5.2.7 导出资产清单识别出来的信息资产需要详细登记在《信息资产清单》中。
信息安全评估制度流程图
信息安全评估制度流程图
信息安全评估制度流程图是为了确保组织或企业的信息系统与数据得到有效保护而建立的一套规章制度和流程。
以下是一份简化的信息安全评估制度流程图。
1. 定义评估目标:确定评估的目的和范围,明确需要评估的信息系统和数据。
2. 筹备评估:准备评估所需的资源,包括评估人员、评估工具和评估计划。
3. 收集信息:收集与评估目标相关的信息,包括组织结构、业务流程、信息系统架构等。
4. 分析风险:对收集到的信息进行风险分析,识别可能存在的安全漏洞和威胁。
5. 评估安全控制措施:对组织已有的安全控制措施进行评估,判断其有效性和适用性。
6. 制定改进措施:根据评估结果,制定改进信息安全的措施和建议,并确定优先级。
7. 实施改进措施:根据制定的改进措施,组织实施相应的信息安全措施,包括技术和管理措施。
8. 监控和审计:定期对信息安全控制措施进行监控和审计,确
保其得到有效执行。
9. 重新评估:定期重新进行信息安全评估,以评估组织信息安全措施的有效性和适用性。
10. 报告和沟通:编写评估报告,向组织管理层和相关利益相关方沟通评估结果和改进建议。
11. 学习和改进:根据评估结果和沟通反馈,及时学习和改进信息安全评估制度,提高其有效性和适用性。
以上是一个简化的信息安全评估制度流程图,通过执行这些步骤,组织可以不断提升信息安全水平,保护重要数据和系统资源。
当然,实际的信息安全评估流程可能因组织的规模和需求而有所不同,但核心原则始终是确保信息系统和数据的安全和保护。
信息安全风险识别与评价管理程序
一、目的:通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平。
二、范围:适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。
三、责任:3.1管理者代表信息中心执行信息安全风险的识别与评价;审核并批准重大信息安全风险,并负责编制《信息资产风险评估准则》,执行信息安全风险调查与评价,提出重大信息安全风险报告。
3.2各部门协助信息中心的调查,参与讨论重大信息安全风险的管理办法。
四、内容:4.1资产识别保密性、完整性和可用性是评价资产的三个安全属性。
风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。
安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。
为此,应对组织中的资产进行识别。
在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。
这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。
在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。
根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。
表列出了一种资产分类方法4.2信息类别421信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。
4.2.2信息分类定义:a) “国家秘密事项”:《中华人民共和国保守国家秘密法》中指定的秘密事;b) “企业秘密事项”:不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害,或者由于业务上的需要仅限有关人员知道的商业秘密事项;c) “敏感信息事项”:为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项;d) “一般事项”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项;e) “公开事项”:其他可以完全公开的事项。
信息安全风险评估管理程序
信息安全风险评估管理程序信息安全风险评估管理程序1.目的在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施处理风险。
2.范围在ISMS 覆盖范围内主要信息资产3.职责3.1各部门负责部门内部资产的识别,确定资产价值。
3.2ISMS小组负责风险评估和制订控制措施和信息系统运行的批准。
4.内容4.1资产的识别4.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别,确定资产价值。
4.1.2资产分类根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。
4.1.3资产赋值资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值等级作为资产的最终赋值结果。
资产等级划分为五级,分别代表资产重要性的高低。
等级数值越大,资产价值越高。
1)机密性赋值根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。
2)完整性赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。
3)可用性赋值根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
3分以上为重要资产,重要信息资产由IT 部门确立清单4.2威胁识别4.2.1威胁分类对重要资产应由ISMS小组识别其面临的威胁。
针对威胁来源,根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。
4.2.2威胁赋值评估者应根据经验和(或)有关的统计数据来判断威胁出现的频率。
威胁频率等级划分为五级,分别代表威胁出现的频率的高低。
信息安全风险评估流程
信息安全风险评估流程信息安全是当今社会中非常重要的一环,它关系到个人隐私、企业机密及国家安全等诸多方面。
然而,在信息技术飞速发展的当下,各种网络攻击和数据泄露事件频发,给信息安全带来了前所未有的挑战。
为了有效管理和防范信息安全风险,信息安全风险评估流程应运而生。
信息安全风险评估流程是指通过系统化的方法来识别、评估和管理信息系统中的潜在风险。
下面将详细介绍信息安全风险评估流程的各个环节。
一、风险识别阶段风险识别是信息安全风险评估的起点。
在这个阶段,需要对目标系统进行全面的调查和研究,包括了解系统的架构、功能、流程以及与外界系统的联系等。
通过分析系统的各种可能存在的威胁和漏洞,可以初步确定系统内的潜在风险。
二、风险评估阶段风险评估是对风险的严重性和可能性进行评估的过程。
在评估过程中,可以采用定性和定量两种方法。
定性评估是根据专业知识和经验对风险进行主观判断,而定量评估则是通过数据和统计分析来量化风险。
通过综合分析风险评估结果,可以对风险进行排序和分类,以便后续的风险管理和决策。
三、风险管理阶段风险管理是针对已识别和评估出来的风险,采取相应的措施进行防范和控制的过程。
在这个阶段,需要根据风险评估的结果,制定相应的风险应对策略,并在组织内部推行。
这些策略可能包括技术措施、管理措施和培训措施等。
同时,还需要建立风险监测和反馈机制,及时发现和处理新的风险。
四、风险审计阶段风险审计是对风险管理措施的有效性和合规性进行检查和审查的过程。
在这个阶段,需要对风险管理的执行情况和效果进行评估,并进行相关记录和报告。
通过风险审计的结果,可以发现和纠正风险管理过程中的问题,并进一步完善风险管理策略。
五、风险应对阶段风险应对是指当风险发生时,及时采取措施进行应对和处理的过程。
在这个阶段,需要制定灾难恢复计划、业务连续性计划和紧急响应计划等,以便在风险事件发生时能够迅速应对。
同时,还需要对风险事件进行及时的跟踪和复查,以确保风险得到有效控制和管理。
信息安全风险评估项目流程
信息安全风险评估项目流程1.制定项目计划:确定项目的目标、范围、进度和资源需求等。
制定项目计划的关键是明确项目的目标和范围,确保项目执行的顺利进行。
2.收集信息:收集组织的相关信息,包括组织的业务流程、信息系统、网络架构、安全策略和控制措施等。
收集信息的目的是了解组织信息系统的现状,为后续的风险评估提供基础。
3.识别资产:确定组织的关键资产,包括信息系统、数据、硬件设备和软件等。
识别资产的关键是找到组织最重要和最敏感的资产,以便后续评估风险。
4.识别威胁:确定可能对组织资产造成损害的威胁,包括内部和外部的威胁。
识别威胁的关键是了解当前的威胁情况,以便分析和评估风险。
5.评估脆弱性:分析和评估组织的安全漏洞和脆弱性,包括硬件、软件、网络和人员等。
评估脆弱性的关键是识别存在的潜在风险,以便后续确定相应的控制措施。
6.分析风险:将识别到的威胁和脆弱性与资产关联起来,分析和评估风险的可能性和影响。
分析风险的关键是根据具体情况对风险进行定量或定性的评估,以便制定相应的风险应对策略。
7.确定风险级别:根据风险的可能性和影响,确定风险的级别,以便组织有针对性地制定风险控制措施。
确定风险级别的关键是综合考虑多个因素,使评估结果尽可能客观和准确。
8.提供控制建议:根据评估结果,向组织提供风险控制的建议和措施,包括技术、管理和组织等方面的控制措施。
提供控制建议的关键是综合考虑实施的可行性和效果,以便组织能够有效地管理和控制风险。
9.撰写报告:编写评估报告,将整个评估过程、结果和建议进行记录和归档。
报告的内容包括项目计划、信息收集、资产识别、威胁识别、脆弱性评估、风险分析、控制建议和风险级别等。
报告的关键是准确、全面和易懂,以便组织能够根据报告制定相应的措施。
10.监控和改进:定期监控和评估组织的信息安全状况,及时修复漏洞,改进和完善信息安全管理措施。
监控和改进的关键是持续改进,不断提高信息安全管理的水平和效果。
总结而言,信息安全风险评估项目流程是一个系统性的过程,涉及多个环节和步骤,需要全面、准确和客观地识别、评估和控制组织面临的信息安全风险,以确保组织的信息安全管理得到有效的支持和保障。
信息安全风险辨识评估分级管控管理制度
信息安全风险辨识评估分级管控管理制度一、概述本制度旨在规范信息安全风险辨识评估分级管控管理,确保信息系统、网络等相关设施安全可靠,保护信息资源的机密性、完整性和可用性,保障公司的正常运营。
二、辨识与评估1. 信息安全风险辨识应遵循以下原则:- 全面辨识:针对公司涉及到的各个业务应用及信息系统,全面辨识可能出现的威胁和弱点。
- 合理分类:将辨识出的风险按照种类和级别进行分类,并制定相应的处理方案。
- 及时更新:定期或不定期进行辨识评估工作,及时发现新的风险。
2. 信息安全风险评估应遵循以下原则:- 综合评估:审慎评估各项风险,结合实际情况,提出可行和有效的处理措施。
- 风险分级:将风险根据其威胁等级分为高、中、低三个等级,每个等级制定相应的防范及处理措施,明确责任人。
- 及时跟踪:对评估结果进行跟踪,确保风险控制措施的实施和有效性。
三、管控与管理1. 信息安全风险管控应遵循以下原则:- 原则上避免风险:避免有安全风险的委托业务,避免购买不安全的软件和硬件产品,并对信息系统进行规范化管理,确保系统漏洞及时修复。
- 强化安全保护:对三个等级的风险分别进行防范及处理措施的制定和实施,确保各项安全措施到位。
- 健全检测机制:对信息设备及软、硬件的网络和电力设施进行安全检查,及时发现和防范有可能的安全风险。
2. 信息安全风险管理应遵循以下原则:- 全员参与:全员参与信息安全风险管理,建立信息安全意识,维护公司信息安全。
- 责任明确:明确各部门的信息安全保密责任,并采取有效措施,防止信息泄露。
- 持续改进:信息安全风险管理是一个动态过程,需要各部门和员工共同努力,持续完善和改进安全管理制度。
四、总则本制度适用于公司各项业务,各部门和员工必须遵守本制度,如有违反,要承担相应的法律和经济责任。
公司设有信息安全管理部门,对此制度进行解释和管理。
信息安全风险评估 一级
信息安全风险评估一级摘要:一、信息安全风险评估概述二、一级信息安全风险评估标准三、一级信息安全风险评估方法与流程四、一级信息安全风险评估实践案例五、提升一级信息安全风险评估能力的建议正文:一、信息安全风险评估概述信息安全风险评估是指对信息系统、网络、数据等各类资产的安全性进行评估,以识别潜在的安全威胁和漏洞,评估安全事件对组织的影响,并为制定安全防护措施提供依据。
在一级信息安全风险评估中,评估对象包括组织内部的信息系统、网络设备、应用软件等。
二、一级信息安全风险评估标准根据我国相关法律法规和行业标准,一级信息安全风险评估应遵循以下几个方面的标准:1.法律法规:包括《网络安全法》、《信息安全法》等,要求组织对信息安全风险进行评估,以确保合规性。
2.信息安全等级保护基本要求:根据信息系统的重要程度,分为五个等级,分别对应不同的安全防护要求。
3.信息安全风险评估规范:明确了风险评估的目标、范围、方法、流程和报告要求。
三、一级信息安全风险评估方法与流程一级信息安全风险评估主要包括以下几个步骤:1.确定评估对象和目标:根据信息系统的业务特性和安全需求,明确评估的范围和目标。
2.收集和分析信息:通过问卷调查、现场勘查、访谈等方式,收集评估对象的相关信息,进行分析。
3.识别安全威胁和风险:分析评估对象的安全漏洞和潜在威胁,确定风险类型和等级。
4.评估安全防护措施的有效性:评估现有安全措施是否能够有效应对安全威胁,提出改进措施。
5.评估安全事件的影响:分析安全事件对业务运营、数据泄露等方面的影响,制定应急响应措施。
6.撰写评估报告:汇总评估结果,提出整改建议,形成评估报告。
四、一级信息安全风险评估实践案例以下是一个一级信息安全风险评估实践案例:某大型金融机构在进行一级信息安全风险评估时,发现网络设备安全配置不完善,存在弱口令、未关闭不必要的服务等问题。
评估组提出了加强设备安全配置、定期更新安全策略等整改措施。
金融机构按照评估报告进行整改,有效降低了信息安全风险。
信息安全风险评估与应对措施作业指导书
信息安全风险评估与应对措施作业指导书第1章引言 (4)1.1 背景与目的 (4)1.2 适用范围 (4)1.3 参考文献 (4)第2章信息安全风险评估基础 (4)2.1 风险评估概念 (5)2.2 风险评估方法 (5)2.2.1 定性评估方法 (5)2.2.2 定量评估方法 (5)2.3 风险评估流程 (5)第3章组织结构与职责 (6)3.1 组织结构 (6)3.1.1 管理层 (6)3.1.2 执行层 (6)3.1.3 支持层 (7)3.2 职责分配 (7)3.2.1 管理层 (7)3.2.2 执行层 (7)3.2.3 支持层 (7)3.3 协同工作 (7)第4章风险识别 (7)4.1 资产识别 (8)4.1.1 硬件资产识别 (8)4.1.2 软件资产识别 (8)4.1.3 数据资产识别 (8)4.1.4 人力资源识别 (8)4.2 威胁识别 (8)4.2.1 内部威胁 (8)4.2.2 外部威胁 (8)4.2.3 意外威胁 (9)4.3 脆弱性识别 (9)4.3.1 硬件脆弱性 (9)4.3.2 软件脆弱性 (9)4.3.3 数据脆弱性 (9)4.3.4 管理脆弱性 (9)4.4 风险识别 (9)4.4.1 风险识别方法 (9)4.4.2 风险识别过程 (9)4.4.3 风险记录 (10)第5章风险分析 (10)5.1 风险概率评估 (10)5.1.2 风险概率评估流程 (10)5.2 风险影响评估 (10)5.2.1 评估方法 (10)5.2.2 风险影响评估流程 (10)5.3 风险等级划分 (11)5.3.1 划分依据 (11)5.3.2 风险等级划分流程 (11)第6章风险评价与决策 (11)6.1 风险评价方法 (11)6.1.1 定性风险评价 (11)6.1.2 定量风险评价 (11)6.1.3 混合风险评价 (11)6.2 风险评价过程 (11)6.2.1 风险识别 (11)6.2.2 风险分析 (11)6.2.3 风险评估 (12)6.2.4 风险排序 (12)6.3 风险决策 (12)6.3.1 风险接受准则 (12)6.3.2 风险应对策略 (12)6.3.3 风险监测与调整 (12)6.3.4 风险沟通与报告 (12)第7章应对措施制定 (12)7.1 应对措施类型 (12)7.1.1 防护措施 (12)7.1.2 缓解措施 (13)7.1.3 转移措施 (13)7.2 应对措施选择 (13)7.2.1 风险优先级 (13)7.2.2 成本效益 (13)7.2.3 系统性 (13)7.2.4 可行性 (13)7.3 应对措施实施 (13)7.3.1 制定实施计划 (13)7.3.2 资源配置 (13)7.3.3 实施与监督 (14)7.3.4 效果评估 (14)7.3.5 持续改进 (14)第8章应对措施实施与监督 (14)8.1 实施计划 (14)8.1.1 制定实施步骤 (14)8.1.2 确定时间表 (14)8.1.3 责任分配 (14)8.2 资源配置 (14)8.2.1 人力资源配置 (14)8.2.2 物力资源配置 (15)8.2.3 财力资源配置 (15)8.3 实施过程监督 (15)8.3.1 监督机制 (15)8.3.2 沟通协调 (15)8.3.3 风险监控 (15)8.4 效果评估 (15)8.4.1 评估方法 (15)8.4.2 评估指标 (15)8.4.3 评估结果应用 (15)第9章风险沟通与培训 (15)9.1 风险沟通策略 (16)9.1.1 沟通目标 (16)9.1.2 沟通对象 (16)9.1.3 沟通方式 (16)9.1.4 信息披露 (16)9.2 内部沟通 (16)9.2.1 风险信息共享 (16)9.2.2 部门间协作 (16)9.2.3 员工参与 (16)9.3 外部沟通 (16)9.3.1 部门 (16)9.3.2 合作伙伴 (16)9.3.3 客户与公众 (17)9.4 培训与意识提升 (17)9.4.1 培训计划 (17)9.4.2 培训内容 (17)9.4.3 意识提升 (17)9.4.4 培训效果评估 (17)第10章持续改进与监控 (17)10.1 监控机制 (17)10.1.1 风险监控 (17)10.1.2 变更管理 (17)10.1.3 事件管理 (17)10.2 评估周期 (17)10.2.1 定期评估 (17)10.2.2 按需评估 (18)10.3 持续改进策略 (18)10.3.1 风险管理优化 (18)10.3.2 培训与宣传 (18)10.3.3 技术创新与应用 (18)10.4 风险管理成熟度评估 (18)10.4.1 成熟度模型 (18)10.4.2 成熟度评估 (18)10.4.3 持续改进 (18)第1章引言1.1 背景与目的信息技术的飞速发展,企业和组织对信息系统的依赖程度日益加深。
信息安全风险评估管理程序
:A1:第页共页1适用本程序适用于本公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。
2目的本程序规定了本公司所采用的信息安全风险评估方法。
通过识别信息资产、风险等级评估,认知本公司的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持本公司业务持续性发展,以满足本公司信息安全管理方针的要求。
具体操作步骤,参照《信息安全风险评估指南》具体执行。
3范围本程序适用于第一次完整的风险评估和定期的再评估。
在辨识资产时,本着尽量细化的原则进行,但在评估时我司又会把资产按照系统进行规划。
辨识与评估的重点是信息资产,不区分物理资产、软件和硬件。
4职责4.1成立风险评估小组4.2策划与实施风险评估小组每年至少一次,或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后,负责编制信息安全风险评估计划,确认评估结果,形成《信息安全风险评估报告》。
4.3信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别和风险评估,并负责本部门所涉及的信息资产的具体安全控制工作。
4.3.1各部门负责人负责本部门的信息资产识别。
4.3.2管理部经理负责汇总、校对全公司的信息资产。
4.3.3管理部负责风险评估的策划。
4.3.4信息安全委员会负责进行第一次评估与定期的再评估。
5程序4.1风险评估前准备4.1.1管理部牵头成立风险评估小组,小组成员至少应该包含:信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。
4.2信息资产的识别5.2.1本公司的资产范围包括:5.2.1.1信息资产1)软件资产:应用软件、系统软件、开发工具和适用程序。
2)物理资产:计算机设备、通讯设备、可移动介质和其他设备。
3)服务:培训服务、租赁服务、公用设施(能源、电力)。
4)人员:人员的资格、技能和经验。
5)无形资产:组织的声誉、商标、形象。
5.2.1.2本公司的资产范围包括:数据库、数据文件、数据合同、系统文件、研究信息、培训教材、培训操作、培训软件、支持性程序、业务连续性计划、应变安排、审核记录、审核的追踪、归档信息。
信息安全风险评估与应对管理制度
信息安全风险评估与应对管理制度第一章总则第一条目的和依据为了保护企业的信息资产安全,防范信息安全风险,提高企业信息安全管理水平,订立本制度。
本制度依据企业信息安全管理的相关法律法规、国家标准、行业规范以及企业内部相关规定等依据。
第二条适用范围本制度适用于企业内部全部员工、外包人员及合作伙伴。
第二章信息安全风险评估第三条定义1.信息安全风险评估:指对企业的信息系统及信息资产进行识别、评估、排序和管理的过程,以确定信息安全的风险程度。
2.信息系统和信息资产:指企业所拥有和使用的全部涉及信息的计算机系统、网络设备、软件、数据文件及其他信息资料。
3.风险等级:依据信息安全风险评估结果,对风险进行分级,以引导后续的风险应对措施的订立。
第四条信息安全风险评估流程1.信息安全风险评估包含以下步骤:–确定评估范围:确定评估的信息系统、信息资产范围,包含涉及的硬件、软件、数据和人员等要素。
–识别信息安全风险:对所评估的信息系统、信息资产进行全面、系统地识别信息安全威逼,包含内部和外部威逼等。
–评估风险等级:依据信息安全风险的可能性和影响程度,对风险进行评估,划分风险等级。
–订立风险应对措施:依据风险等级,提出相应的风险应对措施,包含风险防范、事故应急预案等。
–定期更新评估:定期对信息安全风险进行评估更新,确保评估的准确性和有效性。
2.信息安全风险评估应由企业内部的信息安全团队或专业的安全机构进行,必需时可以委托外部专业机构参加。
第五条信息安全风险评估要素1.影响因素:包含信息系统和信息资产的紧要性、敏感性、可用性、完整性和机密性等。
2.威逼因素:包含自然祸害、恶意攻击、人为疏忽等。
3.风险评估方法:可采用定性评估和定量评估相结合的方式,利用各种风险评估模型和方法进行评估分析。
第三章信息安全风险应对管理第六条风险防范措施1.基础设施保护:加强对信息系统和信息资产的物理和逻辑安全措施,包含设备的安全管理、网络隔离、数据备份等。
信息安全风险自评估规范
信息安全风险自评估规范信息安全风险自评估规范是指组织内部对信息安全风险进行自我评估的一套规范和流程。
以下是一份关于信息安全风险自评估的规范,以确保组织能够准确识别和评估可能的信息安全风险。
1. 评估范围明确:确定需要评估的信息系统、网络和数据范围。
考虑业务关键性、数据敏感性和安全要求,确保包含了所有与信息安全相关的部分。
2. 风险识别和分类:对潜在的信息安全风险进行系统性分析和识别。
将风险分为技术风险、组织风险、人员风险和外部风险等类别,以全面了解和评估可能的风险来源。
3. 风险分析和评估:对识别出的风险进行深入分析和评估。
考虑到风险的概率和严重程度,确定风险的影响和可能性。
根据评估结果,对风险进行优先级排序,并制定相应的处理措施。
4. 控制措施制定:基于评估结果,确定适当的控制措施。
这些措施可以包括技术措施、组织管理措施和人员培训等。
确保控制措施能够降低风险,并在必要时及时应对和修复。
5. 风险监控和追踪:建立信息安全风险监控和追踪机制。
及时检测风险事件的发生和变化,确保监控措施的有效性。
根据情况,进行风险追踪和溯源,以便快速响应和处理。
6. 绩效评估和改进:对评估过程的绩效进行评估和改进。
根据评估结果,检查和改进评估方法和流程,提高评估的准确性和可靠性。
可以根据评估结果,调整和改善控制措施。
7. 内外部合规要求:遵守法律法规和行业内的信息安全合规要求。
确保评估符合相关的内部和外部连贯性,满足监管和合规性的要求。
8. 保密性和完整性:对评估过程中涉及的信息进行保密和完整性保护。
防止评估结果被意外泄露或篡改,确保评估的客观性和可靠性。
以上是一份关于信息安全风险自评估规范的简要说明。
组织可以根据自身情况和需求,在这个基础上进行进一步细化和定制,确保评估流程的有效性和可操作性。
信息安全等级评估的方法和流程 (3)
信息安全等级评估的方法和流程
信息安全等级评估的方法和流程
信息安全等级评估是衡量一个组织信息安全状况的重要过程。
以下是信息安全等级评估的方法和流程:
1.确定测评对象
首先,需要确定要评估的对象,包括组织内部的各种信息系统、网络、服务器、数据库等。
2.选取测评指标
根据组织的信息安全需求和相关标准,选取合适的测评指标,包括保密性、完整性、可用性、可靠性、安全性、合规性等方面的指标。
3.选取测评方法
根据测评指标,选取适当的测评方法,包括漏洞扫描、渗透测试、安全审计、日志分析等。
4.执行测评
按照选取的测评方法和指标,对确定的对象进行实际测评,收集相关的数据和信息。
5.分析测评结果
对收集到的数据和信息进行分析,识别出组织在信息安全方面的优势和不足,找出存在的安全隐患和漏洞。
6.提出改进建议
根据分析结果,提出相应的改进建议,包括加强安全管理制度、提升技术防御能力、完善人员培训等方面的措施。
7.提交测评报告
将整个测评过程的结果和分析以报告的形式呈现,包括测评对象的描述、测评指标的选取、测评方法的实施、数据信息的分析、改进建议的提出等。
以上是信息安全等级评估的一般方法和流程,实际操作中可以根据组织的具体情况进行适当的调整和完善。
信息安全等级评估的目的是帮助组织了解其信息安全状况,及时发现和解决存在的安全问题,提高信息安全的保障能力。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全风险识别与评价管理程序1目的通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平。
2 范围适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。
3 职责与权限3.1 管理者代表组织信息安全审查小组执行信息安全风险的识别与评价;审核并批准重大信息安全风险。
3.2 风险评估小组负责编制《信息安全风险评估计划》,执行信息安全风险调查与评价,提出重大信息安全风险报告。
3.3 各部门协助信息安全风险小组的调查,参与讨论重大信息安全风险的管理办法。
4 作业说明4.1 资产识别保密性、完整性和可用性是评价资产的三个安全属性。
风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。
安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。
为此,应对组织中的资产进行识别。
在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。
这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。
在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。
根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。
表1 列出了一种资产分类方法。
表1 一种基于表现形式的资产分类方法类别简称解释/示例数据Data 存在电子媒介的各种数据资料,包括源代码、数据库数据,各种数据资料、系统文档、运行管理过程、计划、报告、用户手册等。
软件Software 应用软件、系统软件、开发工具和资源库等。
服务Service 软件维护等硬件Hardware 计算机硬件、路由器,交换机。
硬件防火墙。
程控交换机、布线、备份存储文档Document 纸质的各种文件、传真、电报、财务报告、发展计划。
设备Facility 电源、空调、保险柜、文件柜、门禁、消防设施等人员HR 各级人员和雇主、合同方雇员其它Other 企业形象、客户关系等4.2 信息类别4.2.1信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。
4.2.2 信息分类定义:a)“国家秘密事项”:《中华人民共和国保守国家秘密法》中指定的秘密事;b)“企业秘密事项”:不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害,或者由于业务上的需要仅限有关人员知道的商业秘密事项;c)“敏感信息事项”:为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项;d)“一般事项”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项;e)“公开事项”:其他可以完全公开的事项。
4.2.3 信息分类不适用时,可不填写。
5 风险评估实施5.1 资产赋值5.1.1 保密性赋值根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。
表2 提供了一种保密性赋值的参考。
赋值标识定义5 很高包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害4 高包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害3 中等组织的一般性秘密,其泄露会使组织的安全和利益受到损害2 低仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害1 很低可对社会公开的信息,公用的信息处理设备和系统资源等5.1.2 完整性赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响。
表3 提供了一种完整性赋值的参考。
表3 资产完整性赋值表赋值标识定义5 很高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补4 高完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补3 中等完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补2 低完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补1 较低很低完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击及小5.1.3 可用性赋值根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上应达成的不同程度。
表4 提供了一种可用性赋值的参考。
表4 资产可用性赋值表赋值标识定义5 很高可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断4 高可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10min3 中等可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30min2 低可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60min1 很低可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%5.1.4 合规性赋值根据资产在法律、法规、上级规定、合同协议符合性上的不同要求,将其分为五个不同的等级,分别对应资产在符合法律、法律、上级规定、合同协议的不同程度。
表5 资产合规性赋值表赋值标识定义5 很高严重不符合信息安全管理休系要求,对组织造成无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补。
4 高不符合信息安全管理体系要求,对组织造成重大影响,对业务冲击严重,较难弥补。
3 中等与信息安全管理体系具体要求有冲突,对组织造成影响,对业务冲击明显,但可以弥补。
2 低与信息安全管理体系具体条款要求存在轻微的不符合,对组织造成轻微影响,对业务冲击轻微,容易弥补。
1 很低符合信息安全管理体系要求,但需持续改进,对组织造成的影响可以忽略,对业务冲击及小。
5.2 资产重要性等级资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。
综合评定方法可以根据自身的特点,选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果;也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。
加权方法可根据组织的业务特点确定。
本标准中,为与上述安全属性的赋值相对应,根据最终赋值将资产划分为五级,级别越高表示资产越重要,3级以及3级以上为重要资产,3级以下为非重要资产,并以此形成《重要信息资产清单》。
表6 中的资产等级划分表明了不同等级的重要性的综合描述。
评估者可根据资产赋值结果,确定重要资产的范围,并主要围绕重要资产进行下一步的风险评估。
资产价值=C*I*A*H表6 资产等级及含义描述等级标识描述5 很高非常重要,其安全属性破坏后可能对组织造成非常严重的损失4 高重要,其安全属性破坏后可能对组织造成比较严重的损失3 中等比较重要,其安全属性破坏后可能对组织造成中等程度的损失2 低不太重要,其安全属性破坏后可能对组织造成较低的损失1 很低不重要,其安全属性破坏后对组织造成导很小的损失,甚至忽略不计表6.1 资产价值等级划分资产值1-25 26-55 56-175 176-395 396-625资产等级 1 2 3 4 55.3 威胁识别5.3.1 威胁分类威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。
造成威胁的因素可分为人为因素和环境因素。
根据威胁的动机,人为因素又可分为恶意和非恶意两种。
环境因素包括自然界不可抗的因素和其它物理因素。
威胁作用形式可以是对信息系统直接或间接的攻击,在保密性、完整性和可用性等方面造成损害;也可能是偶发的、或蓄意的事件。
在对威胁进行分类前,应考虑威胁的来源。
表7 提供了一种威胁来源的分类方法。
表7 威胁来源列表来源描述环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益外部人员利用信息系统的脆弱性,对网络或系统的保密性、完整性和可用性进行破坏,以获取利益或炫耀能力非恶意人员内部人员由于缺乏责任心,或者由于不关心或不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击对威胁进行分类的方式有多种,针对上表的威胁来源,可以根据其表现形式将威胁主要分为以下几类。
表8 提供了一种基于表现形式的威胁分类方法。
表8 一种基于表现形式的威胁分类表种类描述威胁子类软硬件故障对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等物理环境影响对信息系统正常运行造成影响的物理环境问题和自然灾害断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等无作为或操作失误应该执行而没有执行相应的操作,或无意执行了错误的操作维护错误、操作失误等管理不到位安全管理无法落实或不到位,从而破坏信息系统正常有序运行管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等恶意代码故意在计算机系统上执行恶意任务的程序代码病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等越权或滥用通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥非授权访问网络资源、非授权访问系统资源、滥用权限非正常修用自己的权限,做出破坏信息系统的行为改系统配置或数据、滥用权限泄露秘密信息等网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵网络探测和信息采集、漏洞探测、嗅探(帐号、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等物理攻击通过物理的接触造成对软件、硬件、数据的破坏物理接触、物理破坏、盗窃等泄密信息泄露给不应了解的他人内部信息泄露、外部信息泄露等篡改非法修改信息,破坏信息的完整性使系统的安全性降低或信息不可用篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等抵赖不承认收到的信息和所作的操作和交易原发抵赖、接收抵赖、第三方抵赖等5.3.2 威胁赋值判断威胁出现的频率是威胁赋值的重要内容,评估者应根据经验和(或)有关的统计数据来进行判断。