1-信息安全风险评估准及常见威胁、脆弱性
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
风险评估准则
资产价值计算方法:资产价值 = 保密性赋值+完整性赋值+可用性赋值
风险值计算方法: 风 险 值 = 资产等级+威胁性赋值+脆弱性赋值
资产等级、风险等级评定方法:见下
要素准则数据资产实体资产软件资产文件资产服务资产人员资产
保密性按信息的访
问权限等级
或信息的存
储、传输及
处理设施/
人员涉及信
息的访问权
限等级来评
估资产保密
性的要求等
级
访问权限赋值
存储、传输及处理
信息的访问权限
赋值
存储、传输及处理
信息的访问权限
赋值
存储、传输及处
理信息的访问权
限
赋值
存储、传输及处理
信息的访问权限
赋值
岗位接触信息的访问
权限
赋值对公司及外部都
是公开的
1
对公司及外部都是
公开的
1
对公司及外部都是
公开的
1
对公司及外部都
是公开的
1
对公司及外部都是
公开的
1
对公司及外部都是公
开的
1对公司内部所有
员工是公开的
2
对公司内部所有员
工是公开的
2
对公司内部所有员
工是公开的
2
对公司内部所有
员工是公开的
2
对公司内部所有员
工是公开的
2
对公司内部所有员工
是公开的
2只限于公司某个
部门或职能可以
访问的信息
3
只限于公司某个部
门或职能可以访问
的信息
3
只限于公司某个部
门或职能可以访问
的信息
3
只限于公司某个
部门或职能可以
访问的信息
3
只限于公司某个部
门或职能可以访问
的信息
3
只限于公司某个部门
或职能可以访问的信
息
3
只限于公司中层
管理人员以上或
部门少数关键人
员可以访问的信
息
4
只限于公司中层管
理人员以上或部门
少数关键人员可以
访问的信息
4
只限于公司中层管
理人员以上或部门
少数关键人员可以
访问的信息
4
只限于公司中层
管理人员以上或
部门少数关键人
员可以访问的信
息
4
只限于公司中层管
理人员以上或部门
少数关键人员可以
访问的信息
4
只限于公司中层管理
人员以上可以访问的
信息
4
只限于公司高层
管理人员或公司
少数关键人员可
以访问的信息
5
只限于公司高层管
理人员或公司少数
关键人员可以访问
的信息
5
只限于公司高层管
理人员或公司少数
关键人员可以访问
的信息
5
只限于公司高层
管理人员或公司
少数关键人员可
以访问的信息
5
只限于公司高层管
理人员或公司少数
关键人员可以访问
的信息
5
只限于公司高层管理
人员或少数关键人员
可以访问的信息
5
要素准则数据资产实体资产软件资产文件资产服务资产人员资产
完整性按资产的准
确性或完整
性受损,而
造成组织的
业务持续或
形象声誉受
影响的严重
程度来评估
影响程度赋值影响程度赋值影响程度赋值文件类别赋值影响程度赋值岗位范围赋值可以忽略1可以忽略1可以忽略1可以忽略1可以忽略1
实习员工\外聘临时
工
1轻微2轻微2轻微2轻微2轻微2一般员工2一般3一般3一般3一般3一般3
技术、管理、财务等
方面的骨干人员
3严重4严重4严重4严重4严重4中层管理人员4非常严重5非常严重5非常严重5非常严重5非常严重5高层管理人员5
要素准则数据资产实体资产软件资产文件资产服务资产人员资产
可用性按资产使用
或允许中断
的时间次数
来评估
数据存储、传输
及处理设施在一
个工作日内允许
中断的次数或时
间比例
赋值每次中断允许时间赋值使用频次要求赋值使用频次赋值使用频次要求赋值允许离岗时间赋值
16次以上或全部
工作时间中断
13天以上1
每年都要使用至少1
次
1
每年都要使用至
少1次
1
每年都要使用至少1
次
110个工作日及以上1 9-15次或1/2工
作时间中断
21-3天2
每个季度都要使用
至少1次
2
每个季度都要使
用至少1次
2
每个季度都要使用
至少1次
26-9工作日2 3-8次或1/4工作
时间中断
312小时-1天3
每个月都要使用至
少1次
3
每个月都要使用
至少1次
3
每个月都要使用至
少1次
33-5个工作日3 1-2次或1/8工作
时间中断
43小时-12小时4
每周都要使用至少1
次
4
每周都要使用至
少1次
4
每周都要使用至少1
次
42个工作日4
不允许50-3小时5
每天都要使用至少1
次
5
每天都要使用至
少1次
5
每天都要使用至少1
次
51个工作日5要素标识相对价值范围等级资产重要程度
资产等级
很高23,25,274重要资产
高17,19,213一般资产
一般11,13,152一般资产
低3,5,7,91一般资产
要素标识发生的频率等级
威胁利用弱点导致危害的可
能性很高
出现的频率很
高(或≥1 次/
周);或在大
多数情况下几
乎不可避免;
或可以证实经
常发生过5高
出现的频率较
高(或≥ 1 次
/月);或在大
多数情况下很
有可能会发
生;或可以证
实多次发生过4一般
出现的频率中
等(或> 1 次/
半年);或在
某种情况下可
能会发生;或
被证实曾经发
生过3
低出现的频率较
小;或一般不
太可能发生;
或没有被证实
发生过2
很低威胁几乎不可
能发生;仅可
能在非常罕见
和例外的情况
下发生1
要素标识严重程度等级
脆弱性被威胁利用后的严重
性很高
如果被威胁利
用,将对公司
重要资产造成
重大损害5高
如果被威胁利
用,将对重要
资产造成一般
损害4一般
如果被威胁利
用,将对一般
资产造成重要
损害 3低
如果被威胁利
用,将对一般
资产造成一般
损害2很低
如果被威胁利
用,将对资产
造成的损害可
以忽略1
常见威胁
ID威胁威胁方影响资产利用弱点可能性影响风险R01篡改恶意人员业务数据系统缺陷,网络缺陷低高低R02传输信息泄漏恶意人员业务数据网络线路中高中R03配置错误维护人员应用系统,业务数据运行管理流程缺陷中中低
低高高R04冒名访问恶意人员业务数据运行管理流程缺陷、帐户口令泄
漏
R05病毒感染维护人员、用户业务数据,应用系统系统缺陷、运行管理缺陷低高低R06业务信息泄漏用户业务数据运行管理流程缺陷低高低R07攻击恶意人员应用系统,业务数据系统缺陷,网络缺陷中高高R08操作抵赖维护人员,用户应用系统,业务数据操作记录低中低R09越权访问用户应用系统,业务数据系统配置缺陷中低低R10设备物理破坏恶意人员应用系统,业务数据设备物理安全漏洞低高低
威胁分类表
常见脆弱性
脆弱性识别内容表。