ImageVerifierCode 换一换
格式:DOCX , 页数:12 ,大小:208.97KB ,
资源ID:3102677      下载积分:2 积分
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝扫码支付 微信扫码支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.wnwk.com/docdown/3102677.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(1风险评估管理程序.docx)为本站会员(a****2)主动上传,蜗牛文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知蜗牛文库(发送邮件至admin@wnwk.com或直接QQ联系客服),我们立即给予删除!

1风险评估管理程序.docx

1、风险评估管理程序(I附录A14.1.2) QAECX/SGAI402015第一章 总则第一条 根据国家标准GB/T 209842007信息安全技术 信息安全风险评估规范和有关法律、法规的规定制订本程序,本程序规定了评估公司信息资产所面临的风险并对风险实施有效控制的要求,确保风险被降低或消除。第二条 本程序适用于本公司技术中心信息资产的风险评估和风险控制。第二章 职责第三条 业务部项目及流程管理部负责制定信息资产评估准则,确定风险评估方法,经总经理副总裁批准后实施。第四条 相关部门负责人是本部门各类信息资产的主要责任人,负责组织建立并维护本部门资产台账,包括:识别并列出跟本部门业务有关的资产、对

2、本部门资产进行风险评估并制定相关风险处理计划。第五条 项目及流程管理部业务部负责对各部门风险评估过程及结果进行评审,并总结形成风险评估报告,由公司总经理技术中心副总裁对风险评估报告进行审批。第六条 项目及流程管理部业务部负责监督风险处理计划的实施。第三章 风险评估第七条 风险评估框架及流程(一)风险要素关系风险评估中各要素的关系如图1所示:图1风险评估要素关系图图1中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。图1中的风险要素及属性之间存在着以下关系: a) 业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;b) 资产是有价值的,公司的业务战略对资产的

3、依赖程度越高,资产价值就越大;c) 风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成为安全事件;d) 资产的脆弱性可能暴露资产的价值,资产具有的脆弱性越多则风险越大;e) 脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;f) 风险的存在及对风险的认识导出安全需求;g) 安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;h) 安全措施可抵御威胁,降低风险;i) 残余风险有些是安全措施不当或无效,需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后不去控制的风险;j) 残余风险应受到密切监视,它可能会在将来诱发新的安全事件。(二)风险分析原理风险分析原理如图

4、2所示:图2 风险分析原理图风险分析中涉及资产、威胁、脆弱性三个基本要素。风险分析的主要内容为:a) 对资产进行识别,并对资产的价值进行赋值;b) 对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;c) 对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;d) 根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;e) 根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;f) 根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。(三)实施流程风险评估的实施流程如图3所示:图3 风险评估实施流程图风险评估实施流程的详细说

5、明如下:1、风险评估准备风险评估准备是整个风险评估过程有效性的保证。具体内容包括:a) 确定风险评估的目标:根据满足公司技术中心业务持续发展在安全方面的需要、法律法规的规定等内容,识别现有信息系统及管理上的不足,以及可能造成的风险大小。b) 确定风险评估的范围:包括公司技术中心全部的信息及与信息处理相关的各类资产、管理机构,或某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。c) 确定评估管理与实施团队:由项目及流程管理部业务部、相关部门相关业务骨干、IT技术等人员组成风险评估小组。d) 进行系统调研:是确定被评估对象的过程,风险评估小组应进行充分的系统调研,为风险评估依据和

6、方法的选择、评估内容的实施奠定基础。e) 确定评估依据和方法:根据系统调研结果,确定评估依据和评估方法,评估依据包括(但不仅限于):现有国际、国家、行业的标准,系统安全保护等级要求,系统本身的实时性或性能要求等。根据评估依据来选择具体的风险计算方法,使之能够与公司技术中心环境和安全要求相适应。f) 制定风险评估方案:目的是为后面的风险评估实施活动提供一个总体计划,用于指导实施方开展后续工作。包括:团队组织、工作计划、时间进度安排等内容。g) 获得支持:在形成完整的风险评估实施方案后,经总经理副总裁批准,对相关人员进行传达,并进行必要的培训,以明确有关人员在风险评估中的任务。2、资产识别(1)资

7、产分类保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此,首先要对公司技术中心的资产进行识别。根据资产的表现形式,将资产分为数据、软件、硬件、服务、人员等类型,如下表1所列:表1资产分类方法分类示例数据保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等软件系统

8、软件:操作系统、数据库管理系统、语句包、开发系统等应用软件:办公软件、数据库软件、各类工具软件等源程序:各种共享源代码、自行或合作开发的各种代码等硬件网络设备:路由器、网关、交换机等计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路:光纤、双绞线等保障设备:UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等安全设备:防火墙、入侵检测系统、身份鉴别等其他:打印机、复印机、扫描仪、传真机等服务信息服务:对外依赖该系统开展的各类服务网络服务:各种网络设备、设施提供的网络连接服务办公服务:为提高效率而开发的管理信息

9、系统,包括各种内部配置管理、文件流转管理等服务人员掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等其它企业形象、客户关系等(2)资产赋值a)保密性赋值根据资产在保密性上的不同要求,将其分为五个不同的等级,如下表2所列:表2 资产保密性赋值表赋值标识定义5很高包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害4高包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害3中等组织的一般性秘密,其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害1很

10、低可对社会公开的信息,公用的信息处理设备和系统资源等b)完整性赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,如下表3所列:表3 资产完整性赋值表赋值标识定义5很高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补4高完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补3中等完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补2低完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补1很低完整性价值非常低,未经授权的修改或破

11、坏对组织造成的影响可以忽略,对业务冲击可以忽略c)可用性赋值根据资产在可用性上的不同要求,将其分为五个不同的等级,如下表4所列:表4资产可用性赋值表赋值标识定义5很高可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断4高可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10min3中等可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30min2低可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60min1

12、很低可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%(3)资产重要性等级资产价值依据资产在保密性、完整性和可用性上的赋值等级相加得出。根据资产价值将资产划分为五级,如下表5所列:表5资产等级及含义描述资产价值等级标识描述13155很高非常重要,其安全属性破坏后可能对组织造成非常严重的损失10124高重要,其安全属性破坏后可能对组织造成比较严重的损失793中等比较重要,其安全属性破坏后可能对组织造成中等程度的损失462低不太重要,其安全属性破坏后可能对组织造成较低的损失131很低不重要,其安全属性破坏后对组织造成导很小的损失,甚至忽略不计将资产等级为45的信息资产确

13、定为重要信息资产。3、威胁识别(1)威胁分类威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,在保密性、完整性和可用性等方面造成损害;也可能是偶发的、或蓄意的事件。表6威胁来源列表来源描述环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障人为因素恶意 人员不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或

14、内外勾结的方式盗窃机密信息或进行篡改,获取利益外部人员利用信息系统的脆弱性,对网络或系统的保密性、完整性和可用性进行破坏,以获取利益或炫耀能力非恶意人员内部人员由于缺乏责任心,或者由于不关心或不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击针对上表的威胁来源,根据其表现形式将威胁分类,如下表7所列:表7一种基于表现形式的威胁分类表种类描述威胁子类软硬件故障对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障

15、、数据库软件故障、开发环境故障等物理环境影响对信息系统正常运行造成影响的物理环境问题和自然灾害断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等无作为或操作失误应该执行而没有执行相应的操作,或无意执行了错误的操作维护错误、操作失误等管理不到位安全管理无法落实或不到位,从而破坏信息系统正常有序运行管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等恶意代码故意在计算机系统上执行恶意任务的程序代码病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等越权或滥用通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的权限,做出破坏信息系统的行为非授权访问

16、网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵网络探测和信息采集、漏洞探测、嗅探(帐号、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等物理攻击通过物理的接触造成对软件、硬件、数据的破坏物理接触、物理破坏、盗窃等泄密信息泄露给不应了解的他人内部信息泄露、外部信息泄露等篡改非法修改信息,破坏信息的完整性使系统的安全性降低或信息不可用篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等抵赖不承认收到的信息和所作的操作和交易原发抵赖、接

17、收抵赖、第三方抵赖等(2)威胁赋值判断威胁出现的频率是威胁赋值的重要内容,在评估中,综合考虑以下三个方面,来判断各种威胁出现的频率:a) 以往安全事件报告中出现过的威胁及其频率的统计;b) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;c) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。4、脆弱性识别(1)脆弱性识别内容脆弱性是资产本身存在的,威胁总是要利用资产的脆弱性才可能造成危害。脆弱性识别是风险评估中最重要的一个环节,主要从技术和管理两个方面进行,具体脆弱性识别内容如下表9所列:表9脆弱性识别内容表类型识别对象识别内容技术类物理环境从

18、机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别服务类从服务水平协议、业务需求、响应、中断、规范执行、成本等方面进行识别技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务

19、连续性等方面进行识别管理类组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别人员管理从人员知识水平、技能、安全意识、敬业精神、职业操守、人员流动、劳动合同、岗位职责、备份机制等方面进行识别信息类数据文档从信息准确性、及时性、传播性、毁损、丢失等方面识别5、已有安全措施确认在识别脆弱性的同时,对已采取的安全措施的有效性进行确认,即是否真正地降低了系统的脆弱性,抵御了威胁。对有效的安全措施继续保持,而对确认为不适当的安全措施核实是否应被取消或对其进行修正,或用更合适的安全措施替代。安全措施可以分为预防性安全措施和保护性安全措施两种。安全措施的使用将减少系统技术或管理上的脆

20、弱性,为风险处理计划的制定提供依据和参考。6、风险评估实施(1)风险计算在完成了资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,将采用预定义价值矩阵法计算风险数值,具体如下表11所列:表10风险数值表威胁值12345脆弱性严重度1234512345123451234512345资产等级112345234563456745678567892234563456745678567896789103345674567856789678910789101144567856789678910789101189101112556789678910789101189101112910111213(2)

21、风险结果判定为实现对风险的控制与管理,对风险评估的结果进行等级化处理。根据风险数值,将风险划分为五级,如下表11所列:表11风险等级划分表风险数值风险等级标识描述12135很高一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的正常经营,经济损失重大、社会影响恶劣9114高一旦发生将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害683中等一旦发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大352低一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解决121很低一旦发生造成的影响几乎不存在,通过简单的措施就能弥补第四章

22、风险控制1、四五级风险的处置流程对于评估为四级、五级的风险,责任部门应制订风险处置计划,将选择的风险处置方法及具体措施记入信息资产风险评估表,并向风险评估小组报告。风险控制措施可以是技术型的也可以是管理型的,选择风险控制措施应满足法律法规要求、合同方要求并考虑公司技术中心成本要求。对于评估为四级、五级的可能需要采取接受风险处置的风险,责任部门必须提出残余风险申请,报告风险评估小组,并最终由总经理副总裁批准。2、三级及以下风险的处置流程评估为三级及以下的风险,直接视为可接受风险,进行登记管理。3、风险控制处置的跟踪每年责任部门应跟踪风险处置的结果并进行风险评估,记入信息资产风险评估表,并向风险评

23、估小组报告。对风险评估再次评定为四级、五级的信息资产,可申请为残余风险。4、可接受风险4.1可接受风险的准则符合以下条款的风险可以接受: 1)满足法律法规或者合同方要求;2)对公司技术中心业务持续性影响较小;4.2可接受风险的水平公司可接受风险水平如下:1)三级及以下风险为可接受风险;2)在满足公司信息方针、法律法规要求、合同方要求的前提下,对被评估为四级、五级但处置成本太高的风险,可在经残余风险申请后,由总经理副总裁认可并接受风险。4.3残余风险的申请与批准信息资产作为残余风险,责任部门必须提出申请,报告风险评估小组,并由总经理副总裁批准。对被列入风险接受或残余风险的信息资产,责任部门必须采

24、取必要的管理措施以保持并改善目前的风险水平。5、风险评估结果的运用信息资产风险评估的登记结果,运用于以下事项:1、信息安全的目标、管理方案、运行控制及监视测量的实施和运行;2、ISMS紧急事态对应预案的制订;3、保证信息资产安全的设备、设施的设定;4、内外部的审核;5、风险预防、控制管理规定的设定。6、变更评估与周期性评审当输入的信息资产、适用的法律法规要求或合同方要求、公司技术中心的信息方针等发生重大变化时,各部门应重新进行风险评估和制订风险处置计划。风险评估小组每半年一次收集信息各部门变更信息并更新相应表格。每年年末,各部门应对本部门信息资产的风险评估、风险处置、残余风险、可接受风险水平进

25、行评审。7、风险评估结果、风险处置的文件管理1、各部门根据记录管理程序要求,管理所属的风险评估结果、风险处置计划、结果跟踪、变更评估及年度评审结果,保存相应表格。2、风险评估小组对各部门报告的信息资产风险评估表进行汇总,形成技术中心公司的信息资产风险评估表。根据记录管理程序要求,保存相应表格。体系建立初期由于各部门人员对风险评估工作经验的欠缺,以及技术中心公司规模的大小,可考虑由风险评估小组直接进行评估,以后再指导各部门独立进行。8、当企业发生以下情况时需及时进行风险评估:1、当发生重大信息安全事故时;2、当信息网络系统发生重大更改时;相关记录信息安全风险评估计划信息资产风险评估表信息安全风险处置计划信息安全风险处置验收表信息安全风险处置报告信息资产残余风险审批表信息安全风险评估报告12

copyright@ 2008-2023 wnwk.com网站版权所有

经营许可证编号:浙ICP备2024059924号-2