信息安全风险管理程序69382.docx

目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平，特拟定本程序范围本程序适用信息安全管理系统(ISMS)范围内信息安全风险评估活动的管理职责3.1研发中心负责牵头成立信息安全管理委员会3.2信息安全管理委员会负责编制《信息安全风险评估计划》，确认评估结果，形成《风险评估报告》及《风险办理计划》3.3各部门负责本部门使用或管理的财富的鉴别细风险评估，并负责本部门所涉及的财富的详细安全控制工作相关文件《信息安全管理手册》GB-T20984-2007信息安全风险评估规范》《信息技术安全技术信息技术安全管理指南第3部分：IT安全管理技术》程序5.1风险评估前准备①研发中心牵头成立信息安全管理委员会，委员会成员应包含信息安全重要责任部门的成员②信息安全管理委员会拟定《信息安全风险评估计划》，下发各部门③风险评估方法-定性综合风险评估方法本项目采用的是定性的风险评估方法定性风险评估其实不强求对构成风险的各个要素（特别是财富）进行精确的量化议论，它有赖于评估者的经验判断、业界常例以及组织自己定义的标准，来对风陡峭素进行相对的等级分化，最后得出的风险大小，只需要经过等级差别来分出风险办理的优先序次即可。

综合评估是先鉴别财富并对财富进行赋值评估，得出重要财富，尔后对重要财富进行详细的风险评估5.2财富赋值①各部门信息安全管理委员会成员对本部门财富进行鉴别，并进行财富赋值财富价值计算方法：财富价值=保密性赋值＋完满性赋值＋可用性赋值②财富赋值的过程是对财富在信息分类、机密性、完满性、可用性进行解析评估，并在此基础上得出综合结果的过程③确定信息种类信息分类按“财富鉴别参照（财富种类）”进行，信息分类不适用时，可不填写④机密性(C)赋值依照财富在机密性上的不同样要求，将其分为五个不同样的等级，分别对应财富在机密性上的应完成的不同样程度也许机密性缺失时对整个组织的影响⑤完满性(I)赋值依照财富在完满性上的不同样要求，将其分为五个不同样的等级，分别对应财富在完满性上的完成的不同样程度也许完满性缺失时对整个组织的影响⑥可用性(A)赋值依照财富在可用性上的不同样要求，将其分为五个不同样的等级，分别对应财富在可用性上的完成的不同样程度财富价值判断标准要准则素按财富使用或可赞同中用断的时性间次数来评估数据财富实体/服务财富文件/软件财富无形财富人员财富数据储藏、传输及处理设施在一个工作赋每次中断赞同赋使用频次要赋赋赞同离岗时赋使用频次日内赞同值时间值求值值间值中断的次数或时间比率16次以上或全部工13天以上1每年都要使1每年都要使用10个工作日1作时间中用最少1次1及以上最少1次断9-15次或21－3天2每个季度都2每个季度都要6-9工作日21/2工作时要使用最少12使用最少1次间中断次3-8次或每个月都要每个月都要使1/4工作时312小时－1天33用最少1次33-5个工作日3间中断使用最少1次1-2次或1/8工作时43小时－12小时4每周都要使4每周都要使用42个工作日4间中断用最少1次最少1次不同样意50－3小时5每天都要使每天都要使用51个工作日55最少1次用最少1次形成财富清单各部门的《重要财富检查与风险评估表》经本部门负责人审察，报管理者代表确认。

5.3判断重要财富①依照前面的财富机密性、完满性、可用性的赋值相加获取财富的价值，财富价值越高表示财富重要性程度越高要素表记相对价值范围等级很高15,14,134财富等级高12,11,103一般9,8,7,62低5,4,31②按财富价值得出重要财富，财富价值为4，3的是重要财富，财富价值为2，1产③信息安全管理委员会对各部门财富鉴别情况进行审察，保证没有遗漏重要财富，《财富鉴别清单》的是非重要资形成各部门的④各部门的《财富鉴别清单》经本部门负责人审察，报管理者代表确认，并发散各部门存档5.4重要财富风险评估①对付全部的重要财富进行风险评估，评估应试虑威胁、纤弱性、威胁事件发生的可能性、威胁事件发生后对财富造成的影响程度、风险的等级、风险可否在可接受范围内及已采用的措施等方面要素②鉴别威胁威胁是对组织及其财富构成潜藏破坏的可能性要素，造成威胁的要素可分为人为要素和环境要素威胁作用形式可以是对信息系统直接或间接的攻击，比方非授权的泄露、篡改、删除等，在保密性、完满性或可用性等方面造成损害；也可能是偶发的、或蓄意的事件威胁可基于表现形式分类，基于表现形式的威胁分类标准可参照下表：威胁分类表种类描述威胁子类对业求推行或系统运行产生影响的设施设施硬件故障、传输设施故障、储藏媒体故障、系统软件故障、软硬件故障硬件故障、通讯链路中断、系统自己或软应用软件故障、数据库软件故障、件弊端等问题开发环境故障等对信息系统正常运行造成影响的物理环断电、静电、灰尘、润湿、温度、物理环境影响鼠蚁虫害、电磁搅乱、洪灾、火境问题和自然灾害灾、地震等无作为或操作失误应该执行而没有执行相应的操作，或没心保护错误、操作失误等执行了错误的操作安全管理无法落实或不到位，从而破坏信管理制度和策略不完满、管理规管理不到位程缺失、职责不明确、督查控管息系统正常有序运行体系不健全等恶意代码故意在计算机系统上执行恶意任务的程病毒、特洛伊木马、蠕虫、陷门、序代码间谍软件、窃听软件等经过采用一些措施，超越自己的权限接见非授权接见网络资源、非授权访问系统资源、滥用权限非正常修越权或滥用了本来无权接见的资源，也许滥用自己的改系统配置或数据、滥用权限泄权限，做出破坏信息系统的行为露奥秘信息等网络探测和信息采集、漏洞探测、利用工具和技术经过网络对信息系统进嗅探（帐号、口令、权限等）、网络攻击用户身份捏造和欺骗、用户或业行攻击和入侵务数据的偷取和破坏、系统运行的控制和破坏等物理攻击经过物理的接触造成对软件、硬件、数据物理接触、物理破坏、偷窃等的破坏泄密信息泄露给不应认识的他人内部信息泄露、外面信息泄露等篡改网络配置信息、篡改系统配篡改非法更正信息，破坏信息的完满性使系统置信息、篡改安全配置信息、篡的安全性降低或信息不可以用改用户身份信息或业务数据信息等原发狡辩、接收狡辩、第三方抵狡辩不认同收到的信息和所作的操作和交易赖等各部门依照财富自己所处的环境条件，鉴别每个财富所面对的威胁。

③鉴别纤弱性纤弱性是对一个或多个财富弊端的总称纤弱性是财富自己存在的，若是没有相应的威胁发生，单纯的纤弱性自己不会对财富造成损害而且若是系统足够强健，再严重的威胁也不会以致安全事件，并造成损失即，威胁总是要利用财富的纤弱性才可能造成危害财富的纤弱性拥有隐蔽性，有些纤弱性只有在必然条件和环境下才能显现，这是纤弱性鉴别中最为困难的部分需要注意的是，不正确的、起不到应有作用的或没有正确实施的安全措施自己即可能是一个纤弱性纤弱性鉴别将针对每一项需要保护的财富，找出可能被威胁利用的纤弱性，并对纤弱性的严重程度进行评估纤弱性鉴别时的数据应来自于财富的全部者、使用者，以及相关业务领域的专家和软硬件方面的专业人员纤弱性鉴别主要从技术和管理两个方面进行，技术纤弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题管理纤弱性又可分为技术管理和组织管理两方面，前者与详细技术活动相关，后者与管理环境相关常有纤弱性序号种类单薄点威胁1.环境和基建筑物/门以及窗户缺少物理保护比方,可能会被偷窃这一威胁所利用础设施●对建筑物房间物理进入控制不充分,或废弛可能会被故意损害这一威胁所利用●电网不牢固可能会被功率颠簸这一威胁所利用●所处地址简单碰到洪水侵袭可能会被洪水这一威胁所利用2.硬件缺少如期代替计划可能会被储藏媒体退化这一威胁所利用●简单碰到电压不牢固的搅乱可能会被功率颠簸这一威胁所利用●简单碰到温度变化的搅乱可能会温度的极端变化这一威胁所利用●简单碰到湿度、灰尘和污染的搅乱可能会被灰尘这一威胁所利用●对电磁辐射的敏感性可能会被电磁辐射这一威胁所利用●不充分的保护/储藏媒体的错误安装可能会被保护失误这一威胁所利用●缺少有效的配置变化控制可能会被操作职员失误这一威胁所利用3.软件开发人员的说明不清楚或不完满可能会被软件故障这一威胁所利用●没有软件测试或软件测试不充分可能会被未经授权赞同的用户使用软件这一威胁所利用●复杂的用户界面可能会被操作职员失误这一威胁所。