信息安全风险识别与评价管理程序.doc

题目：编号GM-III-B005信息安全风险识别与评价管理程序版本号00生效日期起草部门信息中心颁发部门总经理办公室一、目的：通过风险评估，采取有效措施，降低威胁事件发生的可能性，或者减少威胁事件造成的影响，从而将风险消减到可接受的水平二、范围：适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理三、责任：管理者代表信息中心执行信息安全风险的识别与评价；审核并批准重大信息安全风险，并负责编制《信息资产风险评估准则》 ，执行信息安全风险调查与评价，提出重大信息安全风险报告各部门协助信息中心的调查，参与讨论重大信息安全风险的管理办法四、内容：资产识别保密性、完整性和可用性是评价资产的三个安全属性风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响为此，应对组织中的资产进行识别在一个组织中，资产有多种表现形式；同样的两个资产也因属于不同的信息系统而重要性不同，而且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。

这时首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估在实际工作中，具体的资产分类方法可以根据具体的评估对象和要求，由评估者灵活把握根据资产的表现形式，可将资产分为数据、软件、硬件、服务、人员等类型表 1 列出了一种资产分类方法表 1 一种基于表现形式的资产分类方法类别简称解释/示例数据Data存在电子媒介的各种数据资料，包括源代码、数据库数据，各种数据资料、系统文档、运行管理过程、计划、报告、题目：信息安全风险识别与评价管理程序用户手册等编号版本号生效日期GM-III-B00500软件Software应用软件、系统软件、开发工具和资源库等服务Service软件维护等硬件Hardware计算机硬件、路由器，交换机硬件防火墙程控交换机、布线、备份存储文档Document纸质的各种文件、、电报、财务报告、发展计划设备Facility电源、空调、保险柜、文件柜、门禁、消防设施等人员HR各级人员和雇主、合同方雇员其它Other企业形象、客户关系等信息类别信息分类的重要度分为 5 类: 国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项信息分类定义：a) “国家秘密事项”：《中华人民共和国保守国家秘密法》中指定的秘密事；b) “企业秘密事项”：不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害，或者由于业务上的需要仅限有关人员知道的商业秘密事项；c) “敏感信息事项”：为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项；d) “一般事项”：秘密事项以外，仅用来传递信息、昭示承诺或对外宣传所涉及的事项；e) “公开事项”：其他可以完全公开的事项。

信息分类不适用时，可不填写五、风险评估实施 :资产赋值保密性赋值根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响表 2 提供了一种保密性赋值的参考题目：编号版本号信息安全风险识别与评价管理程序生效日期GM-III-B00500赋值标识定义5很高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害1很低可对社会公开的信息，公用的信息处理设备和系统资源等完整性赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上缺失时对整个组织的影响表 3 提供了一种完整性赋值的参考表 3 资产完整性赋值表赋值标识定义完整性价值非常关键，未经授权的修改或破坏会对组织造成重5很高大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补3中等完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补2低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补1较低很低完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击及小可用性赋值根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上应达成的不同程度。

表 4 提供了一种可用性赋值的参考表 4 资产可用性赋值表赋值标识定义5很高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度 %以上，或系统不允许中断4高可用性价值较高，合法使用者对信息及信息系统的可用度达到题目：编号版本号信息安全风险识别与评价管理程序生效日期GM-III-B00500每天 90%以上，或系统允许中断时间小于 10min3中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到 70%以上，或系统允许中断时间小于30min2低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到 25%以上，或系统允许中断时间小于60min1很低可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于 25%合规性赋值根据资产在法律、法规、上级规定、合同协议符合性上的不同要求，将其分为五个不同的等级，分别对应资产在符合法律、法律、上级规定、合同协议的不同程度表 5资产合规性赋值表赋值标识定义5严重不符合信息安全管理休系要求，对组织造成无法接受的影很高响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4不符合信息安全管理体系要求，对组织造成重大影响，对业务高冲击严重，较难弥补。

3与信息安全管理体系具体要求有冲突，对组织造成影响，对业中等务冲击明显，但可以弥补2与信息安全管理体系具体条款要求存在轻微的不符合，对组织低造成轻微影响，对业务冲击轻微，容易弥补1符合信息安全管理体系要求，但需持续改进，对组织造成的影很低响可以忽略，对业务冲击及小资产重要性等级资产价值应依据资产在保密性、完整性和可用性上的赋值等级，经过综合评定得出综合评定方法可以根据自身的特点，选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果；也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果加权方法可根据组织的业务特点确定本标准中，为与上述安全属性的赋值相对应，根据最终赋值将资产划分为五级，级别越高表示资产越重要， 3 级以及 3 级以上为重要资产， 3 级以下为非重要资产，并以此形成《信息资产清单》表 6 中的资产等级划分表明了不同等级的重要性的综合描述 评估者可根据资产赋值结果，确定重要资产的范围，并主要围绕重要资产进行下一步的风险评估资产价值 =C*I*A*H题目：编号版本号信息安全风险识别与评价管理程序生效日期GM-III-B00500表 6 资产等级及含义描述等级标识描述5很高非常重要，其安全属性破坏后可能对组织造成非常严重的损失4高重要，其安全属性破坏后可能对组织造成比较严重的损失3中等比较重要，其安全属性破坏后可能对组织造成中等程度的损失2低不太重要，其安全属性破坏后可能对组织造成较低的损失1很低不重要，其安全属性破坏后对组织造成导很小的损失，甚至忽略不计表 资产价值等级划分资产值1-2526-5556-175176-395396-625资产等级12345威胁识别威胁分类威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。

造成威胁的因素可分为人为因素和环境因素根据威胁的动机，人为因素又可分为恶意和非恶意两种环境因素包括自然界不可抗的因素和其它物理因素威胁作用形式可以是对信息系统直接或间接的攻击，在保密性、完整性和可用性等方面造成损害；也可能是偶发的、或蓄意的事件在对威胁进行分类前，应考虑威胁的来源表 7 提供了一种威胁来源的分类方法表 7 威胁来源列表来源 描述断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、环境因素 洪灾、火灾、地震、意外事故等环境危害或自然灾害，以及软件、硬件、数据、通讯线路等方面的故障不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主或内外勾结的方式盗窃机密信息或进行篡改，人为因素 恶意人员 获取利益外部人员利用信息系统的脆弱性， 对网络或系统的保密性、完整性和可用性进行破坏， 以获取利益或炫耀能力题目：编号版本号信息安全风险识别与评价管理程序生效日期GM-III-B00500内部人员由于缺乏责任心，或者由于不关心或不专注，或者没有遵循规章制度和操作流程而导致故障或信息非恶意人员损坏；内部人员由于缺乏培训、 专业技能不足、 不具备岗位技能要求而导致信息系统故障或被攻击对威胁进行分类的方式有多种，针对上表的威胁来源，可以根据其表现形式将威胁主要分为以下几类。

表 8 提供了一种基于表现形式的威胁分类方法种类软硬件故障表 8 一种基于表现形式的威胁分类表描述 威胁子类对业务实施或系统运行产生影响的 设备硬件故障。