信息安全风险管理程序.doc

城云科技（杭州）有限公司信息安全风险管理程序文档编号3.1受控状态受控版 本 号V2.0作者鄂鹏羽审 核 人李振华批 准 人夏敏发布日期2014/12/1批准日期2014/12/1..目录信息安全风险管理程序 1第一章 目 的 1第二章 范 围 1第三章 名词解释 1第四章 风险评估方法 2第五章 风险评估实施 5第六章 风险管理要求 19第七章 附 则 19第八章 检查要求 20..第一章 目 的第一条 目的：指导信息安全组织针对信息系统及其管理开展的信息风险评估工作 本指南定义了风险评估的基本概念、 原理及实施流程； 对资产、威胁和脆弱性识别要求进行了详细描述第二章 范 围第二条 范围：适用于风险评估组开展各项信息安全风险评估工作第三章 名词解释第三条 资产对组织具有价值的信息或资源，是安全策略保护的对象第四条 资产价值资产的重要程度或敏感程度的表征 资产价值是资产的属性， 也是进行资产识别的主要内容 资产价值通过机密性、 完整性和可用性三个方面评估计算获得一）机密性（Confidentiality ）：确保只有经过授权的人才能访问信息；（二）完整性（Integrality ）：保护信息和信息的处理方法准确而完整；（三）可用性（ Availability ）：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。

第五条 威胁可能导致对系统或组织危害的不希望事故潜在起因第六条 脆弱性可能被威胁所利用的资产或若干资产的弱点第七条 信息安全风险..人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响第八条 信息安全评估依据有关信息安全技术与管理标准， 对信息系统及由其处理、 传输和存储的信息的机密性、 完整性和可用性等安全属性进行评价的过程 它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性， 并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响第九条 残余风险采取了安全措施后，信息系统仍然可能存在的风险第四章 风险评估方法第十条 风险管理模型脆脆脆脆脆脆脆脆脆 脆脆 脆脆 脆脆 脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆 脆脆 脆脆 脆脆 脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆 脆脆脆脆 脆脆脆脆 脆脆脆 脆脆脆脆图 1 风险管理模型图 1 为风险管理的基本模型， 椭圆部分的内容是与这些要素相关的属性风险管理围绕着资产、威胁、脆弱性和安全措施这些基本要素展开信息安全风险评估在对风险管理要素的评估过程中， 需要充分考虑业务战..略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。

图 1 中的风险管理要素及属性之间存在着以下关系：（一）业务战略的实现对资产具有依赖性， 依赖程度越高， 要求其风险越小；（二）资产是有价值的， 组织的业务战略对资产的依赖程度越高， 资产价值就越大；（三）风险是由威胁引发的， 资产面临的威胁越多则风险越大， 并可能演变成为安全事件；（四）资产的脆弱性可能暴露资产的价值， 资产具有的弱点越多则风险越大；（五）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；（六）风险的存在及对风险的认识导出安全需求；（七）安全需求可通过安全措施得以满足， 需要结合资产价值考虑实施成本；（八）安全措施可抵御威胁，降低风险；（九）残余风险有些是安全措施不当或无效 , 需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后不去控制的风险；（十）残余风险应受到密切监视， 它可能会在将来诱发新的安全事件第十一条 风险评估模型信息资产价值资产所有者后果信息资产脆弱性风险威胁来源 威胁的可能性 可能性影响度图 2 风险评估原理图..风险评估的过程中主要包含信息资产（ Information Asset ），脆弱性（ Vulnerability ）、威胁（ Threat ）、影响（ Impact ）和风险（ Risk ）五个要素。

信息资产的基本属性是资产价值（ Assets Value ），脆弱性的基本属性是被威胁利用的难易程度（ How Easily Exploited by Threats ）、威胁的基本属性是威胁的可能性（ Threat Likelihood ）、影响度的基本属性是严重性（Severity ），它们直接影响风险的两个属性， 风险的后果（RiskConsequence）和风险的可能性（ Risk Likelihood ）其中资产价值和影响的严重性构成风险的后果， 脆弱性被威胁利用的难易程度和威胁的可能性构成风险的可能性，风险的后果和风险的可能性构成风险第十二条 风险评估方法脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆图 3 风险评估方法风险评估的主要内容为：（一）对资产进行识别，并对资产的价值进行赋值；（二）对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；（三）对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；（四）根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性；（五）根据脆弱性的严重程度及安全事件所作用的资产的价值计算安..全事件的损失；（六）根据安全事件发生的可能性以及安全事件出现后的损失， 计算安全事件一旦发生对组织的影响；（七）综合分析，采用适当的方式计算风险值。

第五章 风险评估实施第十三条 风险评估的准备风险评估的准备是整个风险评估过程有效性的保证 组织实施风险评估是一种战略性的考虑， 其结果将受到组织业务战略、 业务流程、安全需求、系统规模和结构等方面的影响因此，在风险评估实施前应：（一）确定风险评估的目标；（二）确定风险评估的范围；（三）组建适当的评估管理与实施团队；（四）进行系统调研；（五）确定评估依据和方法（即评估列表） ；（六）获得最高管理者对风险评估工作的支持第十四条 资产识别资产识别是对直接赋予了价值因而需要保护的资产进行分类和价值等级赋值资产分类和赋值方法可根据 ISO27001体系结合组织自身情况完成，资产价值作为风险计算的输入第十五条 威胁评估安全威胁是一种对系统、 组织及其资产构成潜在破坏的可能性因素或者事件产生安全威胁的主要因素可以分为人为因素和环境因素 人为因素包括有意因素和无意因素 环境因素包括自然界的不可抗力因素和其它物理因素威胁可能是对信息系统直接或间接的攻击， 例如非授权的泄露、篡改、..删除等，在机密性、完整性或可用性等方面造成损害 威胁也可能是偶发的、或蓄意的事件一般来说，威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。

安全事件及其后果是分析威胁的重要依据 但是有相当一部分威胁发生时，由于未能造成后果，或者没有意识到，而被安全控制人员忽略这将导致对安全威胁的认识出现偏差威胁分析方法首先需要考虑威胁的来源， 然后分析各种来源存在哪些威胁种类，最后做出威胁来源和威胁种类的列表进行威胁赋值一）威胁来源分析信息系统的安全威胁来源可考虑以下方面：威胁源威胁分类威胁来源描述内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵非恶意人员循规章制度和操作流程而导致故障或被攻击；内部人员由于缺乏培威胁事件训，专业技能不足 , 不具备岗位技能要求而导致信息系统故障或被攻击不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主的人为因或内外勾结的方式盗窃机密信息或进行篡改，获取利益素恶意人员第三方合作伙伴和供应商，包括业务合作伙伴以及软件开发合作伙伴、系统集成商、服务商和产品供应商；包括第三方恶意的和无恶威胁事件意的行为外部人员利用信息系统的弱点，对网络和系统的机密性、完整性和可用性进行破坏，以获取利益或炫耀能力自然威胁事洪灾、火灾、地震等环境条件和自然灾害件环境威物理威胁事由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、；胁件非人为系统意外事故或由于软件、硬件、数据、通讯线路方面的故障。

威胁事件社会因素威胁社会动乱..恐怖袭击表 1：威胁来源（二）威胁种类分析对安全威胁进行分类的方式有多种多样， 针对上表威胁来源， 组织信息管理部的安全威胁种类按类列举如下表所示威胁的编号按照类别进行划分，以字母“ T”开头（ Threats ），第二个字母为威胁类型，例如人员威胁为 TP 为前缀，以“ - ”连接，以数字后缀为序列威胁威胁分威胁编威胁类型威胁表现威胁注释源类号在正常工作或使用过程中，由TP-01无作为或操作操作失误、错误于技能不足或精神不集中导致失误的。