为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。
2范围
本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。
3职责
3.1研发中心
负责牵头成立信息安全管理委员会。
3.2信息安全管理委员会
负责编制《信息安全风险评估计划》,确认评估结果,形成《风险评估报告》及《风险处理计划》。
3.3各部门
负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。
4 相关文件
《信息安全管理手册》
《GB-T20984-2007信息安全风险评估规范》
《信息技术 安全技术 信息技术安全管理指南 第3部分:IT安全管理技术》
5程序
5.1风险评估前准备
1研发中心牵头成立信息安全管理委员会,委员会成员应包含信息安全重要责任部门的成员。
2信息安全管理委员会制定《信息安全风险评估计划》,下发各部门。
3风险评估方法-定性综合风险评估方法
本项目采用的是定性的风险评估方法。定性风险评估并不强求对构成风险的各个要素(特别是资产)进行精确的量化评价,它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准,来对风险要素进行相对的等级分化,最终得出的风险大小,只需要通过等级差别来分出风险处理的优先顺序即可。
综合评估是先识别资产并对资产进行赋值评估,得出重要资产,然后对重要资产进行详细的风险评估。
5.2资产赋值
1各部门信息安全管理委员会成员对本部门资产进行识别,并进行资产赋值。
资产价值计算方法:资产价值 = 保密性赋值+完整性赋值+可用性赋值
2资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估,并在此基础上得出综合结果的过程。
3确定信息类别
信息分类按“5.9 资产识别参考(资产类别)”进行,信息分类不适用时,可不填写。
4机密性(C)赋值
根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。
5完整性(I)赋值
根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。
6可用性(A)赋值
根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
资产价值判断标准
| 要素 | 准则 | 数据资产 | 实体/服务资产 | 文件/软件资产 | 无形资产 | 人员资产 | |||||
| 可用性 | 按资产使用或允许中断的时间次数来评估 | 数据存储、传输及处理设施在一个工作日内允许中断的次数或时间比例 | 赋值 | 每次中断允许时间 | 赋值 | 使用频次要求 | 赋值 | 使用频次 | 赋值 | 允许离岗时间 | 赋值 |
| 16次以上或全部工作时间中断 | 1 | 3天以上 | 1 | 每年都要使用至少1次 | 1 | 每年都要使用至少1次 | 1 | 10个工作日及以上 | 1 | ||
| 9-15次或1/2工作时间中断 | 2 | 1-3天 | 2 | 每个季度都要使用至少1次 | 2 | 每个季度都要使用至少1次 | 2 | 6-9工作日 | 2 | ||
| 3-8次或1/4工作时间中断 | 3 | 12小时-1天 | 3 | 每个月都要使用至少1次 | 3 | 每个月都要使用至少1次 | 3 | 3-5个工作日 | 3 | ||
| 1-2次或1/8工作时间中断 | 4 | 3小时-12小时 | 4 | 每周都要使用至少1次 | 4 | 每周都要使用至少1次 | 4 | 2个工作日 | 4 | ||
| 不允许 | 5 | 0-3小时 | 5 | 每天都要使用至少1次 | 5 | 每天都要使用至少1次 | 5 | 1个工作日 | 5 | ||
各部门的《重要资产调查与风险评估表》经本部门负责人审核,报管理者代表确认。
5.3判定重要资产
1根据前面的资产机密性、完整性、可用性的赋值相加得到资产的价值,资产价值越高表示资产重要性程度越高。
| 要素 | 标识 | 相对价值范围 | 等级 |
| 资产等级 | 很高 | 15,14,13 | 4 |
| 高 | 12,11,10 | 3 | |
| 一般 | 9,8,7,6 | 2 | |
| 低 | 5,4,3 | 1 |
3信息安全管理委员会对各部门资产识别情况进行审核,确保没有遗漏重要资产,形成各部门的《资产识别清单》。
4各部门的《资产识别清单》经本部门负责人审核,报管理者代表确认,并分发各部门存档。
5.4重要资产风险评估
1应对所有的重要资产进行风险评估,评估应考虑威胁、脆弱性、威胁事件发生的可能性、威胁事件发生后对资产造成的影响程度、风险的等级、风险是否在可接受范围内及已采取的措施等方面因素。
2识别威胁
威胁是对组织及其资产构成潜在破坏的可能性因素,造成威胁的因素可分为人为因素和环境因素。威胁作用形式可以是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在保密性、完整性或可用性等方面造成损害;也可能是偶发的、或蓄意的事件。
威胁可基于表现形式分类,基于表现形式的威胁分类标准可参考下表:
| 威胁分类表 | ||
| 种类 | 描述 | 威胁子类 |
| 软硬件故障 | 对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题 | 设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等 |
| 物理环境影响 | 对信息系统正常运行造成影响的物理环境问题和自然灾害 | 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等 |
| 无作为或操作失误 | 应该执行而没有执行相应的操作,或无意执行了错误的操作 | 维护错误、操作失误等 |
| 管理不到位 | 安全管理无法落实或不到位,从而破坏信息系统正常有序运行 | 管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等 |
| 恶意代码 | 故意在计算机系统上执行恶意任务的程序代码 | 病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等 |
| 越权或滥用 | 通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的权限,做出破坏信息系统的行为 | 非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等 |
| 网络攻击 | 利用工具和技术通过网络对信息系统进行攻击和入侵 | 网络探测和信息采集、漏洞探测、嗅探(帐号、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等 |
| 物理攻击 | 通过物理的接触造成对软件、硬件、数据的破坏 | 物理接触、物理破坏、盗窃等 |
| 泄密 | 信息泄露给不应了解的他人 | 内部信息泄露、外部信息泄露等 |
| 篡改 | 非法修改信息,破坏信息的完整性使系统的安全性降低或信息不可用 | 篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等 |
| 抵赖 | 不承认收到的信息和所作的操作和交易 | 原发抵赖、接收抵赖、第三方抵赖等 |
3识别脆弱性
脆弱性是对一个或多个资产弱点的总称。脆弱性是资产本身存在的,如果没有相应的威胁发生,单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健,再严重的威胁也不会导致安全事件,并造成损失。即,威胁总是要利用资产的脆弱性才可能造成危害。
资产的脆弱性具有隐蔽性,有些脆弱性只有在一定条件和环境下才能显现,这是脆弱性识别中最为困难的部分。需要注意的是,不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性。
脆弱性识别将针对每一项需要保护的资产,找出可能被威胁利用的脆弱性,并对脆弱性的严重程度进行评估。脆弱性识别时的数据应来自于资产的所有者、使用者,以及相关业务领域的专家和软硬件方面的专业人员。
脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关。
| 常见脆弱性 | |||
| 序号 | 类别 | 薄弱点 | 威胁 |
| 1. | 环境和基础设施 | 建筑物/门以及窗户缺少物理保护 | 例如,可能会被偷窃这一威胁所利用 |
| ● | 对建筑物\房间物理进入控制不充分,或松懈 | 可能会被故意损害这一威胁所利用 | |
| ● | 电网不稳定 | 可能会被功率波动这一威胁所利用 | |
| ● | 所处位置容易受到洪水袭击 | 可能会被洪水这一威胁所利用 | |
| 2. | 硬件 | 缺少定期替换计划 | 可能会被存储媒体退化这一威胁所利用 |
| ● | 容易受到电压不稳定的侵扰 | 可能会被功率波动这一威胁所利用 | |
| ● | 容易受到温度变化的侵扰 | 可能会温度的极端变化这一威胁所利用 | |
| ● | 容易受到湿度、灰尘和污染的侵扰 | 可能会被灰尘这一威胁所利用 | |
| ● | 对电磁辐射的敏感性 | 可能会被电磁辐射这一威胁所利用 | |
| ● | 不充分的维护/存储媒体的错误安装 | 可能会被维护失误这一威胁所利用 | |
| ● | 缺少有效的配置变化控制 | 可能会被操作职员失误这一威胁所利用 | |
| 3. | 软件 | 开发人员的说明不清楚或不完整 | 可能会被软件故障这一威胁所利用 |
| ● | 没有软件测试或软件测试不充分 | 可能会被未经授权许可的用户使用软件这一威胁所利用 | |
| ● | 复杂的用户界面 | 可能会被操作职员失误这一威胁所利用 | |
| ● | 缺少识别和鉴定机制,如:用户鉴定 | 可能会被冒充用户身份这一威胁所利用 | |
| ● | 缺少审核跟踪 | 可能会被以未经授权许可的方式使用软件这一威胁所利用 | |
| ● | 软件中存在众所周知的缺陷 | 可能会被软件未经许可的用户使用软件这一威胁所利用 | |
| ● | 口令表没有受到保护 | 可能会被冒充用户身份这一威胁所利用 | |
| ● | 口令管理较差(很容易被猜测,公开地存储口令,不经常更改) | 可能会被冒充用户身份这一威胁所利用 | |
| ● | 访问权的错误分派 | 可能会被以未经许可的方式使用软件这一威胁所利用 | |
| ● | 对下载和使用软件不进行控制 | 可能会被恶意软件这一威胁所利用 | |
| ● | 离开工作站没有注销用户 | 可能会被未经许可的用户使用软件这一威胁所利用 | |
| ● | 缺少有效的变化控制 | 可能会被软件故障这一威胁所利用 | |
| ● | 缺少文件编制 | 可能会被操作职员的失误这一威胁所利用 | |
| ● | 缺少备份 | 可能会被恶意软件或火灾这一威胁所利用 | |
| ● | 没有适当的擦除而对存储媒体进行处理或重新使用 | 可能会被未经许可的用户使用软件这一威胁所利用 | |
| 4. | 通讯 | 通讯线路没有保护 | 可能会被偷听这一威胁所利用 |
| ● | 电缆连接差 | 可能会被通讯渗透这一威胁所利用 | |
| ● | 对发件人和收件人缺少识别和鉴定 | 可能会被冒充用户身份这一威胁所利用 | |
| ● | 公开传送口令 | 可能会被未经许可的用户接入网络这一威胁所利用 | |
| ● | 收发信息缺少验证 | 可能会被否认这一威胁所利用 | |
| ● | 拨号线路 | 可能会被未经许可的用户接入网络这一威胁所利用 | |
| ● | 对敏感性通信不进行保护 | 可能会被偷听这一威胁所利用 | |
| ● | 网络管理不充分(路由的弹性) | 可能会被通信量超载这一威胁所利用 | |
| ● | 公共网络连接没有保护 | 可能会被未经许可的用户使用软件这一威胁所利用 | |
| 5. | 文件 | 存储没有保护 | 可能会被偷窃这一威胁所利用 |
| ● | 进行处理时缺少关注 | 可能会被偷窃这一威胁所利用 | |
| ● | 对拷贝没有进行控制 | 可能会被偷窃这一威胁所利用 |
| 6. | 人员 | 人员缺席 | 可能会被缺少员工这一威胁所利用 |
| ● | 对外部人员和清理人员的工作不进行监督 | 可能会被偷窃这一威胁所利用 | |
| ● | 不充分的安全培训 | 可能会被操作职员的失误这一威胁所利用 | |
| ● | 缺少安全意识 | 可能会被用户错误这一威胁所利用 | |
| ● | 对软件和硬件不正确的使用 | 可能会被操作职员的失误这一威胁所利用 | |
| ● | 缺少监控机制 | 可能会被以未经许可的方式使用软件这一威胁所利用 | |
| ● | 在正确使用通讯媒体和信息方面缺乏 | 可能会被以未经许可的方式使用网络设施这一威胁所利用 | |
| ● | 增员程序不充分 | 可能会被故意损害这一威胁所利用 | |
| 7. | 一般都适用的薄弱环节 | 某一点上的故障 | 可能会被通讯服务故障这一威胁所利用 |
| ● | 服务维护反应不足 | 可能会被硬件故障这一威胁所利用 |
| 脆弱性识别内容表 | ||
| 类型 | 识别对象 | 识别内容 |
| 技术脆弱性 | 物理环境 | 从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别 |
| 网络结构 | 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别 | |
| 系统软件 | 从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别 | |
| 应用中间件 | 从协议安全、交易完整性、数据完整性等方面进行识别 | |
| 应用系统 | 从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别 | |
| 管理脆弱性 | 技术管理 | 从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别 |
| 组织管理 | 从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别 | |
5风险描述
6识别现有控制措施
7评估威胁发生的可能性
分析威胁利用脆弱性给资产造成损害的可能性。
确定各个威胁利用脆弱性造成损害的可能性。
判断每项重要资产所面临威胁发生的可能性时应注意:
✧威胁事件本身发生的可能性;
✧现有的安全控制措施;
✧现存的安全脆弱性。
| 要素 | 标识 | 发生的频率 | 等级 |
| 威胁利用弱点导致危害的可能性 | 很高 | 出现的频率很高(或≥1 次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过 | 5 |
| 高 | 出现的频率较高(或≥ 1 次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过 | 4 | |
| 一般 | 出现的频率中等(或> 1 次/半年);或在某种情况下可能会发生;或被证实曾经发生过 | 3 | |
| 低 | 出现的频率较小;或一般不太可能发生;或没有被证实发生过 | 2 | |
| 很低 | 威胁几乎不可能发生;仅可能在非常罕见和例外的情况下发生 | 1 |
影响程度指一旦威胁事件实际发生时,将给资产带来多大程度的损失。
在分析时,可以从影响相关方和影响业务连续性两个不同维度方面来评估打分。
如果改风险可能引起法律起诉,则影响程度值为最高5分。
| 要素 | 标识 | 严重程度 | 等级 |
| 威胁被利用后的严重性 | 很高 | 如果被威胁利用,将对公司重要资产造成重大损害 | 5 |
| 高 | 如果被威胁利用,将对重要资产造成一般损害 | 4 | |
| 一般 | 如果被威胁利用,将对一般资产造成重要损害 | 3 | |
| 低 | 如果被威胁利用,将对一般资产造成一般损害 | 2 | |
| 很低 | 如果被威胁利用,将对资产造成的损害可以忽略 | 1 |
风险值由威胁发生的可能性、影响程度和资产价值这三个因素共同决定。
风险值计算方法: 风 险 值 = 威胁发生可能性 * (威胁发生对保密性的影响+威胁发生对完整性的影响+威胁发生对可用性的影响)
风险等级标准见下表:
| 要素 | 标识 | 风险值范围 | 级别 | 可接受准则 |
| 风险级别 | 高风险 | >20 | 4 | 风险不可接受,必须立即采取有效的措施降低风险 |
| 较高风险 | >15 且 <=20 | 3 | 风险可以接受,但需要采取进一步措施降低风险 | |
| 一般风险 | >10 且 <=15 | 2 | 风险可以接受 | |
| 低风险 | <=10 | 1 |
安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以减少因安全事件发生对信息系统造成的影响,如业务持续性计划。
建议控制措施的确认与脆弱性识别存在一定的联系。一般来说,安全措施的使用将减少脆弱性,但安全措施的确认并不需要与脆弱性识别过程那样具体到每个资产、组件的脆弱性,而是一类具体措施的集合。
5.5不可接受风险的确定
1通过预制的风险的可接受准则,进行风险可接受性判定(是否高风险),并生成各部门的《重要资产调查与风险评估表》表单。
2各部门的《重要资产调查与风险评估表》经本部门负责人审核,报管理者代表批准。
5.6风险处理
1对风险应进行处理。对可接受风险,可保持已有的安全措施;如果是不可接受风险(高风险),则需要采取安全措施以降低、控制风险。
2对不可接受风险,应采取新的风险处理的措施,规定风险处理方式、责任部门和时间进度,高风险应得到优先的考虑。
3信息安全管理委员会根据《重要资产调查与风险评估表》编制《风险处置计划》。
4信息安全管理委员会根据《重要资产调查与风险评估表》编制《风险评估报告》,陈述信息安全管理现状,分析存在的信息安全风险,提出信息安全管理(控制)的建议与措施。
5管理者代表考虑成本与风险的关系,对《风险评估报告》及《风险处理计划》的相关内容审核,对认为不合适的控制或风险处理方式等提出说明,由信息安全管理委员会协同相关部门重新考虑管理者代表的意见,选择其他的控制或风险处理方式,并重新提交管理者代表审核批准实施。
6各责任部门按照批准后的《风险处理计划》的要求采取有效安全控制措施,确保所采取的控制措施是有效的。
7如果降低风险所付出的成本大于风险所造成的损失,则选择接受风险。
5.7剩余风险评估
1对采取安全措施处理后的风险,信息安全管理委员会进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。
2某些风险可能在选择了适当的安全措施后仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施。
3剩余风险评估完成后,剩余风险报管理者代表审核、总经理批准。
5.8信息安全风险的连续评估
1信息安全管理委员会每年应组织对信息安全风险重新评估一次,以适应信息资产的变化,确定是否存在新的威胁或脆弱性及是否需要增加新的控制措施。
2当企业发生以下情况时需及时进行风险评估:
当发生重大信息安全事故时;
当信息网络系统发生重大更改时;
信息安全管理委员会确定有必要时。
3各部门对新增加、转移的或授权销毁的资产应及时在《重要信息资产识别表》及《风险评估表》中予以添加或变更。
5.9资产识别参考
◎资产类别
| 类别 | 资产名称 |
| 人员资产 | 总裁/副总裁 |
| 人员资产 | 部门总经理 |
| 人员资产 | 工程师 |
| 人员资产 | 项目经理 |
| 人员资产 | 网管 |
| 人员资产 | 职员 |
| 软件资产 | 软件操作系统 |
| 软件资产 | 开发软件 |
| 软件资产 | 服务软件 |
| 软件资产 | 财务软件 |
| 软件资产 | 工具类软件 |
| 软件资产 | 应用软件 |
| 软件资产 | 应用程序 |
| 文件资产 | 合同 |
| 文件资产 | 验收文档资料 |
| 文件资产 | 工程文件 |
| 文件资产 | 财务报告 |
| 文件资产 | 投标书 |
| 文件资产 | 文档资料 |
| 文件资产 | 立项申报书 |
| 数据资产 | 光盘 |
| 数据资产 | 验收资料 |
| 数据资产 | 财务数据 |
| 数据资产 | 设备采购工程文档 |
| 数据资产 | 投标书 |
| 数据资产 | 文档资料电子版 |
| 数据资产 | 员工手册 |
| 服务资产 | 保洁 |
| 服务资产 | 网络支撑平台 |
| 服务资产 | 网络通讯平台 |
| 无形资产 | 公司形象 |
| 无形资产 | 客户关系 |
| 无形资产 | 资质证书 |
| 无形资产 | 荣誉证书 |
| 无形资产 | 软件著作权登记证书 |
| 无形资产 | 公司网站 |
| 实体资产 | 高管/财务/人力资源电脑 |
| 实体资产 | 笔记本 |
| 实体资产 | 传真机 |
| 实体资产 | 打印机 |
| 实体资产 | 服务器(显示器+主机) |
| 实体资产 | 复印机 |
| 实体资产 | 扫描仪 |
| 实体资产 | 数码相机 |
| 实体资产 | 碎纸机 |
| 实体资产 | 投影仪 |
| 实体资产 | 显示器 |
| 实体资产 | 主机 |
| 实体资产 | 电话 |
《信息安全风险评估计划》ECP-ISMS-JL-03-01
《风险评估报告》ECP-ISMS-JL-03-02
《资产识别清单》ECP-ISMS-JL-03-03
《重要资产调查与风险评估表》ECP-ISMS-JL-03-04
《风险处置计划》ECP-ISMS-JL-03-05
Copyright © 2019-2026 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
