《信息安全风险管理程序86765.docx》由会员分享,可在线阅读,更多相关《信息安全风险管理程序86765.docx(20页珍藏版)》请在课桌文档上搜索。
1、1目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。2范围本程序合用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。3职责3.1 研发中心负责牵头成立信息安全管理委员会。3.2 信息安全管理委员会负责编制信息安全风险评估计划,确认评估结果,形成风险评估报告及风险处理计划。3.3 各部门负责本部门使用或者管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。4相关文件信息安全管理手册GB-T20984-2022信息安全风险评估规范信息技术安全技术信息技术安全管理指南第3部份:IT安全管理技术5程序
2、5.1 风险评估前准备研发中心牵头成立信息安全管理委员会,委员会成员应包含信息安全重要责任部门的成员。信息安全管理委员会制定信息安全风险评估计划,下发各部门。风险评估方法-定性综合风险评估方法本项目采用的是定性的风险评估方法。定性风险评估并不强求对构成风险的各个要素(特殊是资产)进行精确的量化评价,它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准,来对风险要素进行相对的等级分化,最终得出的风险大小,只需要通过等级差别来分出风险处理的优先顺序即可。综合评估是先识别资产并对资产进行赋值评估,得出重要资产,然后对重要资产进行详细的风险评估。5.2 资产赋值各部门信息安全管理委员会成员对本部门
3、资产进行识别,并进行资产赋值。资产价值计算方法:资产价值=保密性赋值+完整性赋值+可用性赋值资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估,并在此基础上得出综合结果的过程。确定信息类别信息分类按“5.9资产识别参考(资产类别)”进行,信息分类不合用时,可不填写。机密性(C)赋值根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。完整性(I)赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。可用性(A)赋值根据资产在可用
4、性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。资产价值判断标准素要准则数据资产实体/服务资产文件/软件资产无形资产人员资产用性按资产使可用或者允许中断的时间次数来评估数据诸、百及处理设施在一个工作日内允许中断的次数或者时间比例值赋每次中断允许时间值赋使用频次要求值赋使用频次值赋允许离岗时间值16次13天以上1每年都1每年都要110个工以上或者全间中断要使用至少1次使用至少1次作日及以上9-15次或者1/2作时间中断21一3天每个季度2都要使用至少1次每个季度都2要咖至少1次6-9工作2日3-8次或者1/4工时间中断12小时一13天每个月都3要使用至少1次每个月
5、都3要使用至少1次3-5个工3作日1-2次或者1/8工作3小时一124小时每周都夔使用至少1次4每周都要使用至少1次2个工作4日不允许50-3小时每天都51吏用至少1次5每天都要使用至少1次1个工作5日34形成资产清单各部门的重要资产调查与风险评估表经本部门负责人审核,报管理者代表确认。5.3 判定重要资产根据前面的资产机密性、完整性、可用性的赋值相加得到资产的价值,资产价值越高表示资产重要性程度越高。要素标识相对价值范围等级资产等级很高15,14,134高12,11,103普通9,8,7,62低5A31按资产价值得出重要资产,资产价值为4,3的是重要资产,资产价值为2,1的是非重要资产。信息
6、安全管理委员会对各部门资产识别情况进行审核,确保没有遗漏重要资产,形成各部门的资产识别清单。各部门的资产识别清单经本部门负责人审核,报管理者代表确认,并分发各部门存档。5.4 重要资产风险评估应对所有的重要资产进行风险评估,评估应考虑威胁、脆弱性、威胁事件发生的可能性、威胁事件发生后对资产造成的影响程度、风险的等级、风险是否在可接受范围内及已采取的措施等方面因素。识别威胁威胁是对组织及其资产构成潜在破坏的可能性因素,造成威胁的因素可分为人为因素和环境因素。威胁作用形式可以是对信息系统直接或者间接的攻击,例如非授权的泄露、篡改、删除等,在保密性、完整性或者可用性等方面造成伤害;也可能是偶发的、或
7、者蓄意的事件。威胁可基于表现形式分类,基于表现形式的威胁分类标准可参考下表:威胁分类表种类描述威胁子类软硬件故障对业务实施或者系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或者软件缺陷等问题设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开辟环境故障等物理环境影响对信息系统正常运行造成影响的物理环境问题和自然灾害断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等无作为或者操作失应该执行而没有执行相应的操作,或者维护错误、操作失误等层管理不到位无意MjJ情状的操作安全管理无法落实或者不到位,从而破管理制度和策稍不完善、管理规程缺失、
8、职责不明确、监督控管机制不健全等恶意代码坏信息系统正常有序2彳J故意在计算机系统上执行恶意任务病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等越权或者滥用的程序代码通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或者数据、滥用权J的权限,做出破坏倍思系统的力为利用工具和技术通过网络对信息系I1K7世渤秘密倡总等网络探测和信息采集、漏洞等)、用户身份伪造和欺骗、用户或者业务数据的窃取和破坏、系物理攻击通过物理的接触造成对软件、硬件、数据的破坏统区彳J口,J拄制和破坏等物理接触、物理破坏、盗窃泄密信息泄露给不应
9、了解的他人内部信息泄露、外部信息泄篡改非法修改信息,破坏信息的完整性使系统的安全性降低或者信息不可用篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或者业务数据信抵赖不承认收到的信息和所作的操作和交易息等原发抵赖、接收抵赖、第三各部门根据资产本身所处的环境条件,识别每一个资产所面临的威胁。识别脆弱性脆弱性是对一个或者多个资产弱点的总称。脆弱性是资产本身存在的,如果没有相应的威胁发生,单纯的脆弱性本身不会对资产造成伤害。而且如果系统足够强健,再严重的威胁也不会导致安全事件,并造成损失。即,威胁总是要利用资产的脆弱性才可能造成危害。资产的脆弱性具有隐蔽性,有些脆弱性惟独在一定
10、条件和环境下才干显现,这是脆弱性识别中最为艰难的部份。需要注意的是,不正确的、起不到应有作用的或者没有正确实施的安全措施本身就可能是一个脆弱性。脆弱性识别将针对每一项需要保护的资产,找出可能被威胁利用的脆弱性,并对脆弱性的严重程度进行评估。脆弱性识别时的数据应来自于资产的所有者、使用者,以及相关业务领域的专家和软硬件方面的专业人员。脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关。常见脆弱性序号类别薄弱点威胁1.环境建造物/门以及窗户缺少物理保例如,可
11、能会被偷窃这一威胁所利和基础设施护用对建造物房间物理进入控制不充分,或者松懈可能会被故意伤害这一威胁所利用电网不稳定可能会被功率波动这一威胁所利用所处位置容易受到洪水袭击可能会被洪水这一威胁所利用2.硬件缺少定期替换计划可能会被存储媒体退化这一威胁所利用容易受到电压不稳定的侵扰可能会被功率波动这一威胁所利用容易受到温度变化的侵扰可能会温度的极端变化这一威胁所利用容易受到湿度、灰尘和污染的侵扰可能会被灰尘这一威胁所利用对电磁辐射的敏感性可能会被电磁辐射这一威胁所利用不充分的维护/存储媒体的错误安装可能会被维护失误这一威胁所利用缺少有效的配置变化控制可能会被操作职员失误这一威胁所利用3.软件开辟人
12、员的说明不清晰或者不完整可能会被软件故障这一威胁所利用没有软件测试或者软件测试不充可能会被未经授权许可的用户使用软件这一威胁所利用打可能会被操作职员失误这一威胁所利用复力!的用广界面缺少识别和鉴定机制,如:用户可能会被冒充用户身份这一威胁所利用鉴定可能会被以未经授权许可的方式缺少审核跟踪使用软件这一威胁所利用软件中存在众所周知的缺陷可能会被软件未经许可的用户使用软件这一威胁所利用口令表没有受到保护可能会被冒充用户身份这一威胁所利用口令管理较差(很容易被猜测,公开地存储口令,不时常更改)可能会被冒充用户身份这一威胁所利用访问权的错误分派可能会被以未经许可的方式使用软件这一威胁所利用对下裁和使用软
13、件不进行控制可能会被恶意软件这一威胁所利用离开工作站没有注销用户可能会被未经许可的用户使用软件这一威胁所利用缺少有效的变化控制可能会被软件故障这一威胁所利用缺少文件编制可能会被操作职员的失误这一威胁所利用缺少备份可能会被恶意软件或者火灾这一威胁所利用没有适当的擦除而对存储媒体进行处理或者重新使用可能会被未经许可的用户使用软件这一威胁所利用4.通讯通讯路线没有保护可能会被偷听这一威胁所利用电缆连接差可能会被通讯渗透这一威胁所利用对发件人和收件人缺少识别和鉴定可能会被冒充用户身份这一威胁所利用公开传送口令可能会被未经许可的用户接入网络这一威胁所利用收发信息缺少验证可能会被否认这一威胁所利用拨号路线
14、可能会被未经许可的用户接入网络这一威胁所利用对敏感性通信不进行保护可能会被偷听这一威胁所利用可能会被通信量超载这一威胁所利用可能会被未经许可的用户使用软,公共网络连接没有保于1件这一威胁所利用5.文件存储没有保护可能会被偷窃这一威胁所利用进行处理时缺少关注对拷贝没有进行控制可能会被偷窃这一威胁所利用可能会被偷窃这一威胁所利用6.人员人员缺席可能会被缺少员工这一威胁所利用对外部人员和清理人员的工作不进行监督可能会被偷窃这一威胁所利用不充分的安全培训可能会被操作职员的失误这一威胁所利用缺少安全意识可能会被用户错误这一威胁所利用对软件和硬件不正确的使用可能会被操作职员的失误这一威胁所利用缺少监控机制
15、可能会被以未经许可的方式使用软件这一威胁所利用在正确使用通讯媒体和信息方面缺乏政策可能会被以未经许可的方式使用网络设施这威胁所利用增员程序不充分可能会被故意伤害这一威胁所利用7.普通都合用的某一点上的故障可能会被通讯服务故障这威胁薄弱环节JTTTjn服务维护反应不足可能会被硬件故障这一威胁所利用脆弱性识别内容表类型识别对象识别内容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信路线的保护、机房区域防护、机房设备管理等方面进行识别网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物
16、理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开辟与维护、业务连续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别威胁利用脆弱性发生风险之后的影响后果描述风险描述识别现有控制措施评估威胁发生的可能性分析威胁利用脆弱性给资产造成伤害的可能性。确定各个威胁利用脆弱性造成伤害
17、的可能性。判断每项重要资产所面临威胁发生的可能性时应注意:威胁事件本身发生的可能性:现有的安全控制措施;现存的安全脆弱性。要素标识发生的频率等级威胁利用弱点导致危害的可能性很高浮现的频率很高(或者21次/周);或者在大多数情况下几乎不可避免;5高或者可以证实时常发生过浮现的频率较高(或者N1次/月);或者在大多4普通数情况下很有可能会发生;或者可以证实多次发生过浮现的频率中等3低(或者1次/半年);或舍在某种情况下可能会发2很低生;或者被证实曾经发生浮现的频率较小;或者1影响程度分析影响程度指一旦威胁事件实际发生时,将给资产带来多大程度的损失。在分析时,可以从影响相关方和影响业务连续性两个不同
18、维度方面来评估打分。如果改风险可能引起法律起诉,则影响程度值为最高5分。要素标识严重程度等级威胁被利用后的严重性很高如果被威胁利用,将对公司重要资产造成重大伤害5高如果被威胁利用,将对重要资产造成普通损害4普通如果被威胁利用,将对普通资产造成重要损害3低如果被威胁利用,将对普通资产造成普通损害2很低如果被威胁利用,将对资产造成的伤害可以忽略1风险的等级风险值由威胁发生的可能性、影响程度和资产价值这三个因素共同决定。风险值计算方法:风险值=威胁发生可能性*(威胁发生对保密性的影响+威胁发生对完整性的影响+威胁发生对可用性的影响)风险等级标准见下表:要素标识风险值范围级别可接受准则风险级别高风险2
19、04风险不可接受,必须即将采取有效的措施降低风险较高风险15且10且=152风险可以接受低风险=101建议控制措施安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以减少因安全事件发生对信息系统造成的影响,如业务持续性计划。建议控制措施的确认与脆弱性识别存在一定的联系。普通来说,安全措施的使用将减少脆弱性,但安全措施的确认并不需要与脆弱性识别过程那样具体到每一个资产、组件的脆弱性,而是一类具体措施的集合。5.5 不可接受风险的确定 通过预制的风险的可接受准则,进行风险可接受性判定(是否高风险),并生
20、成各部门的重要资产调查与风险评估表表单。 各部门的重要资产调查与风险评估表经本部门负责人审核,报管理者代表批准。5.6 风险处理对风险应进行处理。对可接受风险,可保持已有的安全措施;如果是不可接受风险(高风险),则需要采取安全措施以降低、控制风险。对不可接受风险,应采取新的风险处理的措施,规定风险处理方式、责任部门和时间进度,高风险应得到优先的考虑。 信息安全管理委员会根据重要资产调查与风险评估表编制风险处置计划。 信息安全管理委员会根据重要资产调查与风险评估表编制风险评估报告,陈述信息安全管理现状,分析存在的信息安全风险,提出信息安全管理(控制)的建议与措施。 管理者代表考虑成本与风险的关系
21、,对风险评估报告及风险处理计划的相关内容审核,对认为不合适的控制或者风险处理方式等提出说明,由信息安全管理委员会协同相关部门重新考虑管理者代表的意见,选择其他的控制或者风险处理方式,并重新提交管理者代表审核批准实施。各责任部门按照批准后的风险处理计划的要求采取有效安全控制措施,确保所采取的控制措施是有效的。如果降低风险所付出的成本大于风险所造成的损失,则选择接受风险。5.7 剩余风险评估对采取安全措施处理后的风险,信息安全管理委员会进行再评估,以判断实施安全措施后的残存风险是否已经降低到可接受的水平。某些风险可能在选择了适当的安全措施后仍处于不可接受的风险范围内,应考虑是否接受此风险或者进一步
22、增加相应的安全措施。剩余风险评估完成后,剩余风险报管理者代表审核、总经理批准。5.8 信息安全风险的连续评估信息安全管理委员会每年应组织对信息安全风险重新评估一次,以适应信息资产的变化,确定是否存在新的威胁或者脆弱性及是否需要增加新的控制措施。当企业发生以下情况时需及时进行风险评估:当发生重大信息安全事故时;当信息网络系统发生重大更改时;信息安全管理委员会确定有必要时。各部门对新增加、转移的或者授权销毁的资产应及时在重要信息资产识别表及风险评估表中予以添加或者变更。5.9资产识别参考资产类别类别资产名称人员资产总裁/副总裁人员资产部门总经理人员资产工程师人员资产项目经理人员资产网管人员资产职员
23、软件资产软件操作系统软件资产开辟软件软件资产服务软件软件资产财务软件软件资产工具类软件软件应用软件资产软件资产应用程序文件资产合同文件资产验收文档资料文件资产工程文件文件资产财务报告文件资产投标书文件资产文档资料文件资产立项申报书数据资产光盘数据资产验收资料数据资产财务数据数据资产设备采购工程文档数据资产投标书数据资产文档资料电子版数据员工手册资产服务资产保洁服务资产网络支撑平台服务资产网络通讯平台无形资产公司形象无形资产客户关系无形资产资质证书无形资产荣誉证书无形资产软件著作权登记证书无形资产公司网站实体资产高管/财务/人力资源电脑实体资产笔记本实体资产传真机实体资产打印机实体资产服务器(显示器+主机)实体复印机资产实体资产扫描仪实体资产数码相机实体资产碎纸机实体资产投影仪实体资产显示器实体资产主机实体资产电话6记录信息安全风险评估计划ECP-ISMS-JL-03-01风险评估报告ECP-ISMS-JL-03-02资产识别清单ECP-ISMS-JL-03-03重要资产调查与风险评估表ECP-ISMS-JL-03-04风险处置计划ECP-ISMS-JL-03-05
