还剩8页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
信息安全风险控制管理规定概述通过识别信息资产、进行风险等级评估,认知本公司的信息安全风险目的为明确本公司信息资产风险评估的准则,指导风险评估的实施和风险控制措施的改善工作
3.术语
4.内容
4.1风险评估过程本公司信息资产的风险评估过程分为如下9个过程,每个过程内的详细活动如下表:信息资产识别、分组与登记信息资产识别资产是本公司直接赋予价值因而需要保护的有用资源,以多种形式存在信息资产分为硬件类、软件类、环境设施类、信息、外购服务类、人员类、无形资产类七大类对《信息资产登记表》中资产价值大于等于4级以上的资产,作为重要信息资产进行抽出,做出《重要信息资产登记表》信息资产识别由信息安全管理小组统一组织进行,相关人员要予以协助信息资产分组对于识别出来的信息资产,要根据资产的不同类型和价值进行必要的组合,形成资产组信息资产登记识别出来的信息资产需要详细登记在《信息资产登记表》中资产赋值信息资产的赋值通过信息资产的机密性、完整性和可用性赋值确定,信息资产的机密性、完整性、可用性赋值如下:风险识别与分析威胁识别与分析应根据资产组内的每一项资产,以及每一项资产所处的环境条件、以前曾发生的安全事件等情况来进行威胁识别一项资产可能面临着多个威胁,同样一个威胁可能对不同的资产造成影响;脆弱性识别与分析脆弱性评估将针对资产组内所有资产,找出该资产组可能被威胁利用的脆弱性,获得脆弱性所采用的方法主要为问卷调查、访谈、工具扫描、手动检查、文档审查、渗透测试等;
4.
4.3现有控制措施识别与分析在识别威胁和脆弱性的同时,评估人员应对已采取的安全措施进行识别,对现有控制措施的有效性进行确认在对威胁和脆弱性赋值时,需要考虑现有控制措施的有效性风险评价本公司信息资产风险值通过风险各要素赋值相乘法来确定风险值计算公式R=a*i*p其中,R表示安全风险值;a表示资产组价值;i表示风险影响;p表示风险发生可能性风险影响的赋值标准
4.
5.3风险发生可能性的赋值标准:注风险的影响或发生可能性根据赋值标准,可能同时适用于二个维度,这种情况下,贩t值取这二个维度赋值的最大值确定风险可接受标准风险等级采用分值计算表示分值越大,风险越高信息安全管理小组(管理者代表负责组织成立)决定以下风险等级标准风险接受准则对于信息资产评估的结果,本公司原则上以风险值小于16分1不包括16分)的风险为可接受风险,大于等于16分为不可接受风险,要采取控制措施进行控制对于不可接受的风险,由于经济或技术原因,经资讯部批准后,可以暂时接受风险,待经济或技术具有可行性时再采取适当的措施降低风险风险控制措施的选择和实施对于不可接受的风险,有四种风险处置方式可以选择降低风险、转移风险、消除风险、接受风险最常见的风险处置方式是降低风险,降低风险可以选择IS0270012013标准提供的14个域114项中的一项或几项控制措施控制措施有效性测量在风险控制措施全部或部分实施完成后,信息安全管理小组可以对风险控制措施的有效性进行测量;测量的范围可以测量全部的控制措施,也可以测量部分的控制措施,出于时间和经济成本的考虑,建议选取主要的控制措施进行测量,测试方法由信息安全管理小组视情况决定风险评估更新风险评估需要至少每年进行一次,重新进行风险评估时,各部门需要对本公司《信息资产登记表》和《信息风险评估及处置表》进行更新在发生以下情况时,可以增加风险评估次数a)当信息系统发生重大变更时;b)当公司业务或信息资产发生重大变化时;c)发生严重信息安全事件时;d)企业认为有必要时
4.10残余风险处置
4.
10.1对于低于风险可接受标准的残余风险,本公司接受这样的风险,也可以继续采取措施,进一步减少该风险
4.
10.2对于高于本公司风险可接受标准的残余风险,由于费用或技术等原因不能增加新的控制措施,经资讯部批准可以决定暂时接受此风险,并由资讯部积极跟踪相关技术和产品的发展情况,以尽快采取新的技术或方法,降低风险;对于可以继续实施控制措施的,由各部门继续实施相应的信息安全控制措施
5.支持文件
6.相关文件上层/上下游接口文件
7.记录的保存
8.文件拟制/修订记录名称定义资产asset即信息资产,对组织具有价值的信息或资源,是安全策略保护的对象资产组AssetTeam又称资产组合,是指具有相同或相近的业务功能的资产组合;如由硬件、软件、配置信息等组成的应用系统资产组,由电子文件、纸质文档组成的信息资产组资产价值assetvalue资产的重要程度或敏感程度的表征资产价值是资产的属性,也是进行资产识别的主要内容机密性confidentiality数据所具有的特性,即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度完整性integrity保证信息及信息系统不会被非授权更改或破坏的特性,包括数据完整性和系统完整性可用性availability数据或资源的特性,被授权实体按要求能访问和使用数据或资源残余风险residualrisk采取了安全措施后,仍然可能存在的风险威月办threat可能导致对系统或组织危害的不希望事故潜在原因脆弱性vulnerability是指可能被威胁所利用的资产或若干资产的弱点,又称弱点,脆弱性和资产本身的特点和性能有关序号过程活动过程内容1信息资产识别、分组与登记根据资产分类表,对评估范围内的资产进行识别、分组和登记;信息资产分组一般分硬件、软件、信息、人员、环境设施、外购服务和无形资产7种2资产赋值从保密性、完整性和可用性三个方面对信息资产进行赋值3风险识别与分析识别并登记与资产组相关的主要威胁、弱点和现有控制措施4风险评价根据预先定义的赋值标准,对风险发生可能性和风险影响赋值,并通过资产价值、风险发生可能性和风险影响计算出风险值5确定风险可接受标准根据风险计算结果,确定风险级别,确定公司可接受的风险值一般来说,风险可接受标准为低风险的分界线6风险控制措施的选择和实施对于超过风险可接受标准的风险,公司要选择和实施管理或技术控制措施,发生的可能性或影响程度选择风险控制措施要考虑预估的残余风险值以降低风险7控制措施有效制订或利用一定的测量方法,对采取的全部或部分控制措施进行测量,以判断控制措施的有效性,对无效或效果不明显的进行整改8风险评估更新根据风险评估周期,周期性进行风险评估与处置9残余风险处置对于风险评估更新后,对于仍超过可接受标准的风险可以采取新的控制措施,也可以接受风险等级C一机密性I一完整性A—可用性5(很高)包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性影响,如果泄漏会造成灾难性的损害完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度
99.9%o以上4〔高)包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,比较难以弥补可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上3〔中)包含组织的一般性秘密,其泄露会使组织的安全和利益受到损害完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上2〔低)包含仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成损害完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,可以忍受,对业务冲击轻微,容易弥补可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上1(很低)包含可对社会公开的信息,公用的信息处理设备和系统资源等完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%o威胁种类威胁示例TC01软硬件故障设备硬件故障、通讯链路中断、系统本身或软件BugTCQP物理环境威胁断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、水灾、地等环境问题和自然灾害;TC03无作为或操作失误由于应该执行而没有执行相应的操作,或无意地执行了错误的操作,对系统造成影响TC04管理不到位安全管理无法落实,不到位,造成安全管理不规范,或者管理混乱,从而破坏信息系统正常有序运行TC05恶意代码和病毒具有自我复制、自我传播能力,对信息系统构成破坏的程序代码TC06越权或滥用通过采用一些措施,超越自己的权限访问了本来无权访问的资源;或者滥用自己的职权,做出破坏信息系统的行为TC07黑客攻击利用黑客工具和技术,例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵TC08物理攻击物理接触、物理破坏、盗窃TC09泄密机密泄漏,机密信息泄漏给他人TC10篡改非法修改信息,破坏信息的完整性TC11抵赖不承认收到的信息和所作的操作和交易类型脆弱性分类脆弱性示例技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别服务器〔含操作系统)从物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置(初始化)、注册表加固、网络安全、系统管理等方面进行识别网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别数据库从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别应用系统审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别管理脆弱性技术管理物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性组织管理安全策略、组织安全、资产分类与控制、人员安全、符合性风险影响赋值等级风险影响的不同维度相关方业务连续性5很高全部或大部分客户、监控机构、甚至社会公众公司大部分或全部核心业务受到严重影响4高整个公司,或部分客户公司大部分核心业务或日常活动受影响3中多个部门,或个别客户公司个别业务受影响,或日常办公活动中断2低本部门或部门内部人员公司业务不受影响,只是少部分日常办公活动活动受影响1很低个人基本不影响本部门业务和日常办公活动风险发生可能性赋值等级风险发生可能性时间频率发生机率5很高出现的频率很高(或21次/日);或在大多数情况下几乎不可避免;或可以证实经常发生过不可避免(>99%)4高出现的频率较局(或21次/周);或在大多数情况下很有可能会发生;或可以证实多次发生过非常有可能〔90%〜99%)3I出现的频率中等(或21次/月);或在某种情况下可能会发生;或被证实曾经发生过可能〔10%〜90%2低出现的频率较小(或M次/年)或一般不太可能发生;或在某种情况下可能会发生可能性很小〔1〜10%)1很低威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生,或没有被证实发生过不可能(彳%)赋值级别描述[32-125]高如果发生将使资产遭受严重破坏,组织利益受到严重损失[16-31]中发生后将使资产受到较重的破坏,组织利益受到损失[0-15]低发生后将使资产受到的破坏程度和利益损失比较轻微序号文件名称//记录名称移交责任人保存责任人保存场所归档时间保存期限到期处理方式信息资产登记表资讯部资产课资产课资产发放后5年销毁信息风险评估表及处资讯部资讯部资讯部完成后一月内5年销毁置表风险评估报告资讯部资讯部资讯部完成后一月内5年销毁版本拟制/修订责任人拟制/修订日期修订内容及理由批准人。