信息安全風(fēng)險(xiǎn)評(píng)估控制程序

1、 編制部門(mén) 審核部門(mén) 批準(zhǔn) 生效 日期 1、 信息安全評(píng)估的作用和目的 明確企業(yè)信息系統(tǒng)的安全現(xiàn)狀。進(jìn)行信息安全評(píng)估后，可以讓企業(yè)準(zhǔn)確地了解自身的網(wǎng)絡(luò)、各種應(yīng)用系統(tǒng)以及管理制度規(guī)范的安全現(xiàn)狀，從而明晰企業(yè)的安全需求。 確定企業(yè)信息系統(tǒng)的主要安全風(fēng)險(xiǎn)。在對(duì)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)進(jìn)行信息安全評(píng)估并進(jìn)行風(fēng)險(xiǎn)分級(jí)后，可以確定企業(yè)信息系統(tǒng)的主要安全風(fēng)險(xiǎn)，并讓企業(yè)選擇避免、降低、接受等風(fēng)險(xiǎn)處置措施。 指導(dǎo)企業(yè)信息系統(tǒng)安全技術(shù)體系與管理體系的建設(shè)。對(duì)企業(yè)進(jìn)行信息安全評(píng)估后，可以制定企業(yè)網(wǎng)絡(luò)和系統(tǒng)的安全策略及安全解決方案，從而指導(dǎo)企業(yè)信息系統(tǒng)安全技術(shù)體系（如部署防火墻、入侵檢測(cè)與漏洞掃描系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份系統(tǒng)

2、、建立公鑰基礎(chǔ)設(shè)施PKI等）與管理體系（安全組織保證、安全管理制度及安全培訓(xùn)機(jī)制等）的建設(shè) 2、 適用范圍 2.1、 本制度適用于廣州市拓璞電器發(fā)展有限公司 3、 信息安全風(fēng)險(xiǎn)評(píng)估的基本要素 使命：一個(gè)組織機(jī)構(gòu)通過(guò)信息化形成的能力要來(lái)進(jìn)行的工作任務(wù)。使命是信息化的目修訂Changes Record 版本/修訂 Rev./edit Description 參考 Reference 生效日期 Effective Date A0 首次發(fā)行 的，一個(gè)信息系統(tǒng)如果不能實(shí)現(xiàn)具體的工作任務(wù)是沒(méi)有意義的。對(duì)企業(yè)來(lái)說(shuō)，信息系統(tǒng)的使命是業(yè)務(wù)戰(zhàn)略。 依賴(lài)度：一個(gè)組織機(jī)構(gòu)的使命對(duì)信息系統(tǒng)和信息的依靠程度。依賴(lài)度越高，

3、風(fēng)險(xiǎn)評(píng)估的任務(wù)就越重要。 資產(chǎn)：通過(guò)信息化建設(shè)積累起來(lái)的信息系統(tǒng)、信息以及業(yè)務(wù)流程改造實(shí)現(xiàn)的應(yīng)用服務(wù)的成果、人員能力和贏得的信譽(yù)。 價(jià)值：資產(chǎn)的重要程度。 威脅：對(duì)一個(gè)組織機(jī)構(gòu)信息資產(chǎn)安全的侵害。 脆弱性：信息資產(chǎn)及其防護(hù)措施在安全方面的不足和弱點(diǎn)。脆弱性也常常被稱(chēng)為弱點(diǎn)或漏洞。 威脅是外因，脆弱性是內(nèi)因，威脅只有通過(guò)利用脆弱性才能造成安全事件。 風(fēng)險(xiǎn)：某種威脅利用暴露的系統(tǒng)對(duì)組織機(jī)構(gòu)的資產(chǎn)造成損失的潛在可能性。風(fēng)險(xiǎn)由意外事件發(fā)生的概率及發(fā)生后可能產(chǎn)生的影響兩種指標(biāo)來(lái)衡量。 安全事件的后果和它發(fā)生的概率同時(shí)決定信息安全的投入和安全措施的強(qiáng)度。 殘余風(fēng)險(xiǎn)：采取了安全保障措施，提高了防護(hù)能力后，仍

4、然可能存在的風(fēng)險(xiǎn)。 安全需求：為保證組織機(jī)構(gòu)的使命正常行使，在信息安全保障措施方面提出的要求。 安全保障措施：對(duì)付威脅，減少脆弱性，保護(hù)資產(chǎn)而采取的預(yù)防和限制意外事件的影響，檢測(cè)、響應(yīng)意外事件，促進(jìn)災(zāi)難恢復(fù)和打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制的總稱(chēng)。 4、 信息系統(tǒng)的全過(guò)程的安全評(píng)估 4.1啟動(dòng)階段 階段特征：確定信息系統(tǒng)的需求，信息系統(tǒng)的目的和范圍并形成文檔。 風(fēng)險(xiǎn)評(píng)估的作用：通過(guò)風(fēng)險(xiǎn)評(píng)估對(duì)系統(tǒng)需求的開(kāi)發(fā)提供支持，包括安全需求和安全戰(zhàn)略。 主要工作：挖掘并評(píng)估需求，進(jìn)行可行性分析和項(xiàng)目預(yù)算，對(duì)數(shù)據(jù)敏感性進(jìn)行評(píng)估 可形成的文檔：系統(tǒng)安全需求分析、數(shù)據(jù)分類(lèi)安全 4.2設(shè)計(jì)階段 階段特征：確

5、定信息系統(tǒng)項(xiàng)目計(jì)劃，系統(tǒng)分析設(shè)計(jì)和詳細(xì)設(shè)計(jì)。 風(fēng)險(xiǎn)評(píng)估的作用：通過(guò)風(fēng)險(xiǎn)評(píng)估對(duì)信息系統(tǒng)的安全分析和設(shè)計(jì)提供支持，這些安全分析可作為信息系統(tǒng)的結(jié)構(gòu)和設(shè)計(jì)的參考。 主要工作：進(jìn)行系統(tǒng)功能評(píng)估、技術(shù)特性需求評(píng)估，設(shè)計(jì)特定的安全控制，對(duì)人員背景的調(diào)查，編制測(cè)試計(jì)劃和測(cè)試環(huán)境。 可形成的文檔：系統(tǒng)設(shè)計(jì)階段安全風(fēng)險(xiǎn)分析報(bào)告、系統(tǒng)安全體系設(shè)計(jì)方案、系統(tǒng)安全域劃分方案、系統(tǒng)安全功能分配方案、系統(tǒng)信息流程安全性設(shè)計(jì)方案、系統(tǒng)等級(jí)保障建設(shè)方案等。 4.3開(kāi)發(fā)階段 階段特征：信息系統(tǒng)通過(guò)購(gòu)買(mǎi)、開(kāi)發(fā)或其它形式建設(shè)完成。 風(fēng)險(xiǎn)評(píng)估的作用：通過(guò)風(fēng)險(xiǎn)評(píng)估對(duì)系統(tǒng)開(kāi)發(fā)過(guò)程提供支持，保證系統(tǒng)開(kāi)發(fā)進(jìn)度、質(zhì)量和安全控制。 主要工作：進(jìn)

6、行開(kāi)發(fā)平臺(tái)風(fēng)險(xiǎn)評(píng)估、編程風(fēng)險(xiǎn)評(píng)估、配置變更風(fēng)險(xiǎn)評(píng)估、項(xiàng)目進(jìn)度風(fēng)險(xiǎn)評(píng)估、人員權(quán)限評(píng)估 可形成的文檔：系統(tǒng)開(kāi)發(fā)階段安全風(fēng)險(xiǎn)分析報(bào)告、系統(tǒng)開(kāi)發(fā)平臺(tái)安全建議書(shū)、系統(tǒng)安全 編程指南、系統(tǒng)程序分發(fā)和管理建議書(shū)、系統(tǒng)安全功能測(cè)試方案 4.4實(shí)施階段 階段特征：信息系統(tǒng)的安全特性在此階段被配置、使能、測(cè)試并核實(shí)。 風(fēng)險(xiǎn)評(píng)估的作用：風(fēng)險(xiǎn)評(píng)估可以為針對(duì)安全需求進(jìn)行的信息系統(tǒng)實(shí)施的評(píng)估提供支持，該階段發(fā)現(xiàn)的安全風(fēng)險(xiǎn)應(yīng)該如何處理，必須在系統(tǒng)運(yùn)行之前作出決定。 主要工作：物理環(huán)境設(shè)施安全，實(shí)施人員崗位、職責(zé)和工作接口，實(shí)施操作程序，外部或內(nèi)部資源協(xié)調(diào)，業(yè)務(wù)連續(xù)性計(jì)劃，災(zāi)難恢復(fù)計(jì)劃，文件與程序的設(shè)置與權(quán)限設(shè)定，測(cè)試與鑒定

7、（包括測(cè)試數(shù)據(jù)、單元測(cè)試、系統(tǒng)測(cè)試），備份、恢復(fù)與重啟程序和手冊(cè)，備份實(shí)施 可形成的文檔：系統(tǒng)實(shí)施階段安全風(fēng)險(xiǎn)分析報(bào)告、系統(tǒng)安全集成方案、系統(tǒng)安全集成質(zhì)量保證大綱、系統(tǒng)實(shí)施安全監(jiān)理報(bào)告、系統(tǒng)業(yè)務(wù)連續(xù)性計(jì)劃 4.5運(yùn)維階段 階段特征：信息系統(tǒng)開(kāi)始執(zhí)行其功能，在此階段信息系統(tǒng)往往不斷得到修改，例如添加新的硬件和軟件，改變組織的策略和程序等。 風(fēng)險(xiǎn)評(píng)估的支持能力：在本階段風(fēng)險(xiǎn)評(píng)估應(yīng)定期進(jìn)行，對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行的評(píng)估可以幫助信息安全負(fù)責(zé)人跟蹤系統(tǒng)安全狀況，決定采用何種控制措施處理安全風(fēng)險(xiǎn)，將安全風(fēng)險(xiǎn)維持在一個(gè)可以接受的水平。當(dāng)信息系統(tǒng)的運(yùn)行環(huán)境做重大調(diào)整后，也必須重新執(zhí)行安全評(píng)估。 主要工作：備

8、份與恢復(fù)參數(shù)，執(zhí)行備份計(jì)劃，安全培訓(xùn)內(nèi)容，加密秘鑰管理，用戶(hù)管理與訪(fǎng)問(wèn)權(quán)限，日志審計(jì)，安全事件處理，物理安全保護(hù)，離線(xiàn)存儲(chǔ)保護(hù)，輸出分發(fā)控制，注冊(cè)與銷(xiāo)戶(hù)，軟硬件維保，運(yùn)維安全控制措施（包括檢查工作時(shí)間運(yùn)行、檢查技術(shù)控制、驗(yàn)證訪(fǎng)問(wèn)權(quán)限文檔、檢查系統(tǒng)互操作性、確認(rèn)文檔及時(shí)更新、確認(rèn)正確的銷(xiāo)戶(hù)、確認(rèn)文檔控制） 可形成的文檔：運(yùn)維階段安全風(fēng)險(xiǎn)分析報(bào)告、系統(tǒng)安全運(yùn)維規(guī)范評(píng)估、系統(tǒng)安全控制措施評(píng)估、系統(tǒng)安全事故處理流程、系統(tǒng)安全監(jiān)控流程 4.6廢棄階段 階段特征：該階段包括信息、硬件和軟件的銷(xiāo)毀。也包括信息的移動(dòng)、備份和丟棄以及硬件和軟件的清除等活動(dòng)。 風(fēng)險(xiǎn)評(píng)估的支持能力：該階段對(duì)將被丟棄和替換的系統(tǒng)組件

9、（硬件、軟件）的風(fēng)險(xiǎn)評(píng)估可以確保這些組件被合理地丟棄和替換，它們所包含的殘余數(shù)據(jù)經(jīng)過(guò)了正確的處理，不會(huì)增加信息系統(tǒng)的安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估還可以保證信息系統(tǒng)的移植在可控的安全情況下執(zhí)行。 主要工作：加密密鑰存儲(chǔ)，記錄保存時(shí)間（法律法規(guī)要求)，信息歸檔，介質(zhì)處理 可形成的文檔：信息記錄處理規(guī)范、介質(zhì)安全處理規(guī)范 4.7 信息系統(tǒng)主要階段評(píng)估要點(diǎn) 5、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估形式分為： 5.1 自我評(píng)估 自我評(píng)估：是指由集團(tuán)指定信息系統(tǒng)安全管理人員在信息系統(tǒng)運(yùn)行維護(hù)中使用相應(yīng)的安全風(fēng)險(xiǎn)評(píng)估工具按照一定的規(guī)范進(jìn)行的評(píng)估活動(dòng)。從信息系統(tǒng)擁有者的角度來(lái)看是完全主動(dòng)的行為。 優(yōu)點(diǎn)：可方便地進(jìn)行經(jīng)常性的評(píng)估，及時(shí)采

10、取對(duì)策降低安全風(fēng)險(xiǎn)，是一種“自查自糾”的方式。這種方式因?yàn)槭窃谝粋€(gè)機(jī)構(gòu)內(nèi)部進(jìn)行，因此一般不會(huì)引入評(píng)估帶來(lái)的新的風(fēng)險(xiǎn)。 缺點(diǎn)：是專(zhuān)業(yè)性和客觀性稍較差。 5.2 委托評(píng)估 委托評(píng)估：是信息系統(tǒng)擁有者選擇委托具有相應(yīng)資質(zhì)的評(píng)估單位按照一定的規(guī)范對(duì)信息系統(tǒng)進(jìn)行的獨(dú)立的評(píng)估活動(dòng)。從信息系統(tǒng)擁有者的角度來(lái)看是完全自愿的，并具有一定的選擇性。 優(yōu)點(diǎn)：是專(zhuān)業(yè)性、公證性和客觀性較強(qiáng)。 缺點(diǎn)：是對(duì)于評(píng)估可能引入新的風(fēng)險(xiǎn)，要加強(qiáng)控制。 5.3 檢查評(píng)估 檢查評(píng)估：是信息系統(tǒng)擁有者的上級(jí)機(jī)關(guān)或國(guó)家賦予信息安全管理職能的機(jī)關(guān)授權(quán)的評(píng)估單位根據(jù)一定的管理權(quán)限和程序，按照一定的規(guī)范對(duì)信息系統(tǒng)進(jìn)行的獨(dú)立的評(píng)估活動(dòng)。此種評(píng)估帶有檢查的性質(zhì)，從信