信息安全風險評估控制程序(共18頁)

1、信息安全管理體系文件ISMSP-10-APAGE PAGE 18信息(xnx)科技部信息安全風險(fngxin)評估控制程序A版2011年6月1日 發(fā)布(fb) 2011年6月1日 實施目錄(ml) TOC o 1-3 h z u HYPERLINK l _Toc306546074 1 目的(md) PAGEREF _Toc306546074 h 3 HYPERLINK l _Toc306546075 2 范圍(fnwi) PAGEREF _Toc306546075 h 3 HYPERLINK l _Toc306546076 3 相關(guān)文件 PAGEREF _Toc306546076 h 3 H

2、YPERLINK l _Toc306546077 4 職責 PAGEREF _Toc306546077 h 3 HYPERLINK l _Toc306546078 5 程序 PAGEREF _Toc306546078 h 3 HYPERLINK l _Toc306546079 6 記錄 PAGEREF _Toc306546079 h 5 HYPERLINK l _Toc306546080 附表1 信息資產(chǎn)分類參考目錄 PAGEREF _Toc306546080 h 6 HYPERLINK l _Toc306546081 附表2 重要信息資產(chǎn)判斷準則 PAGEREF _Toc306546081

3、h 10 HYPERLINK l _Toc306546082 附表3 信息安全威脅參考表 PAGEREF _Toc306546082 h 12 HYPERLINK l _Toc306546083 附表4 信息安全薄弱點參考表（按ISO/IEC17799分類） PAGEREF _Toc306546083 h 13 HYPERLINK l _Toc306546084 附表5 事件發(fā)生可能性等級對照表 PAGEREF _Toc306546084 h 16 HYPERLINK l _Toc306546085 附表6 事件可能影響程度等級對照表 PAGEREF _Toc306546085 h 17 HY

4、PERLINK l _Toc306546086 附表7 信息安全風險矩陣計算表 PAGEREF _Toc306546086 h 18 HYPERLINK l _Toc306546087 附表8 信息安全風險接受準則 PAGEREF _Toc306546087 h 19文件修訂歷史記錄版本日期修訂者修訂描述1.01 目的(md)本程序(chngx)規(guī)定了 信息(xnx)科技部所采用的信息安全風險評估方法。通過識別信息資產(chǎn)、風險等級評估認知信息科技部的信息安全風險，在考慮控制成本與風險平衡的前提下選擇合適控制目標和控制方式將信息安全風險控制在可接受的水平，保持 信息科技部持續(xù)性發(fā)展，以滿足信息科技

5、部信息安全管理方針的要求。2 范圍本程序適用于 信息科技部信息安全管理體系(ISMS)范圍內(nèi)信息安全風險評估活動。3 相關(guān)文件4 職責4.1 管理者代表負責組織成立風險評估小組。4.2 風險評估小組負責編制信息安全風險評估計劃，確認評估結(jié)果，形成信息安全風險評估報告。5 程序5.1 風險評估前準備5.1.1 管理者代表牽頭成立風險評估小組,小組成員至少應(yīng)該包含：負責信息安全管理體系的成員。5.1.2 風險評估小組制定信息安全風險評估計劃,下發(fā)各內(nèi)審員。5.1.3 必要時應(yīng)對各內(nèi)審員進行風險評估相關(guān)(xinggun)知識和表格填寫的培訓(xùn)。5.2信息資產(chǎn)(zchn)的識別5.2.1風險評估小組通過

6、電子郵件向各內(nèi)審員發(fā)放信息資產(chǎn)分類參考目錄、重要信息資產(chǎn)判斷準則、信息資產(chǎn)識別(shbi)表，同時提出信息資產(chǎn)識別的要求。5.2.2 各內(nèi)審員參考信息資產(chǎn)分類參考目錄識別信息科技部信息資產(chǎn)，并填寫信息資產(chǎn)識別表，根據(jù)重要信息資產(chǎn)判斷準則判斷其是否是重要信息資產(chǎn)，經(jīng)該區(qū)域負責人審核確認后，在風險評估計劃規(guī)定的時間內(nèi)提交風險評估小組審核匯總。5.2.3 風險評估小組對各內(nèi)審員填寫的信息資產(chǎn)識別表進行審核，確保沒有遺漏重要的信息資產(chǎn)，形成信息科技部的重要信息資產(chǎn)清單，并交由文檔管理員處存檔。5.3 重要信息資產(chǎn)風險等級評估5.3.1 應(yīng)對重要信息資產(chǎn)清單中的所有資產(chǎn)進行風險評估, 評估應(yīng)考慮威脅事件

7、發(fā)生的可能性和威脅事件發(fā)生后對信息資產(chǎn)造成的影響程度兩方面因素。5.3.2 風險評估小組向各內(nèi)審員分發(fā)重要信息資產(chǎn)風險評估表、信息安全威脅參考表、信息安全薄弱點參考表、事件發(fā)生可能性等級對照表、事件可能影響程度等級對照表。5.3.3 各內(nèi)審員根據(jù)資產(chǎn)本身所處的環(huán)境條件,參考信息安全威脅參考表識別每個信息資產(chǎn)所面臨的威脅，針對每個威脅,識別目前已有的控制；并參考信息安全薄弱點參考表識別可能被該威脅所利用的薄弱點；在考慮現(xiàn)有的控制前提下，參考事件發(fā)生可能性等級對照表判斷每項重要信息資產(chǎn)所面臨威脅發(fā)生的可能性；參考事件可能影響程度等級對照表，判斷威脅利用薄弱點可能使信息資產(chǎn)保密性、完整性或可用性丟失

8、所產(chǎn)生的影響程度等級。將結(jié)果填寫在重要信息資產(chǎn)風險評估表上，提交風險評估小組審核匯總。5.3.4 風險(fngxin)評估小組考慮信息(xnx)科技部整體(zhngt)的信息安全要求，對各內(nèi)審員填寫的重要信息資產(chǎn)風險評估表進行審核，確保風險評估水平的一致性，確保沒有遺漏重要信息安全風險。如果對評估結(jié)果進行修改，應(yīng)該和負責該資產(chǎn)的內(nèi)審員進行溝通并獲得該區(qū)域副總經(jīng)理的確認。5.3.5 風險評估小組根據(jù)信息安全風險矩陣計算表計算風險等級,完成各內(nèi)審員識別的重要信息資產(chǎn)風險評估表，并遞交給文檔管理員進行存檔。5.4 不可接受風險的確定和處理5.4.1 風險評估小組根據(jù)信息安全風險接受準則，確定風險的可

9、接受性；針對不可接受風險編制信息安全不可接受風險處理計劃，該計劃應(yīng)該規(guī)定風險處理方式、責任人和時間進度,并對所選擇的風險處理方式在控制上的有效性進行預(yù)期評估，根據(jù)本文件的評估方法重新進行打分，殘余風險應(yīng)得到管理者的批準；編制信息安全風險評估報告,陳述信息科技部信息安全管理現(xiàn)狀，分析存在的信息安全風險，提出信息安全管理（控制）的建議與措施，附信息安全不可接受風險處理計劃提交信息安全管理委員會進行審核，由ISMS管理者代表批準實施。5.4.2 風險處理情況應(yīng)在每月25日報給管理者代表進行匯總，對風險處理過程中所提出的資源上的需求和出現(xiàn)的問題報總經(jīng)理，確保風險處理計劃的有效執(zhí)行。5.5 評估時機5.

10、5.1每年重新評估一次，以確定是否存在新的威脅或薄弱點及是否需要增加新的控制措施，對發(fā)生以下情況需及時進行風險評估：a) 當發(fā)生重大(zhngd)信息安全事故時；b) 當信息網(wǎng)絡(luò)系統(tǒng)發(fā)生(fshng)重大更改時；c) 信息安全管理(gunl)委員會確定有必要時。5.5.2 各內(nèi)審員對新增加、轉(zhuǎn)移的或授權(quán)銷毀的信息資產(chǎn)應(yīng)及時立即按照本程序在信息資產(chǎn)識別表、重要信息資產(chǎn)清單上予以添加或變更。6 記錄信息資產(chǎn)識別表 重要信息資產(chǎn)清單重要信息資產(chǎn)風險等級評估表不可接受風險處理計劃附表1 信息資產(chǎn)分類參考目錄大類詳細分類舉例文檔和數(shù)據(jù)經(jīng)營規(guī)劃中長期規(guī)劃等經(jīng)營計劃等組織情況組織變更方案等組織機構(gòu)圖等組織變

11、更通知等組織手冊等規(guī)章制度各項規(guī)程、業(yè)務(wù)手冊等人事制度人事方案等人事待遇資料等錄用計劃等離職資料等中期人員計劃等人員構(gòu)成等人事變動通知等培訓(xùn)計劃等培訓(xùn)資料等財務(wù)信息預(yù)決算（各類投資預(yù)決算）等業(yè)績（財務(wù)報告）等中期財務(wù)狀況等資金計劃等成本等財務(wù)數(shù)據(jù)的處理方法（成本計算方法和系統(tǒng)，會計管理審查等經(jīng)營分析系統(tǒng)，減稅的方法、規(guī)程）等營業(yè)信息市場調(diào)查報告（市場動向，顧客需求，其它公司動向及對這些情況的分析方法和結(jié)果）等商談的內(nèi)容、合同等報價等客戶名單等營業(yè)戰(zhàn)略（有關(guān)和其它公司合作銷售、銷售途徑的確定及變更，對代理商的政策等情報）等返工和投訴處理等供應(yīng)商信息等大類詳細分類舉例文檔和數(shù)據(jù)技術(shù)信息試驗/分析數(shù)

12、據(jù)（本公司或者委托其它單位進行的試驗/分析）等研究成果（本公司或者和其它單位合作研究開發(fā)的技術(shù)成果）等科技發(fā)明的內(nèi)容（專利申請書以及有關(guān)的資料/試驗數(shù)據(jù)）等開發(fā)計劃書等新產(chǎn)品開發(fā)的體制、組織（新品開發(fā)人員的組成，業(yè)務(wù)分擔，技術(shù)人員的配置等）技術(shù)協(xié)助的有關(guān)內(nèi)容（協(xié)作方，協(xié)作內(nèi)容，協(xié)作時間等）教育資料等技術(shù)備忘錄等生產(chǎn)信息各種生產(chǎn)設(shè)備的配置（針對產(chǎn)品的最佳配置、特殊配置）等生產(chǎn)日報等保全日報等產(chǎn)品信息客戶工作計劃測試程序、數(shù)據(jù)等客戶數(shù)據(jù)等文檔和數(shù)據(jù)軟件信息生產(chǎn)管理系統(tǒng)等財務(wù)系統(tǒng)等設(shè)計書等流程等編碼、密碼系統(tǒng)等源程序表等其他訴訟或其他有爭議案件的內(nèi)容（民事、無形資產(chǎn)、工傷等糾紛內(nèi)容）公司基本設(shè)施情況

13、（包括動力設(shè)施）等董事會資料（新的投資領(lǐng)域、設(shè)備投資計劃等）公司電話簿等公司安全保衛(wèi)實施情況及突發(fā)事件對策等數(shù)據(jù)庫相關(guān)書面類資產(chǎn)的電子版軟件和系統(tǒng)操作系統(tǒng)Windows Linux UNIX等應(yīng)用軟件/系統(tǒng)Office 財務(wù)系統(tǒng) 等開發(fā)工具實用程序硬件和設(shè)施網(wǎng)絡(luò)設(shè)備和服務(wù)器路由器、網(wǎng)關(guān)、交換機、防火墻、入侵檢測設(shè)備、加密設(shè)備、身分驗證設(shè)備以及各類服務(wù)器等計算機臺式計算機、移動計算機等存儲設(shè)備磁帶機等通訊工具電話、手提電話等傳輸線路光纖、雙絞線等存儲媒體磁帶、光盤、軟盤、U盤等動力供給設(shè)備其他電子設(shè)備打印機、復(fù)印機、掃描儀、傳真機等人力資源涉密人員市場、財務(wù)、人事等特殊人員有特殊技能、知識、工藝

14、的人員等服務(wù)計算機及網(wǎng)絡(luò)通信服務(wù)軟件外包服務(wù)、網(wǎng)絡(luò)接入服務(wù)、服務(wù)器托管服務(wù)其它技術(shù)型服務(wù)供電、空調(diào)、動力、供暖、其它附表2 重要信息資產(chǎn)(zchn)判斷準則所識別的信息資產(chǎn)，當出現(xiàn)(chxin)以下情況時判為重要信息資產(chǎn)。分類判斷準則硬件和設(shè)施1、產(chǎn)生或保存的信息屬于企業(yè)秘密的設(shè)備或媒體。 2、如果處理方法不當或者設(shè)備故障，對本公司的生產(chǎn)及管理直接產(chǎn)生不良影響。3、本部門認為可以列入重要信息資產(chǎn)的其他資產(chǎn)。軟件和系統(tǒng)屬于企業(yè)秘密的應(yīng)用程序、源程序等。如果被篡改或發(fā)生失效時，對本公司的生產(chǎn)及管理直接產(chǎn)生不良影響。本部門認為可以列入重要信息資產(chǎn)的其他資產(chǎn)。文檔和數(shù)據(jù)1、此文檔或數(shù)據(jù)屬于企業(yè)秘密。2

15、、此文檔或數(shù)據(jù)被篡改、不正當使用或缺失會對本公司的生產(chǎn)及管理或商業(yè)信譽、形象直接產(chǎn)生不良影響。3、本部門認為可以列入重要信息資產(chǎn)的其他資產(chǎn)。人力資源產(chǎn)生或保存企業(yè)秘密信息的人員。本部門認為可以列入重要信息資產(chǎn)的其他資產(chǎn)。服務(wù)所依賴的服務(wù)不可用對本公司的生產(chǎn)及管理直接產(chǎn)生不良影響。本部門認為可以列入重要信息資產(chǎn)的其他服務(wù)。說明企業(yè)秘密的定義和劃分辦法見保密控制程序附表3 信息安全威脅(wixi)參考表威脅硬件和設(shè)施軟件和系統(tǒng)文檔和數(shù)據(jù)人力資源服務(wù)故障惡意軟件（電子文件）抵賴（電子商務(wù)信息）通信監(jiān)聽通信服務(wù)故障操作失誤未經(jīng)授權(quán)訪問、修改未經(jīng)授權(quán)復(fù)制授權(quán)人員對信息的濫用盜竊供電故障惡意破壞電子存儲媒

16、體故障違背知識產(chǎn)權(quán)相關(guān)法律，法規(guī)溫度、濕度超限靜電黑客攻擊容量超載雷擊系統(tǒng)管理員權(quán)限濫用密鑰泄露、篡改（加密設(shè)施）密鑰濫用傷害不公正待遇威逼利誘人員流動火災(zāi)、地震、洪水、臺風、爆炸、雷擊附表4 信息安全薄弱點參考(cnko)表（按ISO/IEC17799分類）信息安全組織缺乏有力的領(lǐng)導(dǎo)支持信息安全事務(wù)跨部門協(xié)調(diào)能力不足安全責任不清缺乏專家支持與外部組織缺乏信息安全方案的溝通信息安全評審不可靠對第三方訪問的風險缺乏認識和必要控制對外包的信息資產(chǎn)和信息處理過程缺乏有力的控制資產(chǎn)的歸類和控制信息資產(chǎn)沒有記錄清單或者不充分信息資產(chǎn)沒有歸類或者歸類不科學信息資產(chǎn)沒有清晰的歸類標志人員安全沒有人員考察或者

17、考察中沒有信息安全考慮工作職責中沒有信息安全責任沒有正式的保密協(xié)議缺乏信息安全相關(guān)的指導(dǎo)和培訓(xùn)信息安全意識不足缺員沒有適當?shù)莫剳鸵?guī)則物理與環(huán)境安全對建筑，房屋和辦公室實物訪問控制的不充分或疏忽對建筑、門、窗的物理保護不充分外來人員進行的無人監(jiān)督的工作對存儲媒體維護不當/安裝不當設(shè)備定置不合理易受漏水或風雨影響沒有隔離或者隔離不充分設(shè)備對于電壓變化的需要缺乏定期的設(shè)備更新計劃設(shè)備易受溫度、濕度，灰塵影響舊設(shè)備的處置和再利用缺乏安全控制沒有清除桌面和屏幕的制度可以不經(jīng)授權(quán)帶離工作場所通信和操作缺乏操作程序?qū)Σ僮鞯母娜狈刂剖录?yīng)對缺乏規(guī)劃共享賬號或共用身份認證卡開發(fā)設(shè)備和操作設(shè)備混雜新系統(tǒng)的引進

18、沒有詳細的策劃和驗收對惡意軟件和惡意代碼缺乏對策或者對策不足移動媒體缺乏控制空閑接入端口個別故障點對外信息或軟件交換缺乏風險責任協(xié)議電子郵件策略不夠缺乏免責聲明缺乏驗證和授權(quán)機制用一般明文傳輸密碼發(fā)送和接收信息的身份不能證明或者證明能力和業(yè)務(wù)要求不稱未被保護的敏感交易不充分的網(wǎng)絡(luò)管理未經(jīng)授權(quán)撥號連接，或撥號連接保護不充分未被控制的備份訪問控制缺乏訪問控制策略沒有規(guī)范的用戶申請、注冊程序缺乏可靠的驗證授權(quán)機制對特權(quán)使用沒有限制對訪問權(quán)限缺乏評審無人值守設(shè)備缺乏保護網(wǎng)絡(luò)服務(wù)的訪問缺乏策略網(wǎng)絡(luò)路徑失控診斷端口缺乏保護網(wǎng)絡(luò)連接缺乏控制網(wǎng)絡(luò)服務(wù)程序安全性欠佳離開服務(wù)器的時候保護措施不充分 缺乏口令管理（

19、輕易便可猜測的密碼，密碼的存儲，更改的頻率不夠）未被控制的下載和使用軟件未被保護的密碼表遠程工作缺乏足夠的保護沒有足夠的日志記錄和相應(yīng)的管理系統(tǒng)開發(fā)和維護開發(fā)缺乏安全分析對處理信息缺乏驗證加密技術(shù)使用不當加密鍵碼保護不當程序源庫的訪問控制不充分系統(tǒng)測試數(shù)據(jù)保護不充分軟件更改沒有足夠控制沒有或缺乏軟件測驗部分開發(fā)說明書不清楚復(fù)雜的用戶界面業(yè)務(wù)連續(xù)性管理缺乏業(yè)務(wù)連續(xù)性計劃缺乏應(yīng)急響應(yīng)責任和方法的策劃應(yīng)急響應(yīng)計劃可行性不能保證符合性缺乏知識產(chǎn)權(quán)方面的對策法律要求保護的數(shù)據(jù)和個人信息得不到保護加密密碼違反相關(guān)的法律規(guī)定沒有足夠的訴訟證據(jù)組織的信息安全方針得不到貫穿實施審核工具的使用失控附表5 事件發(fā)生(fshng)可能性等級對照表等級說 明發(fā)生可能性1極低1 次/三年2低1 次/半年3中等1 次/半年4高1 次/月5很高1 次/周說明A.威脅事件本身發(fā)生的可能性：這可以根據(jù)以往的統(tǒng)計數(shù)據(jù)來判斷。B.現(xiàn)有的安全控制措施：已有的控制措施可能降低威脅發(fā)生的可能性，例如良好的避雷系統(tǒng)能夠明顯降低因為雷擊事件發(fā)生的可能性。對于不可抗力的自然災(zāi)害（地震、恐怖事件），安全控制措施可以減輕威脅造成的影響程度，但不能改變威脅事件實際發(fā)生的可能性。C.現(xiàn)存的安全薄弱點：本公司管理上的缺陷或者信息資產(chǎn)本身的薄弱點