ISO27001風(fēng)險(xiǎn)評估程序_第1頁
ISO27001風(fēng)險(xiǎn)評估程序_第2頁
ISO27001風(fēng)險(xiǎn)評估程序_第3頁
ISO27001風(fēng)險(xiǎn)評估程序_第4頁
ISO27001風(fēng)險(xiǎn)評估程序_第5頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、ISO27001風(fēng)險(xiǎn)評估 程 序目 的為了對公司的信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)控制,評估組織信息資產(chǎn)所面臨的風(fēng)險(xiǎn)并對風(fēng)險(xiǎn)實(shí)施有效控制,以確保風(fēng)險(xiǎn)被降低或消除,特制定本程序。適用范圍本程序適用于適用于對公司的信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)控制。職責(zé)與權(quán)限3.1信息安全委員會制定資產(chǎn)評估準(zhǔn)則,確定風(fēng)險(xiǎn)評估方法;負(fù)責(zé)對控制目標(biāo)、控制措施的有效性進(jìn)行監(jiān)督和評審。確定風(fēng)險(xiǎn)評估的范圍;指導(dǎo)各部門進(jìn)行風(fēng)險(xiǎn)評估;匯總和分析風(fēng)險(xiǎn)評估結(jié)果,作出風(fēng)險(xiǎn)評價(jià);制定風(fēng)險(xiǎn)處理計(jì)劃,向信息安全委員會提交信息安全風(fēng)險(xiǎn)評估報(bào)告。3.3各部門各部門資產(chǎn)負(fù)責(zé)人按規(guī)定維護(hù)相關(guān)資產(chǎn)。識別并列出跟本部門業(yè)務(wù)有關(guān)的資產(chǎn);對本部門資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評估。

2、風(fēng)險(xiǎn)評估程序和工作流程4.1風(fēng)險(xiǎn)評估與管理過程識別在 ISMS范圍內(nèi),各部門識別本部門涉及的主要業(yè)務(wù)過程及使用的各類信息資產(chǎn)。風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估是依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn),對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行評價(jià)的過程。即風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價(jià)的全過程。風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理是識別、控制、消除、減小可能影響信息系統(tǒng)資源的不確定事件的過程。指導(dǎo)和控制一個(gè)組織的風(fēng)險(xiǎn)的協(xié)調(diào)的活動。風(fēng)險(xiǎn)評估方法結(jié)合公司在風(fēng)險(xiǎn)評估時(shí)投入的時(shí)間、人力、成本等各方面的因素,公司采用基本風(fēng)險(xiǎn)評估方法?;镜娘L(fēng)險(xiǎn)評估方法是指應(yīng)用直接和簡易的方法達(dá)到基本的安全水平,就能滿足組織及其業(yè)務(wù)環(huán)境的所有

3、要求。 公司采用這種方法使得組織在識別和評估基本安全需求的基礎(chǔ)上,通過建立相應(yīng)的信息安全管理體系,獲得對信息資產(chǎn)的基本保護(hù)。風(fēng)險(xiǎn)評估與風(fēng)險(xiǎn)管理的區(qū)分是一個(gè)持續(xù)的周期,通常以一定的間隔重新開始來更新流程中各個(gè)地區(qū)階段的數(shù)據(jù)是一個(gè)持續(xù)循環(huán)、不斷上升的過程。風(fēng)險(xiǎn)評估是確定組織面臨的風(fēng)險(xiǎn)并確定其優(yōu)先級的過程,是風(fēng)險(xiǎn)管理流程中最必須、最當(dāng)潛在的與安全相關(guān)的事件在企業(yè)內(nèi)發(fā)生時(shí),如變動業(yè)務(wù)方法、發(fā)現(xiàn)新的漏洞等,組織都可能會啟動風(fēng)險(xiǎn)評估。4.2風(fēng)險(xiǎn)評估實(shí)施流程總要求 : 組織應(yīng)根據(jù)整體業(yè)務(wù)活動和風(fēng)險(xiǎn),建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持并改進(jìn)文件化的 ISMS。圖 風(fēng)險(xiǎn)評估實(shí)施流程風(fēng)險(xiǎn)評估準(zhǔn)備確定風(fēng)險(xiǎn)評估的目標(biāo)

4、; ( 滿足我公司業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要及法律法規(guī))確定風(fēng)險(xiǎn)評估的范圍; ( 組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機(jī)構(gòu))組建適當(dāng)?shù)脑u估管理與實(shí)施團(tuán)隊(duì); ( 由管理層、相關(guān)業(yè)務(wù)骨干、 IT 技術(shù)人員等組成的風(fēng)險(xiǎn)評估小組 )選擇與組織相適應(yīng)的具體的風(fēng)險(xiǎn)判斷方法; ( 考慮評估的目的、范圍、時(shí)間、效果、人員素質(zhì)等因素來選擇具體的風(fēng)險(xiǎn)判斷方法 )獲得最高管理者對風(fēng)險(xiǎn)評估工作的支持。( 得到組織的最高管理者的支持、批準(zhǔn))資產(chǎn)識別列出在信息安全管理體系范圍內(nèi),與我公司內(nèi)的業(yè)務(wù)環(huán)境、 業(yè)務(wù)運(yùn)營及信息相關(guān)的資產(chǎn)。資產(chǎn)分類; ( 人員、實(shí)體、軟件、文件、數(shù)據(jù)、服務(wù)、無形、服務(wù)及其他資產(chǎn))資產(chǎn)賦值

5、(CIA: 對資產(chǎn)在機(jī)密性、完整性和可用性上的達(dá)成程度進(jìn)行綜合評定得出);資產(chǎn)重要性等級確定。威脅識別使用與資產(chǎn)相關(guān)的通用威脅列表,檢查并列出資產(chǎn)的威脅。威脅分類;威脅賦值;脆弱性識別使用與資產(chǎn)相關(guān)的通用薄弱點(diǎn)列表,檢查并列出資產(chǎn)的脆弱性。識別方法識別內(nèi)容脆弱性賦值對現(xiàn)有安全控制的識別識別并整理所有與資產(chǎn)相關(guān)聯(lián)的、現(xiàn)有的或者已經(jīng)作了計(jì)劃的控制措施。風(fēng)險(xiǎn)分析分析由上述評估產(chǎn)生的有關(guān)資產(chǎn)、威脅和脆弱性的信息,以實(shí)用的、簡單的方法進(jìn)行風(fēng)險(xiǎn)測量,計(jì)算出風(fēng)險(xiǎn)等級。把識別分析出來的風(fēng)險(xiǎn)與風(fēng)險(xiǎn)判據(jù)進(jìn)行比較, 以判斷特定的風(fēng)險(xiǎn)是否可接受或需采取其它措施處置。風(fēng)險(xiǎn)分析的結(jié)果為具有不同等級的風(fēng)險(xiǎn)列表,并記錄在資產(chǎn)

6、風(fēng)險(xiǎn)評估表中。風(fēng)險(xiǎn)處理對評定后的風(fēng)險(xiǎn)等級進(jìn)行判定,確定是否能接受,如可接受,則按現(xiàn)有控制措施進(jìn)行控制,如不可接受,則應(yīng)選擇采取新的安全控制措施,并對需要投入較長時(shí)間和較高費(fèi)用的高風(fēng)險(xiǎn)制定風(fēng)險(xiǎn)處理計(jì)劃,記錄在資產(chǎn)風(fēng)險(xiǎn)評估表中,按風(fēng)險(xiǎn)處理計(jì)劃進(jìn)行處理后重新評價(jià)風(fēng)險(xiǎn),直至風(fēng)險(xiǎn)降低或可接受為止。確定可接受的殘余風(fēng)險(xiǎn)的水平;持續(xù)地評審?fù){以及薄弱點(diǎn);評審現(xiàn)有的安全控制方法;應(yīng)用 ISO/IEC 27001 中的其它安全控制方法;引入方針和程序。殘余風(fēng)險(xiǎn)根據(jù)風(fēng)險(xiǎn)評價(jià)結(jié)果,判斷殘余風(fēng)險(xiǎn)是否可接受,是,則實(shí)施風(fēng)險(xiǎn)控制;否,則制定風(fēng)險(xiǎn)處理計(jì)劃。風(fēng)險(xiǎn)控制根據(jù)風(fēng)險(xiǎn)處理結(jié)果,按照確定的風(fēng)險(xiǎn)控制措施和計(jì)劃進(jìn)行落實(shí),必要

7、時(shí)形成相關(guān)控制文件。風(fēng)險(xiǎn)控制措施可根據(jù)控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則,參照以下方式進(jìn)行選擇, 以降低風(fēng)險(xiǎn):避免風(fēng)險(xiǎn);轉(zhuǎn)移風(fēng)險(xiǎn);減少風(fēng)險(xiǎn);減少薄弱點(diǎn);減少威脅可能的影響程度;探測有害事故,對其做出反應(yīng)并恢復(fù)。4.3風(fēng)險(xiǎn)值的計(jì)算方法風(fēng)險(xiǎn)計(jì)算原理風(fēng)險(xiǎn)值 =R(A,T,V)= R(L(T ,V) ,F(xiàn)(Ia , Va)其中, R:表示安全風(fēng)險(xiǎn)計(jì)算函數(shù);A:表示資產(chǎn);T:表示威脅;V:表示脆弱性;Ia :表示安全事件所作用的資產(chǎn)重要程度;Va:表示脆弱性嚴(yán)重程度;L:表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性;F:表示安全事件發(fā)生后產(chǎn)生的損失。風(fēng)險(xiǎn)計(jì)算準(zhǔn)則資產(chǎn)價(jià)值計(jì)算方法:資產(chǎn)價(jià)值=保密性賦值完整性賦值可用性賦值風(fēng)險(xiǎn)值計(jì)算方法: 風(fēng) 險(xiǎn) 值 = 資產(chǎn)等級威脅性賦值脆弱性賦值資產(chǎn)等級、風(fēng)險(xiǎn)等級評定方法:見下表表一 : 保密性的要求評價(jià)準(zhǔn)則表二 : 完整性的要求評價(jià)準(zhǔn)則表三 : 可用性的要求評價(jià)準(zhǔn)則表四 : 資產(chǎn)等級的評價(jià)準(zhǔn)則表五 :脆弱性被威脅利用后的嚴(yán)重性的評價(jià)準(zhǔn)則表六 :脆弱性被威脅利用后的嚴(yán)重性的評價(jià)準(zhǔn)則表七 :脆弱性被威脅利用后的嚴(yán)重性的評價(jià)準(zhǔn)則按風(fēng)險(xiǎn)值的評價(jià)準(zhǔn)則計(jì)算出信息資產(chǎn)風(fēng)險(xiǎn)值后,按上記表七對應(yīng)獲得風(fēng)險(xiǎn)級別。風(fēng)險(xiǎn)結(jié)果判定按風(fēng)險(xiǎn)值的評價(jià)準(zhǔn)則計(jì)算出信息資產(chǎn)風(fēng)險(xiǎn)值后獲得的風(fēng)險(xiǎn)級別,對風(fēng)險(xiǎn)進(jìn)行判定。風(fēng)險(xiǎn)評估的時(shí)機(jī)正常情況下每年進(jìn)行一次全面的風(fēng)險(xiǎn)評估復(fù)查,對風(fēng)險(xiǎn)評估

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論