信息風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序

件InformationSecurity全識(shí)別與評(píng)估管理程序REV版本A1of7規(guī)范公司信息資產(chǎn)和風(fēng)險(xiǎn)評(píng)估工作的過(guò)程，有效發(fā)現(xiàn)公司存在的信息安全風(fēng)險(xiǎn)，并根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，確定公司需要實(shí)施的安全控制措施和其實(shí)施的優(yōu)先級(jí)。2.范圍適用于公司信息資產(chǎn)的識(shí)別、信息安全風(fēng)險(xiǎn)評(píng)估管理。3.定義信息資產(chǎn)：公司直接賦予其價(jià)值，且需要保護(hù)的東西，它可以是有形的，也可以是無(wú)形的；可分為硬件、軟件、人員、數(shù)據(jù)及文件、服務(wù)和其它六大類別，具體如見信息資產(chǎn)分類表。4.權(quán)責(zé)4.1品保部：組織協(xié)調(diào)各部門開展信息資產(chǎn)價(jià)值評(píng)估、識(shí)別信息資產(chǎn)威脅和漏洞、計(jì)算信息資產(chǎn)風(fēng)險(xiǎn)值、制定風(fēng)險(xiǎn)處置計(jì)劃和處置風(fēng)險(xiǎn)等工作。4.2各部門：識(shí)別與評(píng)價(jià)本部門范圍內(nèi)的信息資產(chǎn)評(píng)估、識(shí)別信息資產(chǎn)威脅和漏洞、計(jì)算信息資產(chǎn)風(fēng)險(xiǎn)值、制定風(fēng)險(xiǎn)處置計(jì)劃和處置風(fēng)險(xiǎn)等工作。4.3管理者代表：審批風(fēng)險(xiǎn)評(píng)估的安全基線，為風(fēng)險(xiǎn)處理給出指導(dǎo)意見。5.作業(yè)內(nèi)容5.1信息安全識(shí)別與評(píng)估時(shí)機(jī)安全風(fēng)險(xiǎn)評(píng)估的過(guò)程中，應(yīng)清晰地識(shí)別公司內(nèi)所有的信息資產(chǎn)，不能遺漏，劃入信息安全風(fēng)險(xiǎn)評(píng)估范圍和邊界內(nèi)的每一項(xiàng)信息資產(chǎn)都應(yīng)該被確認(rèn)和評(píng)估。5.1.2每年在管理評(píng)審前，品保部組織各部門對(duì)本部門對(duì)本區(qū)域內(nèi)的信息資產(chǎn)與信息安全進(jìn)行重新評(píng)價(jià)與更新，并形成【資產(chǎn)識(shí)別及風(fēng)險(xiǎn)評(píng)估表】。執(zhí)行年度風(fēng)險(xiǎn)評(píng)估時(shí)應(yīng)考慮以下因素：險(xiǎn)變化；2)上次風(fēng)險(xiǎn)評(píng)估忽略的威脅與脆弱性；3)信息安全事件及缺陷；4)風(fēng)險(xiǎn)接受準(zhǔn)則是否需要調(diào)整；表批準(zhǔn)。5.2.1各部門根據(jù)《信息資產(chǎn)管理程序》中定義的信息資產(chǎn)范圍(硬件、軟件、人員、數(shù)據(jù)及文件、服務(wù)和其它六大類別)識(shí)別本部門內(nèi)業(yè)務(wù)中所涉及的信息資產(chǎn)并確定信息資產(chǎn)價(jià)值，填寫【資產(chǎn)識(shí)別及風(fēng)險(xiǎn)評(píng)估表】。件InformationSecurity全識(shí)別與評(píng)估管理程序REV版本A2of75.2.2資產(chǎn)價(jià)值=保密性+完整性+可用性+業(yè)務(wù)影響，評(píng)分參考“資產(chǎn)價(jià)值設(shè)定表”，如下：資產(chǎn)價(jià)值設(shè)定表性保密性完整性可用性業(yè)務(wù)影響1包含可對(duì)社會(huì)公信息處理設(shè)備和系統(tǒng)資源等完整性價(jià)值非常的修改或破壞對(duì)組織造成的影響可以可以忽略可用性價(jià)值可以對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間低于25%不會(huì)造成公司核心業(yè)務(wù)停頓2包含僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴(kuò)散有可能對(duì)組織的利益造成損害完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影對(duì)業(yè)務(wù)沖擊輕微，容易彌補(bǔ)可用性價(jià)值較對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到25%以上公司核心業(yè)務(wù)停安全屬性等級(jí)3包含組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到損害完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)可用性價(jià)值中對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)公司核心業(yè)務(wù)時(shí)資產(chǎn)價(jià)值資產(chǎn)價(jià)值=保密性等級(jí)+完整性等級(jí)+可用性等級(jí)+業(yè)務(wù)影響等級(jí)劃分重要資產(chǎn)等級(jí)標(biāo)準(zhǔn)：大于等于3級(jí)為重要資產(chǎn)1-45—89—124包含組織的重要組織的安全和利益遭受嚴(yán)重?fù)p害高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織難以彌補(bǔ)高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到每天90%以上公司核心業(yè)務(wù)停5包含組織最重要的秘密，關(guān)系未來(lái)發(fā)展的前途命運(yùn)，對(duì)組織根本利益有著決定性影響，如果泄漏會(huì)造成災(zāi)難性的損害完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無(wú)法接受的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)可用性價(jià)值非常高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)公司核心業(yè)務(wù)停頓件InformationSecurity全識(shí)別與評(píng)估管理程序REV版本A3of7資產(chǎn)等級(jí)12345信息資產(chǎn)數(shù)量很多，操作中難以對(duì)所有的資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，因此采取評(píng)估典型資產(chǎn)的方式進(jìn)行風(fēng)險(xiǎn)評(píng)估；匯總各個(gè)部門的重要資產(chǎn)，確定典型資產(chǎn)，判斷典型資產(chǎn)的依據(jù)是：5.3.1典型資產(chǎn)代表的必須同是類型的資產(chǎn)，同類型是指相同的資產(chǎn)類型(如人員的典型資產(chǎn)均是代表人員這一類別)；5.3.2典型資產(chǎn)必須有一定代表性，如所處環(huán)境、管理方式與所代表資產(chǎn)均存在較大相似性，所面臨的威脅及存在的弱點(diǎn)均有一定的相似性；；資產(chǎn)重要程度評(píng)判標(biāo)準(zhǔn)取值不重要1不太重要2一般重要3重要4很重要55.4.1各部門應(yīng)找出典型資產(chǎn)可被威脅利用的脆弱性，根據(jù)每個(gè)資產(chǎn)分別識(shí)別其存在的弱點(diǎn)，然后綜合評(píng)價(jià)1)弱點(diǎn)是指資產(chǎn)本身的可被利用的弱點(diǎn)；2)識(shí)別弱點(diǎn)可透過(guò)資產(chǎn)的特性來(lái)進(jìn)行；3)弱點(diǎn)類別參考“威脅脆弱性列表”中“脆弱性欄目”欄目；4)識(shí)別的弱點(diǎn)記錄于【資產(chǎn)識(shí)別及風(fēng)險(xiǎn)評(píng)估表】中。5.4.2不同的資產(chǎn)類別對(duì)應(yīng)不同類別的弱點(diǎn)；根據(jù)其弱點(diǎn)被威脅利用所帶來(lái)的影響分析其弱點(diǎn)值，如下表：脆弱性影響程度評(píng)判標(biāo)準(zhǔn)取值資產(chǎn)被完全損害，或者極其嚴(yán)重5對(duì)資產(chǎn)的損害程度很大4對(duì)資產(chǎn)損害的程度中等3對(duì)資產(chǎn)的損害的程度較小2件InformationSecurity全識(shí)別與評(píng)估管理程序?qū)Y產(chǎn)的損害的程度微小，可以忽略REV版本1A4of7威脅會(huì)利用資產(chǎn)的弱點(diǎn)，對(duì)資產(chǎn)形成潛在風(fēng)險(xiǎn)，識(shí)別威脅的工作內(nèi)容如下；5.5.1威脅識(shí)別與弱點(diǎn)識(shí)別使用同一個(gè)工具“威脅脆弱性列表”，工具已經(jīng)根據(jù)弱點(diǎn)種類形成關(guān)聯(lián)，選5.5.2不同類別的弱點(diǎn)會(huì)對(duì)應(yīng)不同類別的威脅，對(duì)應(yīng)關(guān)系參考“威脅脆弱性列表””中“威脅”欄目；識(shí)別的威脅記錄于【資產(chǎn)識(shí)別及風(fēng)險(xiǎn)評(píng)估表】中。威脅發(fā)生可能性評(píng)判標(biāo)準(zhǔn)出現(xiàn)的頻率很高(或≥1次/周)；或在大多數(shù)情況下幾乎不可避免；或可以證實(shí)經(jīng)常發(fā)生過(guò)。出現(xiàn)的頻率較高(或≥1次/月)；或在大多數(shù)情況下很有可能會(huì)發(fā)生；或可以證實(shí)多次發(fā)生過(guò)。出現(xiàn)的頻率中等(或>1次/半年)；或在某種情況下可能會(huì)發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過(guò)。威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生。率來(lái)確定其威脅值，如下表：543215根據(jù)威脅發(fā)5.6.1針對(duì)識(shí)別出的弱點(diǎn)和威脅，檢查是否有對(duì)應(yīng)的控制措施，控制措施包括技術(shù)和管理方面。技術(shù)措施包括硬件、軟件設(shè)備等，管理措施包括制度、規(guī)范、操作指引等；5.6.2分析控制措施是否可以降低弱點(diǎn)的嚴(yán)重性、威脅發(fā)生的可能性和風(fēng)險(xiǎn)帶來(lái)的影響，如下表；現(xiàn)有控制措施程度QEP程序文件ManagementProcedureREV版本信息安全識(shí)別與評(píng)估管理程序PAGE頁(yè)碼評(píng)判標(biāo)準(zhǔn)已經(jīng)部署的安全措施完全可以阻止對(duì)脆弱性的成功利用或能把安全事件發(fā)生后的影響已經(jīng)部署的安全措施可以阻止對(duì)脆弱性的成功利用或能顯著減少安全事件發(fā)生后的影已經(jīng)部署的安全措施能夠防止--至少能大大地阻止對(duì)脆弱性的成功利用或能明顯減少安全事件發(fā)生后的影響效果。防止脆弱性被利用的安全措施不是非常有效或減少安全事件發(fā)生后的影響效果一般。防止脆弱性被利用的安全措施是無(wú)效的或不能減少安全事件發(fā)生后的影響。A5of7123455.7.2風(fēng)險(xiǎn)值=威脅發(fā)生可能性*脆弱性影響程度*現(xiàn)有控制措施程度*資產(chǎn)重要程度；表”進(jìn)行分級(jí)，如下：風(fēng)險(xiǎn)等級(jí)定義表風(fēng)險(xiǎn)級(jí)別極高險(xiǎn)(5級(jí))高風(fēng)險(xiǎn)(4級(jí))中風(fēng)險(xiǎn)(3級(jí))低風(fēng)險(xiǎn)(2級(jí))極低風(fēng)險(xiǎn)(1級(jí))風(fēng)險(xiǎn)取值175-39655-17425—54風(fēng)險(xiǎn)接受則不可接受不可接受不可接受可以接受可以接受風(fēng)險(xiǎn)描述和風(fēng)險(xiǎn)處置一旦發(fā)生將產(chǎn)生非常嚴(yán)重的經(jīng)濟(jì)或社會(huì)影響，如組織信譽(yù)嚴(yán)重破壞、嚴(yán)重影響組織的正常經(jīng)營(yíng)，經(jīng)濟(jì)損失重大、社會(huì)影響惡劣的經(jīng)營(yíng)和組織信譽(yù)造成損害和度不大定快能解決造成的影響幾乎不存在，通過(guò)簡(jiǎn)單的措施就能彌補(bǔ)理，根據(jù)公司的風(fēng)險(xiǎn)承受程度在中級(jí)別風(fēng)險(xiǎn)選擇一個(gè)值作為安全基線；件InformationSecurity全識(shí)別與評(píng)估管理程序REV版本A6of75.9應(yīng)采取控制措施，將風(fēng)險(xiǎn)降低到安全基線以下?？刂拼胧┑倪x擇應(yīng)該包括以下考慮因素：5.10品保部部及各部門通過(guò)頭腦風(fēng)暴的形式對(duì)采取措施后的殘余風(fēng)險(xiǎn)進(jìn)行評(píng)估，確保殘余風(fēng)險(xiǎn)降低到可接報(bào)公司領(lǐng)導(dǎo)，由領(lǐng)導(dǎo)決定處理方式(如：增加資源處理、暫緩處理、接受風(fēng)險(xiǎn))。5.11殘余風(fēng)險(xiǎn)的計(jì)劃與評(píng)估5.11.1再評(píng)估對(duì)采取安全措施處理后的風(fēng)險(xiǎn)，信息安全管理小組應(yīng)進(jìn)行再評(píng)估，以判斷實(shí)施安全措施后的殘余風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平。5.11.2再處理某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)陌踩胧┖笕蕴幱诓豢山邮艿娘L(fēng)險(xiǎn)范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險(xiǎn)或進(jìn)一、步增加相應(yīng)的安全措施.5.11.3審核批準(zhǔn)剩余風(fēng)險(xiǎn)評(píng)估完成后，品保部組織形成【重要信息風(fēng)險(xiǎn)清單】及報(bào)告于管理者代表批準(zhǔn)。6.參考文件6.1《信息資產(chǎn)管理程序》QEP-0477.相關(guān)表單7.1【資產(chǎn)識(shí)別及風(fēng)險(xiǎn)評(píng)估表】FP048-01單位：各部門保存期限：最新FP048-02保存單位：人事行政部/品保部保存期限：最新FP048-03保存單位：人事行政部/品保部保存期限：最新FP048-04保存單位：品保部保存期限：最新件Information