信息安全管理制度附件：信息安全風險評估管理程序

本程序，作為《WX-WI-IT-001信息平安管理流程A0版》的附件，隨制度發(fā)行，并同步生效。信息平安風險評估管理程序1.0目的在ISMS覆蓋范圍內(nèi)對信息平安現(xiàn)行狀況進行系統(tǒng)風險評估，形成評估報告，描述風險等級，識別和評價供處理風險的可選措施，選擇限制目標和限制措施處理風險。2.0適用范圍在ISMS覆蓋范圍內(nèi)主要信息資產(chǎn)3.0定義（無）4.0職責4.1各部門負責部門內(nèi)部資產(chǎn)的識別，確定資產(chǎn)價值。4.2IT部負責風險評估和制訂限制措施。4.3財務(wù)中心副部負責信息系統(tǒng)運行的批準。5.0流程圖同信息平安管理程序的流程6.0內(nèi)容6.1資產(chǎn)的識別 6.1.1各部門每年依據(jù)管理者代表的要求負責部門內(nèi)部資產(chǎn)的識別，確定資產(chǎn)價值。6.1.2資產(chǎn)分類依據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類。資產(chǎn)（A）賦值資產(chǎn)賦值就是對資產(chǎn)在機密性、完整性和可用性上的達成程度進行分析，選擇對資產(chǎn)機密性、完整性和可用性最為重要（分值最高）的一個屬性的賦值等級作為資產(chǎn)的最終賦值結(jié)果。資產(chǎn)等級劃分為五級，分別代表資產(chǎn)重要性的凹凸。等級數(shù)值越大，資產(chǎn)價值越高。1）機密性賦值依據(jù)資產(chǎn)在機密性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在機密性上的應(yīng)達成的不同程度或者機密性缺失時對整個組織的影響。賦值標識定義5極高包含組織最重要的隱私，關(guān)系將來發(fā)展的前途命運，對組織根本利益有著確定性影響，假如泄漏會造成災(zāi)難性的損害4高包含組織的重要隱私，其泄露會使組織的平安和利益遭遇嚴峻損害3中等包含組織的一般性隱私，其泄露會使組織的平安和利益受到損害2低包含僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴散有可能對組織的利益造成損害1可忽視包含可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等2）完整性賦值依據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在完整性上的達成的不同程度或者完整性缺失時對整個組織的影響。賦值標識定義5極高完整性價值特別關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴峻的業(yè)務(wù)中斷，難以彌補4高完整性價值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務(wù)沖擊嚴峻，比較難以彌補3中等完整性價值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務(wù)沖擊明顯，但可以彌補2低完整性價值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成稍微影響，可以忍受，對業(yè)務(wù)沖擊稍微，簡單彌補1可忽視完整性價值特別低，未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽視，對業(yè)務(wù)沖擊可以忽視3）可用性賦值依據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在可用性上的達成的不同程度。賦值標識定義5極高可用性價值特別高，合法運用者對信息及信息系統(tǒng)的可用度達到年度99.9%以上4高可用性價值較高，合法運用者對信息及信息系統(tǒng)的可用度達到每天90%以上3中等可用性價值中等，合法運用者對信息及信息系統(tǒng)的可用度在正常工作時間達到70%以上2低可用性價值較低，合法運用者對信息及信息系統(tǒng)的可用度在正常工作時間達到25%以上1可忽視可用性價值可以忽視，合法運用者對信息及信息系統(tǒng)的可用度在正常工作時間低于25%3分以上為重要資產(chǎn)，重要信息資產(chǎn)由IT部確立清單6.2威逼識別6.2.1威逼分類對重要資產(chǎn)應(yīng)由ISMS小組識別其面臨的威逼。針對威逼來源，依據(jù)其表現(xiàn)形式將威逼分為軟硬件故障、物理環(huán)境威逼、無作為或操作失誤、管理不到位、惡意代碼和病毒、越權(quán)或濫用、黑客攻擊技術(shù)、物理攻擊、泄密、篡改和抵賴等。6.2.2威逼(T)賦值評估者應(yīng)依據(jù)閱歷和（或）有關(guān)的統(tǒng)計數(shù)據(jù)來推斷威逼出現(xiàn)的頻率。威逼頻率等級劃分為五級，分別代表威逼出現(xiàn)的頻率的凹凸。等級數(shù)值越大，威逼出現(xiàn)的頻率越高。威逼賦值見下表。等級標識定義5很高威逼出現(xiàn)的頻率很高，在大多數(shù)狀況下幾乎不行避開或者可以證明常常發(fā)生過（每天）4高威逼出現(xiàn)的頻率較高，在大多數(shù)狀況下很有可能會發(fā)生或者可以證明多次發(fā)生過（每周）3中威逼出現(xiàn)的頻率中等，在某種狀況下可能會發(fā)生或被證明曾經(jīng)發(fā)生過（每月、曾經(jīng)發(fā)生過）2低威逼出現(xiàn)的頻率較小，一般不太可能發(fā)生，也沒有被證明發(fā)生過（每年）1很低威逼幾乎不行能發(fā)生，僅可能在特別罕見和例外的狀況下發(fā)生（特別狀況）6.3脆弱性識別6.3.1脆弱性識別內(nèi)容脆弱性識別主要從技術(shù)和管理兩個方面進行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的平安問題。管理脆弱性又可分為技術(shù)管理和組織管理兩方面，前者與詳細技術(shù)活動相關(guān)，后者與管理環(huán)境相關(guān)。6.3.2脆弱性(V)嚴峻程度賦值脆弱性嚴峻程度的等級劃分為五級，分別代表資產(chǎn)脆弱性嚴峻程度的凹凸。等級數(shù)值越大，脆弱性嚴峻程度越高。脆弱性嚴峻程度賦值見下表等級標識定義5很高假如被威逼利用，將對資產(chǎn)造成完全損害（90％以上）4高假如被威逼利用，將對資產(chǎn)造成重大損害（70％）3中假如被威逼利用，將對資產(chǎn)造成一般損害（30％）2低假如被威逼利用，將對資產(chǎn)造成較小損害（10％）1很低假如被威逼利用，將對資產(chǎn)造成的損害可以忽視（10％以下）6.4已有平安措施的確認ISMS小組應(yīng)對已實行的平安措施的有效性進行確認，對有效的平安措施接著保持，以避開不必要的工作和費用，防止平安措施的重復(fù)實施。對于確認為不適當?shù)钠桨泊胧?yīng)核實是否應(yīng)被取消，或者用更合適的平安措施替代。6.5風險分析完成了資產(chǎn)識別、威逼識別、脆弱性識別，以及對已有平安措施確認后，ISMS小組采納矩陣法確定威逼利用脆弱性導(dǎo)致平安事務(wù)發(fā)生的可能性，考慮平安事務(wù)一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴峻程度推斷平安事務(wù)造成的損失對組織的影響，即平安風險。6.5.1平安事務(wù)發(fā)生的可能性等級P=(T*V)0.5,6.5.2平安事務(wù)發(fā)生后的損失等級L＝(A*V)0.5,風險值R＝(L*P)，風險等級風險值1－56－1011－1516－2021－25風險等級123456.5.4風險管理策略完全的消退風險是不行能和不實際的。公司須要有效和經(jīng)濟的運轉(zhuǎn)，因此必需依據(jù)平安事務(wù)的可能性和對業(yè)務(wù)的影響來平衡費用、時間、平安尺度幾個方面的問題。公司在考慮接受殘余風險時的標準為只接受中或低范圍內(nèi)的風險；但是對于必需投入很高的費用才能將殘余風險降為中或低的狀況，則分階段實施限制。風險值越高，平安事務(wù)發(fā)生的可能性就越高，平安事務(wù)對該資產(chǎn)以及業(yè)務(wù)的影響也就越大，風險管理策略有以下：接受風險：接受潛在的風險并接著運行信息系統(tǒng)，不對風險進行處理。降低風險：通過實現(xiàn)平安措施來降低風險，從而將脆弱性被威逼源利用后可能帶來的不利影響最小化（如運用防火墻、漏洞掃描系統(tǒng)等平安產(chǎn)品）。規(guī)避風險：不介入風險，通過消退風險的緣由和/或后果（如放棄系統(tǒng)某項功能或關(guān)閉系統(tǒng)）來規(guī)避風險。轉(zhuǎn)移風險：通過運用其它措施來補償損失，從而轉(zhuǎn)移風險，如購買保險。風險等級3（含）以上為不行接受風險，3（不含）以下為可接受風險。假如是可接受風險，可保持已有的平安措施；假如是不行接受風險，則須要實行平安措施以降低、限制風險。平安措施的選擇應(yīng)兼顧管理與技術(shù)兩個方面，可以參照信息平安的相關(guān)標準實施。6.6確定限制目標、限制措施和對策基于在風險評估結(jié)果報告中提出的風險級別，ISMS小組對風險處理的工作進行優(yōu)先級排序。高等級（例如被定義為“特別高”或“高”風險級的風險）的風險項應(yīng)當最優(yōu)先處理。評估所建議的平安措施實施成本效益分析選擇平安措施制定平安措施的實現(xiàn)安排實現(xiàn)所選擇的平安措施6.7殘余風險的監(jiān)視與處理風險處理的最終過程中，ISMS小組應(yīng)列舉出信息系統(tǒng)中全部殘余風險的清單。在信息系統(tǒng)的運行中，應(yīng)親密監(jiān)視這些殘余風險的改變，并剛好處理。每年年初評估信息系統(tǒng)平安風險時，對殘余風險和已確定的可接受的風險級別進行評審時，應(yīng)考慮以下方面的改變：組織結(jié)構(gòu)；技術(shù)；業(yè)務(wù)目標和過程；已識別的威逼；已實施限制措施的有效性；外部事務(wù)，如法律法規(guī)環(huán)境的變更、合同義務(wù)的變更和社會環(huán)境的變更。6.8信息系統(tǒng)運行的批準ISMS小組考察風險處理的結(jié)果，推斷殘余風險是否處在可接受的水平之內(nèi)?；谶@一推斷，管理層將做出決策，確定是否允許信息系統(tǒng)運行。假如信息系統(tǒng)的殘余風險不行接受，而現(xiàn)實狀況又要求系統(tǒng)必需投入運行，且當前沒有其它資源能勝任單位的使命。這時可以臨時批準信息系統(tǒng)投入運行。在這種狀況下，必需由信息系統(tǒng)的主管