×××術(shù)有限公司信息安全風險評估管理辦法

**信息安全風險評估管理辦法目錄1 總則 32 組織與責任 33 信息安全風險評估規(guī)定 33.1 弱點分析 33.1.1 概述 33.1.2 弱點檢查 33.1.3 弱點賦值 53.2 威脅分析 53.2.1 概述 53.2.2 威脅來源分析 53.2.3 威脅種類分析 63.2.4 威脅賦值 73.3 風險計算 83.3.1 概述 83.3.2 風險計算 83.4 風險處置 93.4.1 概述 93.4.2 風險處置方法 93.4.3 風險處置流程 103.5 IT需求評估決策流程 164 獎懲管理規(guī)定 165 附則 166 附錄一：安全檢查申請單 177 附錄二：安全檢查方案模版 198 附錄三：風險處置計劃表 21 弱點賦值信息資產(chǎn)弱點為IT設(shè)備自身存在的安全問題。在**，弱點的嚴重性以暴露程度進行評價，即弱點被利用的難易程度，而弱點對資產(chǎn)安全影響的嚴重程度放在資產(chǎn)價值中去考慮，一個弱點可能導致多項不同價值資產(chǎn)的風險上升。參考業(yè)界的最佳實踐，采用的等級劃分如下：將弱點嚴重性分為4個等級，分別是非常高（VH）、高（H）、中等（M）、低（L），并且從高到低分別賦值4-1。賦值標準參照下表。賦值弱點等級弱點賦值說明（弱點嚴重程度）4很高弱點很嚴重，可直接、輕易的被非法者利用，并對信息資產(chǎn)生產(chǎn)破壞3高弱點嚴重，可利用直接，但需通過一定的攻擊手段，可對信息資產(chǎn)生產(chǎn)破壞2中弱點嚴重一般，利用非常困難或不可利用，但通過與其它弱點進行組合利用，可對信息資產(chǎn)生產(chǎn)破壞1低弱點不嚴重，弱點不能利用，但會泄露有限的資產(chǎn)信息威脅分析概述安全威脅是一種對系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素或者事件。產(chǎn)生安全威脅的主要因素可以分為人為因素和環(huán)境因素。人為因素包括有意因素和無意因素。環(huán)境因素包括自然界的不可抗力因素和其它物理因素。威脅來源分析信息系統(tǒng)的安全威脅來源可考慮以下方面：威脅來源表威脅來源威脅來源描述環(huán)境因素、意外事故或故障由于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境條件和自然災(zāi)害；意外事故或由于軟件、硬件、數(shù)據(jù)、通訊線路方面的故障。無惡意內(nèi)部人員內(nèi)部人員由于缺乏責任心，或者由于不關(guān)心和不專注，或者沒有遵循規(guī)章制度和操作流程而導致故障或被攻擊；內(nèi)部人員由于缺乏培訓，專業(yè)技能不足,不具備崗位技能要求而導致信息系統(tǒng)故障或被攻擊。惡意內(nèi)部人員不滿的或有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進行惡意破壞；采用自主的或內(nèi)外勾結(jié)的方式盜竊機密信息或進行篡改，獲取利益。第三方第三方合作伙伴和供應(yīng)商，包括業(yè)務(wù)合作伙伴以及軟件開發(fā)合作伙伴、系統(tǒng)集成商、服務(wù)商和產(chǎn)品供應(yīng)商；包括第三方惡意的和無惡意的行為。外部人員攻擊外部人員利用信息系統(tǒng)的弱點，對網(wǎng)絡(luò)和系統(tǒng)的機密性、完整性和可用性進行破壞，以獲取利益或炫耀能力。威脅種類分析對安全威脅進行分類的方式有多種多樣，針對上表威脅來源，需要考慮下述的安全威脅種類。表中列舉的威脅種類隨著新技術(shù)新應(yīng)用的出現(xiàn)，需要不斷更新完善。威脅種類列表威脅種類威脅描述軟硬件故障由于設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件Bug導致對業(yè)務(wù)高效穩(wěn)定運行的影響。物理環(huán)境威脅斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境問題和自然災(zāi)害。無作為或操作失誤由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意地執(zhí)行了錯誤的操作，對系統(tǒng)造成影響。制度不完善相關(guān)制度不完善、合理，造成無章可循或無法遵循。管理不到位安全控制無法落實，不到位，造成安全控制不規(guī)范，或者管理混亂，從而破壞信息系統(tǒng)正常有序運行。惡意代碼和病毒具有自我復(fù)制、自我傳播能力，對信息系統(tǒng)構(gòu)成破壞的程序代碼。越權(quán)或濫用通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源；或者濫用自己的職權(quán)，做出破壞信息系統(tǒng)的行為。黑客攻擊技術(shù)利用黑客工具和技術(shù)，例如偵察、密碼猜測攻擊、緩沖區(qū)溢出攻擊、安裝后門、嗅探、偽造和欺騙、拒絕服務(wù)攻擊等手段對信息系統(tǒng)進行攻擊和入侵。物理攻擊物理接觸、物理破壞、盜竊。泄密機密泄漏，機密信息泄漏給他人。篡改非法修改信息，破壞信息的完整性。抵賴不承認收到的信息、所作的操作或交易。威脅賦值威脅發(fā)生的可能性是一個動態(tài)的，需要綜合分析得出，在此可采用如下最佳實踐的賦值標準，通過實際經(jīng)驗對威脅的可能性賦值。賦值標準參照下表：威脅賦值列表賦值威脅威脅賦值說明（威脅發(fā)生的可能性）4很高在大多數(shù)情況下，很有可能會發(fā)生；或者可以證實發(fā)生過（發(fā)生可能性在80%以上）3高在多數(shù)情況下，可能會發(fā)生（發(fā)生可能性在50%-80%）2中在某種情況下或某個時間，可能會發(fā)生（發(fā)生可能性在20%-50%）1低發(fā)生的可能性很小，不太可能（發(fā)生可能性在20%以下）風險計算概述風險是一種潛在可能性，是指某個威脅利用弱點引起某項資產(chǎn)或一組資產(chǎn)的損害，從而直接地或間接地引起組織的損害。因此，風險和具體的資產(chǎn)威脅等級以及相關(guān)的弱點直接相關(guān)。風險評估包括風險的計算、風險的處置和風險的安全對策選擇。風險計算采用下面的算術(shù)方法來得到信息資產(chǎn)的風險值：風險值＝資產(chǎn)值×威脅值×弱點值風險等級與風險值對應(yīng)關(guān)系參考下圖：風險級別列表風險等級風險取值范圍4很高48、64一旦發(fā)生將產(chǎn)生非常嚴重的經(jīng)濟或社會影響，如組織信譽嚴重破壞、嚴重影響組織的正常經(jīng)營，經(jīng)濟損失重大。3高24、27、32、36一旦發(fā)生將產(chǎn)生較大的經(jīng)濟或社會影響，在一定范圍內(nèi)給組織的經(jīng)營和組織信譽造成損害。2中12、16、18一旦發(fā)生會造成一定的經(jīng)濟、社會或生產(chǎn)經(jīng)營影響，但影響面和影響程度不大，一般僅限于組織內(nèi)部，通過一定手段就能解決1低≤9一旦發(fā)生造成的影響很小或幾乎不存在，通過簡單的措施就能彌補。風險等級計算結(jié)果如下：根據(jù)計算出的風險值，對風險進行排序，并根據(jù)組織自身的特點和具體條件、需求，選擇相應(yīng)的風險處置方式。風險處置概述風險的處置方法依照風險程度，根據(jù)風險等級來采取不同的處置方法。風險程度和遵照的處置方法建議見下表：風險等級列表符號含義建議處置方法VH很高風險需要管理層的高度注意：避免？轉(zhuǎn)移？減少？H高風險需要管理層的注意：避免？轉(zhuǎn)移？減?。縈中風險必須規(guī)定管理責任：避免？接受？轉(zhuǎn)移？減小？L低風險用日常程序處理：避免？接受？轉(zhuǎn)移？減?。窟x擇處置措施的原則是權(quán)衡利弊：權(quán)衡每種選擇的成本與其得到的利益。當風險已經(jīng)定義后，必須決定如何處置這些風險。風險處置方法在考慮風險處理前，如果經(jīng)評估顯示，風險較低或處理成本對于組織來說不劃算，則風險可被接受。這些決定應(yīng)加以記錄。通常有四種風險處置的方法：避免風險：在某些情況下，可以決定不繼續(xù)進行可能產(chǎn)生風險的活動來規(guī)避風險。在某些情況可能是較為穩(wěn)妥的處理辦法，但是在某些情況下可能會因此而喪失機會。例如，將重要的計算機系統(tǒng)與互聯(lián)網(wǎng)隔離，使其免遭來自外部網(wǎng)絡(luò)的攻擊。降低風險：實施有效控制，將風險降低到可接受的程度，實際上就是力圖減少威脅發(fā)生的可能性和帶來的影響，包括：減少威脅：例如，建立并實施惡意軟件控制程序，減少信息系統(tǒng)受惡意軟件攻擊的機會；減少弱點：例如，通過安全教育和意識培訓，強化職員的安全意識與安全操作能力；降低影響：例如，制定災(zāi)難回復(fù)計劃和業(yè)務(wù)連續(xù)性計劃，做好備份。轉(zhuǎn)移風險：這涉及承擔或分擔部分風險的另一方。手段包括合同、保險安排、合伙、資產(chǎn)轉(zhuǎn)移等。接受風險：不管如何處置，一般資產(chǎn)面臨的風險總是在一定程度上存在。當組織根據(jù)風險評估的方法，完成實施選擇的控制措施后，會有殘余的風險。殘余風險可能是組織可以接受的風險，也可能是遺漏了某些信息資產(chǎn)，使其未受保護。為確保組織的信息安全，殘余風險應(yīng)該控制在可以接受的范圍之內(nèi)。風險接受是對殘余風險進行確認和評價的過程。在實施安全控制措施后，組織應(yīng)該對安全措施的情況進行評審，即對所選擇的控制在多大程度上降低了風險做出判斷。通過成本利益分析、影響分析及風險回顧，即在繼續(xù)處置需要的成本和風險之間進行抉擇。風險接受要符合風險可接受準則，即風險評估結(jié)果中風險值為2及以下，都是可以接受的風險，最終上報給最高領(lǐng)導，待領(lǐng)導批準是否選擇接受風險。風險處置流程選擇控制項在大多數(shù)情況下，必須選擇控制項來降低風險。在完成風險評估之后，組織需要在每一個目標信息環(huán)境中，對選擇的控制項進行實施，以便遵從ISO/27001標準。組織選擇能夠承受（經(jīng)濟上）的防護措施來防護面臨的威脅。在最終風險處置計劃出來前，組織可以接受或拒絕建議的保護方案。風險處置計劃風險處置計劃包含所有相關(guān)信息：管理任務(wù)和職責、管理責任人、風險管理的優(yōu)先等級等等（詳見附錄《風險處置計劃表》）。對組織來講，有一些附加控制在標準中沒有描述，但也是需要的。一個由外部咨詢顧問協(xié)助的風險評估會很有幫助。控制項的實施通過風險處置計劃的實施，組織應(yīng)該盡其所能針對等級保護中的標準內(nèi)容在管理、技術(shù)、邏輯、物理和環(huán)境控制方面進行勸止、防護、檢測、糾正、恢復(fù)和補償工作。如下表所示。表中所列舉的風險問題及處置措施隨著新應(yīng)用,新技術(shù)的出現(xiàn),需要不斷更新完善。部分風險處置建議表風險及問題控制措施類型處置措施缺乏防病毒系統(tǒng)技術(shù)安裝主機防病毒軟件部署網(wǎng)絡(luò)防病毒產(chǎn)品部署互聯(lián)網(wǎng)出口防病毒墻管理制訂病毒預(yù)防管理規(guī)定制訂計算機安全使用意識規(guī)定主機補丁不全技術(shù)更新補丁集中補丁集中管理系統(tǒng)管理制訂補丁維護管理制度缺乏網(wǎng)絡(luò)訪問控制技術(shù)部署防火墻，增加訪問控制策略劃分VLAN，并增加ACL缺乏信息安全方針文件管理制定信息安全方針文件并向所有員工公布按計劃的時間間隔或發(fā)生重大事件時，對安全方針進行評審缺乏有效的信息安全組織管理成立有效的信息安全組織，明確規(guī)定所有信息安全職責定期與組織成員簽署保密協(xié)議或責任書缺乏對信息資產(chǎn)的整理和分類管理制定詳細的資產(chǎn)清單，并責任到人，定期做資產(chǎn)的統(tǒng)計和清查按資產(chǎn)的重要程度對信息進行分類，并對信息明確保密期限技術(shù)安裝桌面管理軟件或資產(chǎn)管理軟件缺乏對人員安全的考核管理對第三方用戶進行背景驗證檢查要求第三方服務(wù)人員簽署保密協(xié)議在員工的崗位職責中明確定義了信息安全的責任工作人員離職時交還資產(chǎn)，并接受檢查技術(shù)取消即將離任的工作人員相關(guān)訪問權(quán)限缺乏對人員的安全教育培訓管理定期對工作人員進行安全教育培訓、培訓內(nèi)容包含安全方針、各種安全技術(shù)，根據(jù)工作人員從事的安全崗位不同，提供專業(yè)技能培訓缺乏對第三方人員的訪問控制管理對第三方（第三方包括產(chǎn)品提供商，軟件提供商，服務(wù)商、集成商和顧問等）訪問（進出機房、接入網(wǎng)絡(luò)、訪問系統(tǒng)等）的安全性進行風險評估對外包的業(yè)務(wù)，在雙方合同中明確規(guī)定安全風險、安全控制程序的要求缺乏對機房的安全區(qū)域的劃分管理對機房安全區(qū)域的劃分：如機房、監(jiān)控室、辦公室機房帳臺記錄相關(guān)的出入、進入時間、進入事由等相關(guān)信息技術(shù)物理安全訪問邊界設(shè)置門禁或監(jiān)控室缺乏對設(shè)備安全的考慮管理考慮盜竊、火災(zāi)、化學、灰塵、震動、電子干擾等環(huán)境威脅產(chǎn)生的潛在風險等禁止在重要信息處理設(shè)施附近飲食、飲水和吸煙提供多路供電、不間斷電源或發(fā)動機對設(shè)備定期維護、檢查和更新缺乏統(tǒng)一的操作規(guī)程管理制定統(tǒng)一安全操作規(guī)程：如變更管理規(guī)程、問題管理規(guī)程、事件管理規(guī)程、測試評估規(guī)程等缺乏信息備份策略管理制定備份策略對信息和軟件進行備份并定期測試缺乏用戶管理管理定期對用戶訪問權(quán)限進行檢查記錄訪問權(quán)限的授權(quán)、維護立即取消已經(jīng)變更工作或離開公司的用戶訪問權(quán)力缺乏對移動設(shè)備的接入和遠程控制管理制定對移動設(shè)備接入和遠程控制的管理辦法技術(shù)遠程接入用戶數(shù)量、時間控制缺乏對介質(zhì)的管理管理對介質(zhì)進行適當?shù)脑L問控制，以合理的方式進行介質(zhì)的保存，傳送和廢棄必要保證信息的安全性只允許授權(quán)人員進行介質(zhì)的獲取，接收，轉(zhuǎn)移和交付系統(tǒng)存儲介質(zhì)廢棄時,清除其存儲的信息或?qū)⑵滗N毀，防止未經(jīng)授權(quán)的人通過廢棄的介質(zhì)得到其中的信息技術(shù)終端管理軟件缺乏應(yīng)用系統(tǒng)開發(fā)中對安全要求分析和規(guī)范管理系統(tǒng)設(shè)計階段提出對安全的要求，包含系統(tǒng)本身的安全要求和開發(fā)過程中的控制要求應(yīng)用系統(tǒng)開發(fā)過程中對應(yīng)用系統(tǒng)口令使用策略、以及數(shù)據(jù)傳輸過程中數(shù)據(jù)加密安全策略缺乏應(yīng)急預(yù)案管理建立安全應(yīng)急響應(yīng)管理制度建立安全應(yīng)急響應(yīng)領(lǐng)導機構(gòu)建立安全應(yīng)急預(yù)案，并進行應(yīng)急響應(yīng)演練，記錄演練操作。缺乏數(shù)據(jù)備份機制管理建立有效的備份與恢復(fù)機制建立完備份工作操作技術(shù)文技術(shù)備份軟件控制措施及其定義的原則防護：保護或降低資產(chǎn)的脆弱性；糾正：降低風險和影響的損失；檢測：檢測攻擊和安全的脆弱性，針對攻擊建立防護和糾正措施；恢復(fù)：恢復(fù)資源和能力；補償：對控制措施的替代方案。同時應(yīng)該咨詢信息安全專家和法律專家，確?？刂拼胧┑倪x擇和實施是正確、有效的。IT需求評估決策流程在評估一個需求（資產(chǎn)）的風險時，應(yīng)從兩個角度分別進行評估。通常的風險評估是針對該資產(chǎn)本身所面臨的風險，采取的處置方式也是出于保護該資產(chǎn)信息安全的目的。同時還需要考慮隨著該資產(chǎn)的應(yīng)用所引入的新威脅，可能會導致現(xiàn)有的資產(chǎn)風險等級提升。因此在評估一個需求是否符合安全要求時，應(yīng)遵循以下步驟：全面識別需求中所涉及的IT資產(chǎn)等級，分析這些資產(chǎn)的脆弱性，面臨的威脅和問題，評估資產(chǎn)的風險等級，給出相應(yīng)的處置措施。全面識別需求所引入的新威脅，分析這些威脅對已經(jīng)經(jīng)過評估的現(xiàn)有資產(chǎn)所造成的影響，如果這些新威脅導致某項資產(chǎn)的風險等級超過了2級，則必須采取相應(yīng)的處置措施。對需求進行評估決策，分析自身存在的風險和引入的風險，以及需要采取的處置措施，措施所需要增加的投資，以及業(yè)務(wù)的重要性。根據(jù)信息安全方針策略中所定義的基本原則策略來決策對需求的處理方式。獎懲管理規(guī)定本辦