ISMS-C-09 風(fēng)險(xiǎn)評(píng)估方法與準(zhǔn)則-22080 ISO27001體系

風(fēng)險(xiǎn)評(píng)估方法與準(zhǔn)則文件編號(hào)：ISMS-C-09版本：A/0頁碼：第8頁共8頁版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場中心⑵項(xiàng)目中心⑶模具中心⑷采購部⑸品質(zhì)中心⑹貨倉課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心資產(chǎn)價(jià)值等級(jí)取值保密性Confidentiality完整性Integrity可用性Availability密級(jí)一般資產(chǎn)人員一般資產(chǎn)人員一般資產(chǎn)人員高3機(jī)密最高密級(jí)。

非授權(quán)的披露或破壞，會(huì)造成嚴(yán)重?fù)p害和給競爭對(duì)手帶來好處，或者會(huì)給公司或員工帶來嚴(yán)重的財(cái)務(wù)損失。

嚴(yán)格限制使用，只授權(quán)給那些預(yù)先確定因工作必須知道的員工?？梢越佑|/存取各個(gè)級(jí)別的信息未經(jīng)授權(quán)的破壞或更改將會(huì)對(duì)信息系統(tǒng)有非常重大的影響，可能導(dǎo)致嚴(yán)重的業(yè)務(wù)中斷如果該人員未正確執(zhí)行其職務(wù)內(nèi)容，將造成公司級(jí)業(yè)務(wù)運(yùn)作效率大大降低或停頓合法使用者對(duì)信息系統(tǒng)及信息的存取可用度達(dá)到平均每天99.9%以上（7*24）如果要維持業(yè)務(wù)正常運(yùn)作，可以容忍該人員所承擔(dān)職務(wù)突然缺席不得超過1天，否則會(huì)對(duì)公司級(jí)業(yè)務(wù)造成影響中2秘密非授權(quán)的披露或破壞，會(huì)給公司或員工帶來明顯危害。

限制在公司相應(yīng)的部門或行政單位的內(nèi)部使用?？梢越佑|/存取最高到秘密的信息未經(jīng)授權(quán)的破壞或更改會(huì)對(duì)信息系統(tǒng)有明顯影響，而且（或者）也會(huì)對(duì)業(yè)務(wù)帶來明顯沖擊如果該人員未正確執(zhí)行其職務(wù)內(nèi)容，將造成單位/部門之業(yè)務(wù)運(yùn)作效率降低或停頓合法使用者對(duì)信息系統(tǒng)及信息的存取可用度達(dá)到平均每天95%以上（5*8）如果要維持業(yè)務(wù)正常運(yùn)作，可以容忍該人員所承擔(dān)職務(wù)突然缺席不得超過3天低1內(nèi)部非授權(quán)的披露或破壞，不會(huì)給公司或員工帶來明顯危害。

在公司內(nèi)部需要使用?？梢越佑|/存取公司內(nèi)部信息未經(jīng)授權(quán)的破壞或更改不會(huì)對(duì)信息系統(tǒng)有明顯影響，也不會(huì)對(duì)業(yè)務(wù)有明顯沖擊如果該人員未正確執(zhí)行其職務(wù)內(nèi)容，不會(huì)對(duì)業(yè)務(wù)運(yùn)作造成影響合法使用者對(duì)信息系統(tǒng)及信息的存取可用度在正常上班時(shí)間至少達(dá)到50%以上（5*8）如果要維持業(yè)務(wù)正常運(yùn)作，可以容忍該人員所承擔(dān)職務(wù)突然缺席超過10天弱點(diǎn)值威脅值等級(jí)弱點(diǎn)值嚴(yán)重性描述（弱點(diǎn)被利用的容易程度）等級(jí)威脅值可能性描述（威脅發(fā)生的頻率）高3a.非常容易被利用

b.導(dǎo)致資產(chǎn)完全破壞（保密性、可用性和完整性）高3發(fā)生頻率為每半年1次中2a.較容易被利用

b.導(dǎo)致資產(chǎn)較大破壞（保密性、可用性和完整性）中2發(fā)生頻率為每年1次低1a.較難被利用

b.導(dǎo)致資產(chǎn)部分破壞（保密性、可用性和完整性）低1發(fā)生頻率為多年1次風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)值＝資產(chǎn)價(jià)值×弱點(diǎn)嚴(yán)重性×威脅可能性弱點(diǎn)嚴(yán)重性123威脅可能性123123123資產(chǎn)價(jià)值1123246369224648126121833696121891827風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)值318，2726，8，9，1211，2，3，4風(fēng)險(xiǎn)接受準(zhǔn)則：1）1級(jí)風(fēng)險(xiǎn)為可接受風(fēng)險(xiǎn)。2）2、3級(jí)風(fēng)險(xiǎn)為不可接受風(fēng)險(xiǎn)，需制定風(fēng)險(xiǎn)處理計(jì)劃進(jìn)行處理。常見威脅ID威脅威脅方影響資產(chǎn)利用弱點(diǎn)R01篡改惡意人員業(yè)務(wù)數(shù)據(jù)系統(tǒng)缺陷，網(wǎng)絡(luò)缺陷R02傳輸信息泄漏惡意人員業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)線路R03配置錯(cuò)誤維護(hù)人員應(yīng)用系統(tǒng)，業(yè)務(wù)數(shù)據(jù)運(yùn)行管理流程缺陷R04冒名訪問惡意人員業(yè)務(wù)數(shù)據(jù)運(yùn)行管理流程缺陷、帳戶口令泄漏R05病毒感染維護(hù)人員、用戶業(yè)務(wù)數(shù)據(jù)，應(yīng)用系統(tǒng)系統(tǒng)缺陷、運(yùn)行管理缺陷R06業(yè)務(wù)信息泄漏用戶業(yè)務(wù)數(shù)據(jù)運(yùn)行管理流程缺陷R07攻擊惡意人員應(yīng)用系統(tǒng)，業(yè)務(wù)數(shù)據(jù)系統(tǒng)缺陷，網(wǎng)絡(luò)缺陷R08操作抵賴維護(hù)人員，用戶應(yīng)用系統(tǒng)，業(yè)務(wù)數(shù)據(jù)操作記錄R09越權(quán)訪問用戶應(yīng)用系統(tǒng)，業(yè)務(wù)數(shù)據(jù)系統(tǒng)配置缺陷R10設(shè)備物理破壞惡意人員應(yīng)用系統(tǒng)，業(yè)務(wù)數(shù)據(jù)設(shè)備物理安全漏洞威脅分類表種類描述威脅子類軟硬件故障對(duì)業(yè)務(wù)實(shí)施或系統(tǒng)運(yùn)行產(chǎn)生影響的設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件缺陷等問題設(shè)備硬件故障、傳輸設(shè)備故障、存儲(chǔ)媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障等物理環(huán)境影響對(duì)信息系統(tǒng)正常運(yùn)行造成影響的物理環(huán)境問題和自然災(zāi)害斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等無作為或操作失誤應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意執(zhí)行了錯(cuò)誤的操作維護(hù)錯(cuò)誤、操作失誤等管理不到位安全管理無法落實(shí)或不到位，從而破壞信息系統(tǒng)正常有序運(yùn)行管理制度和策略不完善、管理規(guī)程缺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全等惡意代碼故意在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的程序代碼病毒、特洛伊木馬、蠕蟲、陷門、間諜軟件、竊聽軟件等越權(quán)或?yàn)E用通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的權(quán)限，做出破壞信息系統(tǒng)的行為非授權(quán)訪問網(wǎng)絡(luò)資源、非授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息等網(wǎng)絡(luò)攻擊利用工具和技術(shù)通過網(wǎng)絡(luò)對(duì)信息系統(tǒng)進(jìn)行攻擊和入侵網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探（帳號(hào)、口令、權(quán)限等）、用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運(yùn)行的控制和破壞等物理攻擊通過物理的接觸造成對(duì)軟件、硬件、數(shù)據(jù)的破壞物理接觸、物理破壞、盜竊等泄密信息泄露給不應(yīng)了解的他人內(nèi)部信息泄露、外部信息泄露等篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等抵賴不承認(rèn)收到的信息和所作的操作和交易原發(fā)抵賴、接收抵賴、第三方抵賴等常見脆弱性序號(hào)類別薄弱點(diǎn)威脅1硬件缺少定期替換計(jì)劃可能會(huì)被存儲(chǔ)媒體退化這一威脅所利用容易受到電壓不穩(wěn)定的侵?jǐn)_可能會(huì)被功率波動(dòng)這一威脅所利用容易受到溫度變化的侵?jǐn)_可能會(huì)溫度的極端變化這一威脅所利用容易受到濕度、灰塵和污染的侵?jǐn)_可能會(huì)被灰塵這一威脅所利用對(duì)電磁輻射的敏感性可能會(huì)被電磁輻射這一威脅所利用不充分的維護(hù)/存儲(chǔ)媒體的錯(cuò)誤安裝可能會(huì)被維護(hù)失誤這一威脅所利用缺少有效的配置變化控制可能會(huì)被操作職員失誤這一威脅所利用2軟件開發(fā)人員的說明不清楚或不完整可能會(huì)被軟件故障這一威脅所利用沒有軟件測試或軟件測試不充分可能會(huì)被未經(jīng)授權(quán)許可的用戶使用軟件這一威脅所利用復(fù)雜的用戶界面可能會(huì)被操作職員失誤這一威脅所利用缺少識(shí)別和鑒定機(jī)制，如：用戶鑒定可能會(huì)被冒充用戶身份這一威脅所利用缺少審核跟蹤可能會(huì)被以未經(jīng)授權(quán)許可的方式使用軟件這一威脅所利用軟件中存在眾所周知的缺陷可能會(huì)被軟件未經(jīng)許可的用戶使用軟件這一威脅所利用口令表沒有受到保護(hù)可能會(huì)被冒充用戶身份這一威脅所利用口令管理較差（很容易被猜測，公開地存儲(chǔ)口令，不經(jīng)常更改）可能會(huì)被冒充用戶身份這一威脅所利用訪問權(quán)的錯(cuò)誤分派可能會(huì)被以未經(jīng)許可的方式使用軟件這一威脅所利用對(duì)下載和使用軟件不進(jìn)行控制可能會(huì)被惡意軟件這一威脅所利用離開工作站沒有注銷用戶可能會(huì)被未經(jīng)許可的用戶使用軟件這一威脅所利用缺少有效的變化控制可能會(huì)被軟件故障這一威脅所利用缺少文件編制可能會(huì)被操作職員的失誤這一威脅所利用缺少備份可能會(huì)被惡意軟件或火災(zāi)這一威脅所利用沒有適當(dāng)?shù)牟脸鴮?duì)存儲(chǔ)媒體進(jìn)行處理或重新使用可能會(huì)被未經(jīng)許可的用戶使用軟件這一威脅所利用3文件/數(shù)據(jù)存儲(chǔ)沒有保護(hù)可能會(huì)被偷竊這一威脅所利用進(jìn)行處理時(shí)缺少關(guān)注可能會(huì)被偷竊這一威脅所利用對(duì)拷貝沒有進(jìn)行控制可能會(huì)被偷竊這一威脅所利用系統(tǒng)漏洞或?qū)阂獯a防范不夠被攻擊操作員誤刪除數(shù)據(jù)操作員操作失誤缺少安全意識(shí)誤操作保管不善、沒有設(shè)置訪問密碼，訪問權(quán)限設(shè)置不當(dāng)被人利用缺少備份可能會(huì)被惡意軟件或火災(zāi)這一威脅所利用4人員人員缺席可能會(huì)被缺少員工這一威脅所利用對(duì)外部人員和清理人員的工作不進(jìn)行監(jiān)督可能會(huì)被偷竊這一威脅所利用不充分的安全培訓(xùn)可能會(huì)被操作職員的失誤這一威脅所利用缺少安全意識(shí)可能會(huì)被用戶錯(cuò)誤這一威脅所利用對(duì)軟件和硬件不正確的使用可能會(huì)被操作職員的失誤這一威脅所利用缺少監(jiān)控機(jī)制可能會(huì)被以未經(jīng)許可的方式使用軟件這一威脅所利用5服務(wù)第三方服務(wù)不到位影響業(yè)務(wù)或生產(chǎn)未與第三方簽訂保密協(xié)議可能出現(xiàn)信息泄露脆弱性識(shí)別內(nèi)容表類型識(shí)別對(duì)象識(shí)別內(nèi)容技術(shù)脆弱性物理環(huán)境從機(jī)房場地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識(shí)別網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別系統(tǒng)軟件從補(bǔ)丁安裝、物理保護(hù)、用戶帳號(hào)、口令策略、資源共享、事件審計(jì)、訪問控制、新系統(tǒng)配置、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行