1、公司信息平安風險評估治理方法（試行）第一章總那么第一條為成立公司信息平安風險評估治理流程和機制，通過識別信息資產(chǎn)、風險品級評估認知信息化系統(tǒng)存在的信息平安風險，選擇適合操縱目標和操縱方式將信息平安風險操縱在可同意的水平，知足公司信息平安治理方針的要求，特制定本治理方法。第二條運營改善部作為公司信息化的實際治理部門，負責組織成立風險評估小組。第三條本方法適用于公司信息化系統(tǒng)范圍內(nèi)信息平安風險評估活動。第二章術(shù)語及概念第四條保密性：是指網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶、實體或進程。即信息只為授權(quán)用戶利用。第五條完整性：保證信息及信息系統(tǒng)可不能被非授權(quán)更改或破壞的特性。包括數(shù)據(jù)完整性和系統(tǒng)完整性。第六

2、條可用性：數(shù)據(jù)或資源的特性，被授權(quán)實體按要求能訪問和利用數(shù)據(jù)或資源。第七條信息平安風險：人為或自然的要挾利用信息系統(tǒng)及其治理體系中存在的脆弱性致使平安事件的發(fā)生及其對組織造成的阻礙。第八條殘余風險：采取了平安方法后，仍然可能存在的風險。第九條脆弱性：可能被要挾所利用的資產(chǎn)或假設(shè)干資產(chǎn)的弱點。第三章風險評估預(yù)備第十條風險評估預(yù)備是整個風險評估進程有效性的保證。組織實施風險評估是一種戰(zhàn)略性的考慮，其結(jié)果將受到組織的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、平安需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的阻礙。因此，在風險評估實施前，應(yīng)做好以下工作：（一）確信風險評估的目標；（二）確信風險評估的范圍；（三）組建適當?shù)脑u估治理與實施團隊；

3、（四）進行系統(tǒng)調(diào)研；（五）確信評估依據(jù)和方式；（六）制定風險評估方案；（七）取得最高治理者對風險評估工作的支持。第十一條確信目標：依照知足組織業(yè)務(wù)持續(xù)進展在平安方面的需要、法律法規(guī)的規(guī)定等內(nèi)容，識別現(xiàn)有信息系統(tǒng)及治理上的不足，和可能造成的風險大小。第十二條確信范圍：風險評估范圍可能是組織全數(shù)的信息及與信息處置相關(guān)的各類資產(chǎn)、治理機構(gòu)，也可能是莫個獨立的信息系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等。第十三條組建團隊：風險評估實施團隊，由治理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)等人員組成風險評估小組。必要時，可聘請相關(guān)專業(yè)的技術(shù)專家和技術(shù)骨干組成專家小組。第十四條系統(tǒng)調(diào)研：系統(tǒng)調(diào)研是確信被評估對

4、象的進程，風險評估小組應(yīng)進行充分的系統(tǒng)調(diào)研，為風險評估依據(jù)和方式的選擇、評估內(nèi)容的實施奠定基礎(chǔ)。系統(tǒng)調(diào)研能夠采取問卷調(diào)查、現(xiàn)場面談相結(jié)合的方式進行。調(diào)研內(nèi)容至少應(yīng)包括：業(yè)務(wù)戰(zhàn)略及治理制度；要緊的業(yè)務(wù)功能和要求；網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部和外部連接；系統(tǒng)邊界；要緊的硬件、軟件；數(shù)據(jù)和信息；系統(tǒng)和數(shù)據(jù)的靈敏性；支持和利用系統(tǒng)的人員。第十五條確信依據(jù)：依照系統(tǒng)調(diào)研結(jié)果，確信評估依據(jù)和評估方式。評估依據(jù)包括（但不僅限于）：現(xiàn)有國際標準、國家標準、行業(yè)標準；行業(yè)主管機關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度；系統(tǒng)平安愛惜品級要求；系統(tǒng)互聯(lián)單位的平安要求；系統(tǒng)本身的實時性或性能要求等。第十六條風險評估方案的目的是為后面

5、的風險評估實施活動提供一個整體打算，用于指導實施方開展后續(xù)工作。風險評估方案的內(nèi)容一樣包括（但不僅限于）：團隊組織：包括評估團隊成員、組織結(jié)構(gòu)、角色、責任等內(nèi)容；工作打算：風險評估各時期的工作打算，包括工作內(nèi)容、工作形式、工作功效等內(nèi)容；時刻進度安排：項目實施的時刻進度安排。第十七條取得支持：上述所有內(nèi)容確信后，應(yīng)形成較為完整的風險評估實施方案，取得組織最高治理者的支持、批準；對治理層和技術(shù)人員進行轉(zhuǎn)達，在組織范圍就風險評估相關(guān)內(nèi)容進行培訓，以明確有關(guān)人員在風險評估中的任務(wù)。第四章資產(chǎn)識別第十八條資產(chǎn)分類：資產(chǎn)有多種表現(xiàn)形式，一樣的兩個資產(chǎn)也因?qū)儆诓煌男畔⑾到y(tǒng)而重要性不同，而且關(guān)于提供多種業(yè)

6、務(wù)的組織，其支持業(yè)務(wù)持續(xù)運行的系統(tǒng)數(shù)量可能更多。這時第一需要將信息系統(tǒng)及相關(guān)的資產(chǎn)進行適當?shù)姆诸?，以此為基礎(chǔ)進行下一步的風險評估。依照本公司的實際情形，資產(chǎn)分類方式如下：分類示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行管理規(guī)程、計劃、報告、用戶手冊、各類紙質(zhì)的文檔等軟件系統(tǒng)軟件：操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、語句包、開發(fā)系統(tǒng)等應(yīng)用軟件：辦公軟件、數(shù)據(jù)庫軟件、各類工具軟件等硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機等計算機設(shè)備：大型機、小型機、服務(wù)器、工作站、臺式計算機、便攜計算機等存儲設(shè)備：磁帶機、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等傳輸線路：光纖、雙絞線等保障設(shè)備：U

7、PS變電設(shè)備、空調(diào)、文件柜、門禁、消防設(shè)施等安全設(shè)備：防火墻、入侵檢測系統(tǒng)、身份鑒別等其他：打印機、復(fù)印機、掃描儀、傳真機等服務(wù)信息服務(wù)：對外依賴該系統(tǒng)開展的各類服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)，包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)人員掌握重要信息和核心業(yè)務(wù)的人員，如主機維護主管、網(wǎng)絡(luò)維護主管及應(yīng)用項目經(jīng)理等其他企業(yè)形象、客戶關(guān)系等第十九條保密性賦值：依照資產(chǎn)在保密性上的不同要求，將其分為三個不同的品級，別離對應(yīng)資產(chǎn)在保密性上應(yīng)達到的不同程度或保密性缺失時對整個公司的阻礙。下表為保密性賦值的參考：賦值標識定義3高包含公司的重要秘密，

8、對公司根本利益有著決定性的影響，如果泄露會使公司的安全和利益遭受嚴重損害，甚至造成災(zāi)難性的損害。2中等公司的一般性秘密，其泄露會使公司的安全和利益受到損害1低僅能在公司內(nèi)部或在公司某fs門內(nèi)部公開的信息，向外擴散有可能對公司的利益造成輕微損害，也包括可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等第二十條完整性賦值：依照資產(chǎn)在完整性上的不同要求，將其分為三個不同的品級，別離對應(yīng)資產(chǎn)在完整性上缺失時對整個公司的阻礙。下表為完整性賦值的參考：賦值標識定義3高完整性價值高，未經(jīng)授權(quán)的修改或破壞會對公司造成重大影響，對業(yè)務(wù)沖擊嚴重，較難彌補，可能造成嚴重的業(yè)務(wù)中斷。2中等完整性價值中等，未經(jīng)授權(quán)的修

9、改或破壞會對公司造成影響，對業(yè)務(wù)沖擊明顯，但可以彌補1低完整性價值低，未經(jīng)授權(quán)的修改或破壞會對公司造成輕微影響，對業(yè)務(wù)沖擊輕微或者可以忽略，容易彌補第二十一條可用性賦值：依照資產(chǎn)在可用性上的不同要求，將其分為三個不同的品級，別離對應(yīng)資產(chǎn)在可用性上應(yīng)達到的不同程度。下表為可用性賦值的參考：賦值標識定義3高可用性價值高，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到90犯上，或系統(tǒng)允許中斷時間小于1小時，也包括系統(tǒng)/、允許中斷。2中等可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到70犯上，或系統(tǒng)允許中斷時間大于1小時且小于2小時1低可用性價值較低或可以忽略，系統(tǒng)允許中斷

10、時間大于2小時第二十二條資產(chǎn)重要性品級：資產(chǎn)價值依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值品級，取最大值得由，下表為資產(chǎn)品級及含義描述：等級（資產(chǎn)價標識描述值）3高非常重要，具安全屬性破壞后可能對公司造成嚴重的損失2中比較重要，具安全屬性破壞后可能對公司造成中等程度的損失1低不太重要，具安全屬性破壞后可能對公司造成較低的損失或甚至忽略不計第五章要挾和脆弱性識別第二十三條要挾識別分類：要挾能夠通過要挾主體、資源、動機、途徑等多種屬性來描述。在對要挾進行分類前,應(yīng)考慮要挾的來源。能夠依照其表現(xiàn)形式將要挾要緊分為以下幾類：種類描述威脅子類軟硬件故障對業(yè)務(wù)實施或系統(tǒng)運行產(chǎn)生影響的設(shè)備硬件故障、通訊鏈路中

11、斷、系統(tǒng)本身或軟件缺陷等問題設(shè)備硬件故障、傳輸設(shè)備故障、存儲媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障等物理環(huán)境影響對信息系統(tǒng)正常運行造成影響的物理環(huán)境問題和自然災(zāi)害斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等無作為或操作失誤應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意執(zhí)行了錯誤的操作維護錯誤、操作失誤等管理小到位安全管理無法落實或不到位，從而破壞信息系統(tǒng)正常有序運行管理制度和策略不完善、管理規(guī)程缺失、職責/、明確、監(jiān)督控管機制不健全等惡意代碼故意在計算機系統(tǒng)上執(zhí)行惡意任務(wù)的程序代碼病毒、特洛伊木馬、蠕蟲、陷門、間諜軟件、竊聽軟件等越權(quán)或濫通過采用一些措

12、施，超越自己非授權(quán)訪問網(wǎng)絡(luò)資源、非授權(quán)訪問用的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的權(quán)限，做出破壞信息系統(tǒng)的行為系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息等網(wǎng)絡(luò)攻擊利用工具和技術(shù)通過網(wǎng)絡(luò)對信息系統(tǒng)進行攻擊和入侵網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探（帳號、口令、權(quán)限等）、用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的劭取和破壞、系統(tǒng)運行的控制和破壞等物理攻擊通過物理的接觸造成對軟件、硬件、數(shù)據(jù)的破壞物理接觸、物理破壞、盜竊等泄密信息泄露給不應(yīng)了解的他人內(nèi)部信息泄露、外部信息泄露等篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息/、可用篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、

13、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等抵賴不承認收到的信息和所作的操作和交易原發(fā)抵賴、接收抵賴、第二方抵賴等第二十四條判定要挾顯現(xiàn)的頻率是要挾賦值的重要內(nèi)容，評估者應(yīng)依照體會和（或）有關(guān)的統(tǒng)計數(shù)據(jù)來進行判定在評估中，需要綜合考慮以下三個方面，以形成在某種評估環(huán)境中各類要挾顯現(xiàn)的頻率：以往平安事件報告中顯現(xiàn)過的要挾及其頻率的統(tǒng)計；實際環(huán)境中通過檢測工具和各類日記發(fā)覺的要挾及其頻率的統(tǒng)計；近一兩年來國際組織發(fā)布的關(guān)于整個社會或特定行業(yè)的要挾及其頻率統(tǒng)計，和發(fā)布的要挾預(yù)警等級標識定義3高出現(xiàn)的頻率較高（或1次/月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過2中出現(xiàn)的頻率中等（

14、或1次/半年）；或在某種情況卜可能會發(fā)生；或被證實曾經(jīng)發(fā)生過1低出現(xiàn)的頻率較小；或一般不太可能發(fā)生；或沒有被證實發(fā)生過第二十五條脆弱性識別內(nèi)容：脆弱性識別要緊從技術(shù)和治理兩個方面進行，技術(shù)脆弱性涉及網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)軟件、應(yīng)用中間件、應(yīng)用系統(tǒng)等各個層面的平安問題。治理脆弱性又可分為技術(shù)治理脆弱性和公司治理脆弱性兩方面，前者與具體技術(shù)活動相關(guān)，后者與治理環(huán)境相關(guān)。下表為脆弱性識別內(nèi)容的參考識別對象識別內(nèi)容技術(shù)脆弱性物理環(huán)境從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通信線路的保護、機房區(qū)域防護、機房設(shè)備管理等方面進行識別網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界保護、外部訪問控制策略、

15、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進行識別系統(tǒng)軟件從補丁安裝、物理保護、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進行識別應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進行識別應(yīng)用系統(tǒng)從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護等方面進行識別管理脆弱性技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務(wù)連續(xù)性等方面進行識別組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進行識別第二十六條脆弱性賦值：脆弱性嚴峻程度能夠進行品級化處置，不同的品級別離代表資產(chǎn)脆弱性嚴

16、峻程度的高低。品級數(shù)值越大，脆弱性嚴峻程度越高。下表為脆弱性嚴峻程度的賦值方式。等級標識定義3高如果被威脅利用，將對資產(chǎn)造成重大甚至完全損害2中等如果被威脅利用，將對資產(chǎn)造成一般損害1低如果被威脅利用，將對資產(chǎn)造成較小損害或損害可以忽略第二十七條已有平安方法確認：已有平安方法確認與脆弱性識別存在必然的聯(lián)系。一樣來講，平安方法的利用將減少系統(tǒng)技術(shù)或治理上的脆弱性，但平安方法確認并非需要和脆弱性識別進程那樣具體到每一個資產(chǎn)、組件的脆弱性，而是一類具體方法的集合，為風險處置打算的制定提供依據(jù)和參考。第六章風險分析第二十八條在完成了資產(chǎn)識別、要挾識別、脆弱性識別，和已有平安方法確認后，綜合平安事件所作

17、用的資產(chǎn)價值及脆弱性的嚴峻程度，判定平安事件造成的損失對公司的阻礙，即平安風險。本公司的風險計算如下：風險值=t資產(chǎn)重要性等級*脆弱性賦值*，威脅賦值*脆弱性賦值。第二十九條為實現(xiàn)對風險的操縱與治理，能夠?qū)︼L險評估的結(jié)果進行品級化處置?？蓪L險劃分為三級，品級越高，風險越高。等級風險值標識描述37-9高一旦發(fā)生將產(chǎn)生非常嚴重的經(jīng)濟或社會影響，如公司信譽嚴重破壞、嚴重影響公司的正常經(jīng)營，經(jīng)濟損失重大、社會影響惡劣24-6中一旦發(fā)生會造成一定的經(jīng)濟、社會或生產(chǎn)經(jīng)營影響，但影響卸和影響程度不大11-3低一旦發(fā)生造成的影響程度較低，一般僅限于公司內(nèi)部，通過f手段很快能解決，或者發(fā)生造成的影響幾乎不存在

18、，通過簡單的措施就能彌補第三十條依照公司的平安方針和目標，確信風險品級為1的為可同意的風險，風險品級為2和3的需要進行風險處置?？赡艿姆椒òǎ翰扇∵m當?shù)牟倏v方法、成心識地客觀地同意風險、幸免風險、風險轉(zhuǎn)移。第三十一條對不可同意的風險應(yīng)依照致使該風險的脆弱性制定風險處置打算。風險處置打算中應(yīng)明確采取的彌補脆弱性的平安方法、預(yù)期成效、實施條件、進度安排、責任部門等。第三十二條在關(guān)于不可同意的風險選擇適當平安方法后，為確保平安方法的有效性，可進行再評估，以判定實施平安方法后的殘余風險是不是已經(jīng)降低到可同意的水平。某些風險可能在選擇了適當?shù)钠桨卜椒ê螅瑲堄囡L險的結(jié)果仍處于不可同意的風險范圍內(nèi)，應(yīng)考慮是不是同意此風險或進