1、* 信息安全風險評估管理辦法 TOC o 1-5 h z HYPERLINK l bookmark0 o Current Document 總則 3 HYPERLINK l bookmark2 o Current Document 組織與責任 3 HYPERLINK l bookmark4 o Current Document 信息安全風險評估規(guī)定 3 HYPERLINK l bookmark6 o Current Document 弱點分析 3 HYPERLINK l bookmark8 o Current Document 概述 3 HYPERLINK l bookmark10 o Cur

2、rent Document 弱點檢查 3 HYPERLINK l bookmark12 o Current Document 弱點賦值 5 HYPERLINK l bookmark14 o Current Document 威脅分析 5 HYPERLINK l bookmark16 o Current Document 概述 5 HYPERLINK l bookmark18 o Current Document 威脅來源分析 5 HYPERLINK l bookmark20 o Current Document 威脅種類分析 6 HYPERLINK l bookmark22 o Current

3、 Document 威脅賦值 7 HYPERLINK l bookmark24 o Current Document 風險計算 8 HYPERLINK l bookmark26 o Current Document 概述 8 HYPERLINK l bookmark28 o Current Document 風險計算 8 HYPERLINK l bookmark30 o Current Document 風險處置 9 HYPERLINK l bookmark32 o Current Document 概述 9 HYPERLINK l bookmark34 o Current Document

4、風險處置方法 9 HYPERLINK l bookmark36 o Current Document 風險處置流程 10 HYPERLINK l bookmark46 o Current Document IT 需求評估決策流程 16 HYPERLINK l bookmark48 o Current Document 獎懲管理規(guī)定 16 HYPERLINK l bookmark50 o Current Document 附則 16 HYPERLINK l bookmark52 o Current Document 附錄一：安全檢查申請單 17 HYPERLINK l bookmark54 o

5、Current Document 附錄二：安全檢查方案模版 19 HYPERLINK l bookmark56 o Current Document 附錄三：風險處置計劃表 211 總則為確保 * 網(wǎng)絡及信息系統(tǒng)安全、高效、可控的運行，提高業(yè)務系統(tǒng)安全運行能力，全面降低信息安全風險，特制定本管理辦法。2 組織與責任信息安全管理組負責信息安全風險評估的具體實施。技術支撐部門協(xié)助信息安全管理執(zhí)行組的信息安全風險評估工作，并且實施信息安全管理執(zhí)行組通過風險評估后提供的解決方案與建議。其他部門協(xié)助信息安全管理執(zhí)行組開展信息安全風險評估工作。3 信息安全風險評估規(guī)定3.1 弱點分析3.1.1 概述弱點評

6、估是安全風險評估中最主要的內(nèi)容。弱點是信息資產(chǎn)本身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標的損害。弱點包括物理環(huán)境、組織、過程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的弱點。3.1.2 弱點檢查信息安全管理組應定期對集團IT 系統(tǒng)進行全面的信息安全弱點檢查，了解各 IT 系統(tǒng)的信息安全現(xiàn)狀。IT 系統(tǒng)安全檢查的范圍包括：主機系統(tǒng)、網(wǎng)絡設備、安全設備、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)、郵件系統(tǒng)以及其它在用系統(tǒng)。IT 系統(tǒng)安全檢查的工具與方法如下：工具檢查：針對IT 設備建議采用專用的脆弱性評估工具進行檢查，如Nessus 、BurpSuite 等工具，針對應用系統(tǒng)及代碼安全檢查，建議采用商業(yè)專用軟

7、件進行檢查，如 IBM AppScan 。手工檢查：由信息安全專員或技術支撐部門相關人員參照相關的指導文檔上機進行手工檢查。信息安全檢查工作開展前，信息安全管理組需制定安全檢查計劃，對于部分可用性要求高的業(yè)務系統(tǒng)或設備，計劃中要明確執(zhí)行的時間，并且該計劃要通知相關部門與系統(tǒng)維護人員，明確相關人員的及部門的職責與注意事項。信息安全管理組與外服公司針對信息安全檢查須制定安全檢查方案，方案中，針對工具掃描部分需明確掃描策略，同時方案必須提供規(guī)避操作風險的措施與方法。并且該方案必須獲得技術支撐部領導批準。信息安全管理組應對IT 系統(tǒng)安全檢查的結果進行匯總，并進行詳細分析，提供具體的安全解決建議，如安全

8、加固、安全技術引進等。當發(fā)生重大的信息安全事件，信息安全管理組應在事后進行一次全面的安全檢查，并通過安全檢查結果對重要的安全問題進行及時解決。常見的弱點種類分為：技術性弱點：系統(tǒng)，程序， 設備中存在的漏洞或缺陷，比如結構設計問題或編程漏洞；操作性弱點：軟件和系統(tǒng)在配置，操作，使用中的缺陷，包括人員在日常工作中的不良習慣，審計或備份的缺乏；管理性弱點：策略，程序，規(guī)章制度，人員意識，組織結構等方面的不足；識別弱點的途徑包括審計報告，事件報告，安全復查報告，系統(tǒng)測試及評估報告，還可以利用專業(yè)機構發(fā)布的列表信息。當然， 許多技術性和操作性弱點，可以借助自動化的漏洞掃描工具和滲透測試等方法來識別和評估

9、。在對生命周期敏感的資產(chǎn)評估過程中，應注意從創(chuàng)建，使用，傳輸，存儲，銷毀等不同的階段識別弱點。弱點的發(fā)現(xiàn)隨著新應用, 新技術的出現(xiàn), 需要不斷更新完善弱點列表。3.1.3 弱點賦值信息資產(chǎn)弱點為IT 設備自身存在的安全問題。在* ，弱點的嚴重性以暴露程度進行評價，即弱點被利用的難易程度，而弱點對資產(chǎn)安全影響的嚴重程度放在資產(chǎn)價值中去考慮，一個弱點可能導致多項不同價值資產(chǎn)的風險上升。參考業(yè)界的最佳實踐，采用的等級劃分如下：將弱點嚴重性分為4 個等級，分別是非常高（VH ） 、高（ H ） 、中等（M） 、低（ L） ，并且從高到低分別賦值4-1 。賦值標準參照下表。賦值弱點等級弱點賦值說明（弱點

10、嚴重程度）4很高弱點很嚴重，可直接、輕易的被非法者利用，并對信息資產(chǎn)生 產(chǎn)破壞3高弱點嚴重，可利用直接，但需通過一定的攻擊手段，可對信息 資產(chǎn)生產(chǎn)破壞2中弱點嚴重一般，利用非常困難或不可利用，但通過與其它弱點 進行組合利用，可對信息資產(chǎn)生產(chǎn)破壞1低弱點不嚴重，弱點不能利用，但會泄露有限的資產(chǎn)信息威脅分析概述安全威脅是一種對系統(tǒng)、組織及其資產(chǎn)構成潛在破壞的可能性因素或者事件。產(chǎn)生安全威脅的主要因素可以分為人為因素和環(huán)境因素。人為因素包括有意因素和無意因素。環(huán)境因素包括自然界的不可抗力因素和其它物理因素。威脅來源分析信息系統(tǒng)的安全威脅來源可考慮以下方面：威脅來源表威脅來源威脅來源描述環(huán)境因素、意外

11、事由于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、故或故障火災、地震等環(huán)境條件和自然災害；意外事故或由于軟件、硬件、數(shù)據(jù)、通訊線路方面的故障。無惡意內(nèi)部人員內(nèi)部人員由于缺乏責任心，或者由于不關心和不專注，或者沒有遵循規(guī)章制度和操作流程而導致故障或被攻擊；內(nèi)部人員由于缺乏培訓，專業(yè)技能不足, 不具備崗位技能要求而導致信息系統(tǒng)故障或被攻擊。惡意內(nèi)部人員不滿的或有預謀的內(nèi)部人員對信息系統(tǒng)進行惡意破壞；采用自主的 或內(nèi)外勾結的方式盜竊機密信息或進行篡改，獲取利益。第三方第三方合作伙伴和供應商，包括業(yè)務合作伙伴以及軟件開發(fā)合作伙 伴、系統(tǒng)集成商、服務商和產(chǎn)品供應商；包括第三方惡意的和無惡 意

12、的行為。外部人員攻擊外部人員利用信息系統(tǒng)的弱點，對網(wǎng)絡和系統(tǒng)的機密性、完整性和 可用性進行破壞，以獲取利益或炫耀能力。威脅種類分析對安全威脅進行分類的方式有多種多樣，針對上表威脅來源，需要考慮下述的安全威脅種類。表中列舉的威脅種類隨著新技術新應用的出現(xiàn)，需要不斷更新完善。威脅種類列表威脅種類威脅描述軟硬件故障由于設備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件Bug 導致對業(yè)務高效穩(wěn)定運行的影響。物理環(huán)境威脅斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火 災、地震等環(huán)境問題和自然災害。無作為或操作失誤由于應該執(zhí)行而沒有執(zhí)行相應的操作，或無意地執(zhí)行了錯誤的操作，對系統(tǒng)造成影響。制度不完善相

13、關制度不完善、合理，造成無章可循或無法遵循。管理不到位安全控制無法落實，不到位，造成安全控制不規(guī)范，或者管理混亂，從而破壞信息系統(tǒng)正常有序運行。惡意代碼和病毒具有自我復制、自我傳播能力，對信息系統(tǒng)構成破壞的程序代碼。越權或濫用通過采用一些措施，超越自己的權限訪問了本來無權訪問的資源； 或者濫用自己的職權，做出破壞信息系統(tǒng)的行為。黑客攻擊技術利用黑客工具和技術，例如偵察、密碼猜測攻擊、緩沖區(qū)溢出攻擊、安裝后門、嗅探、偽造和欺騙、拒絕服務攻擊等手段對信息系統(tǒng)進行攻擊和入侵。物理攻擊物理接觸、物理破壞、盜竊。泄密機密泄漏，機密信息泄漏給他人。篡改非法修改信息，破壞信息的完整性。抵賴不承認收到的信息、

14、所作的操作或交易。威脅賦值威脅發(fā)生的可能性是一個動態(tài)的，需要綜合分析得出，在此可采用如下最佳實踐的賦值標準，通過實際經(jīng)驗對威脅的可能性賦值。賦值標準參照下表：威脅賦值列表賦值威脅威脅賦值說明（威脅發(fā)生的可能性）4很高在大多數(shù)情況下，很有可能會發(fā)生；或者可以證實發(fā)生過（發(fā)生可能性在80%以上）3高在多數(shù)情況下，可能會發(fā)生（發(fā)生可能性在50%-80%）2中在某種情況下或某個時間，可能會發(fā)生（發(fā)生可能性在20% -50%）1低發(fā)生的可能性很小，不太可能（發(fā)生可能性在20%以下）風險計算概述風險是一種潛在可能性，是指某個威脅利用弱點引起某項資產(chǎn)或一組資產(chǎn)的損害，從而直接地或間接地引起組織的損害。因此，

15、 風險和具體的資產(chǎn)威脅等級以及相關的弱點直接相關。風險評估包括風險的計算、風險的處置和風險的安全對策選擇。風險計算采用下面的算術方法來得到信息資產(chǎn)的風險值：風險值 資產(chǎn)值 威脅值 弱點值風險等級與風險值對應關系參考下圖：風險級別列表風險等級風險取值范圍4很高48、 64一旦發(fā)生將產(chǎn)生非常嚴重的經(jīng)濟或社會影響， 如組織信譽嚴重破壞、嚴重影響組織的正常經(jīng) 營，經(jīng)濟損失重大。3高24、 27、 32、 36一旦發(fā)生將產(chǎn)生較大的經(jīng)濟或社會影響，在一 定范圍內(nèi)給組織的經(jīng)營和組織信譽造成損害。2中12、 16、 18一旦發(fā)生會造成一定的經(jīng)濟、社會或生產(chǎn)經(jīng)營 影響，但影響面和影響程度不大，一般僅限于 組織內(nèi)

16、部，通過一定手段就能解決1低9一旦發(fā)生造成的影響很小或幾乎不存在，通過 簡單的措施就能彌補。風險等級計算結果如下：根據(jù)計算出的風險值，對風險進行排序，并根據(jù)組織自身的特點和具體條件、需求，選擇相應的風險處置方式。風險處置概述風險的處置方法依照風險程度，根據(jù)風險等級來采取不同的處置方法。風險程度和遵照的處置方法建議見下表：風險等級列表符號含義建議處置方法VH很高風險需要管理層的高度注意：避免？轉(zhuǎn)移？減少？H高風險需要管理層的注意：避免？轉(zhuǎn)移？減??？M中風險必須規(guī)定管理責任：避免？接受？轉(zhuǎn)移？減??？L低風險用日常程序處理：避免？接受？轉(zhuǎn)移？減??？選擇處置措施的原則是權衡利弊：權衡每種選擇的成本與其

17、得到的利益。當風險已經(jīng)定義后，必須決定如何處置這些風險。風險處置方法在考慮風險處理前，如果經(jīng)評估顯示，風險較低或處理成本對于組織來說不劃算，則風險可被接受。這些決定應加以記錄。通常有四種風險處置的方法：避免風險：在某些情況下，可以決定不繼續(xù)進行可能產(chǎn)生風險的活動來規(guī)避風險。在某些情況可能是較為穩(wěn)妥的處理辦法，但是在某些情況下可能會因此而喪失機會。例如，將重要的計算機系統(tǒng)與互聯(lián)網(wǎng)隔離，使其免遭來自外部網(wǎng)絡的攻擊。降低風險：實施有效控制，將風險降低到可接受的程度，實際上就是力圖減少威脅發(fā)生的可能性和帶來的影響，包括：減少威脅：例如，建立并實施惡意軟件控制程序，減少信息系統(tǒng)受惡意軟件 攻擊的機會；減

18、少弱點：例如，通過安全教育和意識培訓，強化職員的安全意識與安全操 作能力； 降低影響：例如，制定災難回復計劃和業(yè)務連續(xù)性計劃，做好備份。轉(zhuǎn)移風險：這涉及承擔或分擔部分風險的另一方。手段包括合同、保險安排、合伙、資產(chǎn)轉(zhuǎn)移等。接受風險：不管如何處置，一般資產(chǎn)面臨的風險總是在一定程度上存在。當組織根據(jù)風險評估的方法，完成實施選擇的控制措施后，會有殘余的風險。殘余風險可能是組織可以接受的風險，也可能是遺漏了某些信息資產(chǎn)，使其未受保護。為確保組織的信息安全，殘余風險應該控制在可以接受的范圍之內(nèi)。風險接受是對殘余風險進行確認和評價的過程。在實施安全控制措施后，組織應該對安全措施的情況進行評審，即對所選擇的

19、控制在多大程度上降低了風險做出判斷。通過成本利益分析、影響分析及風險回顧，即在繼續(xù)處置需要的成本和風險之間進行抉擇。風險接受要符合風險可接受準則，即風險評估結果中風險值為 2 及以下，都是可以接受的風險，最終上報給最高領導，待領導批準是否選擇接受風險。風險處置流程選擇控制項在大多數(shù)情況下，必須選擇控制項來降低風險。在完成風險評估之后，組織需要在每一個目標信息環(huán)境中，對選擇的控制項進行實施，以便遵從ISO/27001 標準。組織選擇能夠承受 （經(jīng)濟上）的防護措施來防護面臨的威脅。在最終風險處置計劃出來前，組織可以接受或拒絕建議的保護方案。風險處置計劃風險處置計劃包含所有相關信息：管理任務和職責、

20、管理責任人、風險管理的優(yōu)先等級等等（詳見附錄風險處置計劃表） 。對組織來講，有一些附加控制在標準中沒有描述，但也是需要的。一個由外部咨詢顧問協(xié)助的風險評估會很有幫助。控制項的實施通過風險處置計劃的實施，組織應該盡其所能針對等級保護中的標準內(nèi)容在管理、技術、邏輯、物理和環(huán)境控制方面進行勸止、防護、檢測、糾正、恢復和補償工作。如下表所示。表中所列舉的風險問題及處置措施隨著新應用, 新技術的出現(xiàn), 需要不斷更新完善。部分風險處置建議表風險及問題控制措施類型處置措施缺乏防病毒系統(tǒng)技術、 安裝主機防病毒軟件、 部署網(wǎng)絡防病毒產(chǎn)品、 部署互聯(lián)網(wǎng)出口防病毒墻管理1 、 制訂病毒預防管理規(guī)定2 、 制訂計算機

21、安全使用意識規(guī) 定主機補丁不全技術1 、 更新補丁2 、 集中補丁集中管理系統(tǒng)管理1 、 制訂補丁維護管理制度缺乏網(wǎng)絡訪問控制技術、 部署防火墻，增加訪問控制策略、 劃分VLAN，并增加ACL缺乏信息安全方針文件管理、 制定信息安全方針文件并向所有員工公布、 按計劃的時間間隔或發(fā)生重大事件時，對安全方針進行評審缺乏有效的信息安全組織管理、 成立有效的信息安全組織，明確規(guī)定所有信息安全職責、 定期與組織成員簽署保密協(xié)議或責任書缺乏對信息資產(chǎn)的整理和分類管理、 制定詳細的資產(chǎn)清單，并責任到人，定期做資產(chǎn)的統(tǒng)計和清查、 按資產(chǎn)的重要程度對信息進行分類，并對信息明確保密期限技術1 、 安裝桌面管理軟件

22、或資產(chǎn)管 理軟件缺乏對人員安全的考核管理、 對第三方用戶進行背景驗證檢查、 要求第三方服務人員簽署保密協(xié)議、 在員工的崗位職責中明確定義了信息安全的責任、 工作人員離職時交還資產(chǎn)，并接受檢查技術1 、 取消即將離任的工作人員相 關訪問權限缺乏對人員的安全教育培訓管理定期對工作人員進行安全教育培訓、培訓內(nèi)容包含安全方針、各種安全技術，根據(jù)工作人員從事的安全崗位不同，提供專業(yè)技能培訓缺乏對第三方人員的訪問控制管理、 對第三方（第三方包括產(chǎn)品提供商，軟件提供商，服務商、集成商和顧問等）訪問（進出機房、接入網(wǎng)絡、訪問系統(tǒng)等）的安全性進行風險評估、 對外包的業(yè)務，在雙方合同中明確規(guī)定安全風險、安全控制程

23、序的要求缺乏對機房的安全區(qū)域的劃分管理、 對機房安全區(qū)域的劃分：如機房、監(jiān)控室、辦公室、 機房帳臺記錄相關的出入、進入時間、進入事由等相關信息技術1 、 物理安全訪問邊界設置門禁 或監(jiān)控室缺乏對設備安全的考慮管理、 考慮盜竊、火災、化學、灰塵、震動、電子干擾等環(huán)境威脅產(chǎn)生的潛在風險等、 禁止在重要信息處理設施附近飲食、飲水和吸煙、 提供多路供電、不間斷電源或發(fā)動機、 對設備定期維護、檢查和更新缺乏統(tǒng)一的操作規(guī)管理1 、 制定統(tǒng)一安全操作規(guī)程：如變程更管理規(guī)程、問題管理規(guī)程、事件管理規(guī)程、測試評估規(guī)程等缺乏信息備份策略管理1 、 制定備份策略對信息和軟件 進行備份并定期測試缺乏用戶管理管理、 定

24、期對用戶訪問權限進行檢 查、 記錄訪問權限的授權、維護、 立即取消已經(jīng)變更工作或離 開公司的用戶訪問權力缺乏對移動設備的接入和遠程控制管理1 、 制定對移動設備接入和遠程 控制的管理辦法技術1 、 遠程接入用戶數(shù)量、時間控制缺乏對介質(zhì)的管理管理、 對介質(zhì)進行適當?shù)脑L問控制，以合理的方式進行介質(zhì)的保存， 傳送和廢棄必要保證信息的安全性、 只允許授權人員進行介質(zhì)的獲取，接收，轉(zhuǎn)移和交付、 系統(tǒng)存儲介質(zhì)廢棄時, 清除其存儲的信息或?qū)⑵滗N毀，防止未經(jīng)授權的人通過廢棄的介質(zhì)得到其中的信息技術1 、 終端管理軟件缺乏應用系統(tǒng)開發(fā)中對安全要求分析和規(guī)范管理、 系統(tǒng)設計階段提出對安全的要求，包含系統(tǒng)本身的安全

25、要求和開發(fā)過程中的控制要求、 應用系統(tǒng)開發(fā)過程中對應用系統(tǒng)口令使用策略、以及數(shù)據(jù)傳輸過程中數(shù)據(jù)加密安全策略缺乏應急預案管理、 建立安全應急響應管理制度、 建立安全應急響應領導機構、 建立安全應急預案，并進行應急響應演練，記錄演練操作。缺乏數(shù)據(jù)備份機制管理1 、 建立有效的備份與恢復機制2 、 建立完備份工作操作技術文技術1 、 備份軟件3.4.3.4 控制措施及其定義的原則防護：保護或降低資產(chǎn)的脆弱性；糾正：降低風險和影響的損失；檢測：檢測攻擊和安全的脆弱性，針對攻擊建立防護和糾正措施；恢復：恢復資源和能力；補償：對控制措施的替代方案。3.5 IT 需求評估決策流程在評估一個需求（資產(chǎn)）的風險時，應從兩個角度分別進行評估。通常的風險評估是針對該資產(chǎn)本身所面臨的風險，采取的處置方式也是出于保護該資產(chǎn)信息安全的目的。同時還需要考慮隨著該資產(chǎn)的應用所引入的新威脅，可能會導致現(xiàn)有的資產(chǎn)風險等級提升。因此在評估一個需求是否符合安全要求時，應遵循以下步驟：全面識別需求中所涉及的IT 資產(chǎn)等級，分析這些資產(chǎn)的脆弱性，面臨的威脅和問題，評估資產(chǎn)的風險等級，給出相應的處置措施。全面識別需求所引入的新威脅，分析這些威脅對已經(jīng)經(jīng)過評估的現(xiàn)有資產(chǎn)所造成的影響，