<XX信息科技有限公司>信息安全風(fēng)險管理程序[XX-B-01]V1.0發(fā)布日期2013年03月10日發(fā)布部門信息安全管理小組實施日期2013年03月10日<XX信息科技有限公司>文件編號XX-B-01信息安全風(fēng)險管理程序文件版次1.0密級機密目的為了在考慮控制成本與風(fēng)險平衡的前提下選擇合適的控制目標(biāo)和控制方式，將信息安全風(fēng)險控制在可接受的水平，特制定本程序。2范圍本程序適用信息安全管理體系(ISMS)范圍內(nèi)信息安全風(fēng)險評估活動的管理。3職責(zé)3.1信息安全管理小組負(fù)責(zé)牽頭成立風(fēng)險評估小組。3.2風(fēng)險評估小組負(fù)責(zé)編制《信息安全風(fēng)險評估計劃》，確認(rèn)評估結(jié)果，形成《信息安全風(fēng)險評估報告》。3.3各部門負(fù)責(zé)本部門使用或管理的資產(chǎn)的識別和風(fēng)險評估，并負(fù)責(zé)本部門所涉及的資產(chǎn)的具體安全控制工作。4相關(guān)文件《信息安全管理手冊》《商業(yè)秘密管理程序》5程序5.1風(fēng)險評估前準(zhǔn)備5.1.1成立風(fēng)險評估小組信息安全管理小組牽頭成立風(fēng)險評估小組，小組成員應(yīng)包含信息安全重要責(zé)任部門的成員。5.1.2制定計劃風(fēng)險評估小組制定《信息安全風(fēng)險評估計劃》,下發(fā)各部門。5.2資產(chǎn)賦值5.2.1部門賦值各部門風(fēng)險評估小組成員識別本部門資產(chǎn)，并進行資產(chǎn)賦值。5.2.2賦值計算資產(chǎn)賦值的過程是對資產(chǎn)在保密性、完整性、可用性和法律法規(guī)合同上的達成程度進行分析，并在此基礎(chǔ)上得出綜合結(jié)果的過程。5.2.3保密性根據(jù)資產(chǎn)在保密性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在保密性上的應(yīng)達成的不同程度或者保密性缺失時對整個組織的影響。保密性分類賦值方法級別價值分級描述1很低可對社會公開的信息公用的信息處理設(shè)備和系統(tǒng)資源等2低組織/部門內(nèi)公開僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴散有可能對組織的利益造成輕微損害3中等組織的一般性秘密其泄露會使組織的安全和利益受到損害4高包含組織的重要秘密其泄露會使組織的安全和利益遭受嚴(yán)重?fù)p害5很高包含組織最重要的秘密關(guān)系未來發(fā)展的前途命運，對組織根本利益有著決定性的影響，如果泄露會造成災(zāi)難性的損害5.2.4根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在完整性上的達成的不同程度或者完整性缺失時對整個組織的影響。完整性(I)賦值的方法級別價值分級描述1很低完整性價值非常低未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略，對業(yè)務(wù)沖擊可以忽略2低完整性價值較低未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響，對業(yè)務(wù)沖擊輕微，容易彌補3中等完整性價值中等未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務(wù)沖擊明顯4高完整性價值較高未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務(wù)沖擊嚴(yán)重，較難彌補5很高完整性價值非常關(guān)鍵未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補5.2.5根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在可用性上的達成的不同程度?？捎眯?A)賦值的方法級別價值分級描述1很低可用性價值可以忽略合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于25%2低可用性價值較低合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到25%以上，或系統(tǒng)允許中斷時間小于60min3中等可用性價值中等合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到70%以上，或系統(tǒng)允許中斷時間小于30min4高可用性價值較高合法使用者對信息及信息系統(tǒng)的可用度達到每天90%以上，或系統(tǒng)允許中斷時間小于10min5很高可用性價值非常高合法使用者對信息及信息系統(tǒng)的可用度達到年度99.9%以上，或系統(tǒng)不允許中斷5.2.6根據(jù)資產(chǎn)在法律、法規(guī)、合同協(xié)議符合性上的不同要求，將其分為五個不同的等級，分別對應(yīng)不同程度。法規(guī)合同符合性(L)賦值的方法級別描述1未違反法律法規(guī)2被供應(yīng)商起訴3被員工起訴4被競爭對手起訴5被客戶公司起訴5.2.75.3判定重要資產(chǎn)按照資產(chǎn)賦值的結(jié)果，經(jīng)過相加法得出重要性值，從而得出重要性等級，資產(chǎn)重要性劃分為5級，級別越高表示資產(chǎn)重要性程度越高。重要性等級說明重要性等級重要程度重要性值1不重要0<=值<=42不太重要4<值<=83一般重要8<值<=124重要12<值<=165很重要16＜值<=20重要性等級為3,4和5的為重要資產(chǎn)。5.3.3審核確認(rèn)風(fēng)險評估小組對各部門資產(chǎn)識別情況進行審核，確保沒有遺漏重要資產(chǎn)，導(dǎo)出《重要資產(chǎn)清單》，報總經(jīng)理確認(rèn)。5.4重要資產(chǎn)風(fēng)險評估5.4.1要求應(yīng)對所有的重要資產(chǎn)進行風(fēng)險評估，評估應(yīng)考慮威脅、脆弱性、威脅事件發(fā)生的可能性和威脅事件發(fā)生后對資產(chǎn)造成的影響程度及已經(jīng)采取的措施等方面因素。5.4.2識別威脅威脅是對組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素，造成威脅的因素可分為人為因素和環(huán)境因素。威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在保密性、完整性或可用性等方面造成損害；也可能是偶發(fā)的、或蓄意的事件。威脅可基于表現(xiàn)形式分類。例如可分為軟硬件故障、物理環(huán)境威脅、無作為或操作失誤、管理不到位、惡意代碼和病毒、越權(quán)或濫用、網(wǎng)絡(luò)攻擊、黑客攻擊技術(shù)、物理攻擊、泄密信息、篡改、抵賴等。各部門根據(jù)資產(chǎn)本身所處的環(huán)境條件，識別每個資產(chǎn)所面臨的威脅。5.4.3識別脆弱性脆弱性是對一個或多個資產(chǎn)弱點的總稱。脆弱性是資產(chǎn)本身存在的，如果沒有相應(yīng)的威脅發(fā)生，單純的脆弱性本身不會對資產(chǎn)造成損害。而且如果系統(tǒng)足夠強健，再嚴(yán)重的威脅也不會導(dǎo)致安全事件，并造成損失。即，威脅總是要利用資產(chǎn)的弱點才可能造成危害。資產(chǎn)的脆弱性具有隱蔽性，有些弱點只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱性識別中最為困難的部分。需要注意的是，不正確的、起不到應(yīng)有作用的或沒有正確實施的安全措施本身就可能是一個脆弱性。脆弱性識別將針對每一項需要保護的資產(chǎn)，找出可能被威脅利用的脆弱性，并對脆弱性的嚴(yán)重程度進行評估。脆弱性識別時的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域的專家和軟硬件方面的專業(yè)人員。脆弱性識別主要從技術(shù)和管理兩個方面進行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的安全問題。管理脆弱性又可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動相關(guān)，后者與管理環(huán)境相關(guān)。5.4.4識別威脅發(fā)生的可能性分析威脅發(fā)生頻率等級標(biāo)識分級定義1很低幾乎不可能出現(xiàn)的頻率極?。ɑ?lt;=1次/十年）；僅可能在非常罕見和例外的情況下發(fā)生2低不太可能出現(xiàn)的頻率較?。ɑ颉?次/兩年）；或一般不太可能發(fā)生；或沒有被證實發(fā)生過3中可能出現(xiàn)的頻率中等（或≈1次/半年）；或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)生過4高很可能出現(xiàn)的頻率較高（或≈1次/月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過5極高非常可能出現(xiàn)的頻率極高（或>=1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實經(jīng)常發(fā)生過分析脆弱性被利用率等級標(biāo)識定義1很低強度好，如果被威脅利用，造成損害的可能性<=5%2低強度不好，如果被威脅利用，5%<造成損害的可能性<=30%3中等脆弱，如果被威脅利用，30%<造成損害的可能性<=70%4高很脆弱，如果被威脅利用，70%<造成損害的可能性<=95%5很高非常脆弱，如果被威脅利用，造成損害的可能性>95%5.4.5應(yīng)對已采取的安全措施的有效性進行確認(rèn)，對有效的安全措施繼續(xù)保持，以避免不必要的工作和費用，防止安全措施的重復(fù)實施。對于確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實是否應(yīng)被取消，或者用更合適的安全措施替代。安全措施可以分為預(yù)防性安全措施和保護性安全措施兩種。預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如入侵檢測系統(tǒng)；保護性安全措施可以減少因安全事件發(fā)生對信息系統(tǒng)造成的影響，如業(yè)務(wù)持續(xù)性計劃。已有安全措施的確認(rèn)與脆弱性識別存在一定的聯(lián)系。一般來說，安全措施的使用將減少脆弱性，但安全措施的確認(rèn)并不需要與脆弱性識別過程那樣具體到每個資產(chǎn)、組件的弱點，而是一類具體措施的集合。已有安全措施一般會通過控制資產(chǎn)的威脅和脆弱性降低資產(chǎn)的固有風(fēng)險，因此需要對威脅程度和脆弱性進行打分。5.5風(fēng)險計算5.5.1計算方法根據(jù)威脅發(fā)生頻率和脆弱性被利用率及資產(chǎn)重要程度，通過相乘法得出風(fēng)險值。5.5.2風(fēng)險等級風(fēng)險等級根據(jù)風(fēng)險值劃分為五級，等級越高，風(fēng)險越高。等級等級劃分標(biāo)識描述11-100低風(fēng)險一旦發(fā)生造成的影響幾乎不存在，通過簡單的措施就能彌補。2101-200一般風(fēng)險一旦發(fā)生造成的影響程度較低，一般僅限于組織內(nèi)部，通過一定手段很快能解決。3201-300高風(fēng)險一旦發(fā)生會造成一定的經(jīng)濟、社會或生產(chǎn)經(jīng)營影響，但影響面和影響程度不大。4301-400高風(fēng)險一旦發(fā)生將產(chǎn)生較大的經(jīng)濟或社會影響，在一定范圍內(nèi)給組織的經(jīng)營和組織信譽造成損害。5401-500高風(fēng)險一旦發(fā)生將產(chǎn)生非常嚴(yán)重的經(jīng)濟或社會影響，如組織信譽嚴(yán)重破壞、嚴(yán)重影響組織的正常經(jīng)營，經(jīng)濟損失重大、社會影響惡劣。5.6不可接受風(fēng)險的確定根據(jù)風(fēng)險等級，等級為3，4，5的為高風(fēng)險，為不可接受的風(fēng)險。導(dǎo)出《信息安全風(fēng)險評估表》，報總經(jīng)理批準(zhǔn)。5.7風(fēng)險處理對風(fēng)險應(yīng)進行處理。對可接受風(fēng)險，可保持已有的安全措施；如果是不可接受風(fēng)險（高風(fēng)險），則需要采取安全措施以降低、控制風(fēng)險。對不可接受風(fēng)險，應(yīng)采取新的風(fēng)險處理的措施，規(guī)定風(fēng)險處理方式、責(zé)任部門和時間進度，高風(fēng)險應(yīng)得到優(yōu)先的考慮。風(fēng)險處理方式說明標(biāo)識描述保持現(xiàn)有控制措施完全可以應(yīng)付或防止此風(fēng)險的發(fā)生，控制措施保持不變控制現(xiàn)有控制措施不足或沒有控制措施，必須制作重新相應(yīng)的對策防止此風(fēng)險發(fā)生接受控制現(xiàn)有風(fēng)險所花費的成本過高、超出公司隨范圍且風(fēng)險發(fā)生的可能性極小或沒有適當(dāng)?shù)慕鉀Q方案，公司決定接受此風(fēng)險避免公司放棄可能涉及此風(fēng)險的行為，以保證風(fēng)險不會發(fā)生轉(zhuǎn)移將風(fēng)險轉(zhuǎn)嫁至其他公司或第三方人員身上，公司內(nèi)部不再對此風(fēng)險作任何控制措施5.7.3計劃導(dǎo)出《風(fēng)險處理計劃》。5.7.4報告風(fēng)險評估小組導(dǎo)出《信息安全風(fēng)險評估報告》,陳述信息安全管理現(xiàn)狀，分析存在的信息安全風(fēng)險，提出信息安全管理（控制）的建議與措施，提交信息安全管理小組進行審核。5.7.5審核信息安全管理小組考慮成本與風(fēng)險的關(guān)系，對《信息安全風(fēng)險評估報告》及《風(fēng)險處理計劃》的相關(guān)內(nèi)容審核，對認(rèn)為不合適的控制或風(fēng)險處理方式等提出說明，由風(fēng)險評估小組協(xié)同相關(guān)部門重新考慮信息安全管理小組的意見，選擇其他的控制或風(fēng)險處理方式，并重新提交信息安全管理小組審核，由行政部批準(zhǔn)實施。5.7.6實施各責(zé)任部門按照批準(zhǔn)后的《風(fēng)險處理計劃》的要求采取有效安全控制措施，確保所采取的控制措施是有效的。5.8剩余風(fēng)險評估5.8.1再評估對采取安全措施處理后的風(fēng)險，信息安全管理小組應(yīng)進行再評估，以判斷實施安全措施后的殘余風(fēng)險是否已經(jīng)降低到可接受的水平。5.8.2再處理某些風(fēng)險可能在選擇了適當(dāng)?shù)陌踩胧┖笕蕴幱诓豢山邮艿娘L(fēng)險范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險或進一步增加相應(yīng)的安全措施。5.8.3審核批準(zhǔn)剩余風(fēng)險評估完成后，導(dǎo)出《剩余風(fēng)險評估報告》，報夏禎審核、最高管理者批準(zhǔn)。5.9信息安全風(fēng)險的連續(xù)評估5.9.1定期評估信息安全管理小組每年應(yīng)組織對信息安全風(fēng)險重新評估一次，以適應(yīng)信息資產(chǎn)的變化，確定是否存在新的威脅或脆弱性及是否需要增加新的控制措施。5.9.2非定期評估當(dāng)