信息安全风险管理程序.docx

《信息安全风险管理程序.docx》由会员分享，可在线阅读，更多相关《信息安全风险管理程序.docx（23页珍藏版）》请在咨信网上搜索。

______________________________________________________________________________________________________________ 城云科技（杭州）有限公司 信息安全风险管理程序 文档编号 3.1 受控状态 受控 版 本 号 V2.0 作 者 鄂鹏羽 审 核 人 李振华 批 准 人 夏敏 发布日期 2014/12/1 批准日期 2014/12/1 精品资料 ______________________________________________________________________________________________________________ 目录 信息安全风险管理程序 1 第一章 目 的 1 第二章 范 围 1 第三章 名词解释 1 第四章 风险评估方法 2 第五章 风险评估实施 5 第六章 风险管理要求 19 第七章 附 则 20 第八章 检查要求 20  第一章 目 的 第一条 目的：指导信息安全组织针对信息系统及其管理开展的信息风险评估工作。本指南定义了风险评估的基本概念、原理及实施流程；对资产、威胁和脆弱性识别要求进行了详细描述。 第二章 范 围 第二条 范围：适用于风险评估组开展各项信息安全风险评估工作。 第三章 名词解释 第三条 资产 对组织具有价值的信息或资源，是安全策略保护的对象。 第四条 资产价值 资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。资产价值通过机密性、完整性和可用性三个方面评估计算获得。 （一）机密性（Confidentiality）：确保只有经过授权的人才能访问信息； （二）完整性（Integrality）：保护信息和信息的处理方法准确而完整； （三）可用性（Availability）：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。 第五条 威胁 可能导致对系统或组织危害的不希望事故潜在起因。 第六条 脆弱性 可能被威胁所利用的资产或若干资产的弱点。 第七条 信息安全风险 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 第八条 信息安全评估 依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 第九条 残余风险 采取了安全措施后，信息系统仍然可能存在的风险。 第四章 风险评估方法 第十条 风险管理模型 图1 风险管理模型 图1为风险管理的基本模型，椭圆部分的内容是与这些要素相关的属性。风险管理围绕着资产、威胁、脆弱性和安全措施这些基本要素展开。信息安全风险评估在对风险管理要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。 图1中的风险管理要素及属性之间存在着以下关系： （一）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小； （二）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大； （三）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件； （四）资产的脆弱性可能暴露资产的价值，资产具有的弱点越多则风险越大； （五）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产； （六）风险的存在及对风险的认识导出安全需求； （七）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本； （八）安全措施可抵御威胁，降低风险； （九）残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后不去控制的风险； （十）残余风险应受到密切监视，它可能会在将来诱发新的安全事件。 第十一条 风险评估模型 图2 风险评估原理图 风险评估的过程中主要包含信息资产（Information Asset），脆弱性（Vulnerability）、威胁（Threat）、影响（Impact）和风险（Risk）五个要素。信息资产的基本属性是资产价值（Assets Value），脆弱性的基本属性是被威胁利用的难易程度（How Easily Exploited by Threats）、威胁的基本属性是威胁的可能性（Threat Likelihood）、影响度的基本属性是严重性（Severity），它们直接影响风险的两个属性，风险的后果（Risk Consequence）和风险的可能性（Risk Likelihood）。其中资产价值和影响的严重性构成风险的后果，脆弱性被威胁利用的难易程度和威胁的可能性构成风险的可能性，风险的后果和风险的可能性构成风险。 第十二条 风险评估方法 图3 风险评估方法 风险评估的主要内容为： （一）对资产进行识别，并对资产的价值进行赋值； （二）对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值； （三）对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值； （四）根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性； （五）根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失； （六）根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响； （七）综合分析，采用适当的方式计算风险值。 第五章 风险评估实施 第十三条 风险评估的准备 风险评估的准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑，其结果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此，在风险评估实施前应： （一）确定风险评估的目标； （二）确定风险评估的范围； （三）组建适当的评估管理与实施团队； （四）进行系统调研； （五）确定评估依据和方法（即评估列表）； （六）获得最高管理者对风险评估工作的支持。 第十四条 资产识别 资产识别是对直接赋予了价值因而需要保护的资产进行分类和价值等级赋值。资产分类和赋值方法可根据ISO27001体系结合组织自身情况完成，资产价值作为风险计算的输入。 第十五条 威胁评估 安全威胁是一种对系统、组织及其资产构成潜在破坏的可能性因素或者事件。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素包括有意因素和无意因素。环境因素包括自然界的不可抗力因素和其它物理因素。 威胁可能是对信息系统直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。威胁也可能是偶发的、或蓄意的事件。一般来说，威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。 安全事件及其后果是分析威胁的重要依据。但是有相当一部分威胁发生时，由于未能造成后果，或者没有意识到，而被安全控制人员忽略。这将导致对安全威胁的认识出现偏差。 威胁分析方法首先需要考虑威胁的来源，然后分析各种来源存在哪些威胁种类，最后做出威胁来源和威胁种类的列表进行威胁赋值。 （一）威胁来源分析 信息系统的安全威胁来源可考虑以下方面： 威胁源 威胁分类 威胁来源描述 人为因素 非恶意人员 威胁事件 内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致故障或被攻击；内部人员由于缺乏培训，专业技能不足,不具备岗位技能要求而导致信息系统故障或被攻击。 恶意人员 威胁事件 不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主的或内外勾结的方式盗窃机密信息或进行篡改，获取利益。 第三方合作伙伴和供应商，包括业务合作伙伴以及软件开发合作伙伴、系统集成商、服务商和产品供应商；包括第三方恶意的和无恶意的行为。 外部人员利用信息系统的弱点，对网络和系统的机密性、完整性和可用性进行破坏，以获取利益或炫耀能力。 环境威胁 自然威胁事件 洪灾、火灾、地震等环境条件和自然灾害 物理威胁事件 由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、； 非人为系统威胁事件 意外事故或由于软件、硬件、数据、通讯线路方面的故障。 社会因素威胁 社会动乱 恐怖袭击 表1：威胁来源 （二）威胁种类分析 对安全威胁进行分类的方式有多种多样，针对上表威胁来源，组织信息管理部的安全威胁种类按类列举如下表所示。 威胁的编号按照类别进行划分，以字母“T”开头（Threats），第二个字母为威胁类型，例如人员威胁为TP为前缀，以“-”连接，以数字后缀为序列。 威胁源 威胁分类 威胁编号 威胁类型 威胁表现 威胁注释 人为因素 非恶意人员 威胁事件 TP-01 无作为或操作失误 操作失误、错误 在正常工作或使用过程中，由于技能不足或精神不集中导致的操作不当、设置错误，无意中造成对资产的侵害 TP-02 无作为或操作失误 无意识传播恶意代码 使用个人电脑、移动介质等时无意识中传播了恶意的代码， TP-03 管理不到位 遗失 无意遗失重要资产 TP-04 管理不到位 生病 感染流行病或传染病导致无法正常出勤 TP-05 管理不到位 事假、离职 因事假或离职导致无法正常工作 TP-06 无作为或操作失误 工作疏忽、监控不力、判断失误 在正常工作或使用过程中，由于技能不足或精神不集中导致的监察不力、响应不及时等，无意中造成对资产的侵害 恶意人员 威胁事件 TP-07 物理攻击 蓄意破坏 蓄意以各种方式破坏信息资产，可能导致资产不可用，如纵火，在系统中故意留后门 TP-08 篡改 数据破坏 对系统中数据进行恶意删除等行为 TP-09 越权或滥用 非授权访问/使用 非授权地对网络或系统进行访问，非授权地使用设备或软件，如对系统内容非法下载或批量导出,非授权扫描 TP-10 恶意代码 恶意代码攻击 病毒、蠕虫、逻辑炸弹、木马后门等恶意代码的攻击 TP-11 篡改 非授权篡改 对系统或数据进行非授权篡改，导致完整性丧失 TP-12 管理不到位 擅自使用非授权软件 擅自通过互联网下载、使用公司非授权软件，可能造成版权等符合性问题 TP-13 网络攻击 黑客入侵 黑客利用各种手段对公司信息系统实施攻击 TP-14 网络攻击 DOS攻击 攻击方发动拒绝服务攻击 TP-15 物理环境影响 盗窃 窃取物品 TP-16 越权或滥用 身份假冒 非授权人员冒用他人或授权人员身份 TP-17 网络攻击 窃听 通过网络嗅探、偷听、搭线窃听等途径非法获取信息 TP-18 管理不到位 人员短缺 完成某项工作的合格的人力资源不足 TP-19 管理不到位 泄密 泄漏敏感信息或电子数据 TP-20 管理不到位 社会工程/欺骗 以非技术手段（例如欺骗）获取特定信息，包括间谍行为 TP-21 抵赖 无法进行审查的抵赖行为 不承认之前的行为或操作，无法追查当事人责任 TP-22 管理不到位 商业间谍行为 通过贿赂等行为刺探商业情报 TP-23 管理不到位 恶意申告 向主管机关和利益集团申告存在的软件正版化等问题，或由此进行敲诈 环境威胁 自然威胁事件 TE-01 物理环境影响 雷电 资产所处地点可能发生雷电 TE-02 物理环境影响 台风 资产所处地点可能发生台风 TE-03 物理环境影响 暴雨 资产所处地点可能发生暴雨 TE-04 物理环境影响 海啸 资产所处地点可能发生海啸 TE-05 物理环境影响 洪水 资产所处地点可能发生洪水 TE-06 物理环境影响 冰雹 资产所处地点可能发生冰雹 TE-07 物理环境影响 地震 资产所处地点可能发生地震 物理威胁事件 TE-08 软硬件故障 极端的温度/湿度 资产所处环境的温度/湿度发生剧烈变化，超出正常范围。 TE-09 物理环境影响 落尘 资产所处物理环境灰尘大 TE-10 物理环境影响 老鼠、虫蚁咬食 资产被老鼠、虫蚁破坏 TE-11 软硬件故障 电力故障 电力中断或者供电不稳定 TE-12 物理环境影响 灰尘 环境中存在严重的落尘问题 TE-13 物理环境影响 环境污染 资产所处环境受到污染，包括有毒气体和液体 TE-14 物理环境影响 电磁辐射/干扰 资产所处环境存在电磁辐射或干扰 TE-15 物理环境影响 静电 资产所处环境存在严重的静电问题 TE-16 物理环境影响 供水故障 出现停水、水压低等情况 TE-17 软硬件故障 空调故障 出现空调制冷量不正常、空调设施机械故障等情况 TE-18 软硬件故障 液体泄漏 消防水管破裂、空调漏水、漏雨 TE-19 软硬件故障 电压异常波动 设备所处地点的电压出现异常的波动 TE-20 软硬件故障 爆炸 资产所处地点发生爆炸 非人为系统威胁事件 TE-21 软硬件故障 软件故障 软件因为故障而可用性降低或不可用 TE-22 软硬件故障 软件使用量异常 因蠕虫、拒绝服务攻击、突发访问或业务增长等，软件容量、性能不足或资源耗竭而导致可用性降低或不可用 TE-23 软硬件故障 硬件部件技术故障 设备出现老化或故障而导致可用性降低或不可用 TE-24 软硬件故障 硬件部件使用量异常 因蠕虫、拒绝服务攻击、突发访问或业务增长等，硬件部件容量不足或资源耗竭而导致可用性降低或不可用 TE-25 软硬件故障 通信线路技术故障 设备出现老化或故障而导致可用性降低或不可用 TE-26 通信流量异常 通信流量异常 因蠕虫、拒绝服务攻击、突发访问或业务增长等，通讯流量异常增大而导致可用性、服务质量降低或不可用 TE-27 软硬件故障 存储介质损坏 存储介质出现老化或故障而导致可用性降低或不可用 TE-28 软硬件故障 存储介质空间使用量异常 存储介质空间出现不足，介质老化或故障而导致可用性降低或不可用 社会因素威胁 TS-1 社会动乱 突发政治事件 因政治事件导致组织业务发生变化 TS-2 恐怖袭击 暴力攻击 业务系统和组织遭受恐怖组织或相关群体袭击 表2：威胁类型列表 （三）威胁赋值 本风险评估管理办法通过对于威胁的可能性（Likelihood）属性（*注意: 此处描述的是威胁的可能性，并不是风险的可能性，威胁要实际产生影响还要考虑脆弱性被利用的难易程度这个因素。）进行分析赋值。赋值取决于威胁发生的概率和威胁发生的频率。我们用变量T来表示威胁的可能性，它可以被赋予一个数值，来表示该属性的程度。确定威胁发生的可能性是风险评估的重要环节，评估人员应该根据经验和相关的统计数据来判断威胁发生的概率和频率。 实际评估过程中，威胁的可能性赋值需要参考下面三方面的资料和信息来源，综合考虑，形成在特定评估环境中各种威胁发生的可能性。 （1）通过评估体过去的安全事件报告或记录，统计各种发生过的威胁和其发生频率； （2）在评估体实际环境中，通过安全设备系统获取的威胁发生数据的统计和分析，各种日志中威胁发生的数据的统计和分析； （3）过去一年或两年来相关信息安全管理机构发布的对于整个社会或特定行业安全威胁发生频率的统计数据均值。 威胁的赋值标准参照下表： 赋值 描述 说明 4 几乎肯定 预期在大多数情况下发生，不可避免（>90%） 3 很可能 在大多数情况下，很有可能会发生（50% ~ 90%） 2 可能 在某种情况下或某个时间，可能会发生（20% ~ 50%） 1 不太可能 发生的可能性很小，不太可能（<20%） 0 罕见 仅在非常例外的情况下发生，非常罕见，几乎不可能（0%~1%） 表3：威胁赋值标准 第十六条 脆弱性评估 脆弱性评估主要目的是评估信息资产的弱点。通常信息资产存在的弱点主要表现在三个方面：安全控制方面、承载信息资产的IT设备方面以及处理、加工这些信息资产的应用系统方面。因此弱点评估也主要按照这三个方面进行。 （一）脆弱性的识别 脆弱性的识别和获取通过以下多种方式：工具扫描、人工分析、模拟攻击测试（Penetration Testing）、网络架构分析、业务流程分析等。评估人员根据具体的评估对象、评估目的来选择具体的脆弱性获取方式。 在脆弱性的识别和获取必须对应前一个过程中识别出的威胁列表，不能被列表中威胁所利用的脆弱性在风险评估中没有意义，可以不进行识别。同时，因为威胁来源可以分为内部和外部，所以脆弱性的获取方法也可以根据威胁的来源不同而选择不同的获取方式，比如从内网获取和从外网获取。 ● 安全控制脆弱性评估：可根据ISO 27002的14个方面对整体安全控制评估； ● 设备脆弱性评估：可通过网络扫描及专家人工评估方法对IT设备进行评估； ● 应用系统脆弱性评估：可通过对应用系统的网络构架、系统主机、数据流分析等方法进行评估。 （二）脆弱性分类 脆弱性包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。 脆弱性的编号按照类别进行划分，以字母“V”开头（Vulnerabilities），第二个字母为脆弱性类型，例如组织管理脆弱性以VP为前缀，以“-”连接，以数字后缀为序列。 脆弱性分类 脆弱性子类 脆弱性编号 脆弱性类型 管理脆弱性 组织管理 VP-01 IT治理机制不够完善 VP-02 缺乏总体IT规划 VP-03 缺乏安全方针 VP-04 缺乏组织范围内统一的安全策略 VP-05 缺乏可执行性的安全程序 VP-06 安全技术与管理措施不能有效结合 VP-07 没有科学有效的资产管理或配置管理 VP-08 没有跨部门的协调组织 VP-09 没有负责安全管理部门 VP-10 没有建立完善的沟通交流机制 VP-11 组织的重要记录没有得到保护 VP-12 业务流程设计没有既定明确的要求 人员管理 VH-01 人员知识水平缺乏 VH-02 人员技能缺乏 VH-03 人员安全意识缺乏 VH-04 人员敬业精神不够 VH-05 不能遵守操作规程 VH-06 道德风险 VH-07 人员流动频繁 VH-08 没有签订协议 VH-09 没有背景调查 VH-10 岗位职责中没有安全要求 VH-11 安全无法与员工绩效挂钩 VH-12 人员缺乏职责分离 VH-13 没有人员备份机制 VH-14 缺乏对员工行为的审计 技术脆弱性 物理环境 VE-01 电力单路 VE-02 线路暴露 VE-03 场所很容易进入 VE-04 场所监控有盲点 VE-05 场所易受雷击 VE-06 场所易进水 VE-07 场所易燃烧 VE-08 场所不抗震 VE-09 电力容量不够 VE-10 场地不够 硬件 VM-01 设备易受电力变化影响 VM-02 设备、介质易损坏 VM-03 电源开关没有限制未经授权的使用 VM-04 存储空间不够 VM-05 运算能力不够 VM-06 信号辐射 VM-07 设备性能差 VM-08 存在单点故障 VM-09 口令更改周期较长 VM-10 线路辐射 VM-11 协议开放 VM-12 明文传输 VM-13 随意接入 VM-14 口令简单 VM-15 协议漏洞 VM-16 带宽不够 VM-17 很容易进入 VM-18 可用性差 VM-19 SNMP的Community值为缺省 VM-20 无网络流量监控管理措施 VM-21 缺少处置、报废规定 软件及应用系统 VS-01 系统没有及时更新补丁 VS-02 系统开放默认服务和端口 VS-03 系统存在可疑服务和端口 VS-04 系统管理员和用户弱口令或空口令 VS-05 系统没有实现账号实名制 VS-06 系统没有开放审计日志功能 VS-07 系统没有启用安全选项 VS-08 系统没有启用帐户密码安全策略 VS-09 系统使用默认共享 VS-10 系统无权限控制措施 VS-11 特权账户没有控制 VS-12 版本较低 VS-13 存在弱密码或空密码 VS-14 系统漏洞 VS-15 配置漏洞 VS-16 存在后门 VS-17 没有数据加密功能 VS-18 软件架构缺陷 VS-19 很容易变更 业务设计和流程 VB-01 业务流程缺陷 VB-02 业务逻辑错误 VB-03 业务系统设计性能不足 VB-04 业务系统功能实现不足 VB-05 业务系统缺乏审计和记录 VB-06 业务系统缺乏连续性计划 服务 VR-01 缺乏服务水平协议 VR-02 服务不符合业务需求 VR-03 服务响应不及时 VR-04 服务易中断 VR-05 没有按照规范执行 VR-06 服务成本太高 其他 法规法规 VL-01 没有识别相应的法律、法规 VL-02 不符合法律法规要求 信息类 VI-01 信息缺乏准确性 VI-02 信息缺乏及时性 VI-03 信息容易传播 VI-04 信息容易毁损 VI-05 信息容易丢失 无形资产类 VT-01 恢复困难 VT-02 容易受到损害 表3：脆弱性类别列表 （三）脆弱性属性 参照国际安全标准，本管理办法将脆弱性属性定义为脆弱性的严重性，既脆弱性被某些威胁利用后产生的影响的严重程度， （三）脆弱性赋值 在CVE和业界大多数的扫描器中关于技术性脆弱性的严重性（Severity）定义中，都是指可能引发的影响的严重性，参考业界通用的脆弱性严重性等级划分标准，我们采用的等级划分标准如下： 赋值 简称 说明 4 VH 脆弱性很容易被利用，如果被威胁利用，将对资产造成完全损害 3 H 脆弱性容易被利用，如果被威胁利用，将对资产造成重大损害 2 M 脆弱性可以被利用，如果被威胁利用，将对资产造成一般损害 1 L 脆弱性较难被利用，如果被威胁利用，将对资产造成较小损害 0 N 脆弱性很难被利用，如果被威胁利用，将对资产造成的损害可以忽略 表4：脆弱性赋值 在实际评估工作中，脆弱性的值一般参考扫描工具的归类标准，并参考CVE、中国国家漏洞库等相关漏洞库标准中的说明，按照实际情况进行修正，从而获得适用的脆弱性值。管理类的脆弱性值按照管理成熟度进行赋值。 第十七条 影响评估 影响的属性的评估方法主要考察一个属性：严重性。本办法将将影响严重性分为5个等级，分别是很高（VH）、高（H）、中等（M）、低（L）、可忽略（N），并且从高到低分别赋值4-0。赋值标准参照下表。 赋值 简称 说明 4 VH 可以造成资产全部损失或不可用，持续的业务中断，巨大的财务损失等非常严重的影响； 3 H 可以造成资产重大损失，业务中断，较大的财务损失等严重影响； 2 M 可以造成资产损失，业务受到损害，中等的财务损失等影响 1 L 可以造成资产较小损失，并且立即可以受到控制，较小的财务损失等影响； 0 N 资产损失可以忽略、对业务无损害，轻微或可忽略的财务损失等影响。 表5：脆弱性赋值影响严重性赋值标准 第十八条 风险计算 在完成了资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险。 (一) 风险分析方法 风险分析方法可以是定性分析、半定量分析或定量分析，或者是这些分析方法的组合。如果按递升次序将这些分析的复杂性和成本加以排列的话，将会是：定性分析、半定量、定量。实际上，定性分析往往首先被采用，来得到风险程度的总的提示 组织可根据信息管理实际评估效果、工作量、成本效益、技术复杂度和数据收集困难度等方面的考虑，选择合适的分析方法作为安全风险的计算方法。 （二）风险的计算 本管理办法采用相乘法进行量值计算。相乘法提供一种定量的计算方法，直接使用两个要素值进行相乘得到另一个要素的值。相乘法的特点是简单明确，直接按照统一公式计算，即可得到所需结果。 在风险值计算中，通常需要对两个要素确定的另一个要素值进行计算，例如由威胁和脆弱性确定安全事件发生可能性值、由资产和脆弱性确定安全事件的损失值，因此相乘法在风险分析中得到广泛采用即： 风险值=资产价值×威胁可能性值×脆弱性值×影响性值 （三）风险等级化方法 对风险进行定量取值后，将风险值按照以“4”为底取对数计算并四舍五入得到风险等级值，将风险划分为五个登记，如下表所描述： 风险等级 等级描述 风险值范围 4 该风险将可触发非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织的正常经营，经济损失重大、社会影响恶劣 128≤风险值 3 该风险将可触发较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成损害 32≤风险值<128 2 该风险将可触发一定的经济、社会或生产经营影响，但影响面和影响程度不大 8≤风险值<32 1 该风险将可触发的影响程度较低，一般仅限于组织内部，通过一定手段很快能解决 2≤风险值<8 0 该风险将可触发的影响几乎不存在，通过简单的措施就能弥补 风险值<2 表6：风险级别表 （三）风险矩阵定性分析 本管理办法采用下面的赋值矩阵来获得风险点的定量分析表。 通过资产分析、威胁分析、脆弱性分析以及影响分析进行风险点汇总。 风险类别 风险子类 资产名称 资产 赋值 威胁类型 威胁 赋值 脆弱性描述 脆弱性 赋值 影响描述 影响赋值 风险描述 风险值 风险级别 管理类风险 技术类风险 运维类风险 表7：风险点收集表 通过技术、管理、运维各方面风险点的综合定性分析，我们将风险项合并归类，总结出相应的风险项并进行编号， 风险的编号按照类别进行划分，以字母“R”开头（Risk），第二个字母为风险类别，如管理风险为RM为前缀，后缀以数字为序列、技术风险以RT为前缀，后缀以数字为序列、运维风险以RO为前缀，后缀以数字为序列。 风险编号 症结问题 影响 风险级别 RM-01 3 RT-01 2 R0-01 4 表8：风险列表 第十九条 风险处置方法 根据计算出的风险值，对风险进行排序，并根据企业自身的特点和具体条件、需求，选择相应的风险处置方式。 风险处置方法描述如下： （1）消除风险：在某些情况下，可以决定不继续进行可能产生风险的活动来回避风险。在某些情况可能是较为稳妥的处理办法，但是在某些情况下可能会因此而丧失机会。 （2）降低风险：在某些情况下，可以决定通过合同、要求、规范、法律、监察、管理、测试、技术开发、技术控制等措施来减小风险的可能性，来达到减小风险的目的。 （3）转移风险：这涉及承担或分担部分风险的另一方。手段包括合同、保险安排、合伙、资产转移等。 （4）接受风险：不管如何处置，一般资产面临的风险总是在一定程度上存在。决策者可以在继续处置需要的成本和风险之间进行抉择。在适当的情况下，决策者可以选择接受/承受风险。 第二十条 选择处置方式的原则 （1）风险可能造成的危害性； （2）控制、降低该风险方案的可行性,它需对成本因素、技术实现的难度、技术的成熟度以及对企业现有业务系统的影响等各方面进行综合考虑。 建议风险处置策略如下： 可行性 风险等级 低 中 高 低（0-1） 接受 接受 降低 中（2-3） 接受/转移 接受/降低 降低 高（4） 转移/避免 降低/转移 降低 表8：风险处置策略 （3）原则上风险值在48以上的风险需要进行处置 第二十一条 制定风险处置计划 对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中明确应采取的弥补弱点的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应从管理与技术两个方面考虑，管理措施可以作为技术措施的补充。 在对于不可接受的风险选择适当安全措施后，为确保安全措施的有效性，可进行再评估，以判断实施安全措施后的残余风险是否已经降低到可接受的水平。某些风险可能在选择了适当的安全措施后，残余风险的结果仍处于不可接受的风险范围内，应考虑是否接受此风险或进一步增加相应的安全措施。 第六章 风险管理要求 第二十二条 全面的风险评估和管理要至少每年进行一次。当信息系统重大变更（新系统试运行上线、业务系统重大版本变化、核心层或机房接入层的网络架构调整、机房搬迁）、业务环境重大改变、发生重大安全事件或者其他组织认为有必要的情况下，也应进行全面或局部的风险评估。 第二十三条 技术管理办公室负责风险评估的组织工作，按照业务需要和风险变化情况商定风险评估的范围，成立具备风险评估和管理方法的知识的风险评估小组进行风险评估，在内部资源不足的情况下应选用外包的形式进行风险评估。 第二十四条 风险评估应产出风险评估报告及相关的中间产物，记录评估过程和结论，最终对风险进行整体展现。 第二十五条 技术管理办公室根据业务需求和风险情况制定可接受风险准则，并获得信息安全管理委员会批准，对于不可接受风险增加风险化解措施，例如： l 增加新的安全控制措施； l 变更现有的安全控制措施； l 增加新的控制目标、控制措施、过程和程序； l 资源的调配安排。 第二十六条 技术管理办公室组织制定风险处置计划，将风险评估报告及处置建议报信息安全领导小组进行审议。 第二十七条 获得部门领导批准后，各职能线按照风险处置计划进行风险处置工作，技术管理办公室应定期跟踪风险处置情况，并对残余风险进行分析，对于尚不可接受的风险应进一步加强控制或报部门领导批准接受。 第七章 附 则 第二十八条 本管理程序自发布之日起开始实施； 第二十九条 本管理程序的解释和修改权属于信息安全管理委员会； 第三十条 信息安全管理委员会组织人员每年统一检查和评估本管理规定，并做出适当更新。在业务环境和安全需求发生重大变化时，也将对本规定进行检查和更新。 第八章 检查要求 检查点 检查方法 风险评估开展 查看是否至少每年进行了一次全面的风险评估和管理，在信息系统重大变更、业务环境重大改变、发生重大安全事件或者其他组织认为有必要的情况下，是否进行全面或局部的风险评估 风险评估准备 查看全面风险评估的开展是否制定了详细的方案并获得批准 风险评估实施 查看风险评估中间记录（资产识别、威胁脆弱性识别、风险评价）及最终报告是否完备合理 风险管理 查看是否制定明确的风险接受准则，不可接受风险制定处置计划，并获得批准 风险管理 查看是否风险处置计划的实施是否进行了跟踪，是否进行残余风险分析，并对不可接受的残余风险予以补偿控制或报批 Welcome To Download !!! 欢迎您的下载，资料仅供参考！ 精品资料