信息安全风险管理程序.docx

《信息安全风险管理程序.docx》由会员分享，可在线阅读，更多相关《信息安全风险管理程序.docx（23页珍藏版）》请在咨信网上搜索。

1、_城云科技（杭州）有限公司信息安全风险管理程序文档编号3.1受控状态受控版 本 号V2.0作 者鄂鹏羽审 核 人李振华批 准 人夏敏发布日期2014/12/1批准日期2014/12/1精品资料_目录信息安全风险管理程序1第一章目 的1第二章范 围1第三章名词解释1第四章风险评估方法2第五章风险评估实施5第六章风险管理要求19第七章附 则20第八章检查要求20第一章 目 的第一条 目的：指导信息安全组织针对信息系统及其管理开展的信息风险评估工作。本指南定义了风险评估的基本概念、原理及实施流程；对资产、威胁和脆弱性识别要求进行了详细描述。第二章 范 围第二条 范围：适用于风险评估组开展各项信息安全

2、风险评估工作。第三章 名词解释第三条 资产对组织具有价值的信息或资源，是安全策略保护的对象。第四条 资产价值资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。资产价值通过机密性、完整性和可用性三个方面评估计算获得。（一）机密性（Confidentiality）：确保只有经过授权的人才能访问信息；（二）完整性（Integrality）：保护信息和信息的处理方法准确而完整；（三）可用性（Availability）：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。第五条 威胁可能导致对系统或组织危害的不希望事故潜在起因。第六条 脆弱性可能被威胁所利用的资产或

3、若干资产的弱点。第七条 信息安全风险人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。第八条 信息安全评估依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。第九条 残余风险采取了安全措施后，信息系统仍然可能存在的风险。第四章 风险评估方法第十条 风险管理模型图1 风险管理模型图1为风险管理的基本模型，椭圆部分的内容是与这些要素相关的属性。风险管理围绕着

4、资产、威胁、脆弱性和安全措施这些基本要素展开。信息安全风险评估在对风险管理要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。图1中的风险管理要素及属性之间存在着以下关系： （一）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（二）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；（三）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件；（四）资产的脆弱性可能暴露资产的价值，资产具有的弱点越多则风险越大；（五）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；（六）风险的存在及对

5、风险的认识导出安全需求；（七）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；（八）安全措施可抵御威胁，降低风险；（九）残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后不去控制的风险；（十）残余风险应受到密切监视，它可能会在将来诱发新的安全事件。第十一条 风险评估模型图2 风险评估原理图风险评估的过程中主要包含信息资产（Information Asset），脆弱性（Vulnerability）、威胁（Threat）、影响（Impact）和风险（Risk）五个要素。信息资产的基本属性是资产价值（Assets Value），脆弱性的基本

6、属性是被威胁利用的难易程度（How Easily Exploited by Threats）、威胁的基本属性是威胁的可能性（Threat Likelihood）、影响度的基本属性是严重性（Severity），它们直接影响风险的两个属性，风险的后果（Risk Consequence）和风险的可能性（Risk Likelihood）。其中资产价值和影响的严重性构成风险的后果，脆弱性被威胁利用的难易程度和威胁的可能性构成风险的可能性，风险的后果和风险的可能性构成风险。第十二条 风险评估方法图3 风险评估方法风险评估的主要内容为：（一）对资产进行识别，并对资产的价值进行赋值；（二）对威胁进行识别，描述

7、威胁的属性，并对威胁出现的频率赋值；（三）对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；（四）根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性；（五）根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失；（六）根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响；（七）综合分析，采用适当的方式计算风险值。 第五章 风险评估实施第十三条 风险评估的准备风险评估的准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑，其结果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此，在风险评估实施前应：（一

8、）确定风险评估的目标；（二）确定风险评估的范围；（三）组建适当的评估管理与实施团队；（四）进行系统调研；（五）确定评估依据和方法（即评估列表）；（六）获得最高管理者对风险评估工作的支持。第十四条 资产识别资产识别是对直接赋予了价值因而需要保护的资产进行分类和价值等级赋值。资产分类和赋值方法可根据ISO27001体系结合组织自身情况完成，资产价值作为风险计算的输入。第十五条 威胁评估安全威胁是一种对系统、组织及其资产构成潜在破坏的可能性因素或者事件。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素包括有意因素和无意因素。环境因素包括自然界的不可抗力因素和其它物理因素。威胁可能是对信息系

9、统直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。威胁也可能是偶发的、或蓄意的事件。一般来说，威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。安全事件及其后果是分析威胁的重要依据。但是有相当一部分威胁发生时，由于未能造成后果，或者没有意识到，而被安全控制人员忽略。这将导致对安全威胁的认识出现偏差。威胁分析方法首先需要考虑威胁的来源，然后分析各种来源存在哪些威胁种类，最后做出威胁来源和威胁种类的列表进行威胁赋值。（一）威胁来源分析信息系统的安全威胁来源可考虑以下方面：威胁源威胁分类威胁来源描述人为因素非恶意人员威胁事件内部人员由于缺

10、乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致故障或被攻击；内部人员由于缺乏培训，专业技能不足,不具备岗位技能要求而导致信息系统故障或被攻击。恶意人员威胁事件不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主的或内外勾结的方式盗窃机密信息或进行篡改，获取利益。第三方合作伙伴和供应商，包括业务合作伙伴以及软件开发合作伙伴、系统集成商、服务商和产品供应商；包括第三方恶意的和无恶意的行为。外部人员利用信息系统的弱点，对网络和系统的机密性、完整性和可用性进行破坏，以获取利益或炫耀能力。环境威胁自然威胁事件洪灾、火灾、地震等环境条件和自然灾害物理威胁事件由于断电、静电、灰尘

11、、潮湿、温度、鼠蚁虫害、电磁干扰、； 非人为系统威胁事件意外事故或由于软件、硬件、数据、通讯线路方面的故障。社会因素威胁社会动乱恐怖袭击表1：威胁来源（二）威胁种类分析对安全威胁进行分类的方式有多种多样，针对上表威胁来源，组织信息管理部的安全威胁种类按类列举如下表所示。威胁的编号按照类别进行划分，以字母“T”开头（Threats），第二个字母为威胁类型，例如人员威胁为TP为前缀，以“-”连接，以数字后缀为序列。威胁源威胁分类威胁编号威胁类型威胁表现威胁注释人为因素非恶意人员威胁事件TP-01无作为或操作失误 操作失误、错误在正常工作或使用过程中，由于技能不足或精神不集中导致的操作不当、设置错误

12、，无意中造成对资产的侵害TP-02无作为或操作失误 无意识传播恶意代码使用个人电脑、移动介质等时无意识中传播了恶意的代码，TP-03管理不到位 遗失无意遗失重要资产TP-04管理不到位 生病感染流行病或传染病导致无法正常出勤TP-05管理不到位 事假、离职因事假或离职导致无法正常工作TP-06无作为或操作失误 工作疏忽、监控不力、判断失误在正常工作或使用过程中，由于技能不足或精神不集中导致的监察不力、响应不及时等，无意中造成对资产的侵害恶意人员威胁事件TP-07物理攻击蓄意破坏蓄意以各种方式破坏信息资产，可能导致资产不可用，如纵火，在系统中故意留后门TP-08篡改 数据破坏对系统中数据进行恶意

13、删除等行为TP-09越权或滥用 非授权访问/使用非授权地对网络或系统进行访问，非授权地使用设备或软件，如对系统内容非法下载或批量导出,非授权扫描TP-10恶意代码 恶意代码攻击病毒、蠕虫、逻辑炸弹、木马后门等恶意代码的攻击TP-11篡改 非授权篡改对系统或数据进行非授权篡改，导致完整性丧失TP-12管理不到位 擅自使用非授权软件擅自通过互联网下载、使用公司非授权软件，可能造成版权等符合性问题TP-13网络攻击 黑客入侵黑客利用各种手段对公司信息系统实施攻击TP-14网络攻击 DOS攻击攻击方发动拒绝服务攻击TP-15物理环境影响盗窃窃取物品TP-16越权或滥用身份假冒非授权人员冒用他人或授权人

14、员身份TP-17网络攻击 窃听通过网络嗅探、偷听、搭线窃听等途径非法获取信息TP-18管理不到位 人员短缺完成某项工作的合格的人力资源不足TP-19管理不到位 泄密泄漏敏感信息或电子数据TP-20管理不到位 社会工程/欺骗以非技术手段（例如欺骗）获取特定信息，包括间谍行为TP-21抵赖 无法进行审查的抵赖行为不承认之前的行为或操作，无法追查当事人责任TP-22管理不到位 商业间谍行为通过贿赂等行为刺探商业情报TP-23管理不到位 恶意申告向主管机关和利益集团申告存在的软件正版化等问题，或由此进行敲诈环境威胁自然威胁事件TE-01物理环境影响 雷电资产所处地点可能发生雷电TE-02物理环境影响

15、台风资产所处地点可能发生台风TE-03物理环境影响 暴雨资产所处地点可能发生暴雨TE-04物理环境影响 海啸资产所处地点可能发生海啸TE-05物理环境影响 洪水资产所处地点可能发生洪水TE-06物理环境影响 冰雹资产所处地点可能发生冰雹TE-07物理环境影响 地震资产所处地点可能发生地震物理威胁事件TE-08软硬件故障 极端的温度/湿度资产所处环境的温度/湿度发生剧烈变化，超出正常范围。TE-09物理环境影响 落尘资产所处物理环境灰尘大TE-10物理环境影响 老鼠、虫蚁咬食资产被老鼠、虫蚁破坏TE-11软硬件故障 电力故障电力中断或者供电不稳定TE-12物理环境影响 灰尘环境中存在严重的落尘问

16、题TE-13物理环境影响 环境污染资产所处环境受到污染，包括有毒气体和液体TE-14物理环境影响 电磁辐射/干扰资产所处环境存在电磁辐射或干扰TE-15物理环境影响 静电资产所处环境存在严重的静电问题TE-16物理环境影响 供水故障出现停水、水压低等情况TE-17软硬件故障 空调故障出现空调制冷量不正常、空调设施机械故障等情况TE-18软硬件故障 液体泄漏消防水管破裂、空调漏水、漏雨TE-19软硬件故障 电压异常波动设备所处地点的电压出现异常的波动TE-20软硬件故障 爆炸资产所处地点发生爆炸非人为系统威胁事件TE-21软硬件故障 软件故障软件因为故障而可用性降低或不可用TE-22软硬件故障

17、软件使用量异常因蠕虫、拒绝服务攻击、突发访问或业务增长等，软件容量、性能不足或资源耗竭而导致可用性降低或不可用TE-23软硬件故障 硬件部件技术故障设备出现老化或故障而导致可用性降低或不可用TE-24软硬件故障 硬件部件使用量异常因蠕虫、拒绝服务攻击、突发访问或业务增长等，硬件部件容量不足或资源耗竭而导致可用性降低或不可用TE-25软硬件故障 通信线路技术故障设备出现老化或故障而导致可用性降低或不可用TE-26通信流量异常通信流量异常因蠕虫、拒绝服务攻击、突发访问或业务增长等，通讯流量异常增大而导致可用性、服务质量降低或不可用TE-27软硬件故障 存储介质损坏存储介质出现老化或故障而导致可用性

18、降低或不可用TE-28软硬件故障 存储介质空间使用量异常存储介质空间出现不足，介质老化或故障而导致可用性降低或不可用社会因素威胁TS-1社会动乱突发政治事件因政治事件导致组织业务发生变化TS-2恐怖袭击暴力攻击业务系统和组织遭受恐怖组织或相关群体袭击表2：威胁类型列表（三）威胁赋值本风险评估管理办法通过对于威胁的可能性（Likelihood）属性（*注意: 此处描述的是威胁的可能性，并不是风险的可能性，威胁要实际产生影响还要考虑脆弱性被利用的难易程度这个因素。）进行分析赋值。赋值取决于威胁发生的概率和威胁发生的频率。我们用变量T来表示威胁的可能性，它可以被赋予一个数值，来表示该属性的程度。确定

19、威胁发生的可能性是风险评估的重要环节，评估人员应该根据经验和相关的统计数据来判断威胁发生的概率和频率。实际评估过程中，威胁的可能性赋值需要参考下面三方面的资料和信息来源，综合考虑，形成在特定评估环境中各种威胁发生的可能性。（1）通过评估体过去的安全事件报告或记录，统计各种发生过的威胁和其发生频率；（2）在评估体实际环境中，通过安全设备系统获取的威胁发生数据的统计和分析，各种日志中威胁发生的数据的统计和分析；（3）过去一年或两年来相关信息安全管理机构发布的对于整个社会或特定行业安全威胁发生频率的统计数据均值。威胁的赋值标准参照下表：赋值描述说明4几乎肯定预期在大多数情况下发生，不可避免（90%）

20、3很可能在大多数情况下，很有可能会发生（50% 90%）2可能在某种情况下或某个时间，可能会发生（20% 50%）1不太可能发生的可能性很小，不太可能（20%）0罕见仅在非常例外的情况下发生，非常罕见，几乎不可能（0%1%）表3：威胁赋值标准第十六条 脆弱性评估脆弱性评估主要目的是评估信息资产的弱点。通常信息资产存在的弱点主要表现在三个方面：安全控制方面、承载信息资产的IT设备方面以及处理、加工这些信息资产的应用系统方面。因此弱点评估也主要按照这三个方面进行。（一）脆弱性的识别脆弱性的识别和获取通过以下多种方式：工具扫描、人工分析、模拟攻击测试（Penetration Testing）、网络架

21、构分析、业务流程分析等。评估人员根据具体的评估对象、评估目的来选择具体的脆弱性获取方式。在脆弱性的识别和获取必须对应前一个过程中识别出的威胁列表，不能被列表中威胁所利用的脆弱性在风险评估中没有意义，可以不进行识别。同时，因为威胁来源可以分为内部和外部，所以脆弱性的获取方法也可以根据威胁的来源不同而选择不同的获取方式，比如从内网获取和从外网获取。 安全控制脆弱性评估：可根据ISO 27002的14个方面对整体安全控制评估； 设备脆弱性评估：可通过网络扫描及专家人工评估方法对IT设备进行评估； 应用系统脆弱性评估：可通过对应用系统的网络构架、系统主机、数据流分析等方法进行评估。（二）脆弱性分类脆弱

22、性包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。脆弱性的编号按照类别进行划分，以字母“V”开头（Vulnerabilities），第二个字母为脆弱性类型，例如组织管理脆弱性以VP为前缀，以“-”连接，以数字后缀为序列。脆弱性分类脆弱性子类脆弱性编号脆弱性类型管理脆弱性组织管理VP-01IT治理机制不够完善VP-02缺乏总体IT规划VP-03缺乏安全方针VP-04缺乏组织范围内统一的安全策略VP-05缺乏可执行性的安全程序VP-06安全技术与管理措施不能有效结合VP-07没有科学有效的资产管理或配置管理VP-08没有跨部门的协调组织VP-09没有负责安全管理部门

23、VP-10没有建立完善的沟通交流机制VP-11组织的重要记录没有得到保护VP-12业务流程设计没有既定明确的要求人员管理VH-01人员知识水平缺乏VH-02人员技能缺乏VH-03人员安全意识缺乏VH-04人员敬业精神不够VH-05不能遵守操作规程VH-06道德风险VH-07人员流动频繁VH-08没有签订协议VH-09没有背景调查VH-10岗位职责中没有安全要求VH-11安全无法与员工绩效挂钩VH-12人员缺乏职责分离VH-13没有人员备份机制VH-14缺乏对员工行为的审计技术脆弱性物理环境VE-01电力单路VE-02线路暴露VE-03场所很容易进入VE-04场所监控有盲点VE-05场所易受雷击

24、VE-06场所易进水VE-07场所易燃烧VE-08场所不抗震VE-09电力容量不够VE-10场地不够硬件VM-01设备易受电力变化影响VM-02设备、介质易损坏VM-03电源开关没有限制未经授权的使用VM-04存储空间不够VM-05运算能力不够VM-06信号辐射VM-07设备性能差VM-08存在单点故障VM-09口令更改周期较长VM-10线路辐射VM-11协议开放VM-12明文传输VM-13随意接入VM-14口令简单VM-15协议漏洞VM-16带宽不够VM-17很容易进入VM-18可用性差VM-19SNMP的Community值为缺省VM-20无网络流量监控管理措施VM-21缺少处置、报废规定

25、软件及应用系统VS-01系统没有及时更新补丁VS-02系统开放默认服务和端口VS-03系统存在可疑服务和端口VS-04系统管理员和用户弱口令或空口令VS-05系统没有实现账号实名制VS-06系统没有开放审计日志功能VS-07系统没有启用安全选项VS-08系统没有启用帐户密码安全策略VS-09系统使用默认共享VS-10系统无权限控制措施VS-11特权账户没有控制VS-12版本较低VS-13存在弱密码或空密码VS-14系统漏洞VS-15配置漏洞VS-16存在后门VS-17没有数据加密功能VS-18软件架构缺陷VS-19很容易变更业务设计和流程VB-01业务流程缺陷VB-02业务逻辑错误VB-03业

26、务系统设计性能不足VB-04业务系统功能实现不足VB-05业务系统缺乏审计和记录VB-06业务系统缺乏连续性计划服务VR-01缺乏服务水平协议VR-02服务不符合业务需求VR-03服务响应不及时VR-04服务易中断VR-05没有按照规范执行VR-06服务成本太高其他法规法规VL-01没有识别相应的法律、法规VL-02不符合法律法规要求信息类VI-01信息缺乏准确性VI-02信息缺乏及时性VI-03信息容易传播VI-04信息容易毁损VI-05信息容易丢失无形资产类VT-01恢复困难VT-02容易受到损害表3：脆弱性类别列表（三）脆弱性属性参照国际安全标准，本管理办法将脆弱性属性定义为脆弱性的严重

27、性，既脆弱性被某些威胁利用后产生的影响的严重程度， （三）脆弱性赋值在CVE和业界大多数的扫描器中关于技术性脆弱性的严重性（Severity）定义中，都是指可能引发的影响的严重性，参考业界通用的脆弱性严重性等级划分标准，我们采用的等级划分标准如下：赋值简称说明4VH脆弱性很容易被利用，如果被威胁利用，将对资产造成完全损害3H脆弱性容易被利用，如果被威胁利用，将对资产造成重大损害2M脆弱性可以被利用，如果被威胁利用，将对资产造成一般损害 1L脆弱性较难被利用，如果被威胁利用，将对资产造成较小损害0N脆弱性很难被利用，如果被威胁利用，将对资产造成的损害可以忽略表4：脆弱性赋值在实际评估工作中，脆弱

28、性的值一般参考扫描工具的归类标准，并参考CVE、中国国家漏洞库等相关漏洞库标准中的说明，按照实际情况进行修正，从而获得适用的脆弱性值。管理类的脆弱性值按照管理成熟度进行赋值。第十七条 影响评估影响的属性的评估方法主要考察一个属性：严重性。本办法将将影响严重性分为5个等级，分别是很高（VH）、高（H）、中等（M）、低（L）、可忽略（N），并且从高到低分别赋值4-0。赋值标准参照下表。赋值简称说明4VH可以造成资产全部损失或不可用，持续的业务中断，巨大的财务损失等非常严重的影响；3H可以造成资产重大损失，业务中断，较大的财务损失等严重影响； 2M可以造成资产损失，业务受到损害，中等的财务损失等影响

29、1L可以造成资产较小损失，并且立即可以受到控制，较小的财务损失等影响；0N资产损失可以忽略、对业务无损害，轻微或可忽略的财务损失等影响。表5：脆弱性赋值影响严重性赋值标准第十八条 风险计算在完成了资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险。(一) 风险分析方法风险分析方法可以是定性分析、半定量分析或定量分析，或者是这些分析方法的组合。如果按递升次序将这些分析的复杂性和成本加以排列的话，将会是：定性分析、半定量、定量。实际

30、上，定性分析往往首先被采用，来得到风险程度的总的提示组织可根据信息管理实际评估效果、工作量、成本效益、技术复杂度和数据收集困难度等方面的考虑，选择合适的分析方法作为安全风险的计算方法。（二）风险的计算本管理办法采用相乘法进行量值计算。相乘法提供一种定量的计算方法，直接使用两个要素值进行相乘得到另一个要素的值。相乘法的特点是简单明确，直接按照统一公式计算，即可得到所需结果。在风险值计算中，通常需要对两个要素确定的另一个要素值进行计算，例如由威胁和脆弱性确定安全事件发生可能性值、由资产和脆弱性确定安全事件的损失值，因此相乘法在风险分析中得到广泛采用即：风险值=资产价值威胁可能性值脆弱性值影响性值（

31、三）风险等级化方法对风险进行定量取值后，将风险值按照以“4”为底取对数计算并四舍五入得到风险等级值，将风险划分为五个登记，如下表所描述：风险等级等级描述风险值范围4该风险将可触发非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织的正常经营，经济损失重大、社会影响恶劣128风险值3该风险将可触发较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成损害32风险值1282该风险将可触发一定的经济、社会或生产经营影响，但影响面和影响程度不大8风险值321该风险将可触发的影响程度较低，一般仅限于组织内部，通过一定手段很快能解决2风险值80该风险将可触发的影响几乎不存在，通过简单的措施就能

32、弥补风险值2表6：风险级别表（三）风险矩阵定性分析本管理办法采用下面的赋值矩阵来获得风险点的定量分析表。通过资产分析、威胁分析、脆弱性分析以及影响分析进行风险点汇总。风险类别风险子类资产名称资产赋值威胁类型威胁赋值脆弱性描述脆弱性赋值影响描述影响赋值风险描述风险值风险级别管理类风险技术类风险运维类风险表7：风险点收集表通过技术、管理、运维各方面风险点的综合定性分析，我们将风险项合并归类，总结出相应的风险项并进行编号，风险的编号按照类别进行划分，以字母“R”开头（Risk），第二个字母为风险类别，如管理风险为RM为前缀，后缀以数字为序列、技术风险以RT为前缀，后缀以数字为序列、运维风险以RO为前

33、缀，后缀以数字为序列。风险编号症结问题影响风险级别RM-013RT-012R0-014表8：风险列表第十九条 风险处置方法根据计算出的风险值，对风险进行排序，并根据企业自身的特点和具体条件、需求，选择相应的风险处置方式。风险处置方法描述如下：（1）消除风险：在某些情况下，可以决定不继续进行可能产生风险的活动来回避风险。在某些情况可能是较为稳妥的处理办法，但是在某些情况下可能会因此而丧失机会。（2）降低风险：在某些情况下，可以决定通过合同、要求、规范、法律、监察、管理、测试、技术开发、技术控制等措施来减小风险的可能性，来达到减小风险的目的。（3）转移风险：这涉及承担或分担部分风险的另一方。手段包

34、括合同、保险安排、合伙、资产转移等。（4）接受风险：不管如何处置，一般资产面临的风险总是在一定程度上存在。决策者可以在继续处置需要的成本和风险之间进行抉择。在适当的情况下，决策者可以选择接受/承受风险。第二十条 选择处置方式的原则（1）风险可能造成的危害性；（2）控制、降低该风险方案的可行性,它需对成本因素、技术实现的难度、技术的成熟度以及对企业现有业务系统的影响等各方面进行综合考虑。建议风险处置策略如下：可行性风险等级低中高低（0-1）接受接受降低中（2-3）接受/转移接受/降低降低高（4）转移/避免降低/转移降低表8：风险处置策略（3）原则上风险值在48以上的风险需要进行处置第二十一条 制

35、定风险处置计划对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中明确应采取的弥补弱点的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应从管理与技术两个方面考虑，管理措施可以作为技术措施的补充。在对于不可接受的风险选择适当安全措施后，为确保安全措施的有效性，可进行再评估，以判断实施安全措施后的残余风险是否已经降低到可接受的水平。某些风险可能在选择了适当的安全措施后，残余风险的结果仍处于不可接受的风险范围内，应考虑是否接受此风险或进一步增加相应的安全措施。第六章 风险管理要求第二十二条 全面的风险评估和管理要至少每年进行一次。当信息系统重大变更（新系统试运

36、行上线、业务系统重大版本变化、核心层或机房接入层的网络架构调整、机房搬迁）、业务环境重大改变、发生重大安全事件或者其他组织认为有必要的情况下，也应进行全面或局部的风险评估。第二十三条 技术管理办公室负责风险评估的组织工作，按照业务需要和风险变化情况商定风险评估的范围，成立具备风险评估和管理方法的知识的风险评估小组进行风险评估，在内部资源不足的情况下应选用外包的形式进行风险评估。第二十四条 风险评估应产出风险评估报告及相关的中间产物，记录评估过程和结论，最终对风险进行整体展现。第二十五条 技术管理办公室根据业务需求和风险情况制定可接受风险准则，并获得信息安全管理委员会批准，对于不可接受风险增加风

37、险化解措施，例如：l 增加新的安全控制措施；l 变更现有的安全控制措施；l 增加新的控制目标、控制措施、过程和程序；l 资源的调配安排。第二十六条 技术管理办公室组织制定风险处置计划，将风险评估报告及处置建议报信息安全领导小组进行审议。第二十七条 获得部门领导批准后，各职能线按照风险处置计划进行风险处置工作，技术管理办公室应定期跟踪风险处置情况，并对残余风险进行分析，对于尚不可接受的风险应进一步加强控制或报部门领导批准接受。第七章 附 则第二十八条 本管理程序自发布之日起开始实施；第二十九条 本管理程序的解释和修改权属于信息安全管理委员会；第三十条 信息安全管理委员会组织人员每年统一检查和评估

38、本管理规定，并做出适当更新。在业务环境和安全需求发生重大变化时，也将对本规定进行检查和更新。第八章 检查要求检查点检查方法风险评估开展查看是否至少每年进行了一次全面的风险评估和管理，在信息系统重大变更、业务环境重大改变、发生重大安全事件或者其他组织认为有必要的情况下，是否进行全面或局部的风险评估风险评估准备查看全面风险评估的开展是否制定了详细的方案并获得批准风险评估实施查看风险评估中间记录（资产识别、威胁脆弱性识别、风险评价）及最终报告是否完备合理风险管理查看是否制定明确的风险接受准则，不可接受风险制定处置计划，并获得批准风险管理查看是否风险处置计划的实施是否进行了跟踪，是否进行残余风险分析，并对不可接受的残余风险予以补偿控制或报批Welcome ToDownload !欢迎您的下载，资料仅供参考！精品资料