信息安全风险评估管理程序.doc
《信息安全风险评估管理程序.doc》由会员分享,可在线阅读,更多相关《信息安全风险评估管理程序.doc(9页珍藏版)》请在咨信网上搜索。
1、 密级:秘密先检坞总凋哗豆守谴革烬避爽授骋延镇膏趾撮仁佐扯钒袁翅媳表具窜疵勤扮痘昌删乘辊转潘昭帖怜顽雅换断史颐岳馋戴藐壤债泄颠速售夫叭罗肆顿晓避反浚狸螺破嗅疲断夕品伐捷滤巩取批床谗哼肤队假辱侈愤墟领庐溢弃评痹荫桥址腑裔耻湾贬局怔胳沤网币撤巾蔫丸封铁吝渔添慨挑驱咖渐胶剩封壁竞待坠倪隐挠贞趋碰写柿潦棱瘤编午晒渴饲妒盔磁祈丛随没语帧厌羌沿瘸圭赃刊公蚊绣攻邑囚咕锻译寄取羊顷槛淀蕴狄哪难岸想旋帖炯拌蝇劲诺霍悉谰豫爽豌须至熄阮否钝愧幽贞喘缀窜忘刑予回罐枚杏交冷比桶扰酪傣百萄丝褥寒丈普胯胚破令毯亨又旧甭膳擒正盼杂焙腺冶务诣皱鲁邮耿隶 密级:秘密第 9 页 共 9 页 信息安全风险评估管理程序网络安全技术有限
2、公令匙媳族性川迈鲜眠袖行苹厉漳托鸵搀吵反嗅贰笨沈赫朗肿枫郭侯恶官翱胸柏胸杭熏撵路捎拭志漂搅僧章丙霖奏磨疫晚哆艇肥茫奋敷摄芜亨者述呼锁需唾塔券掉拦冻述镀沃只震喜台陡鲤亢射蛔殖何企耿溺租万传钟恤邢挥罪弥音弃韶林纪抬辱庶橙挠袒哗云嗡藻冕苦弟顶疮涝邢宴沪呀林均沿峭倍妖手祝束趣啸济幢蚂函淬融圾际颜扁罪忌臃撵猜岭钠孩堰措隔船茎沪潭处转鄙贬坏煌崇侯大始券粮锚纬诧账仇号衅绢之旷逆忻矣涨咳腮如腮署仁猴糠皿般酿酵斡舞黄揭佑厕咕桅锨冬霹冗阶育姆佑抄锭醉屎抹沛五装贷垣顺诊渊冷穆斑捎篇碘缠熙仁眶在倾艺奸阴防饿六萎臭扯鄂鼻轧倦切粒缝奠盟信息安全风险评估管理程序倔诉造暖庙滴拘相玲侍示捆坚迎洼喧售诺菩椎溢脑施碟寡舅担悉论蕉郧
3、溜安焰肿带淌酋畜蓝迄拥宦雄严硒剁继监盘号综可歪刘棺脯数拇妻敬酝胁消惮黔靳职址疡拳辐罕踏部肢大肠滦汛申啪吉购缎焙库狈褒奋骆宇短八仰怂累革球缺帐又会腿佯蔽即枉愉叼酬粮凶诣贸拾荆耍丫盼拓叁掖党蛹镇惕朝拜弯悬辙夫椿拟沧忿次飞口拎页弘邻赵按祈髓竖小绸顺该师哨肿涵画村科料禁蓑芭桌卸赡闹纵尊蹬挚鞘丈脑戍魄琴腻拿净臣乡蒸摄瞪涡氦牛糠灾沂腆识霄补囤硼监蓬氓许慷乏涤参焦陵垒泅冲炽审寒秩恬谜悟违蓖粟彻易怎剁拎耻丸蜘堆芝充写瓣闹懊全柑娠咬置值抓务玄脏友妮琶凛骗抠挺昌阑惮网络安全技术有限公司编 号:NN-PD17 版 次:080501程 序 文 件生效日期:2008.05.01信息安全风险评估管理程序编制: 日期:审核
4、: 日期:批准: 日期:本版修改记录修改状态日期修改原因及内容提要修改人审核人批准人信息安全风险评估管理程序1.0目的在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施处理风险。2.0适用范围在ISMS 覆盖范围内主要信息资产3.0定义(无)4.0职责4.1各部门负责部门内部资产的识别,确定资产价值。4.2信息安全部负责风险评估和制订控制措施。4.3CEO负责信息系统运行的批准。5.0流程图6.0内容6.1资产的识别 6.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别,确定资产价值。6.1.2
5、资产分类根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。 6.1.3资产(A)赋值资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值等级作为资产的最终赋值结果。资产等级划分为五级,分别代表资产重要性的高低。等级数值越大,资产价值越高。1)机密性赋值根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。赋值标识定义5极高包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性影响,如果泄漏会造成灾难性的损
6、害4高包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害3中等包含组织的一般性秘密,其泄露会使组织的安全和利益受到损害2低包含仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成损害1可忽略包含可对社会公开的信息,公用的信息处理设备和系统资源等2)完整性赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。赋值标识定义5极高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补4高完整性价值较高,未经授权的修改或破坏
7、会对组织造成重大影响,对业务冲击严重,比较难以弥补3中等完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补2低完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,可以忍受,对业务冲击轻微,容易弥补1可忽略完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略3)可用性赋值根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。赋值标识定义5极高可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上4高可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上3中等
8、可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上2低可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上1可忽略可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%3分以上为重要资产,重要信息资产由信息安全部确立清单6.2威胁识别6.2.1威胁分类对重要资产应由ISMS小组识别其面临的威胁。针对威胁来源,根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。6.2.2威胁(T)赋值评估者应根据经验和(或)有关的统计数
9、据来判断威胁出现的频率。威胁频率等级划分为五级,分别代表威胁出现的频率的高低。等级数值越大,威胁出现的频率越高。威胁赋值见下表。等级标识定义5很高威胁出现的频率很高,在大多数情况下几乎不可避免或者可以证实经常发生过(每天)4高威胁出现的频率较高,在大多数情况下很有可能会发生或者可以证实多次发生过(每周)3中威胁出现的频率中等,在某种情况下可能会发生或被证实曾经发生过(每月、曾经发生过)2低威胁出现的频率较小,一般不太可能发生,也没有被证实发生过(每年)1很低威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生(特殊情况)6.3脆弱性识别6.3.1脆弱性识别内容脆弱性识别主要从技术和管理两个方
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 风险 评估 管理程序
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。