《信息安全风险识别与评价管理程序》由会员分享,可在线阅读,更多相关《信息安全风险识别与评价管理程序(14页珍藏版)》请在金锄头文库上搜索。
1、 有限公司两化整合管理体系文件(III) 第14页 共14页 题目:信息安全风险识别与评价管理程序编号GM-III-B005版本号00生效日期2015.07.20起草部门信息中心颁发部门总经理办公室一、目的:通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平。二、范围:适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。三、责任:3.1 管理者代表信息中心执行信息安全风险的识别与评价;审核并批准重大信息安全风险,并负责编制信息资产风险评估准则,执行信息安全风险调查与评价,提出重大信息安全风险报告。3.2 各部门协助信息中心的
2、调查,参与讨论重大信息安全风险的管理办法。四、内容:4.1 资产识别保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此,应对组织中的资产进行识别。在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资
3、产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。表1 列出了一种资产分类方法。表1 一种基于表现形式的资产分类方法类别简称解释/示例数据Data存在电子媒介的各种数据资料,包括源代码、数据库数据,各种数据资料、系统文档、运行管理过程、计划、报告、用户手册等。软件Software应用软件、系统软件、开发工具和资源库等。服务Service软件维护等硬件Hardware计算机硬件、路由器,交换机。硬件防火墙。程控交换机、布线、备份存储文档Documen
4、t纸质的各种文件、传真、电报、财务报告、发展计划。设备Facility电源、空调、保险柜、文件柜、门禁、消防设施等人员HR各级人员和雇主、合同方雇员其它Other企业形象、客户关系等4.2 信息类别4.2.1信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。4.2.2 信息分类定义:a)“国家秘密事项”:中华人民共和国保守国家秘密法中指定的秘密事;b)“企业秘密事项”:不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害,或者由于业务上的需要仅限有关人员知道的商业秘密事项;c)“敏感信息事项”:为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以
5、外人员随意公开的内部控制事项;d)“一般事项”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项;e)“公开事项”:其他可以完全公开的事项。4.2.3 信息分类不适用时,可不填写。五、风险评估实施: 5.1 资产赋值5.1.1 保密性赋值根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。表2 提供了一种保密性赋值的参考赋值标识定义5很高包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害4高包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害3中等组
6、织的一般性秘密,其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害1很低可对社会公开的信息,公用的信息处理设备和系统资源等5.1.2 完整性赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响。表3 提供了一种完整性赋值的参考。表3 资产完整性赋值表赋值标识定义5很高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补4高完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥
7、补3中等完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补2低完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补1较低很低完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击及小5.1.3 可用性赋值根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上应达成的不同程度。表4 提供了一种可用性赋值的参考。表4 资产可用性赋值表赋值标识定义5很高可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断4高可用性价值较高,合法使用者对信息及信息系统的可用度达
8、到每天90%以上,或系统允许中断时间小于10min3中等可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30min2低可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60min1很低可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%5.1.4 合规性赋值根据资产在法律、法规、上级规定、合同协议符合性上的不同要求,将其分为五个不同的等级,分别对应资产在符合法律、法律、上级规定、合同协议的不同程度。表5 资产合规性赋值表赋值标识定义 5很高严重不符合信息安全管理休
9、系要求,对组织造成无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补。4高不符合信息安全管理体系要求,对组织造成重大影响,对业务冲击严重,较难弥补。3中等与信息安全管理体系具体要求有冲突,对组织造成影响,对业务冲击明显,但可以弥补。2低与信息安全管理体系具体条款要求存在轻微的不符合,对组织造成轻微影响,对业务冲击轻微,容易弥补。1很低符合信息安全管理体系要求,但需持续改进,对组织造成的影响可以忽略,对业务冲击及小。5.2 资产重要性等级资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。综合评定方法可以根据自身的特点,选择对资产保密性、完整性和可用性最为重
10、要的一个属性的赋值等级作为资产的最终赋值结果;也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。加权方法可根据组织的业务特点确定。本标准中,为与上述安全属性的赋值相对应,根据最终赋值将资产划分为五级,级别越高表示资产越重要,3级以及3级以上为重要资产,3级以下为非重要资产,并以此形成信息资产清单。表6 中的资产等级划分表明了不同等级的重要性的综合描述。评估者可根据资产赋值结果,确定重要资产的范围,并主要围绕重要资产进行下一步的风险评估。资产价值=C*I*A*H表6 资产等级及含义描述等级标识描述5很高非常重要,其安全属性破坏后可能对组织造成非常严重的损失
11、4高重要,其安全属性破坏后可能对组织造成比较严重的损失3中等比较重要,其安全属性破坏后可能对组织造成中等程度的损失2低不太重要,其安全属性破坏后可能对组织造成较低的损失1很低不重要,其安全属性破坏后对组织造成导很小的损失,甚至忽略不计表6.1 资产价值等级划分资产值1-2526-5556-175176-395396-625资产等级123455.3 威胁识别5.3.1 威胁分类威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直
12、接或间接的攻击,在保密性、完整性和可用性等方面造成损害;也可能是偶发的、或蓄意的事件。在对威胁进行分类前,应考虑威胁的来源。表7 提供了一种威胁来源的分类方法。表7 威胁来源列表来源描述环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益外部人员利用信息系统的脆弱性,对网络或系统的保密性、完整性和可用性进行破坏,以获取利益或炫耀能力非恶意人员内部人员由于缺乏责任心,或者由于不关心或
13、不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击对威胁进行分类的方式有多种,针对上表的威胁来源,可以根据其表现形式将威胁主要分为以下几类。表8 提供了一种基于表现形式的威胁分类方法。表8 一种基于表现形式的威胁分类表种类描述威胁子类软硬件故障对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等物理环境影响对信息系统正常运行造成影响的物理环境问题和自然灾害断电、静电、灰尘、潮湿
14、、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等无作为或操作失误应该执行而没有执行相应的操作,或无意执行了错误的操作维护错误、操作失误等管理不到位安全管理无法落实或不到位,从而破坏信息系统正常有序运行管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等恶意代码故意在计算机系统上执行恶意任务的程序代码病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等越权或滥用通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的权限,做出破坏信息系统的行为非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵网络探测和信息采集、漏洞探测、嗅探(帐号、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等物理攻击通过物理的接触造成对软件、硬件、数据的破坏物理接触、物理破坏、盗窃等泄密信息泄露给不应了解的他人内部信息泄露、外部信息泄露等篡改非法修改信息,破坏信息的完整性使系统的安全性降低或信息不可用篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等抵赖不承认收到的信息和所
