风险评估管理程序

《风险评估管理程序》由会员分享，可在线阅读，更多相关《风险评估管理程序（51页珍藏版）》请在金锄头文库上搜索。

1、风险评估管理程序历史修订记录目录1 概述 42 术语与定义 42.1 风险管理 42.1.1 风险评估 42.2 其他 53 风险评估框架及流程 63.1 风险要素关系 63.2 风险分析原理 73.3 实施流程 74 风险评估准备过程 74.1 确定范围 84.2 确定目标 84.3 确定组织结构 84.4 确定风险评估方法 84.5 获得最高管理者批准 85 风险评估实施过程 85.1 资产赋值 105.1.1 资产分类 115.1.2 资产价值属性 145.1.3 资产价值属性赋值标准 155.2 威胁评估 195.2.1 威胁分类 195.2.2 威胁赋值 225.3 脆弱性评估 23

2、5.4 确定现有控制 255.5 风险评估 265.5.1 风险值计算 265.5.2 风险等级划分 265.5.3 风险评估结果纪录 276 风险管理过程 286.1 安全控制的识别与选择 286.2 降低风险 296.3 接受风险 306.4 风险管理要求 307 相关文件 311 概述 目前信息安全管理的发展趋势是将风险管理与信息安全管理紧密结合在一起，将风险概 念 作为信息安全管理实践的对象和出发点，信息安全管理的控制点以风险出现的可能性作为 对象而展开的。 IS027001标准对信息安全管理体系(ISMS)的要求即通过对信息资产的风险管理,确定重要信息资产清 单以及风险等级 ,从而采

3、取相应的控制措施来实现信息资产的安全。信息安全管理是风险管理的过程，风险评估是风险管理的基础。风险管理是指导和控制 组织风险的 过程。风险管理遵循管理的一般循环模式计划(Plan) 、执行 (Do) 、检查(Check)、行动(Action)的持续改进模式。IS027001标准要求企业设计、实施、维护信息安全管理体系 都要依据PDCA循环模式。2 术语与定义2.1 风险管理 风险管理是以可接受成本识别、评估、控制、降低可能影响信息系统风险的过程， 通过风险评估识别风险，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控 制，使风险 被避免、转移或降低到一个可以被接受的水平，同时考虑

4、控制费用与风险之间的 平衡。风险管理的核心是信息的保护。信息对于组织是一种具有重要价值的资产。建立信息安 全管理体系 (ISMS)的目的是在最大范围内保护信息资产，确保信息的机密性、完整性和可用性，将风险管理自始至 终的贯穿于整个信息安全管理体系中，这种体系并不能完全消除信息 安全的风险，只是尽量减少风险， 尽量将攻击造成的损失降低到最低限度。2.1.1 风险评估 风险评估指风险分析和风险评价的整个过程，其中风险分析是指系统化地识别风 险来源和风险类型，风险评价是指按组织制定的风险标准估算风险水平，确定风险严重性。 风险评估的出发点是对与风险有关的各因素的确认和分析，与信息安全风险有关的因素

5、可以包括四 大类：资产、威胁、脆弱性、安全控制措施。风险评估是对信息和信息处理设施的威胁、脆弱性和风险的评估，它包含以下元素： 风险是被特定 威胁利用的资产的一种或一组脆弱性， 导致资产丢失或损害的潜在可能性， 即特定威胁事件发生的可能 性与后果的结合。资产是对组织具有价值的信息资源，是安全控制措施保护的对象。 威胁是可能对资产或组织造成损 害的事故的潜在原因。 脆弱性是资产或资产组中能被威胁利用的弱点。安全控制措施是降低风险的措施、程序或机制2.2 其他1. 资产 Asset ：对组织具有价值的信息或资源，是安全策略保护的对象。2. 资产价值 Asset Value ：资产的重要程度或敏感程

6、度的表征。 资产价值是资产的属性， 也是 进行资产识别的主要内容。3. 机密性 confidentiality ：数据所具有的特性，即表示数据所达到的未提供或未泄露 给未授权的 个人、过程或其他实体的程度。4. 完整性 integrity ：保证信息及信息系统不会被非授权更改或破坏的特性。包括数据 完整性和系 统完整性。5. 可用性 availability ：数据或资源的特性，被授权实体按要求能访问和使用数据或 资源。6. 数据完整性 data integrity ：数据所具有的特性，即无论数据形式作何变化，数据 的准确性和一致性均保持不变。7. 系统完整性 system integrity

7、 ：在防止非授权用户修改或使用资源和防止授权用户 不正确地修 改或使用资源的情况下，信息系统能履行其操作目的的品质。8. 信息安全风险 information security risk ：人为或自然的威胁利用信息系统及其 管理体系中存在 的脆弱性导致安全事件的发生及其对组织造成的影响。9. 信息安全风险评估information security risk assessment :依据有关信息安全技术与管理标准, 对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安 全属性进行评价的过程。它 要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能 性，并结合安全事件所涉及的资

8、产价值 来判断安全事件一旦发生对组织造成的影响。10. 信息系统 information system :由计算机及其相关的和配套的设备、设施 （ 含网络 ） 构成 的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人 机系统。典型的 信息系统由三部分组成:硬件系统（计算机硬件系统和网络硬件系统） ；系统 软件（计算机系统软件和 网络系统软件） ；应用软件（包括由其处理、存储的信息） 。11. 检查评估 inspection assessment :由被评估组织的上级主管机关或业务主管机关发起的，依 据国家有关法规与标准，对信息系统及其管理进行的具有强制性的检查活动。1

9、2. 组织organization :由作用不同的个体为实施共同的业务目标而建立的结构。组织的特性在于 为完成目标而分工、合作；一个单位是一个组织，某个业务部门也可以是一个组 织。13. 残余风险 residual risk :采取了安全措施后，仍然可能存在的风险。14. 自评估 self-assessment :由组织自身发起，参照国家有关法规与标准，对信息系统及其管理 进行的风险评估活动。15. 安全事件 security event :指系统、服务或网络的一种可识别状态的发生，它可能 是对信息安全策略的违反或防护措施的失效，或未预知的不安全状况。16. 安全措施 security mea

10、sure ：保护资产、抵御威胁、减少脆弱性、降低安全事件的 影响，以 及打击信息犯罪而实施的各种实践、规程和机制的总称。17. 安全需求 security requirement ：为保证组织业务战略的正常运作而在安全措施方 面提出的要 求。18. 威胁 threat ：可能导致对系统或组织危害的不希望事故潜在原因。19. 脆弱性 vulnerability ：可能被威胁所利用的资产或若干资产的弱点。3 风险评估框架及流程本章提出了风险评估的要素关系、分析原理及实施流程。3.1 风险要素关系 资产所有者应对信息资产进行保护，通过分析信息资产的脆弱性来确定威胁可 能利用哪 些弱点来破坏其安全性。

11、风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小风险评估中各要素的关系如图 3-1 所示：图 3-1 风险要素关系图图 3-1 中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的 属性。风险 评估围绕着这些基本要素展开，在对这些要素的评估过程中，需要充分考虑业务 战略、资产价值、安全 需求、安全事件、残余风险等与这些基本要素相关的各类属性。图 3-1 中的风险要素及属性之间存在着以下关系：1. 业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；2. 资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；3. 资产价值越大，原则上则其面临

12、的风险越大；4. 风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能导致安全事件；5. 弱点越多，威胁利用脆弱性导致安全事件的可能性越大；6. 脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产，从而形成风险；7. 风险的存在及对风险的认识导出安全需求；8. 安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；9. 安全措施可抵御威胁，降低安全事件发生的可能性，并减少影响；10. 风险不可能也没有必要降为零， 在实施了安全措施后还可能有残余风险。 有些残余风 险的原 因可能是安全措施不当或无效 ,需要继续控制；而有些残余风险则是在综合考虑了安全 成本与效益后未 去控制的风险，是

13、可以接受的；11. 残余风险应受到密切监视，它可能会在将来诱发新的安全事件。3.2 风险分析原理风险分析原理如图 3-2 所示：图 3-2 风险分析原理图风险分析中要涉及资产、威胁、脆弱性 等基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象 出现频率、动机等；脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为：1. 对资产进行识别，并对资产的价值进行赋值；2. 对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；3. 对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；4. 根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性；5.

14、根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失；6. 根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风 险值。3.3 实施流程图 3-3 给出风险评估的实施流程，第 4 章将围绕风险评估流程阐述风险评估各具体实施步骤。图 3-3 风险评估实施流程图4 风险评估准备过程风险评估的准备过程是运维中心进行风险评估的基础，是整个风险评估 过程有效性的保证。运维中心对信息及信息系统进行风险评估是一种战略性的考虑，其结果将受到运维 中心 业务需求及战略目标、文化、业务流程、安全要求、规模和结构的影响。因此在风险评估实、八八 I、施前，应:1. 确定风险评

15、估的范围；2. 确定风险评估的目标；3. 建立适当的组织结构；4. 建立系统化的风险评估方法；5. 获得最高管理者对风险评估策划的批准。4.1 确定范围进行风险评估是基于运维中心自身商业要求及战略目标的要求，国家法律法规和行业监 管要求，根 据上述要求确定风险评估范围，每次评估范围可以是全公司的信息和信息系统，可以是单独的信息系统， 可以是关键业务流程。此项工作需要在资产识别和分类工作基础上进行。4.2 确定目标运维中心的信息、信息系统、应用软件和网络是运维中心重要的资产，信息资产的机密 性，完整性 和可用性对于维持竞争优势，提高安全管理水平，符合法律法规要求和运维中心 的形象是必要的。运维 中心要面对来自四面八方日