《信息安全风险评估管理规定》由会员分享,可在线阅读,更多相关《信息安全风险评估管理规定(10页珍藏版)》请在金锄头文库上搜索。
1、XX股份有限公司信息安全风险评估管理规定第一节总则第一条目的为了尽可能的发现企业中存在的信息安全隐患,降低信息安全事 件发生的可能性,特制定本规定。第二条适用范围本规定描述了信息安全风险识别、评估过程,适用于信息安全风 险识别、评估管理活动。第三条定义信息安全风险:指在信息化建设中,各类应用系统及其赖以运行 的基础网络、处理的数据和信息,由于其可能存在的软硬件缺陷、系 统集成缺陷等,以及信息安全管理中潜在的薄弱环节,而导致的不同 程度的安全风险。第四条角色职责一、信息部负责组织建立风险评估小组,对信息安全风险进行评 估、管理。二、风险评估小组负责对公司各信息系统进行风险评估工作。三、其他相关业
2、务部门负责组织对各自分管信息系统的安全风险 进行控制。第二节管理规程细则第五条管理规定一、风险评估流程二、风险评估准备信息部负责组织各部门做好风险准备工作,包括:(一)确定风险评估方法及接受准则;(二)确定风险评估计划;(三)确定风险评估小组人员。三、风险识别信息安全风险识别包括资产识别、威胁识别、脆弱性识别三部分 内容。(一)资产的识别1. 信息部每年按照要求负责本公司信息资产的识别,确定资产价 值。2. 资产分类根据资产的表现形式,可将资产分为人员、软件、硬件、电子数 据、文档、服务、人员、物理区域七类。序号项目描述1人员高层管理人员,中层管理人员,各类管理人员,研发人员,销售人员等与公司
3、签订 合同的人员2硬件系指网络设备、主机设备、通讯设备、环境设备等相关硬件设施。例如服务器主机、 个人计算机、支持性设备等3软件系指自行开发或委托外界开发的应用系统程序、外购的软件系统及软件包等。例如: 应用系统、操作系统、软件包、工具程序等4电子数 据系指以电子形式存在之信息数据。例如项目研发数据等5文档系指以纸本形式存在之文书数据、报表等相关信息。例如合同,纸质的规范、系统 文件、用户手册等6服务系指向客户提供的相关服务活动,包括签署的合同/协议等7物理区 域在公司内从事重要业务,或是业务关键步骤及流程所属的区域范围3. 资产(A)赋值资产赋值就是对资产在机密性、完整性和可用性上的达成程度
4、进 行分析。(1) 机密性赋值根据资产在机密性上的不同要求,将其分为五个不同的等级,分 别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个 组织的影响。赋值标识定义5极高包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性影 响,如果泄漏会造成灾难性的损害4高包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害3 中等包含组织的一般性秘密,其泄露会使组织的安全和利益受到损害2低包含仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的 利益造成损害1可忽略包含可对社会公开的信息,公用的信息处理设备和系统资源等(2) 完整性赋值根据资产在完整性上的
5、不同要求,将其分为五个不同的等级,分 别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组 织的影响。赋值标识定义5极高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影 响,对业务冲击重大,并可能造成严重的业务中断,难以弥补4高完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重, 比较难以弥补3中等完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但 可以弥补2低完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,可以忍受,对业 务冲击轻微,容易弥补1可忽略完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以
6、忽略,对业务冲 击可以忽略(3) 可用性赋值根据资产在可用性上的不同要求,将其分为五个不同的等级,分 别对应资产在可用性上的达成的不同程度。赋值标识定义5极高可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上4高可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上3中等可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70% 以上2低可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25% 以上1可忽略可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于 25%4. 资产赋值结果计算根据以上赋值结果
7、,选择对资产机密性、完整性和可用性最为重 要(分值最高)的一个属性的赋值等级作为资产的最终赋值结果。根据资产最终赋值结果判定资产等级,资产等级划分为五级,分 别代表资产重要性的高低。等级数值越大,资产价值越高。3分以上 为重要资产,重要信息资产由信息部确立清单。(二)威胁识别1. 威胁分类对重要资产应由风险评估小组识别其面临的威胁。针对威胁来源, 根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操 作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、 物理攻击、泄密、篡改和抵赖等。2. 威胁(T)赋值评估人员应根据经验和(或)有关的统计数据来判断威胁出现的 频率。威胁频率等
8、级划分为五级,分别代表威胁出现的频率的高低。 等级数值越大,威胁出现的频率越高。威胁赋值见下表。等级标识定义5很高威胁出现的频率很高,在大多数情况下几乎不可避免或者可以证实经常发生过(每 天)4高威胁出现的频率较高,在大多数情况下很有可能会发生或者可以证实多次发生过(每周)3中威胁出现的频率中等,在某种情况下可能会发生或被证实曾经发生过(每月、曾经 发生过)2低威胁出现的频率较小,一般不太可能发生,也没有被证实发生过(每年)1很低威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生(特殊情况)(三)脆弱性识别1. 脆弱性识别内容脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物 理层、
9、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性 又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后 者与管理环境相关。2. 脆弱性(V)严重程度赋值脆弱性严重程度的等级划分为五级,分别代表资产脆弱性严重程 度的高低。等级数值越大,脆弱性严重程度越高。脆弱性严重程度赋 值见下表等级标识定义5很高如果被威胁利用,将对资产造成完全损害(90%以上)4高如果被威胁利用,将对资产造成重大损害(70%)3中如果被威胁利用,将对资产造成一般损害(30%)2低如果被威胁利用,将对资产造成较小损害(10%)1很低如果被威胁利用,将对资产造成的损害可以忽略(10%以下)(四)已有安全措施的确认风
10、险评估小组应对已采取的安全措施的有效性进行确认,对有效 的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的 重复实施。对于确认为不适当的安全措施应核实是否应被取消,或者 用更合适的安全措施替代。(五)风险分析完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施 确认后,风险评估小组采用确定的计算方法确定风险值。1. 风险值(F)计算风险值(F)二资产重要性(A)+威胁性(T)+脆弱性(V)2. 风险等级确认根据计算的风险值,参照以下风险等级表确认相应的风险等级:完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施 确认后,风险评估小组采用确定的计算方法确定风险值。风险值1-4
11、5-89-1213-15风险等 级1234(六)风险处置1. 风险处理的方式包括:(1)回避风险;(2)降低风险(降低发 生的可能性或减小后果);(3)转移风险;(4)接受风险。2. 风险等级3(含)以上为不可接受风险,3(不含)以下为可接 受风险。如果是可接受风险,可保持已有的安全措施;如果是不可接 受风险,则需要采取安全措施以降低、控制风险。3. 在对风险等级进行划分后,考虑法律法规的要求、企业自身的 发展要求、风险评估的结果确定安全水平,对不可接受的风险选择适 当的处理方式及控制措施。4. 信息部负责跟踪应对措施的控制效果。对于没有达到控制效果 的风险事项,需重新制定应对措施。(七)风险
12、控制1. 各业务部门根据信息安全风险评估报告的要求,执行风险 管控。2. 针对发生可能性低但是发生后产生重大影响的信息安全事件, 由责任部门组织制定应急预案,并定期组织测试应急预案,具体执行 业务连续性管理规程。(八)风险再评估时机1. 正常情况下每年由信息部组织风险评估小组进行一次再评估, 对风险评估结果尤其是采取的控制措施进行适当的评审。在以下情况发生变化时,应考虑及时对组织风险进行重新评估:(1)组织结构发生重大变化;(2)当发生重大信息安全事故;(3)业务目标和过程发生重大更改;(4)信息网络系统发生重大更改;(5)外部事件,例如法律或规章环境的变化、合同责任的变化以 及社会环境的变化
13、。(九)风险评估报告根据评估过程及结果形成信息安全风险评估报告,报告至少包 括以下几部分内容:1. 风险评估准备工作2. 对各类风险的识别结果3. 对识别出的风险的分析结果4. 风险处置及风险控制措施5. 安全加固建议第三节附录第五条附录附录一资产分类表分类资产项目数据保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管 理规程、计划、报告、用户手册、各类纸质的文档等软件系统软件:操作系统、数据库管理系统、语句包、开发系统等应用软件:办公软件、数据库软件、各类工具软件等源程序:各种共享源代码、自行或合作开发的各种代码等硬件网络设备:路由器、网关、交换机等计算机设备:大型机、
14、小型机、服务器、工作站、台式计算机、便携计算机等存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路:光纤、双绞线等保障设备:UPS、变电设备等、空调、保险柜、文件柜、门禁、消防设施等安全保障设备:防火墙、入侵检测系统、身份鉴别等其他:打印机、复印机、扫描仪、传真机等服务信息服务:对外依赖该系统开展的各类服务网络服务:各种网络设备、设施提供的网络连接服务办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流转 管理等服务环境和基础设施包括电源、空调、接地、避雷、门禁、监控(包括视频、红外)、消防设施、办公 设备、门窗及防盗设施等人员掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理 等其它如组织形象、声誉、信用,客户关系、第三方服务等附录二信息安全威胁列表威胁种类威胁描述威胁子类软硬件故障对业务实施或系统运行产生影响的 设备硬件故障、通讯链路中断、系 统本身或软件缺陷造等问题设备硬件故障、传输设备故障、存储媒体 故障、系统软件故障、应用软件故障、数 据库软件故障、开发环境故障物理环境影响对信息系统正常运行造成影响的物 理环境问题和自然灾害断电、静电、灰尘、潮湿、温度、鼠蚁虫 害、电磁干扰、洪灾、火灾、地震等无作为或操作失误应该执行而没有执行相应的操作, 或无意地执行了错误的操作
