信息安全风险管理程序文件

《信息安全风险管理程序文件》由会员分享，可在线阅读，更多相关《信息安全风险管理程序文件（22页珍藏版）》请在金锄头文库上搜索。

1、城云科技信息平安风险管理程序文档编号3.1受控状态受控版 本 号V2.0作 者鄂鹏羽审 核 人振华批 准 人夏敏发布日期2014/12/1批准日期2014/12/1 / 目录信息平安风险管理程序1第一章目 的1第二章 围1第三章名词解释1第四章风险评估方法2第五章风险评估实施5第六章风险管理要求19第七章附 那么20第八章检查要求20第一章 目 的第一条 目的：指导信息平安组织针对信息系统与其管理开展的信息风险评估工作。本指南定义了风险评估的根本概念、原理与实施流程；对资产、威胁和脆弱性识别要求进展了详细描述。第二章 围第二条 围：适用于风险评估组开展各项信息平安风险评估工作。第三章 名词解释

2、第三条 资产对组织具有价值的信息或资源，是平安策略保护的对象。第四条 资产价值资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进展资产识别的主要容。资产价值通过性、完整性和可用性三个方面评估计算获得。一性Confidentiality：确保只有经过授权的人才能访问信息；二完整性Integrality：保护信息和信息的处理方法准确而完整；三可用性Availability：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。第五条 威胁可能导致对系统或组织危害的不希望事故潜在起因。第六条 脆弱性可能被威胁所利用的资产或假设干资产的弱点。第七条 信息平安风险人为或自然的威胁利用信息系

3、统与其管理体系中存在的脆弱性导致平安事件的发生与其对组织造成的影响。第八条 信息平安评估依据有关信息平安技术与管理标准，对信息系统与由其处理、传输和存储的信息的性、完整性和可用性等平安属性进展评价的过程。它要评估资产面临的威胁以与威胁利用脆弱性导致平安事件的可能性，并结合平安事件所涉与的资产价值来判断平安事件一旦发生对组织造成的影响。第九条 剩余风险采取了平安措施后，信息系统仍然可能存在的风险。第四章 风险评估方法第十条 风险管理模型图1 风险管理模型图1为风险管理的根本模型，椭圆局部的容是与这些要素相关的属性。风险管理围绕着资产、威胁、脆弱性和平安措施这些根本要素展开。信息平安风险评估在对风

4、险管理要素的评估过程中，需要充分考虑业务战略、资产价值、平安需求、平安事件、剩余风险等与这些根本要素相关的各类属性。图1中的风险管理要素与属性之间存在着以下关系： 一业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；二资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；三风险是由威胁引发的，资产面临的威胁越多那么风险越大，并可能演变成为平安事件；四资产的脆弱性可能暴露资产的价值，资产具有的弱点越多那么风险越大；五脆弱性是未被满足的平安需求，威胁利用脆弱性危害资产；六风险的存在与对风险的认识导出平安需求；七平安需求可通过平安措施得以满足，需要结合资产价值考虑实施本钱；

5、八平安措施可抵御威胁，降低风险；九剩余风险有些是平安措施不当或无效,需要加强才可控制的风险；而有些那么是在综合考虑了平安本钱与效益后不去控制的风险；十剩余风险应受到密切监视，它可能会在将来诱发新的平安事件。第十一条 风险评估模型图2 风险评估原理图风险评估的过程中主要包含信息资产Information Asset，脆弱性Vulnerability、威胁Threat、影响Impact和风险Risk五个要素。信息资产的根本属性是资产价值Assets Value，脆弱性的根本属性是被威胁利用的难易程度How Easily Exploited by Threats、威胁的根本属性是威胁的可能性Thre

6、at Likelihood、影响度的根本属性是严重性Severity，它们直接影响风险的两个属性，风险的后果Risk Consequence和风险的可能性Risk Likelihood。其中资产价值和影响的严重性构成风险的后果，脆弱性被威胁利用的难易程度和威胁的可能性构成风险的可能性，风险的后果和风险的可能性构成风险。第十二条 风险评估方法图3 风险评估方法风险评估的主要容为：一对资产进展识别，并对资产的价值进展赋值；二对威胁进展识别，描述威胁的属性，并对威胁出现的频率赋值；三对脆弱性进展识别，并对具体资产的脆弱性的严重程度赋值；四根据威胁与威胁利用脆弱性的难易程度判断平安事件发生的可能性；五

7、根据脆弱性的严重程度与平安事件所作用的资产的价值计算平安事件的损失；六根据平安事件发生的可能性以与平安事件出现后的损失，计算平安事件一旦发生对组织的影响；七综合分析，采用适当的方式计算风险值。 第五章 风险评估实施第十三条 风险评估的准备风险评估的准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑，其结果将受到组织业务战略、业务流程、平安需求、系统规模和结构等方面的影响。因此，在风险评估实施前应：一确定风险评估的目标；二确定风险评估的围；三组建适当的评估管理与实施团队；四进展系统调研；五确定评估依据和方法即评估列表；六获得最高管理者对风险评估工作的支持。第十四条 资产识别资

8、产识别是对直接赋予了价值因而需要保护的资产进展分类和价值等级赋值。资产分类和赋值方法可根据ISO27001体系结合组织自身情况完成，资产价值作为风险计算的输入。第十五条 威胁评估平安威胁是一种对系统、组织与其资产构成潜在破坏的可能性因素或者事件。产生平安威胁的主要因素可以分为人为因素和环境因素。人为因素包括有意因素和无意因素。环境因素包括自然界的不可抗力因素和其它物理因素。威胁可能是对信息系统直接或间接的攻击，例如非授权的泄露、篡改、删除等，在性、完整性或可用性等方面造成损害。威胁也可能是偶发的、或蓄意的事件。一般来说，威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。平安

9、事件与其后果是分析威胁的重要依据。但是有相当一局部威胁发生时，由于未能造成后果，或者没有意识到，而被平安控制人员忽略。这将导致对平安威胁的认识出现偏差。威胁分析方法首先需要考虑威胁的来源，然后分析各种来源存在哪些威胁种类，最后做出威胁来源和威胁种类的列表进展威胁赋值。一威胁来源分析信息系统的平安威胁来源可考虑以下方面：威胁源威胁分类威胁来源描述人为因素非恶意人员威胁事件部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致故障或被攻击；部人员由于缺乏培训，专业技能缺乏,不具备岗位技能要求而导致信息系统故障或被攻击。恶意人员威胁事件不满的或有预谋的部人员对信息系统进展

10、恶意破坏；采用自主的或外勾结的方式盗窃信息或进展篡改，获取利益。第三方合作伙伴和供给商，包括业务合作伙伴以与软件开发合作伙伴、系统集成商、效劳商和产品供给商；包括第三方恶意的和无恶意的行为。外部人员利用信息系统的弱点，对网络和系统的性、完整性和可用性进展破坏，以获取利益或炫耀能力。环境威胁自然威胁事件洪灾、火灾、地震等环境条件和自然灾害物理威胁事件由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、； 非人为系统威胁事件意外事故或由于软件、硬件、数据、通讯线路方面的故障。社会因素威胁社会动乱恐惧袭击表1：威胁来源二威胁种类分析对平安威胁进展分类的方式有多种多样，针对上表威胁来源，组织信息管理

11、部的平安威胁种类按类列举如下表所示。威胁的编号按照类别进展划分，以字母“T开头Threats，第二个字母为威胁类型，例如人员威胁为TP为前缀，以“-连接，以数字后缀为序列。威胁源威胁分类威胁编号威胁类型威胁表现威胁注释人为因素非恶意人员威胁事件TP-01无作为或操作失误 操作失误、错误在正常工作或使用过程中，由于技能缺乏或精神不集中导致的操作不当、设置错误，无意中造成对资产的侵害TP-02无作为或操作失误 无意识传播恶意代码使用个人电脑、移动介质等时无意识中传播了恶意的代码，TP-03管理不到位 遗失无意遗失重要资产TP-04管理不到位 生病感染流行病或传染病导致无常出勤TP-05管理不到位

12、事假、离职因事假或离职导致无常工作TP-06无作为或操作失误 工作疏忽、监控不力、判断失误在正常工作或使用过程中，由于技能缺乏或精神不集中导致的监察不力、响应不与时等，无意中造成对资产的侵害恶意人员威胁事件TP-07物理攻击蓄意破坏蓄意以各种方式破坏信息资产，可能导致资产不可用，如纵火，在系统中成心留后门TP-08篡改 数据破坏对系统中数据进展恶意删除等行为TP-09越权或滥用 非授权访问/使用非授权地对网络或系统进展访问，非授权地使用设备或软件，如对系统容非法下载或批量导出,非授权扫描TP-10恶意代码 恶意代码攻击病毒、蠕虫、逻辑炸弹、木马后门等恶意代码的攻击TP-11篡改 非授权篡改对系

13、统或数据进展非授权篡改，导致完整性丧失TP-12管理不到位 擅自使用非授权软件擅自通过互联网下载、使用公司非授权软件，可能造成等符合性问题TP-13网络攻击 黑客入侵黑客利用各种手段对公司信息系统实施攻击TP-14网络攻击 DOS攻击攻击方发动拒绝效劳攻击TP-15物理环境影响盗窃窃取物品TP-16越权或滥用身份假冒非授权人员冒用他人或授权人员身份TP-17网络攻击 窃听通过网络嗅探、偷听、搭线窃听等途径非法获取信息TP-18管理不到位 人员短缺完成某项工作的合格的人力资源缺乏TP-19管理不到位 泄密泄漏敏感信息或电子数据TP-20管理不到位 社会工程/欺骗以非技术手段例如欺骗获取特定信息，

14、包括间谍行为TP-21抵赖 无法进展审查的抵赖行为不成认之前的行为或操作，无法追查当事人责任TP-22管理不到位 商业间谍行为通过贿赂等行为刺探商业情报TP-23管理不到位 恶意申告向主管机关和利益集团申告存在的软件正版化等问题，或由此进展敲诈环境威胁自然威胁事件TE-01物理环境影响 雷电资产所处地点可能发生雷电TE-02物理环境影响 台风资产所处地点可能发生台风TE-03物理环境影响 暴雨资产所处地点可能发生暴雨TE-04物理环境影响 海啸资产所处地点可能发生海啸TE-05物理环境影响 洪水资产所处地点可能发生洪水TE-06物理环境影响 冰雹资产所处地点可能发生冰雹TE-07物理环境影响 地震资产所处地点可能发生地震物理威胁事件TE-08软硬件故障 极端的温度/湿度资产所处环境的温度/湿度发生剧烈变化，超出正常围。TE-09物理环境