ISO27001风险评估程序－金锄头文库

资源描述

《ISO27001风险评估程序》由会员分享，可在线阅读，更多相关《ISO27001风险评估程序（8页珍藏版）》请在金锄头文库上搜索。

1、ISO27001 风险评估程序1目的为了对公司的信息资产进行风险评估和风险控制，评估组织信息资产所面临的风险并对风险实施有效控制，以确保风险被降低或消除，特制定本程序。2适用范围本程序适用于适用于对公司的信息资产进行风险评估和风险控制。3职责与权限3.1 信息安全委员会制定资产评估准则，确定风险评估方法；负责对控制目标、控制措施的有效性进行监督和评审。确定风险评估的范围；指导各部门进行风险评估；汇总和分析风险评估结果，作出风险评价；制定风险处理计划，向信息安全委员会提交信息安全风险评估报告。3.3 各部门各部门资产负责人按规定维护相关资产。识别并列出跟本部门业务有关

2、的资产；对本部门资产进行风险评估。4风险评估程序和工作流程4.1 风险评估与管理4.1.1 过程识别在ISMS范围内，各部门识别本部门涉及的主要业务过程及使用的各类信息资产。风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。即风险分析和风险评价的全过程。4.1.3 风险管理风险管理是识别、控制、消除、减小可能影响信息系统资源的不确定事件的过程。指导和控制一个组织的风险的协调的活动。4.1.4 风险评估方法结合公司在风险评估时投入的时间、人力、成本等各方面的因素，公司采用基本风险评估方法。基本

3、的风险评估方法是指应用直接和简易的方法达到基本的安全水平，就能满足组织及其业务环境的所有要求。公司采用这种方法使得组织在识别和评估基本安全需求的基础上，通过建立相应的信息安全管理体系，获得对信息资产的基本保护。4.1.5 风险评估与风险管理的区分是一个持续的周期，通常以一定的间隔重新开始来更新流程中各个地区阶段的数据是一个持续循环、不断上升的过程。风险评估是确定组织面临的风险并确定其优先级的过程，是风险管理流程中最必须、最当潜在的与安全相关的事件在企业内发生时，如变动业务方法、发现新的漏洞等，组织都可能会启动风险评估。4.2 风险评估实施流程总要求 : 组织应根据整体业

4、务活动和风险，建立、实施、运行、监视、评审、保持并改进文件化的ISMS。4.2.1 风险评估准备确定风险评估的目标；（满足我公司业务持续发展在安全方面的需要及法律法规）确定风险评估的范围；（组织全部的信息及与信息处理相关的各类资产、管理机构）组建适当的评估管理与实施团队；（由管理层、相关业务骨干、IT技术人员等组成的风险评估小组）选择与组织相适应的具体的风险判断方法；（考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险判断方法）获得最高管理者对风险评估工作的支持。（得到组织的最高管理者的支持、批准）4.2.2 资产识别列出在信息安全管理体系范围内，与我公司内的业务环境、

5、业务运营及信息相关的资产。资产分类；（人员、实体、软件、文件、数据、服务、无形、服务及其他资产）资产赋值（CIA:对资产在机密性、完整性和可用性上的达成程度进行综合评定得出）资产重要性等级确定。4.2.3 威胁识别使用与资产相关的通用威胁列表，检查并列出资产的威胁。威胁分类；威胁赋值；4.2.4 脆弱性识别使用与资产相关的通用薄弱点列表，检查并列出资产的脆弱性。识别方法识别内容脆弱性赋值4.2.5 对现有安全控制的识别识别并整理所有与资产相关联的、现有的或者已经作了计划的控制措施。4.2.6 风险分析分析由上述评估产生的有关资产、威胁和脆弱性的信息，以实用的

6、、简单的方法进行风险测量，计算出风险等级。把识别分析出来的风险与风险判据进行比较，以判断特定的风险是否可接受或需采取其它措施处置。风险分析的结果为具有不同等级的风险列表，并记录在资产风险评估表中。4.2.7 风险处理对评定后的风险等级进行判定，确定是否能接受，如可接受，则按现有控制措施进行控制，如不可接受，则应选择采取新的安全控制措施，并对需要投入较长时间和较高费用的高风险制定风险处理计划，记录在资产风险评估表中，按风险处理计划进行处理后重新评价风险，直至风险降低或可接受为止。确定可接受的残余风险的水平；持续地评审威胁以及薄弱点；评审现有的安全控制方法；应用 ISO/IEC 27001

7、中的其它安全控制方法；引入方针和程序。4.2.8 残余风险根据风险评价结果，判断残余风险是否可接受，是，则实施风险控制；否，则制定风险处理计划。4.2.9 风险控制根据风险处理结果，按照确定的风险控制措施和计划进行落实，必要时形成相关控制文件。风险控制措施可根据控制费用与风险平衡的原则，参照以下方式进行选择，以降低风险：避免风险；转移风险；减少风险；减少薄弱点；减少威胁可能的影响程度；探测有害事故，对其做出反应并恢复。4.3 风险值的计算方法4.3.1 风险计算原理风险值 =R（A， T， V） = R（L（T ， V）， F（Ia ， Va）其中，R

8、表示安全风险计算函数；A:表示资产；T:表小威胁；V:表示脆弱性；Ia ：表示安全事件所作用的资产重要程度；Va：表示脆弱性严重程度；L:表示威胁利用资产的脆弱性导致安全事件发生的可能性；F:表示安全事件发生后产生的损失。4.3.2 风险计算准则保密性赋值完整性赋值可用性赋值资产价值计算方法：资产价值风险值计算方法：风险值=资产等级+威胁性赋值+脆弱性赋值资产等级、风险等级评定方法：见下表表一：保密性的要求评价准则酒叫就竟资产工旅费产自口鼠什不感巧以班文用用文广笠产人更宜产保再比拄唱盘忙访即FM 科：后、,翔:及人比学点传 .的一注了看独平* L-IR刁：平怕周，强她H春脸作拓

9、西处wn的访同叔限育疗.田济时EWG同茁访后和 R.常后书礼花MF补W 年中广归|三比图合仃佳酎信;胪缶同柠宙W1B壬弃第1片啜十不&部却是的i对而”外部由是上升的1灯二司及仙闭是川的1型因中之工升的1力二T7士丽所与S二号心开的S的二司因F所营后工？之并的时金可/由、仙N此工工金阡随3十匚匚门空所亍品工是fl揩3”公司的孙圻有品工呆公升晌3只曰R+ 部门取手代可Q 方向转噌.注过但千某iTWl盹职能可口仿同也苗总:月但千金堂某某职叱以法H脚信总5R牌于公口而利 ,1：聃鼬可55间的S*5f用千zzrt-i 都匚或电能引里访同照信息5心，_”.一 HE人曷虱上或部门小我

10、三律. 易可以防区的信也T-l.rTf: 口1轲*世人尸可以T同MWfl由潮人JH 3 部门小希的.一岛可5访问的相鼻三重于公讯中主管理员从二帖二 “宾关也人房丁明访河的语同7只限于公F中层官理人 RiKtwwftfe.a7甘强人曷或公H 少母类线人员可 .L 旦只限于工电高区管现人员独官R3如主粕L员可a诗同的信同r .19n尸干令量嗝乏tWA.岛或也F J柒若转工3,日访词的信息9口布丁工丽?二苜理人岛成也F小数美法人刍可电请同用3B三民手公司高是E怪人关晦一审工限眉即的泛.二表二：完整性的要求评价准则旭则我据资.无仇/严目仃H/着陶犷【，强中.%片文仲躅二人员费11可中

11、 k?f*Fl庄但受烈，而 :i/二母用止务疗悻R 处好户皆孟 K眠为产生耨取11W3二:嗝优，.河T第喇耽府H工什点理矶RI 工巧用1-011-11可L V嗡1可”.狎哥fuss可用四甫j省用品工卦牌品T.L弟替3开步S3雅声3-MfiX3好B一根6第8一舰B哎才一百度一 H务弊方 UUW=AM6K里7k些7E1产手1呻酬?H.片中恒塔.田F1铲重11年产三9Ji rg0用层枕*，一 39表三：可用性的要求评价准则里互ifE则然招贤声工件服孙宁产五件珏彳件箕产形知、质广人员喷产/ 1-1忤书尸中用式无讦口断德时明用S 注中也国充神+愉 NM齐三市T 十工作白内允许 1步用工好血1 PT

12、KF10信屉收中将赤件时闺触血他用燃方基支曜芍懊用常以钻值丸讣得为H同sefi屯以上步.金不工作帜笥二作 s-作时可中聃十班y江作副12岫1帘Fl,7工丰时1后向不it许J1天a上1配回使用星沙1桂1乌丰都耳巴用黄少一 kh将1It卡工作日我以上13Q1-31天$于i手用免书至小】汶期十月H巨更回三1人35田李国带我贷用至占临仰十月才 J?!月茎趴浅36上口工作日3午十工作HSE19M* -11+M1-* 卜 st79m月疵住用三小汽可三侬史巾至1 1,1.7密网帝兑怩用达山1朝芝都更宜用至少1 收792个工作E1个工作日t9表四:资产等级的评价准则妹标识相对价值范围等级资产重要程

13、度很高23. 25, 27q重要资产资产等级向1L 19, 213一般资产一般11,13.152一般资产低3,5,匕91一般资产表五：脆弱性被威胁利用后的严重性的评价准则标识发注的频率等级威胁利用弟点导致危害的可能性很高出现的频率很高c或 1次/周）：式在大多数情况下几乎小可避免；或可以证将至常发用过5高出现的频率较高（或 1次/月）1或在夫第数情况下很有可能会发生；或可以证实多次发生过4出现的频率中等（或） 1次/半年）；或在某种情况卜司能会发生. 或祓证实曾经发生过3低出现的频率较小；或一般不太可能发生；或役有被证实发生过2很低威胁几乎不可能发生1 仅可能在非常罕见和例外的情况下发生1表六：脆弱性被威胁利用后的严重性的评价准则1 标H严重程院等圾脆弱性被戚胁利用后的严重性很高如果被咸胁利用.将对公司重要斑产造成重大损5-高如军被威胁利用，将对重更赁产造成一股损害4f如果就威胁利用,将对一般资产造成重大损舍3偃如果神威胁利用,格对一般赏产造成一般损害_2_很低如泉被感胁利用，搐对资产造成的损害可以忽. 喑1表七：脆弱性被

展开阅读全文