《ISO27001风险评估程序》由会员分享,可在线阅读,更多相关《ISO27001风险评估程序(9页珍藏版)》请在金锄头文库上搜索。
1、ISO2700风险评估程序1目的为了对公司的信息资产进行风险评估和风险控制,评估组织信息资产所面临的风险并对风险实行有效控制,以保证风险被减少或消除,特制定本程序。合用范畴本程序合用于合用于对公司的信息资产进行风险评估和风险控制。职责与权限31信息安全委员会 制定资产评估准则,拟定风险评估措施; 负责对控制目的、控制措施的有效性进行监督和评审。 拟定风险评估的范畴; 指引各部门进行风险评估; 汇总和分析风险评估成果,作出风险评价; 制定风险解决筹划,向信息安全委员会提交信息安全风险评估报告。3.3各部门 各部门资产负责人按规定维护有关资产。 辨认并列出跟本部门业务有关的资产; 对本部门资产进行
2、风险评估。4风险评估程序和工作流程4.1风险评估与管理4.1.1过程辨认在ISMS范畴内,各部门辨认本部门波及的重要业务过程及使用的各类信息资产。412风险评估风险评估是根据有关信息安全技术与管理原则,对信息系统及由其解决、传播和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。即风险分析和风险评价的全过程。.1.风险管理风险管理是辨认、控制、消除、减小也许影响信息系统资源的不拟定事件的过程。指引和控制一种组织的风险的协调的活动。.4风险评估措施结合公司在风险评估时投入的时间、人力、成本等各方面的因素,公司采用基本风险评估措施。基本的风险评估措施是指应用直接和简易的措施达到基本的安全
3、水平,就能满足组织及其业务环境的所有规定。公司采用这种措施使得组织在辨认和评估基本安全需求的基本上,通过建立相应的信息安全管理体系,获得对信息资产的基本保护。.1.5风险评估与风险管理的辨别风险管理是把整个组织内的风险减少到可接受水平的整个过程。 是一种持续的周期,一般以一定的间隔重新开始来更新流程中各个地区阶段的数据 是一种持续循环、不断上升的过程。风险评估是拟定组织面临的风险并拟定其优先级的过程,是风险管理流程中最必须、最谨慎的一种过程。 当潜在的与安全有关的事件在公司内发生时,如变动业务措施、发现新的漏洞等,组织都也许会启动风险评估。4.2 风险评
4、估实行流程总规定:组织应根据整体业务活动和风险,建立、实行、运营、监视、评审、保持并改善文献化的ISMS。图风险评估实行流程4.2.风险评估准备 拟定风险评估的目的;(满足我公司业务持续发展在安全面的需要及法律法规) 拟定风险评估的范畴;(组织所有的信息及与信息解决有关的各类资产、管理机构) 组建合适的评估管理与实行团队;(由管理层、有关业务骨干、IT技术人员等构成的风险评估小组) 选择与组织相适应的具体的风险判断措施;(考虑评估的目的、范畴、时间、效果、人员素质等因素来选择具体的风险判断措施) 获得最高管理者对风险评估工作的支持。(得到组织的最高管理者的支持、批准)422资产辨认列出在信息安
5、全管理体系范畴内,与我公司内的业务环境、业务运营及信息有关的资产。 资产分类;(人员、实体、软件、文献、数据、服务、无形、服务及其她资产) 资产赋值(CIA:对资产在机密性、完整性和可用性上的达到限度进行综合评估得出); 资产重要性级别拟定。4.2.3威胁辨认使用与资产有关的通用威胁列表,检查并列出资产的威胁。 威胁分类; 威胁赋值;4.2.4脆弱性辨认使用与资产有关的通用单薄点列表,检查并列出资产的脆弱性。 辨认措施 辨认内容 脆弱性赋值4.2.5对既有安全控制的辨认辨认并整顿所有与资产有关联的、既有的或者已经作了筹划的控制措施。4.6风险分析分析由上述评估产生的有关资产、威胁和脆弱性的信息
6、,以实用的、简朴的措施进行风险测量,计算出风险级别。把辨认分析出来的风险与风险判据进行比较,以判断特定的风险与否可接受或需采用其他措施处置。风险分析的成果为具有不同级别的风险列表,并记录在资产风险评估表中。42.7风险解决对评估后的风险级别进行鉴定,拟定与否能接受,如可接受,则按既有控制措施进行控制,如不可接受,则应选择采用新的安全控制措施,并对需要投入较长时间和较高费用的高风险制定风险解决筹划,记录在资产风险评估表中,按风险解决筹划进行解决后重新评价风险,直至风险减少或可接受为止。 拟定可接受的残存风险的水平; 持续地评审威胁以及单薄点; 评审既有的安全控制措施; 应用SOEC 7001中的
7、其他安全控制措施; 引入方针和程序。4.28残存风险根据风险评价成果,判断残存风险与否可接受,是,则实行风险控制;否,则制定风险解决筹划。4.2.9风险控制根据风险解决成果,按照拟定的风险控制措施和筹划进行贯彻,必要时形成有关控制文献。风险控制措施可根据控制费用与风险平衡的原则,参照如下方式进行选择,以减少风险: 避免风险; 转移风险; 减少风险; 减少单薄点; 减少威胁也许的影响限度; 探测有害事故,对其做出反映并恢复。4.3风险值的计算措施4.1风险计算原理风险值=R(A,T,V)=(L(T,V),F(a,Va)其中,:表达安全风险计算函数;:表达资产;T:表达威胁;V:表达脆弱性;Ia:
8、表达安全事件所作用的资产重要限度;Va:表达脆弱性严重限度;L:表达威胁运用资产的脆弱性导致安全事件发生的也许性;F:表达安全事件发生后产生的损失。4.3.2风险计算准则资产价值计算措施:资产价值 保密性赋值完整性赋值可用性赋值风险值计算措施: 风险 值 = 资产级别+威胁性赋值脆弱性赋值资产级别、风险级别评估措施:见下表表一:保密性的规定评价准则表二:完整性的规定评价准则表三:可用性的规定评价准则表四:资产级别的评价准则表五: 脆弱性被威胁运用后的严重性的评价准则表六: 脆弱性被威胁运用后的严重性的评价准则表七: 脆弱性被威胁运用后的严重性的评价准则按风险值的评价准则计算出信息资产风险值后,按上记表七相应获得风险级别。4.风险成果鉴定按风险值的评价准则计算出信息资产风险值后获得的风险级别,对风险进行鉴定。4.34风险评估的时机正常状况下每年进行一次全面的风险评估复查,对风险评估成果特别是采用的控制措施进行合适的评审。遇有特殊状况应当及时对组织风险进行再评估。在如下状况下,应及时对组织风险进行重新评估: 当组织新增信息资产时; 当系统发生重大变更时; 发生严重信息安全事故时; 组织觉得有必要时。有关支持性文献无有关记录资产风险评估表
