收藏
下载资源

信息安全风险管理程序

上传人:公**** 文档编号:508095827 上传时间:2024-01-02 格式:DOC 页数:16 大小:237KB
返回 下载 相关 举报
信息安全风险管理程序_第1页
第1页 / 共16页
信息安全风险管理程序_第2页
第2页 / 共16页
信息安全风险管理程序_第3页
第3页 / 共16页
信息安全风险管理程序_第4页
第4页 / 共16页
信息安全风险管理程序_第5页
第5页 / 共16页
点击查看更多>>
资源描述

《信息安全风险管理程序》由会员分享,可在线阅读,更多相关《信息安全风险管理程序(16页珍藏版)》请在金锄头文库上搜索。

1、1 目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目的和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。2 范畴本程序合用信息安全管理体系(IMS)范畴内信息安全风险评估活动的管理。3 职责3.1 研发中心负责牵头成立信息安全管理委员会。3.2 信息安全管理委员会负责编制信息安全风险评估筹划,确认评估成果,形成风险评估报告及风险解决筹划。3.3 各部门负责本部门使用或管理的资产的辨认和风险评估,并负责本部门所波及的资产的具体安全控制工作。4 有关文献信息安全管理手册GB-T208-信息安全风险评估规范信息技术安全技术信息技术安全管理指南第3部分:IT安全管理技术5 程序5.1

2、 风险评估前准备 研发中心牵头成立信息安全管理委员会,委员会成员应涉及信息安全重要责任部门的成员。 信息安全管理委员会制定信息安全风险评估筹划,下发各部门。 风险评估措施定性综合风险评估措施本项目采用的是定性的风险评估措施。定性风险评估并不强求对构成风险的各个要素(特别是资产)进行精确的量化评价,它有赖于评估者的经验判断、业界惯例以及组织自身定义的原则,来对风险要素进行相对的级别分化,最后得出的风险大小,只需要通过级别差别来分出风险解决的优先顺序即可。综合评估是先辨认资产并对资产进行赋值评估,得出重要资产,然后对重要资产进行具体的风险评估。5.2 资产赋值 各部门信息安全管理委员会成员对本部门

3、资产进行辨认,并进行资产赋值。资产价值计算措施:资产价值 保密性赋值完整性赋值+可用性赋值 资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估,并在此基本上得出综合成果的过程。 拟定信息类别 信息分类按“9 资产辨认参照(资产类别)”进行,信息分类不合用时,可不填写。 机密性(C)赋值 根据资产在机密性上的不同规定,将其分为五个不同的级别,分别相应资产在机密性上的应达到的不同限度或者机密性缺失时对整个组织的影响。 完整性(I)赋值 根据资产在完整性上的不同规定,将其分为五个不同的级别,分别相应资产在完整性上的达到的不同限度或者完整性缺失时对整个组织的影响。 可用性()赋值 根

4、据资产在可用性上的不同规定,将其分为五个不同的级别,分别相应资产在可用性上的达到的不同限度。资产价值判断原则要素准则数据资产实体服务资产 文献/软件资产无形资产人员资产可用性按资产使用或容许中断的时间次数来评估数据存储、传播及解决设施在一种工作日内容许中断的次数或时间比例赋值每次中断容许时间赋值使用频次规定赋值使用频次赋值容许离岗时间赋值16次以上或所有工作时间中断13天以上1每年都要使用至少1次1每年都要使用至少1次110个工作日及以上1915次或1工作时间中断21-天每个季度都要使用至少1次2每个季度都要使用至少1次26-9工作日3次或/工作时间中断12小时-1天3每月都要使用至少次3每月

5、都要使用至少1次3个工作日312次或1/8工作时间中断43小时2小时4每周都要使用至少1次每周都要使用至少1次个工作日4不容许0-3小时每天都要使用至少1次5每天都要使用至少1次51个工作日 形成资产清单各部门的重要资产调查与风险评估表经本部门负责人审核,报管理者代表确认。5.3 鉴定重要资产 根据前面的资产机密性、完整性、可用性的赋值相加得到资产的价值,资产价值越高表达资产重要性限度越高。要素标记相对价值范畴级别资产级别很高5,14,134高1,11,103一般9,8,7,2低5,3 按资产价值得出重要资产,资产价值为4,3的是重要资产,资产价值为2,1的是非重要资产。 信息安全管理委员会对

6、各部门资产辨认状况进行审核,保证没有漏掉重要资产,形成各部门的资产辨认清单。 各部门的资产辨认清单经本部门负责人审核,报管理者代表确认,并分发各部门存档。5.4 重要资产风险评估 应对所有的重要资产进行风险评估,评估应考虑威胁、脆弱性、威胁事件发生的也许性、威胁事件发生后对资产导致的影响限度、风险的级别、风险与否在可接受范畴内及已采用的措施等方面因素。 辨认威胁 威胁是对组织及其资产构成潜在破坏的也许性因素,导致威胁的因素可分为人为因素和环境因素。威胁作用形式可以是对信息系统直接或间接的袭击,例如非授权的泄露、篡改、删除等,在保密性、完整性或可用性等方面导致损害;也也许是偶发的、或蓄意的事件。

7、 威胁可基于体现形式分类,基于体现形式的威胁分类原则可参照下表:威胁分类表种类描述威胁子类软硬件故障对业务实行或系统运营产生影响的设备硬件故障、通讯链路中断、系统自身或软件缺陷等问题设备硬件故障、传播设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等物理环境影响对信息系统正常运营导致影响的物理环境问题和自然灾害断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等无作为或操作失误应当执行而没有执行相应的操作,或无意执行了错误的操作维护错误、操作失误等管理不到位安全管理无法贯彻或不到位,从而破坏信息系统正常有序运营管理制度和方略不完善、管理规程缺失、

8、职责不明确、监督控管机制不健全等歹意代码故旨在计算机系统上执行歹意任务的程序代码病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等越权或滥用通过采用某些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的权限,做出破坏信息系统的行为非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配备或数据、滥用权限泄露秘密信息等网络袭击运用工具和技术通过网络对信息系统进行袭击和入侵网络探测和信息采集、漏洞探测、嗅探(帐号、口令、权限等)、顾客身份伪造和欺骗、顾客或业务数据的窃取和破坏、系统运营的控制和破坏等物理袭击通过物理的接触导致对软件、硬件、数据的破坏物理接触、物理破坏、盗窃等泄密信

9、息泄露给不应理解的她人内部信息泄露、外部信息泄露等篡改非法修改信息,破坏信息的完整性使系统的安全性减少或信息不可用篡改网络配备信息、篡改系统配备信息、篡改安全配备信息、篡改顾客身份信息或业务数据信息等抵赖不承认收到的信息和所作的操作和交易原发抵赖、接受抵赖、第三方抵赖等 各部门根据资产自身所处的环境条件,辨认每个资产所面临的威胁。 辨认脆弱性 脆弱性是对一种或多种资产弱点的总称。脆弱性是资产自身存在的,如果没有相应的威胁发生,单纯的脆弱性自身不会对资产导致损害。并且如果系统足够强健,再严重的威胁也不会导致安全事件,并导致损失。即,威胁总是要运用资产的脆弱性才也许导致危害。 资产的脆弱性具有隐蔽

10、性,有些脆弱性只有在一定条件和环境下才干显现,这是脆弱性辨认中最为困难的部分。需要注意的是,不对的的、起不到应有作用的或没有正的确施的安全措施自身就也许是一种脆弱性。 脆弱性辨认将针对每一项需要保护的资产,找出也许被威胁运用的脆弱性,并对脆弱性的严重限度进行评估。脆弱性辨认时的数据应来自于资产的所有者、使用者,以及有关业务领域的专家和软硬件方面的专业人员。 脆弱性辨认重要从技术和管理两个方面进行,技术脆弱性波及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面,前者与具体技术活动有关,后者与管理环境有关。常用脆弱性序号类别单薄点威胁1. 环境和基本设

11、施建筑物/门以及窗户缺少物理保护例如,也许会被盗窃这一威胁所运用对建筑物房间物理进入控制不充足,或松懈也许会被故意损害这一威胁所运用 电网不稳定也许会被功率波动这一威胁所运用所处位置容易受到洪水袭击也许会被洪水这一威胁所运用2. 硬件缺少定期替代筹划也许会被存储媒体退化这一威胁所运用容易受到电压不稳定的侵扰也许会被功率波动这一威胁所运用容易受到温度变化的侵扰也许会温度的极端变化这一威胁所运用容易受到湿度、灰尘和污染的侵扰也许会被灰尘这一威胁所运用 对电磁辐射的敏感性也许会被电磁辐射这一威胁所运用不充足的维护/存储媒体的错误安装也许会被维护失误这一威胁所运用缺少有效的配备变化控制也许会被操作职工失误这一威胁所运用3.软件开发人员的阐明不清晰或不完整也许会被软件故障这一威胁所运用没有软件测试或软件测试不充足也许会被未经授权许可的顾客使用软件这一威胁所运用复杂的顾客界面也许会被操作职工失误这一威胁所运用 缺少辨认和鉴定机制,如:顾客鉴定也许会被冒充顾客身份这一威胁所运用缺少审核跟踪也许会被以未经授权许可的方式使用软件这一威胁所运用软件中存在众所周知的缺陷也许会被软件未经许可的顾客使用软件这一威胁所运用口令表没有受到保护也许会被冒充顾客身份这一威胁所运用口令管理较差(很容易被猜想,公开地存储口令,不常常更改)也许会被冒充顾客身份这一威

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 解决方案

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号