《信息安全风险评估控制程序》由会员分享,可在线阅读,更多相关《信息安全风险评估控制程序(19页珍藏版)》请在金锄头文库上搜索。
1、1 目的本程序规定了所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估认知本公司的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持本公司商务持续性发展,以满足本公司信息安全管理方针的要求。2 范围本程序适用于本公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。3 职责3.1 人事行政部负责牵头成立风险评估小组。3.2 风险评估小组负责编制信息安全风险评估计划,确认评估结果,形成信息安全风险评估报告。3.3 各部门负责本部门使用或管理的信息资产的识别和风险评估,并负责本部门所涉及的信息资产的具体安全控制工作。4 程
2、序4.1 风险评估前准备4.1.1 行政部牵头成立风险评估小组,小组成员至少应该包含:信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。4.1.2 风险评估小组制定信息安全风险评估计划,下发各部门内审员。4.1.3 必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。4.2 信息资产的识别4.2.1 风险评估小组通过电子邮件向各部门内审员发放信息资产分类参考目录、重要信息资产判断准则、信息资产识别表,同时提出信息资产识别的要求。4.2.2 各部门内审员参考信息资产分类参考目录识别本部门信息资产,根据重要信息资产判断准则判断其是否是重要信息资产,并填写信息资产识别表,经本部门负
3、责人审核确认后,在风险评估计划规定的时间内提交风险评估小组审核汇总。4.2.3 风险评估小组对各部门填写的信息资产识别表进行审核,确保没有遗漏重要信息资产,形成各部门的重要信息资产清单,并分发各部门存档。4.3 重要信息资产风险等级评估4.3.1 应对重要信息资产清单中的所有资产进行风险评估,评估应考虑威胁事件发生的可能性和威胁事件发生后对信息资产造成的影响程度两方面因素。4.3.2 风险评估小组向各部门内审员分发重要信息资产风险评估表、信息安全威胁参考表、信息安全薄弱点参考表、事件发生可能性等级对照表、事件可能影响程度等级对照表。4.3.3 各部门内审员根据资产本身所处的环境条件,参考信息安
4、全威胁参考表识别每个信息资产所面临的威胁,针对每个威胁,识别目前已有的控制;并参考信息安全薄弱点参考表识别可能被该威胁所利用的薄弱点;在考虑现有的控制前提下,参考事件发生可能性等级对照表判断每项重要信息资产所面临威胁发生的可能性;参考事件可能影响程度等级对照表,判断威胁利用薄弱点可能使信息资产保密性、完整性或可用性丢失所产生的影响程度等级。将结果填写在重要信息资产风险评估表上,提交风险评估小组审核汇总。4.3.4 风险评估小组考虑本公司整体的信息安全要求,对各部门填写的重要信息资产风险评估表进行审核,确保风险评估水平的一致性,确保没有遗漏重要信息安全风险。如果对评估结果进行修改,应该和资产责任
5、部门进行沟通并获得该部门的确认。4.3.5 风险评估小组根据信息安全风险矩阵计算表计算风险等级,完成各部门的重要信息资产风险评估表,并分发各部门存档。4.4 不可接受风险的确定和处理4.4.1 风险评估小组根据信息安全风险接受准则,确定风险的可接受性;针对不可接受风险编制信息安全不可接受风险处理计划,该计划应该规定风险处理方式、责任部门和时间进度,并对所选择的风险处理方式在控制上的有效性进行预期评估,根据本文件的评估方法重新进行打分,残余风险应得到管理者的批准;编制信息安全风险评估报告,陈述本公司信息安全管理现状,分析存在的信息安全风险,提出信息安全管理(控制)的建议与措施,附信息安全不可接受
6、风险处理计划提交信息安全管理委员会进行审核,由ISMS管理者代表批准实施。4.4.2 各部门风险处理情况应在每月25日报给人事行政部进行汇总,对风险处理过程中所提出的资源上的需求和出现的问题报最高管理者,确保风险处理计划的有效执行。4.5 评估时机4.5.1 每年重新评估一次,以确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施,对发生以下情况需及时进行风险评估:a) 当发生重大信息安全事故时;b) 当信息网络系统发生重大更改时;c) 信息安全管理委员会确定有必要时。4.5.2 各部门对新增加、转移的或授权销毁的信息资产应及时立即按照本程序在信息资产识别表、重要信息资产清单上予以添加或变更
7、。5 相关/支持性文件 5.1 信息安全适用性声明5.2 信息安全管理手册5.3 文件控制程序5.4 信息安全风险评估报告6 记录 保存期限6.1 信息资产识别表 2年6.2 重要信息资产清单 2年6.3 重要信息资产风险等级评估表 2年6.4 不可接受风险处理计划 2年附表1 信息资产分类分类参考目录大类详细分类举例文档和数据经营规划中长期规划等经营计划等组织情况组织变更方案等组织机构图等组织变更通知等组织手册等规章制度各项规程、业务手册等人事制度人事方案等人事待遇资料等录用计划等离职资料等中期人员计划等人员构成等人事变动通知等培训计划等培训资料等财务信息预决算(各类投资预决算)等业绩(财务
8、报告)等中期财务状况等资金计划等成本等财务数据的处理方法(成本计算方法和系统,会计管理审查等经营分析系统,减税的方法、规程)等营业信息市场调查报告(市场动向,顾客需求,其它公司动向及对这些情况的分析方法和结果)等商谈的内容、合同等报价等客户名单等营业战略(有关和其它公司合作销售、销售途径的确定及变更,对代理商的政策等情报)等返工和投诉处理等供应商信息等大类详细分类举例文档和数据技术信息试验/分析数据(本公司或者委托其它单位进行的试验/分析)等研究成果(本公司或者和其它单位合作研究开发的技术成果)等科技发明的内容(专利申请书以及有关的资料/试验数据)等开发计划书等新产品开发的体制、组织(新品开发
9、人员的组成,业务分担,技术人员的配置等)技术协助的有关内容(协作方,协作内容,协作时间等)教育资料等技术备忘录等生产信息各种生产设备的配置(针对产品的最佳配置、特殊配置)等生产日报等保全日报等产品信息客户工作计划测试程序、数据等客户数据等文档和数据软件信息生产管理系统等财务系统等设计书等流程等编码、密码系统等源程序表等其他诉讼或其他有争议案件的内容(民事、无形资产、工伤等纠纷内容)公司基本设施情况(包括动力设施)等董事会资料(新的投资领域、设备投资计划等)公司电话簿等公司安全保卫实施情况及突发事件对策等数据库相关书面类资产的电子版软件和系统操作系统应用软件/系统开发工具实用程序硬件和设施网络设
10、备和服务器路由器、网关、交换机、防火墙、入侵检测设备、加密设备、身分验证设备以及各类服务器等计算机台式计算机、移动计算机等存储设备磁带机等通讯工具电话、手提电话等传输线路光纤、双绞线等存储媒体磁带、光盘、软盘、U盘等动力供给设备其他电子设备打印机、复印机、扫描仪、传真机等人力资源涉密人员市场、财务、人事等特殊人员有特殊技能、知识、工艺的人员等服务计算机及网络通信服务软件外包服务、网络接入服务、服务器托管服务其它技术型服务供电、空调、动力、供暖、其它附表2 重要信息资产判断准则所识别的信息资产,当出现以下情况时判为重要信息资产。分类判断准则硬件和设施1、产生或保存的信息属于企业秘密的设备或媒体。
11、 2、如果处理方法不当或者设备故障,对本公司的生产及管理直接产生不良影响。3、本部门认为可以列入重要信息资产的其他资产。软件和系统1、 属于企业秘密的应用程序、源程序等。2、 如果被篡改或发生失效时,对本公司的生产及管理直接产生不良影响。3、 本部门认为可以列入重要信息资产的其他资产。文档和数据1、此文档或数据属于企业秘密。2、此文档或数据被篡改、不正当使用或缺失会对本公司的生产及管理或商业信誉、形象直接产生不良影响。3、本部门认为可以列入重要信息资产的其他资产。人力资源1、 产生或保存企业秘密信息的人员。2、 本部门认为可以列入重要信息资产的其他资产。服务1、 所依赖的服务不可用对本公司的生
12、产及管理直接产生不良影响。2、 本部门认为可以列入重要信息资产的其他服务。说明企业秘密的定义和划分办法见秘密文书管理规程附表3 信息安全威胁参考表威胁硬件和设施软件和系统文档和数据人力资源服务故障恶意软件(电子文件)抵赖(电子商务信息)通信监听通信服务故障操作失误未经授权访问、修改未经授权复制授权人员对信息的滥用盗窃供电故障恶意破坏电子存储媒体故障违背知识产权相关法律,法规温度、湿度超限静电黑客攻击容量超载雷击系统管理员权限滥用密钥泄露、篡改(加密设施)密钥滥用伤害不公正待遇威逼利诱人员流动火灾、地震、洪水、台风、爆炸、雷击附表4 信息安全薄弱点参考表(按ISO/IEC17799分类)信息安全组织缺乏有力的领导支持信息安全事务跨部门协调能力不足安全责任不清缺乏专家支持与外部组织缺乏信息安全方案的沟通信息安全评审不可靠对第三方访问的风险缺乏认识和必要控制对外包的信息资产和信息处理过程缺乏有力的控制资产的归类和控制
