ISO27001风险评估程序

1、IS027001风险评估程序i目的为了对公司的信息资产进行风险评估和风险控制，评估组织信息资产所面临的风险并对 风险实施有效控制，以确保风险被降低或消除，特制定本程序。2适用范围本程序适用于适用于对公司的信息资产进行风险评估和风险控制。3职责与权限3.1信息平安委员会制定资产评估准那么，确定风险评估方法；负责对控制目标、控制措施的有效性进行监督和评审。确定风险评估的范围；指导各部门进行风险评估；汇总和分析风险评估结果，作出风险评价；制定风险处理方案，向信息平安委员会提交信息平安风险评估报告。3.3各部门各部门资产负责人按规定维护相关资产。识别并列出跟本部门业务有关的资产；对本部门资产进行风险评

2、估。4风险评估程序和工作流程4.1风险评估与管理过程识别在ISMS范围内，各部门识别本部门涉及的主要业务过程及使用的各类信息资产4.1.2 风险评估风险评估是依据有关信息平安技术与管理标准，对信息系统及由其处理、传输和存储的 信息的保密性、完整性和可用性等平安属性进行评价的过程。即风险分析和风险评价的全过 程。4.1.3 风险管理风险管理是识别、控制、消除、减小可能影响信息系统资源的不确定事件的过程。指导 和控制一个组织的风险的协调的活动。风险评估方法结合公司在风险评估时投入的时间、人力、本钱等各方面的因素，公司采用根本风险评 估方法。根本的风险评估方法是指应用直接和简易的方法到达根本的平安水

3、平，就能满足组 织及其业务环境的所有要求。公司采用这种方法使得组织在识别和评估根本平安需求的根底 上，通过建立相应的信息平安管理体系，获得对信息资产的根本保护。4.1.5 风险评估与风险管理的区分是一个持续的周期，通常以一定的间隔重新开始来更新流程中各个地区阶段的数据是一个持续循环、不断上升的过程。风险评估是确定组织面临的风险并确定其优先级的过程，是风险管理流程中最必须、最当潜在的与平安相关的事件在企业内发生时，如变动业务方法、发现新的漏洞等， 组织都可能会启动风险评估。4.2 风险评估实施流程总要求：组织应根据整体业务活动和风险，建立、实施、运行、监视、评审、保持并改良 文件化的ISMS42

4、1 风险评估准备确定风险评估的目标；满足我公司业务持续开展在平安方面的需要及法律法规 确定风险评估的范围；组织全部的信息及与信息处理相关的各类资产、管理机构 组建适当的评估管理与实施团队；由管理层、相关业务骨干、IT技术人员等组成的 风险评估小组选择与组织相适应的具体的风险判断方法；考虑评估的目的、范围、时间、效果、 人员素质等因素来选择具体的风险判断方法获得最高管理者对风险评估工作的支持。得到组织的最高管理者的支持、批准4.2.2 资产识别列出在信息平安管理体系范围内，与我公司内的业务环境、业务运营及信息相关的资产。资产分类；人员、实体、软件、文件、数据、效劳、无形、效劳及其他资产资产赋值C

5、IA:对资产在机密性、完整性和可用性上的达成程度进行综合评定得出； 资产重要性等级确定。423威胁识别使用与资产相关的通用威胁列表，检查并列出资产的威胁。威胁分类；威胁赋值；脆弱性识别使用与资产相关的通用薄弱点列表，检查并列出资产的脆弱性。识别方法识别内容脆弱性赋值对现有平安控制的识别识别并整理所有与资产相关联的、现有的或者已经作了方案的控制措施。4.2.6 风险分析分析由上述评估产生的有关资产、威胁和脆弱性的信息，以实用的、简单的方法进行风 险测量，计算出风险等级。把识别分析出来的风险与风险判据进行比拟，以判断特定的风险是否可接受或需采取其 它措施处置。风险分析的结果为具有不同等级的风险列表

6、，并记录在?资产风险评估表?中。4.2.7 风险处理对评定后的风险等级进行判定，确定是否能接受，如可接受，那么按现有控制措施进行控 制，如不可接受，那么应选择采取新的平安控制措施，并对需要投入较长时间和较高费用的高 风险制定风险处理方案，记录在?资产风险评估表?中，按风险处理方案进行处理后重新评 价风险，直至风险降低或可接受为止。确定可接受的剩余风险的水平；持续地评审威胁以及薄弱点；评审现有的平安控制方法；应用ISO/IEC 27001中的其它平安控制方法；引入方针和程序。428 剩余风险根据风险评价结果，判断剩余风险是否可接受，是，那么实施风险控制；否，那么制定风险 处理方案。4.2.9 风

7、险控制根据风险处理结果，按照确定的风险控制措施和方案进行落实，必要时形成相关控制文 件。风险控制措施可根据控制费用与风险平衡的原那么，参照以下方式进行选择，以降低风险:防止风险；转移风险；减少风险；减少薄弱点；减少威胁可能的影响程度；探测有害事故，对其做出反响并恢复。4.3风险值的计算方法4.3.1 风险计算原理风险值=R A，T，V= RLT，V，FIa，Va其中，R表示平安风险计算函数；A:表示资产；T:表示威胁；V:表示脆弱性；la :表示平安事件所作用的资产重要程度；Va：表示脆弱性严重程度；L：表示威胁利用资产的脆弱性导致平安事件发生的可能性；F:表示平安事件发生后产生的损失。4.3

8、.2 风险计算准那么风险值计算方法：风险值=资产等级+威胁性赋值+脆弱性赋值资产等级、风险等级评定方法：见下表表一：保密性的要求评价准那么1賈素刃栉.严目点软ft陶JMXN加务胡.诵玄F宾产人旬宜产e.ff 访i-1 柑 tr- 時、活辕及 ，上:也s隹 厅罢过辛m l tie +带.ft嚣眉抽禅n n Mil6PT«IB幣扎i晞於对冃诂昶常访何収賦龜和礼暗JS氓外H匸申-L和|：.卜0却廿tt常恒中用就佝再W1BIi对 StM卜部茹是仝幵前1刃上国炽谒申是 的的1巧虽可.艮對#篷二奸1寸二疋七館常丐 弓二业开的s酎匚司内莊所寿眉工弓鲁幵 的时公可-ir.iiiiT拭匸話处号吋3t-

9、n5-nS 工WAfl的3訂£司円祥吁有吊工好 盟茹的3部门取血可U raarisA医m片千冶=某-i-wn 艰能r巧学千临目奠屮1£吧胛1：丄 追创肋常q号g于firiw-' ftJ臥眄It可0声间 的僧息5F用干春荀斗-i 郁厂或 靶膽町以访闾的荷厲$“；，：员可以厉更的惜jrcT-pewflii 门廿和手匮人冃可口 方何的诵.更T貝"Utt 郎门屮特糟宀丹可F访冋的伯 息门."于£刃中秀囂亩冋的肓品7只限于菖荀申足胃理人7tr理人凰或醫商 少矢笑分人层h.ifP#司恤芙m人员闻駅访M 的p眉19n用千皆旳硏乏已神人凤貳吃F 士飛羔

10、掘上昌斗&访闰的逼息9nrfT2HrBf- 亚人舟戏卷FMr 崔匮人勻厲臥馆同B.；.岸一于養可鬲底芒理人 嵐呢一申哉亀1点即.1 忙河聃i=.nB表二:完整性的要求评价准那么r.i虺那么賓仇吟严自右或杵/八闻邛L嚨奇斓束文件頂严人协资产1完劉注扌汴*肉芯 任址儿W 1T帝疗塔建 二也列严立第呃?IW-3Stf'i就H可L即轄1可积SS可L 用蹈可R間jfiSiT.L祁特3r?fls辞時3轻奋3-MfiX315E-fr6FEFB违f-詐一耳务年冇6时虽7TT严甲17»1刖*重1丘严肯PIl ®rg0P表三：可用性的要求评价准那么ifE那么秋崔覺产兀件甬;件恆

11、严羽啟寅广人貝晦产可n并允许口断 亶时；密示*理诵帚幵一 fTfrSrtM* 卩秆的亡址威1处直屈幺料嘗先杵时阳威砸ft宴莹黏花止待關勺叮间諏卩上愍全彳 工初m中忙J狀1)1上11与丰桥壬匡坤三少一131irf L65±1S- 1盼或1旳工 恬可可亡賄3一共*?T季區主已吏用至V淡3旬3置破世甲3F吐作日5日-時吐打：工乍 ME51&M天$霞"饰戛世JH丟H次&少危6-t-xtrnF.1 酣Fl 3"1M* -11+M7号只昭槌电融1迭7闯叵需莎便用祗少|7包牛工作日t林许90-企卜st0可巴!?丑便?|至1 !,'>.9毎氏都莫灵用

12、莹小L 攻01卡匚昨日9表四:资产等级的评价准那么要素标识相对价值范围等级资产重要程度很高23, 25. 27q重更资产资产等级冋17, 19, 21±3一般资产一股111, 13.15H 2一般资产低3 5.化 91般资产表五：脆弱性被威胁利用后的严重性的评价准那么要素标识发注的频率威胁利用 弱点导孜 危害的可 能性很高出现的频率很高或 1 2V周,或在大多 数情况下几乎不可避 免；咸可以证発至常发 生过5髙岀现的频率较高1次/月；或在大多 数情况下很有可能会发 生；或可以证实屡次发 生过41股出现的频率中等或 1次/半年；或在某 种情况下可能会发生. 或被证实曾经发生过3低出观的

13、频率较水；或一 般不太可能发生；或没 有被证实垸生过2很低威胁几乎不可能发生$ 個可能在非常罕见和例 外的情况下发生1表六：脆弱性被威胁利用后的严重性的评价准那么1 持识严重程戻等级脆騎性被 威胁利用 后的产重性很高如果被咸胁利用.特对 笛司車旻廣产造成車大 损害5-高如早被威胁利用，将对 重更资产造威一股按害4一般如果被威胁不Jffl将对 一般資产造成垂大按害3低如果就威胁利用"梓对 一般贵产退:成一般拥害2很低如耒彼威跡刊川，世对 谊产造感的掲害可以報 略1表七：脆弱性被威胁利用后的严重性的评价准那么要素标识风险值范围级别可接受淮那么凤脸覩别高凤险12144风险不可接受，必须立即丟取栓 制措施降低风瞌牧咼风险9113用险可決搖畫但需要采取进一 步措施降低风险或在威肺发生时 釆取处理措施-般凤险GS2風脸可以接爰，可以保挣目前的 控制措施低风险351按风险值的评价准那么计算出信息资产风险值后，按上记表七对应获得风险级别433 风险结果判定按风险值的评价准那么计算出信息资产风险值后获得的风险级别，对风险进行判定等级标识描述5很咼一旦发生梅使系统遭受非常严童破坏，组织利益受到 非常严重损失4高如果发生将使系统遭受严重破坏组织利益受到严収 损失3中发生后将使系统受倒较重的破坏*组织利益受