信息安全风险管理程序文件

目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目的和控制方式，将信息安全风险控制在可接受的水平，特制定本程序。围本程序合用信息安全管理体系(ISMS)围信息安全风险评估活动的管理。职责研发中心负责牵头成立信息安全管理委员会。信息安全管理委员会负责编制《信息安全风险评估计划》，确认评估成果，形成《风险评估汇报》及《风险处理计划》。各部门负责本部门使用或管理的资产的识别和风险评估，并负责本部门所波及的资产的详细安全控制工作。有关文献《信息安全管理手册》《GB-T20984-信息安全风险评估规》《信息技术安全技术信息技术安全管理指南第3部分：IT安全管理技术》程序风险评估前准备研发中心牵头成立信息安全管理委员会，委员会组员应包括信息安全重要责任部门的组员。信息安全管理委员会制定《信息安全风险评估计划》，下发各部门。风险评估措施-定性综合风险评估措施本项目采用的是定性的风险评估措施。定性风险评估并不强求对构成风险的各个要素（尤其是资产）进行精确的量化评价，它有赖于评估者的经验判断、业界通例以及组织自身定义的原则，来对风险要素进行相对的等级分化，最终得出的风险大小，只需要通过等级差异来分出风险处理的优先次序即可。综合评估是先识别资产并对资产进行赋值评估，得出重要资产，然后对重要资产进行详细的风险评估。资产赋值各部门信息安全管理委员会组员对本部门资产进行识别，并进行资产赋值。资产价值计算措施：资产价值=性赋值＋完整性赋值＋可用性赋值资产赋值的过程是对资产在信息分类、性、完整性、可用性进行分析评估，并在此基础上得出综合成果的过程。确定信息类别信息分类按“5.9资产识别参照（资产类别）”进行，信息分类不合用时，可不填写。性(C)赋值根据资产在性上的不一样规定，将其分为五个不一样的等级，分别对应资产在性上的应到达的不一样程度或者性缺失时对整个组织的影响。完整性(I)赋值根据资产在完整性上的不一样规定，将其分为五个不一样的等级，分别对应资产在完整性上的到达的不一样程度或者完整性缺失时对整个组织的影响。可用性(A)赋值根据资产在可用性上的不一样规定，将其分为五个不一样的等级，分别对应资产在可用性上的到达的不一样程度。资产价值判断原则要素准则数据资产实体/服务资产文献/软件资产无形资产人员资产可用性按资产使用或容许中断的时间次数来评估数据存储、传播及处理设施在一种工作日容许中断的次数或时间比例赋值每次中断容许时间赋值使用频次规定赋值使用频次赋值容许离岗时间赋值16次以上或所有工作时间中断13天以上1每年都要使用至少1次1每年都要使用至少1次110个工作日及以上19-15次或1/2工作时间中断21－3天2每个季度都要使用至少1次2每个季度都要使用至少1次26-9工作日23-8次或1/4工作时间中断312小时－1天3每月都要使用至少1次3每月都要使用至少1次33-5个工作日31-2次或1/8工作时间中断43小时－12小时4每周都要使用至少1次4每周都要使用至少1次42个工作日4不容许50－3小时5每天都要使用至少1次5每天都要使用至少1次51个工作日5形成资产清单各部门的《重要资产调查与风险评估表》经本部门负责人审核，报管理者代表确认。鉴定重要资产根据前面的资产性、完整性、可用性的赋值相加得到资产的价值，资产价值越高表达资产重要性程度越高。要素标识相对价值围等级资产等级很高15,14,134高12,11,103一般9,8,7,62低5,4,31按资产价值得出重要资产，资产价值为4，3的是重要资产，资产价值为2，1的是非重要资产。信息安全管理委员会对各部门资产识别状况进行审核，保证没有遗漏重要资产，形成各部门的《资产识别清单》。各部门的《资产识别清单》经本部门负责人审核，报管理者代表确认，并分发各部门存档。重要资产风险评估应对所有的重要资产进行风险评估，评估应考虑威胁、脆弱性、威胁事件发生的也许性、威胁事件发生后对资产导致的影响程度、风险的等级、风险与否在可接受围及已采用的措施等方面原因。识别威胁威胁是对组织及其资产构成潜在破坏的也许性原因，导致威胁的原因可分为人为原因和环境原因。威胁作用形式可以是对信息系统直接或间接的袭击，例如非授权的泄露、篡改、删除等，在性、完整性或可用性等方面导致损害；也也许是偶发的、或蓄意的事件。威胁可基于体现形式分类，基于体现形式的威胁分类原则可参照下表：威胁分类表种类描述威胁子类软硬件故障对业务实行或系统运行产生影响的设备硬件故障、通讯链路中断、系统自身或软件缺陷等问题设备硬件故障、传播设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等物理环境影响对信息系统正常运行导致影响的物理环境问题和自然灾害断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等无作为或操作失误应当执行而没有执行对应的操作，或无意执行了错误的操作维护错误、操作失误等管理不到位安全管理无法贯彻或不到位，从而破坏信息系统正常有序运行管理制度和方略不完善、管理规程缺失、职责不明确、监督控管机制不健全等恶意代码故意在计算机系统上执行恶意任务的程序代码病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等越权或滥用通过采用某些措施，超越自己的权限访问了本来无权访问的资源，或者滥用自己的权限，做出破坏信息系统的行为非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等网络袭击运用工具和技术通过网络对信息系统进行袭击和入侵网络探测和信息采集、漏洞探测、嗅探（、口令、权限等）、顾客身份伪造和欺骗、顾客或业务数据的窃取和破坏、系统运行的控制和破坏等物理袭击通过物理的接触导致对软件、硬件、数据的破坏物理接触、物理破坏、盗窃等泄密信息泄露给不应理解的他人部信息泄露、外部信息泄露等篡改非法修改信息，破坏信息的完整性使系统的安全性减少或信息不可用篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改顾客身份信息或业务数据信息等抵赖不承认收到的信息和所作的操作和交易原发抵赖、接受抵赖、第三方抵赖等各部门根据资产自身所处的环境条件，识别每个资产所面临的威胁。识别脆弱性脆弱性是对一种或多种资产弱点的总称。脆弱性是资产自身存在的，假如没有对应的威胁发生，单纯的脆弱性自身不会对资产导致损害。并且假如系统足够强健，再严重的威胁也不会导致安全事件，并导致损失。即，威胁总是要运用资产的脆弱性才也许导致危害。资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现，这是脆弱性识别中最为困难的部分。需要注意的是，不对的的、起不到应有作用的或没有对的实行的安全措施自身就也许是一种脆弱性。脆弱性识别将针对每一项需要保护的资产，找出也许被威胁运用的脆弱性，并对脆弱性的严重程度进行评估。脆弱性识别时的数据应来自于资产的所有者、使用者，以及有关业务领域的专家和软硬件方面的专业人员。脆弱性识别重要从技术和管理两个方面进行，技术脆弱性波及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面，前者与详细技术活动有关，后者与管理环境有关。常见脆弱性序号类别微弱点威胁1.

环境和基础设施建筑物/门以及窗户缺乏物理保护例如,也许会被盗窃这一威胁所运用●对建筑物\房间物理进入控制不充足,或松懈也许会被故意损害这一威胁所运用●电网不稳定也许会被功率波动这一威胁所运用●所处位置轻易受到洪水袭击也许会被洪水这一威胁所运用2.

硬件缺乏定期替代计划也许会被存储媒体退化这一威胁所运用●轻易受到电压不稳定的侵扰也许会被功率波动这一威胁所运用●轻易受到温度变化的侵扰也许会温度的极端变化这一威胁所运用●轻易受到湿度、灰尘和污染的侵扰也许会被灰尘这一威胁所运用●对电磁辐射的敏感性也许会被电磁辐射这一威胁所运用●不充足的维护/存储媒体的错误安装也许会被维护失误这一威胁所运用●缺乏有效的配置变化控制也许会被操作职工失误这一威胁所运用3.

软件开发人员的阐明不清晰或不完整也许会被软件故障这一威胁所运用●没有软件测试或软件测试不充足也许会被未经授权许可的顾客使用软件这一威胁所运用●复杂的顾客界面也许会被操作职工失误这一威胁所运用●缺乏识别和鉴定机制，如：顾客鉴定也许会被冒充顾客身份这一威胁所运用●缺乏审核跟踪也许会被以未经授权许可的方式使用软件这一威胁所运用●软件中存在众所周知的缺陷也许会被软件未经许可的顾客使用软件这一威胁所运用●口令表没有受到保护也许会被冒充顾客身份这一威胁所运用●口令管理较差（很轻易被猜测，公开地存储口令，不常常更改）也许会被冒充顾客身份这一威胁所运用●访问权的错误分派也许会被以未经许可的方式使用软件这一威胁所运用●对下载和使用软件不进行控制也许会被恶意软件这一威胁所运用●离动工作站没有注销顾客也许会被未经许可的顾客使用软件这一威胁所运用●缺乏有效的变化控制也许会被软件故障这一威胁所运用●缺乏文献编制也许会被操作职工的失误这一威胁所运用●缺乏备份也许会被恶意软件或火灾这一威胁所运用●没有合适的擦除而对存储媒体进行处理或重新使用也许会被未经许可的顾客使用软件这一威胁所运用4.

通讯通讯线路没有保护也许会被偷听这一威胁所运用●电缆连接差也许会被通讯渗透这一威胁所运用●对发件人和收件人缺乏识别和鉴定也许会被冒充顾客身份这一威胁所运用●公开传送口令也许会被未经许可的顾客接入网络这一威胁所运用●收发信息缺乏验证也许会被否认这一威胁所运用●拨号线路也许会被未经许可的顾客接入网络这一威胁所运用●对敏感性通信不进行保护也许会被偷听这一威胁所运用●网络管理不充足（路由的弹性）也许会被通信量超载这一威胁所运用●公共网络连接没有保护也许会被未经许可的顾客使用软件这一威胁所运用5.

文献存储没有保护也许会被盗窃这一威胁所运用●进行处理时缺乏关注也许会被盗窃这一威胁所运用●对拷贝没有进行控制也许会被盗窃这一威胁所运用6.

人员人员缺席也许会被缺乏员工这一威胁所运用●对外部人员和清理人员的工作不进行监督也许会被盗窃这一威胁所运用●不充足的安全培训也许会被操作职工的失误这一威胁所运用●缺乏安全意识也许会被顾客错误这一威胁所运用●对软件和硬件不对的的使用也许会被操作职工的失误这一威胁所运用●缺乏监控机制也许会被以未经许可的方式使用软件这一威胁所运用●在对的使用通讯媒体和信息方面缺乏政策也许会被以未经许可的方式使用网络设施这一威胁所运用●增员程序不充足也许会被故意损害这一威胁所运用7.

一般都合用的微弱环节某一点上的故障也许会被通讯服务故障这一威胁所运用●服务维护反应局限性也许会被硬件故障这一威胁所运用脆弱性识别容表类型识别对象识别容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别网络构造从网络构造设计、边界保护、外部访问控制方略、部访问控制方略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护、顾客、口令方略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、访问控制方略、数据完整性、通信、鉴别机制、密码保护等方面进行识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务持续性等方面进行识别组织管理从安全方略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别威胁运用脆弱性发生风险之后的影响后果描述风险描述识别既有控制措施评估威胁发生的也许性分析威胁运用脆弱性给资产导致损害的也许性。确定各个威胁运用脆弱性导致损害的也许性。判断每项重要资产所面临威胁发生的也许性时应注意：威胁事件自身发生的也许性；既有的安全控制措施；现存的安全脆弱性。要素标识发生的频率等级威胁运用弱点导致危害的也许性很高出现的频率很高（或≥1次/周）；或在大多数状况下几乎不可防止；或可以证明常常发生过5高出现的频率较高（或≥1次/月）；或在大多数状况下很有也许会发生；或可以证明多次发生过4一般出现的频率中等（或>1次/六个月）；或在某种状况下也许会发生；或被证明曾经发生过3低出现的频率较小；或一般不太也许发生；或没有被证明发生过2很低威胁几乎不也许发生；仅也许在非常罕见和例外的状况下发生1影响程度分析影响程度指一旦威胁事件实际发生时，将给资产带来多大程度的损失。在分析时，可以从影响有关方和影响业务持续性两个不一样维度方面来评估打分。假如改风险也许引起法律起诉，则影响程度值为最高5分。要素标识严重程度等级威胁被运用后的严重性很高假如被威胁运用，将对企业重要资产导致重大损害5高假如被威胁运用，将对重要资产导致一般损害4一般假如被威胁运用，将对一般资产导致重要损害3低假如被威胁运用，将对一般资产导致一般损害2很低假如被威胁运用，将对资产导致的损害可以忽视1风险的等级风险值由威胁发生的也许性、影响程度和资产价值这三个原因共同决定。风险值计算措施：风险值=威胁发生也许性*（威胁发生对性的影响+威胁发生对完整性的影响+威胁发生对可用性的影响）风险等级原则见下表：要素标识风险值围级别可接受准则风险级别高风险>204风险不可接受，必须立即采用有效的措施减少风险较高风险>15且<=203风险可以接受，但需要采用深入措施减少风险一般风险>10且<=152风险可以接受低风险<=101提议控制措施安全措施可以分为防止性安全措施和保护性安全措施两种。防止性安全措施可以减少威胁运用脆弱性导致安全事件发生的也许性，如入侵检测系统；保护性安全措施可以减少因安全事件发生对信息系统导致的影响，如业务持续性计划。提议控制措施确实认与脆弱性识别存在一定的联络。一般来说，安全措施的使用将减少脆弱性，但安全措施确实认并不需要与脆弱性识别过程那样详细到每个资产、组件的脆弱性，而是一类详细措施的集合。不可接受风险确实定通过预制的风险的可接受准则，进行风险可接受性鉴定（与否高风险），并生成各部门的《重要资产调查与风险评估表》表单。各部门的《重要资产调查与风险评估表》经本部门负责人审核，报管理者代表同意。风险处理对风险应进行处理。对可接受风险，可保持已经有的安全措施；假如是不可接受风险（高风险），则需要采用安全措施以减少、控制风险。对不可接受风险，应采用新的风险处理的措施，规定风险处理方式、责任部门和时间进度，高风险应得到优先的考虑。信息安全管理委员会根据《重要资产调查与风险评估表》编制《风险处置计划》。信息安全管理委员会根据《重要资产调查与风险评估表》编制《风险评估汇报》，述信息安全管理现实状况，分析存在的信息安全风险，提出信息安全管理（控制）的提议与措施。管理者代表考虑成本与风险的关系，对《风险评估汇报》及《风险处理计划》的有关容审核，对认为不合适的控制或风险处理方式等提出阐明，由信息安全管理委员会协同有关部门重新考虑管理者代表的意见，选择其他的控制或风险处理方式，并重新提交管理者代表审核同意实行。各责任部门按照同意后的《风险处理计划》的规定采用有效安全控制措施，保证所采用的控制措施是有效的。假如减少风险所付出的成本不小于风险所导致的损失，则选择接受风险。剩余风险评估对采用安全措施处理后的风险，信息安全管理委员会进行再评估，以判断实行安全措施后的残存风险与否已经减少到可接受的水平。某些风险也许在选择了合适的安全措施后仍处在不可接受的风险围，应考虑与否接受此风险或深入增长对应的安全措施。剩余风险评估完毕后，剩余风险报管理者代表审核、总经理同意。信息安全风险的持续评估信息安全管理委员会每年