信息安全风险管理程序文件

目的为了在考虑控制成本与风险平衡的前提下选择适宜的控制目的和控制方式，将信息安全风险控制在可接受的水平，特制订本程序。围本程序合用信息安全管理体系(ISMS)围信息安全风险评定活动的管理。职责研发中心负责牵头成立信息安全管理委员会。信息安全管理委员会负责编制《信息安全风险评预计划》，确认评定成果，形成《风险评定报告》及《风险解决计划》。各部门负责本部门使用或管理的资产的识别和风险评定，并负责本部门所涉及的资产的具体安全控制工作。有关文献《信息安全管理手册》《GB-T20984-信息安全风险评定规》《信息技术安全技术信息技术安全管理指南第3部分：IT安全管理技术》程序风险评定前准备研发中心牵头成立信息安全管理委员会，委员会组员应包含信息安全重要责任部门的组员。信息安全管理委员会制订《信息安全风险评预计划》，下发各部门。风险评定办法-定性综合风险评定办法本项目采用的是定性的风险评定办法。定性风险评定并不强求对构成风险的各个要素（特别是资产）进行精确的量化评价，它有赖于评定者的经验判断、业界惯例以及组织本身定义的原则，来对风险要素进行相对的等级分化，最后得出的风险大小，只需要通过等级差别来分出风险解决的优先次序即可。综合评定是先识别资产并对资产进行赋值评定，得出重要资产，然后对重要资产进行具体的风险评定。资产赋值各部门信息安全管理委员会组员对本部门资产进行识别，并进行资产赋值。资产价值计算办法：资产价值=性赋值＋完整性赋值＋可用性赋值资产赋值的过程是对资产在信息分类、性、完整性、可用性进行分析评定，并在此基础上得出综合成果的过程。拟定信息类别信息分类按“5.9资产识别参考（资产类别）”进行，信息分类不合用时，可不填写。性(C)赋值根据资产在性上的不同规定，将其分为五个不同的等级，分别对应资产在性上的应达成的不同程度或者性缺失时对整个组织的影响。完整性(I)赋值根据资产在完整性上的不同规定，将其分为五个不同的等级，分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。可用性(A)赋值根据资产在可用性上的不同规定，将其分为五个不同的等级，分别对应资产在可用性上的达成的不同程度。资产价值判断原则要素准则数据资产实体/服务资产文献/软件资产无形资产人员资产可用性按资产使用或允许中断的时间次数来评定数据存储、传输及解决设施在一种工作日允许中断的次数或时间比例赋值每次中断允许时间赋值使用频次规定赋值使用频次赋值允许离岗时间赋值16次以上或全部工作时间中断13天以上1每年都要使用最少1次1每年都要使用最少1次110个工作日及以上19-15次或1/2工作时间中断21－3天2每个季度都要使用最少1次2每个季度都要使用最少1次26-9工作日23-8次或1/4工作时间中断312小时－1天3每月都要使用最少1次3每月都要使用最少1次33-5个工作日31-2次或1/8工作时间中断43小时－12小时4每七天都要使用最少1次4每七天都要使用最少1次42个工作日4不允许50－3小时5每天都要使用最少1次5每天都要使用最少1次51个工作日5形成资产清单各部门的《重要资产调查与风险评定表》经本部门负责人审核，报管理者代表确认。鉴定重要资产根据前面的资产性、完整性、可用性的赋值相加得到资产的价值，资产价值越高表达资产重要性程度越高。要素标记相对价值围等级资产等级很高15,14,134高12,11,103普通9,8,7,62低5,4,31按资产价值得出重要资产，资产价值为4，3的是重要资产，资产价值为2，1的是非重要资产。信息安全管理委员会对各部门资产识别状况进行审核，确保没有遗漏重要资产，形成各部门的《资产识别清单》。各部门的《资产识别清单》经本部门负责人审核，报管理者代表确认，并分发各部门存档。重要资产风险评定应对全部的重要资产进行风险评定，评定应考虑威胁、脆弱性、威胁事件发生的可能性、威胁事件发生后对资产造成的影响程度、风险的等级、风险与否在可接受围及已采用的方法等方面因素。识别威胁威胁是对组织及其资产构成潜在破坏的可能性因素，造成威胁的因素可分为人为因素和环境因素。威胁作用形式能够是对信息系统直接或间接的攻击，例如非授权的泄露、篡改、删除等，在性、完整性或可用性等方面造成损害；也可能是偶发的、或蓄意的事件。威胁可基于体现形式分类，基于体现形式的威胁分类原则可参考下表：威胁分类表种类描述威胁子类软硬件故障对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺点等问题设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等物理环境影响对信息系统正常运行造成影响的物理环境问题和自然灾害断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等无作为或操作失误应当执行而没有执行对应的操作，或无意执行了错误的操作维护错误、操作失误等管理不到位安全管理无法贯彻或不到位，从而破坏信息系统正常有序运行管理制度和方略不完善、管理规程缺失、职责不明确、监督控管机制不健全等恶意代码故旨在计算机系统上执行恶意任务的程序代码病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等越权或滥用通过采用某些方法，超越自己的权限访问了原来无权访问的资源，或者滥用自己的权限，做出破坏信息系统的行为非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配备或数据、滥用权限泄露秘密信息等网络攻击运用工具和技术通过网络对信息系统进行攻击和入侵网络探测和信息采集、漏洞探测、嗅探（、口令、权限等）、顾客身份伪造和欺骗、顾客或业务数据的窃取和破坏、系统运行的控制和破坏等物理攻击通过物理的接触造成对软件、硬件、数据的破坏物理接触、物理破坏、盗窃等泄密信息泄露给不应理解的别人部信息泄露、外部信息泄露等篡改非法修改信息，破坏信息的完整性使系统的安全性减少或信息不可用篡改网络配备信息、篡改系统配备信息、篡改安全配备信息、篡改顾客身份信息或业务数据信息等抵赖不承认收到的信息和所作的操作和交易原发抵赖、接受抵赖、第三方抵赖等各部门根据资产本身所处的环境条件，识别每个资产所面临的威胁。识别脆弱性脆弱性是对一种或多个资产弱点的总称。脆弱性是资产本身存在的，如果没有对应的威胁发生，单纯的脆弱性本身不会对资产造成损害。并且如果系统足够强健，再严重的威胁也不会造成安全事件，并造成损失。即，威胁总是要运用资产的脆弱性才可能造成危害。资产的脆弱性含有隐蔽性，有些脆弱性只有在一定条件和环境下才干显现，这是脆弱性识别中最为困难的部分。需要注意的是，不对的的、起不到应有作用的或没有对的实施的安全方法本身就可能是一种脆弱性。脆弱性识别将针对每一项需要保护的资产，找出可能被威胁运用的脆弱性，并对脆弱性的严重程度进行评定。脆弱性识别时的数据应来自于资产的全部者、使用者，以及有关业务领域的专家和软硬件方面的专业人员。脆弱性识别重要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动有关，后者与管理环境有关。常见脆弱性序号类别单薄点威胁1.

环境和基础设施建筑物/门以及窗户缺少物理保护例如,可能会被盗窃这一威胁所运用●对建筑物\房间物理进入控制不充足,或松懈可能会被故意损害这一威胁所运用●电网不稳定可能会被功率波动这一威胁所运用●所处位置容易受到洪水攻击可能会被洪水这一威胁所运用2.

硬件缺少定时替代计划可能会被存储媒体退化这一威胁所运用●容易受到电压不稳定的侵扰可能会被功率波动这一威胁所运用●容易受到温度变化的侵扰可能会温度的极端变化这一威胁所运用●容易受到湿度、灰尘和污染的侵扰可能会被灰尘这一威胁所运用●对电磁辐射的敏感性可能会被电磁辐射这一威胁所运用●不充足的维护/存储媒体的错误安装可能会被维护失误这一威胁所运用●缺少有效的配备变化控制可能会被操作职工失误这一威胁所运用3.

软件开发人员的阐明不清晰或不完整可能会被软件故障这一威胁所运用●没有软件测试或软件测试不充足可能会被未经授权许可的顾客使用软件这一威胁所运用●复杂的顾客界面可能会被操作职工失误这一威胁所运用●缺少识别和鉴定机制，如：顾客鉴定可能会被冒充顾客身份这一威胁所运用●缺少审核跟踪可能会被以未经授权许可的方式使用软件这一威胁所运用●软件中存在众所周知的缺点可能会被软件未经许可的顾客使用软件这一威胁所运用●口令表没有受到保护可能会被冒充顾客身份这一威胁所运用●口令管理较差（很容易被猜想，公开地存储口令，不经常更改）可能会被冒充顾客身份这一威胁所运用●访问权的错误分派可能会被以未经许可的方式使用软件这一威胁所运用●对下载和使用软件不进行控制可能会被恶意软件这一威胁所运用●离开工作站没有注销顾客可能会被未经许可的顾客使用软件这一威胁所运用●缺少有效的变化控制可能会被软件故障这一威胁所运用●缺少文献编制可能会被操作职工的失误这一威胁所运用●缺少备份可能会被恶意软件或火灾这一威胁所运用●没有适宜的擦除而对存储媒体进行解决或重新使用可能会被未经许可的顾客使用软件这一威胁所运用4.

通讯通讯线路没有保护可能会被偷听这一威胁所运用●电缆连接差可能会被通讯渗入这一威胁所运用●对发件人和收件人缺少识别和鉴定可能会被冒充顾客身份这一威胁所运用●公开传送口令可能会被未经许可的顾客接入网络这一威胁所运用●收发信息缺少验证可能会被否认这一威胁所运用●拨号线路可能会被未经许可的顾客接入网络这一威胁所运用●对敏感性通信不进行保护可能会被偷听这一威胁所运用●网络管理不充足（路由的弹性）可能会被通信量超载这一威胁所运用●公共网络连接没有保护可能会被未经许可的顾客使用软件这一威胁所运用5.

文献存储没有保护可能会被盗窃这一威胁所运用●进行解决时缺少关注可能会被盗窃这一威胁所运用●对拷贝没有进行控制可能会被盗窃这一威胁所运用6.

人员人员缺席可能会被缺少员工这一威胁所运用●对外部人员和清理人员的工作不进行监督可能会被盗窃这一威胁所运用●不充足的安全培训可能会被操作职工的失误这一威胁所运用●缺少安全意识可能会被顾客错误这一威胁所运用●对软件和硬件不对的的使用可能会被操作职工的失误这一威胁所运用●缺少监控机制可能会被以未经许可的方式使用软件这一威胁所运用●在对的使用通讯媒体和信息方面缺少政策可能会被以未经许可的方式使用网络设施这一威胁所运用●增员程序不充足可能会被故意损害这一威胁所运用7.

普通都合用的单薄环节某一点上的故障可能会被通讯服务故障这一威胁所运用●服务维护反映局限性可能会被硬件故障这一威胁所运用脆弱性识别容表类型识别对象识别容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别网络构造从网络构造设计、边界保护、外部访问控制方略、部访问控制方略、网络设备安全配备等方面进行识别系统软件从补丁安装、物理保护、顾客、口令方略、资源共享、事件审计、访问控制、新系统配备、注册表加固、网络安全、系统管理等方面进行识别应用中间件从合同安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、访问控制方略、数据完整性、通信、鉴别机制、密码保护等方面进行识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务持续性等方面进行识别组织管理从安全方略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别威胁运用脆弱性发生风险之后的影响后果描述风险描述识别现有控制方法评定威胁发生的可能性分析威胁运用脆弱性给资产造成损害的可能性。拟定各个威胁运用脆弱性造成损害的可能性。判断每项重要资产所面临威胁发生的可能性时应注意：威胁事件本身发生的可能性；现有的安全控制方法；现存的安全脆弱性。要素标记发生的频率等级威胁运用弱点造成危害的可能性很高出现的频率很高（或≥1次/周）；或在大多数状况下几乎不可避免；或能够证明经常发生过5高出现的频率较高（或≥1次/月）；或在大多数状况下很有可能会发生；或能够证明多次发生过4普通出现的频率中档（或>1次/六个月）；或在某种状况下可能会发生；或被证明曾经发生过3低出现的频率较小；或普通不太可能发生；或没有被证明发生过2很低威胁几乎不可能发生；仅可能在非常罕见和例外的状况下发生1影响程度分析影响程度指一旦威胁事件实际发生时，将给资产带来多大程度的损失。在分析时，能够从影响有关方和影响业务持续性两个不同维度方面来评定打分。如果改风险可能引发法律起诉，则影响程度值为最高5分。要素标记严重程度等级威胁被运用后的严重性很高如果被威胁运用，将对公司重要资产造成重大损害5高如果被威胁运用，将对重要资产造成普通损害4普通如果被威胁运用，将对普通资产造成重要损害3低如果被威胁运用，将对普通资产造成普通损害2很低如果被威胁运用，将对资产造成的损害能够无视1风险的等级风险值由威胁发生的可能性、影响程度和资产价值这三个因素共同决定。风险值计算办法：风险值=威胁发生可能性*（威胁发生对性的影响+威胁发生对完整性的影响+威胁发生对可用性的影响）风险等级原则见下表：要素标记风险值围级别可接受准则风险级别高风险>204风险不可接受，必须立刻采用有效的方法减少风险较高风险>15且<=203风险能够接受，但需要采用进一步方法减少风险普通风险>10且<=152风险能够接受低风险<=101建议控制方法安全方法能够分为防止性安全方法和保护性安全方法两种。防止性安全方法能够减少威胁运用脆弱性造成安全事件发生的可能性，如入侵检测系统；保护性安全方法能够减少因安全事件发生对信息系统造成的影响，如业务持续性计划。建议控制方法确实认与脆弱性识别存在一定的联系。普通来说，安全方法的使用将减少脆弱性，但安全方法确实认并不需要与脆弱性识别过程那样具体到每个资产、组件的脆弱性，而是一类具体方法的集合。不可接受风险的拟定通过预制的风险的可接受准则，进行风险可接受性鉴定（与否高风险），并生成各部门的《重要资产调查与风险评定表》表单。各部门的《重要资产调查与风险评定表》经本部门负责人审核，报管理者代表同意。风险解决对风险应进行解决。对可接受风险，可保持已有的安全方法；如果是不可接受风险（高风险），则需要采用安全方法以减少、控制风险。对不可接受风险，应采用新的风险解决的方法，规定风险解决方式、责任部门和时间进度，高风险应得到优先的考虑。信息安全管理委员会根据《重要资产调查与风险评定表》编制《风险处置计划》。信息安全管理委员会根据《重要资产调查与风险评定表》编制《风险评定报告》，述信息安全管理现状，分析存在的信息安全风险，提出信息安全管理（控制）的建议与方法。管理者代表考虑成本与风险的关系，对《风险评定报告》及《风险解决计划》的有关容审核，对认为不适宜的控制或风险解决方式等提出阐明，由信息安全管理委员会协同有关部门重新考虑管理者代表的意见，选择其它的控制或风险解决方式，并重新提交管理者代表审核同意实施。各责任部门按照同意后的《风险解决计划》的规定采用有效安全控制方法，确保所采用的控制方法是有效的。如果减少风险所付出的成本不不大于风险所造成的损失，则选择接受风险。剩余风险评定对采用安全方法解决后的风险，信息安全管理委员会进行再评定，以判断实施安全方法后的残存风险与否已经减少到可接受的水平。某些风险可能在选择了适宜的安全方法后仍处在不可接受的风险围，应考虑与否接受此风险或进一步增加对应的安全方法。剩余风险评定完毕后，剩余风险报管理者代表审核、总经理同意。信息安全风险的持续评定信息安全管理委员会每年