ISO27001体系认证01风险评估方法与准则

SO27001体系认证01风险评估方法与准则风险评估准则资产价值计算方法：资产价值=保密性赋值＋完整性赋值＋可用性赋值风险值计算方法：风险值=资产等级＋威胁性赋值＋脆弱性赋值资产等级、风险等级评定方法：见下要素准则要素准则数据资产实体资产自有软件/外购软件/服务/形象文件资产人员资产保密性、传输及处理设施/人员涉及信息的访问权限等级来评估资产保密性的要求等级访问权限赋值存储、传输及处理信息的访问权限赋值存储、传输及处理信息的访问权限赋值存储、传输及处理信息的访问权限赋值岗位接触信息的访问权限赋值对公司及外部都是公开的1对公司及外部都是公开的1对公司及外部都是公开的1对公司及外部都是公开的1对公司及外部都是公开的1对公司内部所有员工是公开的3对公司内部所有员工是公开的3对公司内部所有员工是公开的3对公司内部所有员工是公开的3对公司内部所有员工是公开的3只限于公司某个部门或职能可以访问的信息5只限于公司某个部门或职能可以访问的信息5只限于公司某个部门或职能可以访问的信息5只限于公司某个部门或职能可以访问的信息5只限于公司某个部门或职能可以访问的信息5只限于公司中层7访问的信息7只限于公司中层管理人员以上或部门少数关键人员可以访问的信息7访问的信息7只限于公司中层管理人员以上可以访问的信息7只限于公司高层以访问的信息9的信息9只限于公司高层管理人员或公司少数关键人员可以访问的信息9只限于公司高层管的信息9访问的信息9要素准则数据资产实体资产自有软件/外购软件/服务/形象文件资产人员资产完整性影响程度赋值影响程度赋值影响程度赋值文件类别赋值岗位范围赋值可以忽略1可以忽略1可以忽略1可以忽略1实习员工\外聘临时工1轻微3轻微3轻微3轻微3一般员工3一般5一般5一般5一般5技术、管理、财务等方面的骨干人员5严重7严重7严重7严重7中层管理人员7非常严重9非常严重9非常严重9非常严重9高层管理人员9要素准则数据资产实体/服务资产文件/软件资产形象资产人员资产可用性按资产使用或允许中断的时间次数来评估可用性按资产使用或允许中断的时间次数来评估赋值每次中断允许时间 赋值使用频次要求赋值使用频次赋值允许离岗时间赋值16次以上或全部工作时间中断9-15次或1/2工作时间中断3-8次或1/4工作时间中断1-2次或1/8工作时间中断不允许13天以上1每年都要使用至少1次1每年都要使用至少1次110个工作日及以上131－3天3每个季度都要使用至少1次3每个季度都要使用至少1次36-9工作日3512小时－1天5每个月都要使用至少1次5每个月都要使用至少1次53-5个工作日573小时－12小时7每周都要使用至少1次7每周都要使用至少1次72个工作日790－3小时9每天都要使用至少1次9每天都要使用至少1次91个工作日9要素标识相对价值范围资产等级很高23,25,274高17,19,213一般11,13,152低3,5,7,91要素标识发生的频率出现的频率很高（或≥1次/周）；或在大多很高数情况下几乎不可避免；或可以证实经常发生过5出现的频率较高（或≥41次/月）；或在大多高数情况下很有可能会发威胁利用生；或可以证实多次发弱点导致生过危害的可出现的频率中等（或>能性一般1次/半年）；或在某种情况下可能会发生；或被证实曾经发生过3出现的频率较小；或一低般不太可能发生；或没有被证实发生过2很低威胁几乎不可能发生；仅可能在非常罕见和例外的情况下发生1要素标识严重程度如果被威胁利用，将对很高公司重要资产造成重大损害5高如果被威胁利用，将对脆弱性被重要资产造成一般损害4一般威胁利用如果被威胁利用，将对后的严重一般资产造成重要损害3低性如果被威胁利用，将对一般资产造成一般损害2如果被威胁利用，将对很低资产造成的损害可以忽略1要素标识风险值范围级别可接受准则风险级别高风险12～144风险不可接受，必须立即采取有效的措施降低风险较风险9～113风险可以接受，但需要采取进一步措施降低风险一般风险6～82风险可以接受低风险3～51常见威胁ID威胁威胁方影响资产利用弱点可能性影响风险R01篡改恶意人员业务数据系统缺陷，网络缺陷低高低R02传输信息泄漏恶意人员业务数据网络线路中高中R03配置错误维护人员应用系统，业务数据运行管理流程缺陷中中低R04冒名访问恶意人员业务数据运行管理流程缺陷、帐户口令泄漏低高高R05病毒感染维护人员、用业务数据，应用系统系统缺陷、运行管理缺陷低高低R06业务信息泄漏用户业务数据运行管理流程缺陷低高低R07攻击恶意人员应用系统，业务数据系统缺陷，网络缺陷中高高R08操作抵赖维护人员，用应用系统，业务数据操作记录低中低R09越权访问用户应用系统，业务数据系统配置缺陷中低低R10设备物理破坏恶意人员应用系统，业务数据设备物理安全漏洞低高低威胁分类表种类描述威胁子类软硬件故障种类描述威胁子类软硬件故障对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障物理环境影响对信息系统正常运行造成影响的物理环境问题和自然灾害断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等无作为或操作失误应该执行而没有执行相应的操作，或无意执行了错误的操作维护错误、操作失误等管理不到位安全管理无法落实或不到位，从而破坏信息系统正常有序运行管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等恶意代码故意在计算机系统上执行恶意任务的程序代码病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等越权或滥用通过采用一些措施，超越自己的权限访问了本来无权访问的资源，或者滥用自己的权限，做出破坏信息系统的越权或滥用通过采用一些措施，超越自己的权限访问了本来无权访问的资源，或者滥用自己的权限，做出破坏信息系统的非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵网络探测和信息采集、漏洞探测、嗅探（帐号、口令、权限等、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运物理攻击通过物理的接触造成对软件、硬件、数据的破坏物理接触、物理破坏、盗窃等泄密信息泄露给不应了解的他人内部信息泄露、外部信息泄露等篡改非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息抵赖不承认收到的信息和所作的操作和交易原发抵赖、接收抵赖、第三方抵赖等常见脆弱性序号类别薄弱点威胁1.环境和基础建筑物/门以及窗户缺少物理保护例如,可能会被偷窃这一威胁所利用对建筑物\房间物理进入控制不充分,或松懈可能会被故意损害这一威胁所利用电网不稳定可能会被功率波动这一威胁所利用所处位置容易受到洪水袭击可能会被洪水这一威胁所利用2.硬件缺少定期替换计划可能会被存储媒体退化这一威胁所利用容易受到电压不稳定的侵扰可能会被功率波动这一威胁所利用容易受到温度变化的侵扰可能会温度的极端变化这一威胁所利用容易受到湿度、灰尘和污染的侵扰可能会被灰尘这一威胁所利用对电磁辐射的敏感性可能会被电磁辐射这一威胁所利用不充分的维护/存储媒体的错误安装可能会被维护失误这一威胁所利用缺少有效的配置变化控制可能会被操作职员失误这一威胁所利用3.软件开发人员的说明不清楚或不完整可能会被软件故障这一威胁所利用没有软件测试或软件测试不充分可能会被未经授权许可的用户使用软件这一威胁所利用复杂的用户界面可能会被操作职员失误这一威胁所利用缺少识别和鉴定机制，如：用户鉴定可能会被冒充用户身份这一威胁所利用缺少审核跟踪可能会被以未经授权许可的方式使用软件这一威胁所利用软件中存在众所周知的缺陷可能会被软件未经许可的用户使用软件这一威胁所利用口令表没有受到保护可能会被冒充用户身份这一威胁所利用口令管理较差（很容易被猜测，公开地存储口令，不经常更改）可能会被冒充用户身份这一威胁所利用访问权的错误分派可能会被以未经许可的方式使用软件这一威胁所利用对下载和使用软件不进行控制可能会被恶意软件这一威胁所利用离开工作站没有注销用户可能会被未经许可的用户使用软件这一威胁所利用缺少有效的变化控制可能会被软件故障这一威胁所利用缺少文件编制可能会被操作职员的失误这一威胁所利用缺少备份可能会被恶意软件或火灾这一威胁所利用没有适当的擦除而对存储媒体进行处理或重新使用可能会被未经许可的用户使用软件这一威胁所利用4.通讯通讯线路没有保护可能会被偷听这一威胁所利用电缆连接差可能会被通讯渗透这一威胁所利用对发件人和收件人缺少识别和鉴定可能会被冒充用户身份这一威胁所利用公开传送口令可能会被未经许可的用户接入网络这一威胁所利用收发信息缺少验证可能会被否认这一威胁所利用拨号线路可能会被未经许可的用户接入网络这一威胁所利用对敏感性通信不进行保护可能会被偷听这一威胁所利用网络管理不充分（路由的弹性）可能会被通信量超载这一威胁所利用公共网络连接没有保护可能会被未经许可的用户使用软件这一威胁所利用5.文件存储没有保护可能会被偷窃这一威胁所利用进行处理时缺少关注可能会被偷窃这一威胁所利用对拷贝没有进行控制可能会被偷窃这一威胁所利用6.人员人员缺席可能会被缺少员工这一威胁所利用对外部人员和清理人员的工作不进行监督可能会被偷窃这一威胁所利用不充分的安全培训可能会被操作职员的失误这一威胁所利用缺少安全意识可能会被用户错误这一威胁所利用对软件和硬件不正确的使用可能会被操作职员的失误这一威胁所利用缺少监控机制可能会被以未经许可的方式使用软件这一威胁所利用在正确使用通讯媒体和信息方面缺乏政策可能会被以未经许可的方式使用网络设施这一威胁所利用增员程序不充分可能会被故意损害这一威胁所利用7.一般都适用的薄弱环节某一点上的故障可能会被通讯服务故障这一威胁所利用服务维护反应