ISO27001-2013版信息安全管理体系全套制度文件

第2页共39页信息安全风险评估指南编号：******001状态：受控编写：信息安全领导小组2019年5月8日审核：****2019年5月8日批准：****2019年5月8日发布版次：第A/0版2019年5月8日生效日期2019年5月8日分发：各部门

变更记录变更日期版本变更说明编写审核批准2019-5-8A/0初始版本********

信息安全风险评估指南本指南在编制过程中主要依据了国家政策法规、技术标准、规范与管理要求。本指南附录A为规范类附录，附录B、C、D为资料类附录。1.1政策法规：《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》（国信办[2006]5号）1.2国际标准：ISO/IEC17799:2005《信息安全管理实施指南》ISO/IEC27001:2013《信息安全管理体系要求》ISO/IECTR13335《信息技术安全管理指南》SSE-CMM《系统安全工程能力成熟模型》1.3国内标准：《信息安全风险评估指南》（国信办综[2006]9号）《重要信息系统灾难恢复指南》（国务院信息化工作人力资源部2005年4月）GB17859—1999《计算机信息系统安全保护等级划分准则》GB/T183361-3：2001《信息技术安全性评估准则》GB/T5271.8--2001《信息技术词汇第8部分：安全》GB/T19715.1-2005《信息技术安全管理指南第1部分：信息技术安全概念和模型》GB/T19716-2005《信息安全管理实用规则》1.4其它《信息安全风险评估方法与应用》（国家863高技术研究发展计划资助项目(2004AA147070)）风险评估2.1、风险评估要素关系模型风险评估的出发点是对与风险有关的各因素的确认和分析。下图中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性，也是风险评估要素的一部分。风险评估的工作是围绕其基本要素展开的，在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。如下模型表示了各因素的关系：风险评估要素关系模型图中这些要素之间存在着以下关系：业务战略依赖于资产去完成；资产拥有价值，单位的业务战略越重要，对资产的依赖度越高，资产的价值则就越大；资产的价值越大则风险越大；风险是由威胁发起的，威胁越大则风险越大，并可能演变成安全事件；威胁都要利用脆弱性，脆弱性越大则风险越大；脆弱性使资产暴露，是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险；资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足，且是有成本的；安全措施可以抗击威胁，降低风险，减弱安全事件的影响；风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险，—部分残余风险来自于安全措施可能不当或无效，在以后需要继续控制这部分风险，另一部分残余风险则是在综合考虑了安全的成本与资产价值后，有意未去控制的风险，这部分风险是可以被接受的；残余风险应受到密切监视，因为它可能会在将来诱发新的安全事件。2.2风险计算模型风险计算模型是对通过风险分析计算风险值的过程的抽象，它主要包括资产评估、威胁评估、脆弱性评估以及风险分析。风险计算模型如下图所示：风险计算模型示意图风险计算模型中包含：资产、威胁、脆弱性等基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、发生的可能性、动机等；脆弱性的属性是脆弱性被威胁利用后对资产带来的影响的严重程度。2.3风险计算的过程如下：对资产进行识别，并对资产的价值进行赋值；根据资产价值的评判标准，评价出重要信息资产；对重要信息资产面临的威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；对重要信息资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性；根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失；根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。3风险评估实施过程根据风险评估要素关系模型，进行风险评估需要分析评价各要素，按照各要素关系，风险评估的过程主要包括：风险评估的准备，即信息收集与整理、对资产、威胁、脆弱性的分析、已有采取安全措施的确认以及风险评价等环节，风险评估实施过程可用下图表示：图：风险评估实施流程以下对风险评估过程中包括的具体步骤进行详细描述。3.1风险评估的准备风险评估的准备过程是整个风险评估过程有效的保证和基础。组织实施风险评估是一种战略性的考虑，其结果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。3.2资产价值3.2.1资产分类在一般的风险评估体中，资产大多属于不同的信息系统，如网管系统，业务生产系统等，而且对于提供多种业务的机构，业务生产系统的数量还可能会很多。这时首先需要将信息系统及其中的信息资产进行恰当的分类，才能在此基础上进行下一步的风险评估工作。在实际项目中，具体的资产分类方法可以根据具体环境，由评估者来灵活把握。根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类型，表3.2为一个资产分类示例。分类示例软件系统软件：操作系统、语言包、工具软件、各种库等应用软件：外部购买的应用软件，外包开发的应用软件等硬件网络设备：路由器、网关、交换机等计算机设备：大型机、小型机、服务器、工作站、台式计算机、移动计算机等存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路：光纤、双绞线等保障设备：动力保障设备（UPS、变电设备等）、空调、保险柜、文件柜、门禁、消防设施等安全保障设备：防火墙、入侵检测系统、身份验证等其他：打印机、复印机、扫描仪、传真机等数据保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等服务办公服务：为提高效率而开发的管理信息系统（MIS），包括各种内部配置管理、文件流转管理等服务、公用设施、培训服务、租赁服务等网络服务：各种网络设备、设施提供的网络连接服务信息服务：对外依赖该系统开展的各类服务文档纸质的各种文件、传真、电报、财务报告、发展计划、商标、软著等人员掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等其他组织的声誉、形象等表3.2资产种类资产识别方式及阶段成果：在资产识别过程中，本公司信息安全领导小组可以通过问卷调查、人员问询的方式识别每一项资产，在本阶段结束后本公司信息安全领导小组将向信息系统所有者提供《资产识别清单》，清单中应明确各资产的负责人/部门，并由信息系统所有者进行书面确认。3.2.2资产赋值本指南所指资产赋值是对资产安全价值的估价，而不是以资产的账面价格来衡量的。在对资产进行估价时，不仅要考虑资产的成本价格，更重要的是考虑资产对于组织业务的安全重要性，即根据资产损失所引发的潜在的商务影响来决定。为确保资产估价时的一致性和准确性，本公司信息安全领导小组应按照上述原则，建立一个资产价值尺度（资产评估标准），以明确如何对资产进行赋值。资产估价的过程也就是对资产保密性、完整性和可用性影响分析的过程。影响就是由人为或突发性引起的安全事件对资产破坏的后果。这一后果可能毁灭某些资产，危及信息系统并使其丧失保密性、完整性和可用性，最终还会导致财产损失、市场份额或公司形象的损失。特别重要的是，即使每一次影响引起的损失并不大，但长期积累的众多意外事件的影响总和则可造成严重损失。一般情况下，影响主要从以下几方面来考虑：违反了有关法律或（和）规章制度影响了业务执行造成了信誉、声誉损失侵犯了个人隐私造成了人身伤害对法律实施造成了负面影响侵犯了商业机密违反了社会公共准则造成了经济损失破坏了业务活动危害了公共安全资产安全属性的不同通常也意味着安全控制、保护功能需求的不同。风险评估小组应当通过考察三种不同安全属性，能够基本反映资产的价值。保密性赋值根据资产保密性属性的不同，将它分为5个不同的等级，分别对应资产在保密性方面的价值或者在保密性方面受到损失时对整个评估的影响。赋值标识定义5极高包含组织最重要的机密，关系组织未来发展的前途命运，对组织根本利益有着决定性影响，如果泄漏会造成灾难性的损害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害1很低可对社会公开的信息，公用的信息处理设备和系统资源等表3.3资产保密性赋值完整性赋值根据资产完整性属性的不同，将它分为5个不同的等级，分别对应资产在完整性方面的价值或者在完整性方面受到损失时对整个评估的影响。赋值标识定义5极高完整性价值非常关键，未经授权的修改或破坏会对评估体造成重大的或无法接受、特别不愿接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4高完整性价值较高，未经授权的修改或破坏会对评估体造成重大影响，对业务冲击严重，比较难以弥补3中等完整性价值中等，未经授权的修改或破坏会对评估体造成影响，对业务冲击明显，但可以弥补2低完整性价值较低，未经授权的修改或破坏会对评估体造成轻微影响，可以忍受，对业务冲击轻微，容易弥补1很低完整性价值非常低，未经授权的修改或破坏会对评估体造成的影响可以忽略，对业务冲击可以忽略。表3.4资产完整性赋值资产可用性赋值根据资产可用性属性的不同，将它分为5个不同的等级，分别对应资产在可用性方面的价值或者在可用性方面受到损失时对整个评估系统的影响。赋值标识定义5极高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上，或系统不允许中断4高可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上，或系统允许中断时间小于10分钟3中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到90%以上，或系统允许中断时间小于30分钟2低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或系统允许中断时间小于60分钟1可忽略可用性价值可以忽略，法使用者对信息及信息系统的可用度在正常工作时间低于25%。表3.5资产可用性赋值3.2.3资产重要性等级最终资产价值可通过违反资产的保密性、完整性和可用性三个方面的程度综合确定，资产的赋值采用定性的相对等级的方式。与以上安全属性的等级相对应，资产价值的等级可分为五级，从1到5由低到高分别代表五个级别的资产相对价值，等级越大，资产越重要。重要程度≥3的为重要信息资产，列入《重要信息资产清单》。由于资产最终价值的等级评估是依据资产保密性、完整性、可用性的赋值级别经过综合评定得出的，本标准的评定准则选择“最高的属性级别”为综合资产赋值准则的方法。当然，风险评估小组也可以根据被评估系统的实际情况自定义资产的等级，但该评定方法必须在事先得到信息系统所有者认可。等级标识资产价值定义5很高非常重要，其安全属性破坏后可能对组织造成非常严重的损失4高重要，其安全属性破坏后可能对组织造成比较严重的损失3中比较重要，其安全属性破坏后可能对组织造成中等程度的损失2低不太重要，其安全属性破坏后可能对组织造成较低的损失1很低不重要，其安全属性破坏后可能对组织造成很小的损失，甚至忽略不计表3.6资产重要性等级划分表阶段成果：风险评估小组确定在信息安全方面对组织业务发展（考虑相关方要求）起到关键作用的资产，根据本规则，对资产的保密性、完整性、可用性进行赋值与计算，并根据资产赋值结果得出《重要信息资产清单》，该清单一般应包括重要信息资产名称、描述、类型、重要程度、责任人/部门，应根据预先制定的规则，对资产的保密性、完整性、可用性进行赋值与计算。资产识别阶段小结如表3.7所示：资产识别阶段工作任务根据资产的表现形式对资产进行分类；根据对资产安全价值的估价对资产进行三性（保密性、完整性、可用性）赋值；根据资产赋值结果，采用“最高的属性级别”法评价出重要资产。工作方式问卷调查、人员问询参与人员信息系统所有者项目负责人及相关技术人员，评估小组阶段成果《资产识别评价表》表3.7资产识别阶段小结3.3威胁识别安全威胁是一种对组织及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统，安全威胁是一个客观存在的事物，它是风险评估的重要因素之一。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素又可区分为恶意和非恶意两种。环境因素包括自然界的不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，例如非授权的泄露、篡改、删除等，在保密性、完整性或可用性等方面造成损害。也可能是偶发的、或蓄意的事件。一般来说，威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。安全事件及其后果是分析威胁的重要依据。但是有相当一部分威胁发生时，由于未能造成后果，或者没有意识到，而被安全管理人员忽略。这将导致对安全威胁的认识出现偏差。在威胁识别过程中，本公司信息安全领导小组通过问卷调查、人员问询的方式对信息系统所有者需要保护的每一项关键资产进行威胁识别，并根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断威胁的程度。一项资产可能面临着多个威胁，同样一个威胁可能对不同的资产造成影响。3.3.1威胁分类分析存在哪些威胁种类，首先要考虑威胁的来源，信息系统的安全威胁来源可参考如下表。威胁来源威胁来源描述环境因素由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害；意外事故或由于软件、硬件、数据、通讯线路方面的故障人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主的或内外勾结的方式盗窃机密信息或进行篡改，获取利益。外部人员利用信息系统的脆弱性，对网络或系统的保密性、完整性和可用性进行破坏，以获取利益或炫耀能力。非恶意人员内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致故障或被攻击；内部人员由于缺乏培训，专业技能不足,不具备岗位技能要求而导致信息系统故障或被攻击。表3.8威胁来源列表对安全威胁进行分类的方式有多种多样，针对上表威胁来源，可以将威胁分为以下种类。威胁种类威胁描述威胁子类软硬件故障由于设备硬件故障、通讯链路中断、系统本身或软件缺陷造成对业务实施、系统稳定运行的影响。设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障。物理环境影响断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题或自然灾害无作为或操作失误由于应该执行而没有执行相应的操作，或无意地执行了错误的操作，对系统造成的影响。维护错误、操作失误管理不到位安全管理无法落实，不到位，造成安全管理不规范，或者管理混乱，从而破坏信息系统正常有序运行。恶意代码和病毒具有自我复制、自我传播能力，对信息系统构成破坏的程序代码恶意代码、木马后门、网络病毒、间谍软件、窃听软件越权或滥用通过采用一些措施，超越自己的权限访问了本来无权访问的资源；或者滥用自己的职权，做出破坏信息系统的行为。未授权访问网络资源、未授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息网络攻击利用工具和技术，例如侦察、密码破译、安装后门、嗅探、伪造和欺骗、拒绝服务等手段，对信息系统进行攻击和入侵网络探测和信息采集、漏洞探测、嗅探（账户、口令、权限等）、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏物理攻击通过物理的接触造成对软件、硬件、数据的破坏。物理接触、物理破坏、盗窃泄密信息泄漏给不应了解的他人内部信息泄露、外部信息泄露篡改非法修改信息，破坏信息的完整性，使系统的安全性降低或信息不可用篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息抵赖不承认收到的信息和所作的操作和交易原发抵赖、接收抵赖、第三方抵赖表3.9：信息安全威胁参考表3.3.2威胁赋值评估确定威胁发生的可能性是威胁评估阶段的重要工作，评估者采用经验法判断法，参考有关的统计数据来判断威胁发生的频率或者发生的概率。其中，威胁发生的可能性受以下因素影响：资产的吸引力；资产转化成报酬的难易程度；威胁的技术力量；脆弱性被利用的难易程度。操作过程中，威胁的可能性赋值，除了考虑上面几个因素，还需要参考下面三方面的资料和信息来源，如这些资料或者信息能够提供具体数值的，则这些数值就是在特定评估环境中各种威胁发生的可能性。通过过去的安全事件报告或记录，统计各种发生过的威胁和其发生频率；在评估体实际环境中，通过IDS（IntrusionDetectionSystems，入侵检测系统）获取的威胁发生数据的统计和分析，各种日志中威胁发生的数据的统计和分析；过去一年或两年来国际机构发布的对于整个社会或特定行业安全威胁发生频率的统计数据均值。威胁的评估就是针对重要信息资产，比对威胁来源列表和种类列表后得到的威胁列表，依据经验对列表中的威胁发生可能性进行的评估。最终威胁的赋值依照威胁赋值表采用定性的相对等级的方式。威胁的等级划分为五级，从1到5分别代表五个级别的威胁发生可能性。等级数值越大，威胁发生的可能性越大。当然，评估者也可以根据被评估系统的实际情况自定义威胁的等级，但该评定方法必须在事先得到信息系统所有者认可。威胁赋值标识定义5很高出现的频率很高（或≥1次/周），或在大多数情况下几乎不可避免；或可以证实经常发生过。4高出现的频率较高（或≥1次/月），或在大多数情况下很有可能会发生；或可以证实多次发生过。3中出现的频率中等（或>1次/半年）；或在某种情况下可能会发生；或被证实曾经发生过。2低出现的频率较小，或一般不太可能发生；或没有被证实发生过。1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生。表3.10：威胁赋值表阶段成果：在本阶段结束后本公司信息安全领导小组应根据组织的重要信息资产、环境等因素，形成威胁的分类方法及具体的威胁列表，并向信息系统所有者提供《威胁列表》，为风险评估提供支持（可附在风险评估程序中，也可单独形成文件）。《威胁列表》通常包括威胁名称、种类、来源、动机及出现的频率等，须由信息系统所有者书面确认。威胁识别阶段小结如表3.11所示：威胁识别阶段工作任务对信息系统所有者需要保护的每一项重要信息资产进行威胁识别；判断威胁发生的频率或者发生的概率，进行威胁赋值。工作方式问卷调查、人员问询参与人员信息系统所有者项目负责人及相关技术人员，评估小组阶段成果威胁赋值表3.11威胁识别阶段小结3.4脆弱性识别脆弱性是对一个或多个资产弱点的总称。脆弱性识别也称为弱点识别，是风险评估中重要的内容。弱点是资产本身固有的缺陷，任何一种资产均具有脆弱性，并非“不合格”品，它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。值得注意的是，弱点虽然是资产本身固有的，但它本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失。所以如果没有相应的威胁发生，单纯的弱点并不会对资产造成损害。那些没有安全威胁的弱点可以不需要实施安全保护措施，但它们必须记录下来以确保当环境、条件有所变化时能随之加以改变。需要注意的是不正确的、起不到应有作用的或没有正确实施的安全保护措施本身就可能是一个安全薄弱环节。脆弱性识别将针对每一项需要保护的信息资产，找出每一种威胁所能利用的脆弱性，并对脆弱性的严重程度进行评估，即对脆弱性被威胁利用的可能性进行评估，最终为其赋相应等级值。在进行脆弱性评估时，提供的数据应该来自于这些资产的拥有者或使用者，来自于相关业务领域的专家以及软硬件信息系统方面的专业人员。3.4.1脆弱性识别内容脆弱性的识别可以以资产为核心，即根据每个资产分别识别其存在的弱点，然后综合评价该资产的脆弱性；也可以分物理、网络、系统、应用等层次进行识别，然后与资产、威胁结合起来。脆弱性主要从技术和管理两个方面进行评估，涉及物理层、网络层、系统层、应用层、管理层等各个层面的安全问题。表3.12列出了脆弱性的分类。脆弱性分类名称包含内容技术和操作脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。系统环境（含操作系统及系统服务）从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别。应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别操作方面软件和系统在配置、操作、使用中的缺陷，包括人员日常工作中的不良习惯，审计或备份的缺乏进行识别。管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别表3.12信息安全脆弱性参考表脆弱性的分类具体描述如下：物理安全信息系统的物理安全是指包括计算机、网络在内的所有与信息系统安全相关的环境、设备、存储介质的安全。物理安全的评估内容包括：物理环境安全包括机房物理位置的选择、防火、防水和防潮、防静电、防雷击、电磁防护、温湿度控制、电力供应、物理访问控制等。设备安全包括设备采购、安装、访问、废弃等方面的安全。存储介质安全包括介质管理、使用、销毁等方面的安全。网络安全网络安全是指包括路由器、交换机、通信线路在内的，及由其组成信息系统网络环境的安全。网络安全的评估内容包括：网络边界安全；网络系统安全设计；网络设备安全功能及使用；网络访问控制；网络安全检测分析；网络连接；网络可用性。系统环境中主机安全主机安全主要是指基于主机操作系统、数据库系统以及应用平台层面的安全，对主机安全的评估内容包括：账号安全；文件系统安全；网络（系统）服务安全；系统访问控制；日志及监控审计；拒绝服务保护；补丁管理；病毒及恶意代码防护；系统备份与恢复；数据库账号安全；数据库访问控制；数据库存储过程安全;数据库备份与恢复；数据库系统日志审计。应用安全应用安全主要是指应用系统设计、开发安全。对应用安全的评估内容包括：应用系统架构与设计安全身份鉴别；访问控制；交易的安全性；数据的安全性；密码支持；异常处理；备份与故障恢复；安全审计；资源利用；安全管理。应用系统实现安全账户安全；输入合法性检测；口令猜测；应用层拒绝服务（DOS）。B/S应用实现安全网站探测；已知漏洞攻击；参数操控；跨站脚本；指令注入；HTTP方法利用。管理安全管理安全主要包括组织架构、安全策略、安全运行制度等方面，其评估的内容包括：组织和人员安全；安全评估；第三方组织与外包安全；信息资产分类、分级；日常操作与维护管理；变更；备份与故障恢复；应急处理；业务持续性管理；认证/认可。3.4.2脆弱性识别方法脆弱性识别所采用的方法主要为：问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。脆弱性识别在技术方面主要是通过远程和本地两种方式进行系统测试、对网络设备和主机等进行人工检查，以保证技术脆弱性评估的全面性和有效性。通常情况下包括现场手工检查与审核、设备工具测试、渗透测试等活动，这些活动都是为了发现资产的弱点。为了不影响业务的开展，减少评估带来的风险，本标准规定：本公司信息安全领导小组必须事先书面说明自动工具扫描或渗透测试的风险和不可恢复性，除非得到信息系统所有者的书面认可，不得进行自动工具扫描或渗透测试。此外，脆弱性识别进行安全检查与测试时会涉及被检测对象的核心秘密，如：系统配置、安全漏洞等，具有一定的风险，在实施这些检测活动前需要获得相关部门的授权，明确检测时间、检测对象、本公司信息安全领导小组与信息系统所有者双方的权利、责任与义务，并签字认可。安全检查与测试的方法主要如下：手工安全检测参照重要资产清单，使用检查表（Checklist）逐一手工检查测试服务或系统类资产的管理或技术弱点，包括：网络设备（路由器/交换机等）安全检测、操作系统/服务安全检测、数据库管理系统安全检测、应用系统安全检测、安全设备（防火墙等）安全检测等。需要注意的是，由于业务信息、软件、硬件资产本身存在弱点无法改变，因此对这三类资产只针对资产所处环境进行弱点检测，如：对硬件设备物理环境弱点检测，对软件处应用平台、传输网络环境进行弱点检测等。为了保证手工安全检测的顺利完成，本公司信息安全领导小组事前需要制定详细的实施计划，在检测完成后要形成安全检测报告。设备工具测试参照重要资产清单，使用设备及测试工具逐一比对资产的配置或技术弱点，包括网络安全测试、系统安全测试、数据库安全测试、应用安全测试等。由于仪器设备在测试过程中具有一定的攻击性，因此需要审慎实施测试活动，包括严格规定测试的时间/范围/内容等，并作好应急准备，使测试活动对业务的影响降到最低。为了保证设备工具测试的顺利完成，本公司信息安全领导小组事前需要制定详细的测试计划和突发安全事件的应急处理计划，并得到信息系统所有者的许可。在测试完成后要汇总测试报告。渗透测试渗透测试是模拟黑客行为对目标对象进行入侵，目的是发现目标对象的管理与技术弱点以及这些弱点被成功利用的可能。渗透测试对测试人员的技术能力要求较高，相比设备工具测试，渗透测试则具有较强的攻击性，因此信息系统所有者可以根据自己的技术实力，以及其它实际情况决定是否实施渗透测试，如果实施，需要严格控制测试的时间/范围等，并作好应急准备。在信息系统安全运行的前提下，本公司信息安全领导小组事前需要制定详细的渗透测试计划和突发安全事件的应急处理计划，在得到信息系统所有者许可的同时，由信息系统所有者技术负责人现场监督下实施开展。在渗透测试完成后由本公司信息安全领导小组形成渗透测试报告。3.4.3脆弱性赋值脆弱性评估将针对每一项需要保护的信息资产，找出每一种威胁可能利用的脆弱性，并对脆弱性的严重程度进行评估，换句话说，就是对脆弱性被威胁利用产生的后果进行评估。最终脆弱性的赋值采用经验判断法，依据脆弱性的种类列表综合判断一旦遭受威胁列表中的威胁，定性出相对等级的方式。脆弱性的等级划分为五级，从1到5分别代表五个级别的某种资产脆弱程度。等级越大，脆弱程度越高。脆弱性赋值标识定义5很高如果被威胁利用，造成损害的可能性>95%4高如果被威胁利用，70%<造成损害的可能性≤95%3中如果被威胁利用，30%<造成损害的可能性≤70%2低如果被威胁利用，5%<造成损害的可能性≤30%1很低如果被威胁利用，造成损害的可能性≤5%表3.13脆弱性赋值表同样，评估者也可以根据被评估系统的实际情况自定义脆弱性的等级。但该评定方法必须在事先得到信息系统所有者认可。资产的脆弱性与组织对其所采取的安全控制有关，因此判定威胁发生的可能性时应特别关注已有的安全控制对资产脆弱性的影响。阶段成果：在本阶段结束后本公司信息安全领导小组应针对不同分类的评估对象自身的弱点，形成脆弱性列表，并向信息系统所有者提供（列表可附在风险评估程序中，也可单独形成文件），为风险评估提供支持。《脆弱性列表》一般包括具体弱点的名称、描述、类型及严重程度等，须由信息系统所有者书面确认。脆弱性识别阶段小结如表3.14所示:脆弱性识别阶段工作任务以资产为核心，从技术和管理两个方面识别其存在的弱点；对脆弱性被威胁利用的可能性进行评估，对脆弱性进行赋值工作方式问卷调查、人员问询、手动检查、文档审查等参与人员信息系统所有者项目负责人及相关技术人员，评估小组阶段成果脆弱性赋值表3.14脆弱性识别阶段小结3.5已有安全措施的确认风险评估小组在识别资产脆弱性的同时，还应当详细分析针对该资产的已有或已规划的安全措施，并评价这些安全措施针的有效性。该部分不但要对技术措施进行分析，而且对系统现有管理制度的分析也要予以充分重视。在风险评估中应对系统已采取的技术安全控制措施进行识别，并对控制措施有效性进行核查。核查包括对防火墙、IDS、交换机等网络设备的安全配置检查；操作系统、数据库安全功能检查；应用软件安全功能验证等；将有效的安全控制措施继续保持，并进行优化，以避免不必要的工作和费用，防止控制措施的重复实施。对于那些确认为不适当的控制应取消，或者用更合适的控制代替。现行安全管理制度分析分为两个部分：一个是对安全产品统一管理分析，避免安全盲区的产生；另一个是对安全管理制度规范和安全意识的分析。希望通过现行管理制度分析，把分散的技术因素、人的因素，通过政策规则、运作流程协调整合成为一体。风险评估小组应对已采取的控制措施进行识别并对控制措施的有效性进行确认，将有效的安全控制措施继续保持，以避免不必要的工作和费用，防止控制措施的重复实施。对于那些确认为不适当的控制应核查是否应被取消，或者用更合适的控制代替。安全措施分类包含的内容管理性对系统的开发、维护和使用实施管理的措施，包括安全策略、程序管理、风险管理、安全保障、系统生命周期管理等。操作性用来保护系统和应用操作的流程和机制，包括人员职责、应急响应、事件处理、意识培训、系统支持和操作、物理和环境安全等。技术性身份识别与认证、逻辑访问控制、日志审计、加密等。表3.15控制措施分类对控制措施的有效性赋值：等级标识定义5非常有效已经部署的安全措施完全可以阻止对脆弱性的成功利用或能把安全事件发生后的影响减到最小4很有效已经部署的安全措施可以阻止对脆弱性的成功利用或能显著减少安全事件发生后的影响效果。3有效已经部署的安全措施能够防止--至少能大大地阻止对脆弱性的成功利用或能明显减少安全事件发生后的影响效果。2几乎无效防止脆弱性被利用的安全措施不是非常有效或减少安全事件发生后的影响效果一般。1无效防止脆弱性被利用的安全措施是无效的或不能减少安全事件发生后的影响。表3.16控制措施有效性赋值表阶段成果：在本阶段结束后本公司信息安全领导小组将向信息系统所有者提供《已有安全措施确认表》，并由信息系统所有者书面确认。《已有安全措施确认表》：根据对已采取的安全措施确认的结果，形成已有安全措施确认表，包括已有安全措施名称、类型、功能描述及实施效果等。已有安全措施确认阶段小结如表3.16所示：已有安全措施确认阶段工作任务对系统已采取的技术安全控制措施进行识别，并对控制措施有效性进行核查；对现行安全管理制度进行分析。工作方式问卷调查、人员问询、现场勘查、文档复查参与人员信息系统所有者项目负责人及相关技术人员，评估小组阶段成果控制措施及赋值表3.17已有安全措施确认阶段小结3.6风险分析该阶段工作主要由本公司信息安全领导小组完成。3.6.1风险计算原理在完成了资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险。本指南给出了风险计算的原理：对资产的重要性进行识别；对资产的脆弱性进行识别；针对每一个弱点，识别可能利用此弱点造成安全事件的威胁；分析威胁利用资产脆弱性发生安全事件的可能性；分析脆弱性被威胁利用后可能发生的损失；根据资产的重要程度、威胁的可能性、脆弱性的严重程度计算风险值：风险值=资产重要程度×威胁赋值×脆弱性赋值3.6.2风险结果的判定确定风险数值的大小不是组织风险评估的最终目的，重要的是明确不同威胁对资产所产生的风险的相对值，即要确定不同风险的优先次序或等级，对于风险级别高的资产应被优先分配资源进行保护。风险等级建议从1到5划分为五级。等级越大，风险越高。风险评估小组也可以根据被评估系统的实际情况自定义风险的等级。等级风险值标识描述5101~125很高一旦发生将产生非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织的正常经营，经济损失重大、社会影响恶劣。476~100高一旦发生将产生较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成损害。351~75中一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大。226~50低一旦发生造成的影响程度较低，一般仅限于组织内部，通过一定手段很快能解决。11~25很低一旦发生造成的影响几乎不存在，通过简单的措施就能弥补。表3.17风险等级划分风险评估小组可以采用按照风险数值排序的方法，也可以采用区间划分的方法将风险划分为不同的优先等级，这包括将可接受风险与不可接受风险的划分，接受与不可接受的界限应当考虑风险控制成本与风险（机会损失成本）的平衡。风险的等级应得到信息系统所有者的评审并批准。3.6.3控制措施的选择风险评估小组在对风险等级进行划分后，应考虑法律法规的要求、机构自身的发展要求、风险评估的结果确定安全水平，对不可接受的风险选择适当的处理方式及控制措施，并形成风险处理计划。风险处理的方式包括：规避风险，降低风险（降低发生的可能性或减小后果），转移风险，接受风险。控制措施的选择应兼顾管理与技术，具体针对各类风险应根据组织的实际情况考虑以下十个方面的控制：安全方针、组织安全、资产的分类与控制、人员安全、物理与环境安全、通讯与运作管理、访问控制、系统的开发与维护、业务持续性管理、符合性。在风险处理方式及控制措施的选择上，机构应考虑发展战略、企业文化、人员素质，并特别关注成本与风险的平衡，以处理安全风险以满足法律法规及相关方的要求，管理性与技术性的措施均可以降低风险。信息安全风险接受准则：风险评估活动结束后，一般情况下，对评价出来的资产风险等级较高的（风险等级≥4）为不可接受风险。具体依照公司风险评估会议纪要中决议的信息资产的风险可接受准则执行。3.6.4残余风险的评价对于不可接受范围内的风险，应在选择了适当的控制措施后，对残余风险进行评价，判定风险是否已经降低到可接受的水平，为风险管理提供输入。残余风险的评价可以依据本标准进行，考虑选择的控制措施和已有的控制措施对于威胁发生的可能性的降低。某些风险可能在选择了适当的控制措施后仍处于不可接受的风险范围内，应通过信息系统所有者依据风险接受的原则，考虑是否接受此类风险或增加控制措施。为确保所选择控制措施的有效性，必要时可进行再评估，以判断实施控制措施后的残余风险是否是可被接受的。阶段成果：在本阶段结束后本公司信息安全领导小组将向信息系统所有者提供《重要信息资产清单》、《信息资产识别评价表》、《风险评估报告》，并由信息系统所有者进行书面确认。《风险评估报告》：风险评估报告应对整个风险评估过程进行总结，说明组织的风险状况及残余风险状况，通过管理层的评审，确定评估后的风险状况满足组织业务发展及其他相关方的要求。第39页共39页******021无锡晟奥软件有限公司第33页共38页附录A:资产重要性程度判断准则准则

重要程度资产重要性程度判断准则表硬件资产软件资产文档和数据人力资源和服务购买的软件开发的软件11.不可用时对主要业务、运作几乎无影响2.MAX(完整性、可用性)＝很低3.存储或处理的信息的保密性要求很低4.自身价值在1万元以内1．不可用时对数据计算处理或声誉几乎没有影响2．MAX（保密性、完整性、可用性）＝很低3．自身价值在1千元以内1．泄漏时对知识产权或声誉几乎没有影响2．MAX（保密性、完整性、可用性）＝很低

1．一般可公开文档和数据2．丢失或泄漏对业务及声誉等几乎没有影响3．MAX（保密性、完整性、可用性）＝很低1．不涉及敏感信息的人员岗位2．缺失对正常运作、业务或声誉等几乎无影响的人员和服务3．MAX（保密性、完整性、可用性）＝很低的人员和服务21．不可用时对主要业务、正常运作或声誉有轻微影响，但组织可以忍受2．MAX(完整性、可用性)＝低3．存储或处理的信息的保密性要求低4．自身价值在1万元－10万元1．不可用时对数据计算处理及声誉有轻微影响，但中心可以忍受2．MAX(保密性、完整性、可用性)＝低3．自身价值在1千元－1万元之间1．泄漏时对自主知识产权及声誉有轻微影响，但可以忍受2．MAX(保密性、完整性、可用性)＝低

1．内部公开信息2．丢失或泄漏对业务及声誉等有轻微影响，但组织可以忍受3．MAX（保密性、完整性、可用性）＝低1．了解内部公开信息的人员岗位2．缺失对正常运作、业务或声誉等有轻微影响的人员和服务，组织可以忍受3．MAX（保密性、完整性、可用性）＝低的人员和服务31.不可用时对主要业务、运作及声誉影响中等，有备件储存，可很快恢复2.MAX(完整性、可用性)＝一般3.存储或处理的信息的保密性要求中等4.自身价值在10万元－100万元1．不可用时对数据计算处理及声誉影响中等，但可弥补2．MAX(保密性、完整性、可用性)＝一般3．自身价值在1万元到10万元之间1．泄漏时对自主知识产权及声誉影响中等，但可弥补2．MAX(保密性、完整性、可用性)＝一般1．敏感信息2．丢失或泄漏对运作、业务或声誉等有影响中等，可以弥补3．MAX（保密性、完整性、可用性）＝一般1．掌握敏感的人员2．缺失对正常运作、业务或声誉等影响中等的人员和服务，可弥补3．MAX（保密性、完整性、可用性）＝一般的人员和服务41.

不可用时对业务、运作及声誉影响较大，一周内无法恢复2.

MAX(完整性、可用性)＝较高3.

存储或处理的信息的保密性要求较高4.

自身价值在100万元到1000万元之间1．不可用时或泄漏时对信息处理、知识产权及声誉影响较大，较难弥补2．MAX（保密性、完整性、可用性）＝较高3．自身价值在10万元到100万元之间的1．泄漏时对知识产权及声誉影响较大，较难弥补2．MAX（保密性、完整性、可用性）＝较高

1．秘密信息2．丢失或泄漏对运作、业务或声誉影响较大，较难弥补3．MAX（保密性、完整性、可用性）＝较高1．掌握秘密信息、重要业务的岗位2．缺失对正常运作、业务或声誉等有较大影响的岗位人员和服务，较难弥补3．MAX（保密性、完整性、可用性）＝较高的人员和服务51.

对业务、运作及声誉影响很大，造成的损失很难弥补2.

MAX(完整性、可用性)＝很高3.

存储或处理的信息的保密性要求很高4.

自身价值大于1000万元的

1．不可用时对数据计算处理及声誉影响很大，难以弥补2．MAX(保密性、完整性、可用性)＝很高3．自身价值在大于100万元的1．泄漏时对知识产权及声誉影响很大，难以弥补2．MAX(保密性、完整性、可用性)＝很高

1.机密信息2.丢失或泄漏对运作、业务或声誉影响很大，难以弥补3.

MAX（保密性、完整性、可用性）＝很高1．掌握机密信息、核心业务的岗位2．缺失对正常运作、业务或声誉等有很大影响的服务，难以弥补3．MAX（保密性、完整性、可用性）＝很高的人员和服务注：评估小组自己可以决定不符合上述标准的资产的级别MAX（保密性、完整性、可用性）代表资产三个安全属性中的最高程度，如：（保密性=1、完整性=3、可用性=5），则MAX（保密性、完整性、可用性）=5=很高数据及文档的密级规定见《密级控制程序》上述中的具体价值数据，如100万元，在针对具体评估单位时是可以调整的。上述中的部分条件对不同的系统是可以做调整的。类别资产大类一级子类二级子类三级子类一基础设施供电设施外部电源单一回路多条回路自备电源有稳压器无稳压器不间断电源后备式在线式在线互动式网络布线单线五类线六类线三类线双线五类线六类线三类线无线连接局域网连接互联网安防系统入侵探测与报警入侵探测入侵报警视频探测与监控信号探测与图像复核视频图像显示、记录其它视频信号探测与监控出入口探测与控制出入口对象身份信息出入口信息处理设备其它出入口探测与控制设备专有目标防盗(劫)人力资源部实体防护设备高安全防盗锁具其他实体防护用品空调（空气过滤）系统中央空调系统降温型恒温（恒湿）型分散式系统降温型恒温（恒湿）型消防系统报警系统自动手动灭火系统应急准备应急响应防雷系统接地系统机房防雷接地电解地极浪涌保护器电源保护器信号保护器附录B:信息资产分类参考二操作系统unixSVUnixWareSunOS

5.x(Solaris

2.x)

HP-UXAIXOpen

Server

R5IRIXBSD(direct

descendants)BSD/OS

4.4BSDLite

FreeBSD

NetBSDBSD(other

descendants)SunOS

4.1x(Solaris

1.x)Digital

Unix(Tru64

Unix,

COSIX)其他Unix其他Unixlinux主流发行版RedHatLinuxDebianGNU/LinuxUbuntuLinux大陆发行版红旗Linux冲浪Linux蓝点Linux自主安全内核其他版本windowswindowsNT纯净版OEM版修改版windows2000纯净版OEM版修改版windowsxp纯净版OEM版修改版windowsVista纯净版OEM版修改版其他操作系统BeOS纯净版修改版其他操作系统其他操作系统三主机设备台式电脑品牌配置型32位运算模式64位运算模式组装型具有刻录光驱没有刻录光驱笔记本电脑用于移动计算有无线网卡无无线网卡用于非移动计算有无线网卡无无线网卡PC服务器入门级(≤20台)Windows操作系统NetWare操作系统工作组级(≤50台)Windows操作系统Unix操作系统企业级(≥50台)Linux操作系统Unix操作系统小型机SPARC架构Unix操作系统非Unix操作系统PA－RISC架构Unix操作系统非Unix操作系统Alpha架构Unix操作系统非Unix操作系统大型机刀片服务器通用型专用型非刀片服务器通用型专用型存储设备内置存储磁盘闪存外挂存储磁带库磁盘阵列网络存储四网络设备路由器边界路由器模块化路由非模块化路由中间节点路由器模块化路由非模块化路由交换机网管交换机模块化交换机固定端口交换机不可网管交换机固定端口交换机调制解调器基带基带宽带频带高频音频集线器网管型Console端口独立式堆叠式模块化不可网管型独立式堆叠式模块化五外设打印机\速印机网络用有记忆功能无记忆功能单机用涉密打印非涉密打印复印机网络用有记忆功能无记忆功能单机用涉密打印非涉密打印传真机涉密有记忆功能无记忆功能非涉密有记忆功能无记忆功能移动存储设备可擦写光盘/磁盘闪存微硬盘/硬盘不可擦写光盘/磁盘其他外设显示显示设备投影仪影像影像设备录音设备其他电子记事本PDA一体机碎纸机其他六安全设备\安全系统防病毒系统网关防病毒设备支持NetBIOSoverTCP/IP协议只支持POP3、SMTP、IMAP、HTTP和FTP等5种协议网络防病毒系统具有域管理功能不具有域管理功能个人防病毒系统具备自身防护功能不具备自身防护功能防火墙包过滤型静态包过滤类型动态包过滤类型应用代理型应用网关型自适应代理型入侵检测系统主机型基于标识的检测基于异常的检测技术网络型基于标识的检测基于异常的检测技术漏洞扫描系统主机扫描器主机引擎/远程控制台结构驻留本地/本地控制台结构网络扫描器主机扫描端口扫描栈指纹OS识别身份认证数字证书SSL证书SET证书身份标识与识别设备IC卡USBKey射频卡生物识别其他身份认证与识别系统其他加密设备数据加密卡基本API接口支持内核态调用定制API接口数据加密器基本API接口定制API接口密码服务器基本API接口定制API接口物理隔离系统物理安全隔离卡切电源线隔离切数据线隔离物理隔离集线器单硬盘双硬盘物理隔离网闸空气缝隙隔离专用交换通道PET监控/审计系统网管系统内容监控系统审计系统自身监控日志管理日志分析安全管理系统技术管理日常管理应急准备制度管理风险评估系统风险处置系统七软件系统软件系统实用程序监视类性能工具类实用工具类系统扩充程序操作系统扩充操作系统汉化网络系统软件网络辅助、浏览辅助其他系统软件其他类支持软件软件开发工具需求分析工具设计工具编码实现工具测试工具维护工具文档生成工具集成化软件开发工具软件评测工具软件测试工具软件度量工具界面工具桌面工具外壳增强虚拟桌面转换工具格式转换工具软件管理工具项目管理工具配置管理工具质量管理工具语言处理程序汇编程序解释程序翻译程序数据库管理系统关系型层次型网状型网络支持软件有远程诊断无远程诊断其他支持软件其他支持软件应用软件科学和工程计算数学科学计算工程应用文字处理编辑排版表处理汉字输入处理多文种文字处理数据处理数据采集统计及预测数据综合处理信息检索图形处理图形输入图形处理图形输出声像处理声像生成声像编辑声像识别应用数据库定制生产数据库创建生产数据库事务管理个人事务管理办公事务管理计算机辅助辅助设计辅助制造辅助测试辅助教育控制实时控制非实时控制智能专家系统模式识别自然语言理解与处理机器证明机器翻译仿真模拟仿真数字仿真混合仿真网络应用下载P2P共享安全保密杀毒防火墙加密入侵检测漏洞扫描社会公益服务单机型网络型游戏单机游戏网络游戏其他应用软件其他八数据软件相关数据操作系统相关数据操作系统业务数据操作系统日志数据操作系统管理信息数据数据库备份数据数据库相关数据数据库业务数据数据库日志数据数据管理信息数据数据库备份数据开发平台相关数据配置数据生成数据办公软件相关数据办公软件业务数据办公软件日志数据办公软件管理信息数据财务管理软件相关数据财务管理软件业务数据财务管理软件备份数据财务管理软件日志数据财务管理软件管理信息数据邮件服务器相关数据邮件服务器业务数据邮件服务器日志数据邮件服务器管理信息数据邮件服务器备份数据FTP服务器相关数据FTP服务器业务数据FTP服务器备份数据FTP服务器日志数据FTP服务器管理信息数据web服务器相关数据WEB服务器业务数据WEB服务器备份数据WEB服务器日志数据WEB服务器管理信息数据DHCP服务器相关数据业务数据管理信息数据域服务器相关数据业务数据管理信息数据安全相关数据病毒系统相关数据病毒特征库病毒扫描结果数据系统管理信息防火墙相关数据防火墙管理信息防火墙日志信息入侵检测数据入侵检测日志信息入侵检测管理信息入侵检测报警信息入侵检测特征库漏洞扫描系统相关数据漏洞扫描结果数据漏洞扫描管理信息漏洞扫描日志信息漏洞扫描特征库身份验证系统相关数据用户身份信息授权信息加密系统相关数据加密系统管理信息加密系统日志信息监控系统相关数据监控系统管理信息监控系统日志信息监控系统警报信息监控系统特征库审计系统相关数据审计系统管理信息审计系统日志信息审计系统报警信息CA系统相关数据作废证书有效证书密钥信息在用密钥信息历史密钥信息安全管理信息系统安全管理信息系统管理信息安全管理信息系统日志信息安全管理信息系统知识库安全管理信息系统报告文档产品类文档产品手册产品开发文档产品设计文档产品测试文档核心技术文档市场营销类文档合同协议客户信息价格信息销售记录市场策划市场调查商务信函订单信息管理类文档固定资产文档管理制度文档人力资源信息办公文档财务文档发展规划外来文档公文类标准类商务类项目文档项目核心技术文档项目管理文档九服务对内服务办公服务文件服务资源配置服务其他提升效率的服务安保服务物理安保消防生产服务物流服务供应链服务网络服务局域网服务互联网服务其他服务其他服务对外服务行政特权前置审批获得后置许可获得其他垄断特权自有代理其他垄断特权十人力资源国内认定从业资格技能法规要求必须具备的资格法规要求不必须具备的资格执业资格技能涉密非涉密国家职业资格认定技能高级技师（一级）技师（二级）高级技工（三级）中级技工（四级）初级技工（五级）行业协会认定技能涉密非涉密国际认定行业协会认定技能涉密非涉密多边互认技能涉密非涉密其他技能其他专业技能其他专业技能十一知识产权商标注册国内注册国外注册非注册独立使用联合使用专利国内注册发明实用新型外观国外注册发明非发明著作权已登记文字作品口述作品音乐、戏剧、曲艺、舞蹈作品美术摄影美术、摄影作品电影、电视、录像作品工程设计、产品设计图纸及其说明地图、示意图等图形软件未登记依法享有的财产权集成电路布局设计已登记国内注册国外注册未登记依法享有独占权动植物新品种已登记国内注册国外注册未登记依法享有独占权技术诀窍技术智力成果依法享有独占权其他创造性成果权利其他识别性标记权利其他十二商誉及其他商誉国内商誉行政赋予协会授信商业授信国外商誉购买或原始获得其他未列明信息资产其他其他附录C威胁和脆弱性参考编号威胁脆弱性1地震位于地震带，建筑物抗震结构差位于地震带，建筑物抗震结构一般无备份文件和系统2火灾位于活在易发地区，资产易燃位于活在易发地区，资产不易燃位于火灾不易发生地区，资产易燃无备份文件和系统位于林区时周围无隔离带3水灾位于水灾易发地区，资产易受潮位于水灾易发地区，资产不易受潮位于水灾不易发地区，资产易受潮无备份文件和系统4暴风雨位于暴风雨易发地区，资产易受水害位于暴风雨易发地区，资产不易受潮位于暴风雨不易发地区，资产易受潮无备份文件和系统5潮汐位于潮汐易发地区，资产易遭水害位于潮汐易发地区，资产不易遭水害位于潮汐不易发地区，资产易遭水害无备份文件和系统6污染位于污染严重地区，设备易受污染位于污染严重地区，设备不易受污染位于污染不严重地区，设备易受污染位于污染不严重地区，设备不易受污染7电子干扰位于强电子干扰地区，设备易受电子干扰位于强电子干扰地区，设备不易受电子干扰位于若电子干扰地区，设备易受电子干扰8电磁辐射位于电子辐射严重的环境，设备易受电子辐射影响位于电子辐射严重的环境，设备不易受电子辐射影响位于电子辐射的环境，设备易受电子辐射的影响9温度过度位于温度易于过度的区域，资产易受温度影响位于温度易于过度的区域，资产不易受温度影响位于温度不易过度的区域，资产易受温度影响环境监控不当10湿度过度位于湿度易于过度的区域，资产易受潮位于湿度易于过度的区域，资产不易受潮位于湿度不易过度的区域，资产易受潮环境监控不当11电力供应故障环境易断电，断电后造成轻微损失环境易断电，断电后造成严重损失环境不易断电，断电后造成轻微损失环境不易断电，断电后造成严重损失12空调设备故障位于温度易于过度的区域，资产易受温度影响位于温度易于过度的区域，资产不易受温度影响位于温度不易过度的区域，资产易受温度影响13电力波动易受电压波动影响，已造成严重损失轻微受电压波动影响，易造成严重损失易受电压波动影响，不易造成严重损失14静电位于易产生静电环境，资产易受静电破坏位于易产生静电环境，资产不易受静电破坏位于不易产生静电环境，资产易受静电破坏工作人员无资产维护意识，没有维护常识工作人员有资产维护意识，没有维护常识工作人员无资产维护意识，有维护常识无防静电设备环境监控不当15偷盗建筑或房屋无访问控制建筑或房屋弱访问控制缺乏物理安全措施16诈骗工作人员无信息保护意识工作人员无法律意识工作人员法律意识弱不易辨认身份的真伪信息不易辨认真伪17勒索工作人员注重个人利益18恐怖分子袭击缺乏物理安全措施19抵赖不易辨认身份的真伪信息不易辨认真伪未标识发送者和接收者无消息发送和接受证据20罢工无业务连续性规划和流程无劳工协议21窃听设备本身缺乏信息保护功能采用共享式以太技术导致信息在本地广播通讯未加密22窃取信息工作人员无信息保护意识工作人员注重个人利益工作人员无法律意识工作人员法律意识弱工作人员无防病毒意识工作人员防病毒意识弱23破坏性攻击操作系统存在漏洞应用软件存在漏洞未使用防火墙防火墙策略不当不恰当的网络管理24拒绝服务攻击操作系统存在漏洞应用软件存在漏洞未使用防火墙防火墙策略不当不恰当的网络管理25恶意代码系统易受病毒感染系统不易受病毒感染未使用杀毒软件未及时更新病毒防杀软件缺乏入侵检测软件对从Internet上下载和安装软件控制不当缺乏打开邮件的福建的策略缺乏对不扫描病毒使用软盘行为的控制策略26通讯渗透设备本身缺乏信息保护功能不易辨认身份的真伪采用共享式以太技术导致信息在本地广播缺乏物理安全措施未标识发送者和接收者无消息发送和接受证据缺乏入侵检测软件27流量分析设备本身缺乏信息保护功能不易辨认身份的真伪采用共享式以太技术导致信息在本地广播缺乏物理安全措施未标识发送者和接收者无消息发送和接受证据缺乏入侵检测软件28系统入侵工作人员无信息保护意识弱密码管理软件无身份验证机制软件采用弱身份验证机制系统易受病毒感染系统不易受病毒感染不易辨认身份的真伪信息不易辨认真伪无逻辑访问控制29系统渗透工作人员无信息保护意识弱密码管理软件无身份验证机制软件采用弱身份验证机制系统易受病毒感染系统不易受病毒感染不易辨认身份的真伪信息不易辨认真伪无逻辑访问控制30系统篡改弱密码管理软件无身份验证机制软件采用弱身份验证机制操作系统存在漏洞应用软件存在漏洞无备份系统设置信息缺乏物理安全措施31资源滥用数据未加密软件无复制限制软件无安装次数限制无软件使用控制无数据访问控制32对软件的非法更改无劳工协议无软件更新控制无软件使用控制33软件的非法输入输出工作人员操作不熟练软件无合法数据验证机制无软件使用控制34未授权的数据访问采用共享式以太技术导致信息在本地广播缺乏物理安全措施通讯未加密35未授权的拨号访问拨号进入网络不受限拨号进入网络弱管理缺乏物理安全措施36未授权使用存储介质无数据访问控制无硬件访问控制缺乏物理安全措施37web站点入侵操作系统存在漏洞应用软件存在漏洞未使用防火墙防火墙策略不当缺乏入侵检测软件38内部员工蓄意破坏资产易遭破坏建筑或房屋无访问控制建筑或房屋弱访问控制工作人员注重个人利益工作人员无法律意识工作人员法律意识弱缺乏物理安全措施39未授权人员引用或带出数据建筑或房屋无访问控制建筑或房屋弱访问控制工作人员注重个人利益工作人员无法律意识工作人员法律意识弱无数据访问控制无硬件访问控制40内部人员身份假冒工作人员无法律意识工作人员弱法律意识弱密码管理不易辨认身份的真伪41内部人员出卖个人信息工作人员注重个人利益工作人员无法律意识工作人员法律意识弱数据中心无物理安全措施数据中心弱物理安全措施无劳工协议42外包操作失败无业务一致性计划和流程无文件和系统备份外包协议中责任不清43关键人员缺席无候选关键人44软件运行错误工作人员操作不熟练操作系统存在漏洞应用软件存在漏洞45软件的操作失误工作人员操作不熟练无软件使用控制46软件设计错误软件开发标准不当没有良好的员工沟通47错误信息输入工作人员操作不熟练软件无合法数据验证机制48操作人员使用错误的指南信息文件匮乏文档管理混乱49软件维护失误工作人员无资产维护意识，没有维护常识工作人员有资产维护意识，没有维护常识工作人员无资产维护意识，有维护常识无软件更新控制50硬件的操作失误工作人员操作不熟练设备易损坏无硬件访问控制缺乏物理安全措施51存储介质的故障建筑或房屋无访问控制建筑或房屋弱访问控制设备易损坏缺乏物理安全措施52网络部件的技术故障工作人员无资产维护意识，没有维护常识工作人员有资产维护意识，没有维护常识工作人员无资产维护意识，有维护常识缺乏物理安全措施53通讯服务故障无备份设施和流程不恰当的网络管理不恰当的事件处理54流量过载无备份设施和流程不恰当的网络管理不恰当的事件处理55硬件维护失误工作人员无资产维护意识，没有维护常识工作人员有资产维护意识，没有维护常识工作人员无资产维护意识，有维护常识缺乏物理安全措施51内部人员信息丢失工作人员无信息保护意识52管理运营职工失误企业无安全问题解决能力企业安全问题解决能力弱53人员匮乏人力资源部门和信息人力资源部门间缺乏沟通54用户失误用户操作不熟练55供应故障操作系统存在漏洞应用软件存在漏洞56保养不当工作人员无资产维护意识，没有维护常识工作人员有资产维护意识，没有维护常识工作人员无资产维护意识，有维护常识数据操作管理制度编号：******002状态：受控编写：信息安全领导小组2019年5月8日审核：****2019年5月8日批准：****2019年5月8日发布版次：第A/0版2019年5月8日生效日期2019年5月8日分发：各部门

变更记录变更日期版本变更说明编写审核批准2019-5-8A/0初始版本********数据操作管理制度1目的为规范数据操作管理工作，降低数据被非法生成、变更、泄露、丢失及破坏的风险；保护关键数据（包括服务器数据、网络设备配置信息、监控系统数据等）的安全性，规范关键数据的存储；合理存储历史数据，保证数据的安全性、完整性和准确性，特制定本制度。2范围本制度中数据是指信息系统中的各种业务数据。3数据保存管理对于与财务报告相关的关键业务数据，须保存5年。重要的业务数据要保证物理上的安全，存放数据的介质必须放在安全的地方，非授权人员不得访问。3.1数据导入和修改3.1.1数据导入指应数据拥有部门要求，通过后台数据库，将数据导入运行环境的操作。3.1.2数据修改指应数据拥有部门要求，对公司信息系统中的数据在后台数据库中进行修改。数据修改包含数据内容的修改以及数据库结构的变更。3.1.3数据导入/修改必须遵循统一的数据导入/修改申请流程。任何人不得在未经授权的情况下对应用系统数据库进行数据导入/修改的操作。3.1.4数据导入/修改流程中的申请、审批、操作工作需分别由不同人员承担。数据导入/修改操作只能由负责人指定的人员执行，导入/修改权限必须按照规范通过系统设定分配给指定人员。负责人每半年委派人员对数据操作日志进行核对，确保所有数据导入/修改行为均经过了有效的审批以及数据导入/修改是准确的。3.2数据提取和发放3.2.1数据提取指应数据拥有部门要求，对公司信息系统中的数据从后台数据库中进行的提取。数据提取和发放须遵循统一的数据提取申请流程。任何人不得在未经授权的情况下对应用系统数据库进行提取和发放操作。3.2.2数据提取中的申请、审批、操作及检查工作需分别由不同人员承担。数据提取的操作只能由负责人指定的人员进行，提取权限应按照规范通过系统设定分配指定人员。3.2.3只能把提取出的数据发放给申请人，不能发放给其他人员。对存放数据的介质，确保只有授权人员能够访问。3.3应对数据传输进行控制3.3.1数据传输须有身份验证；3.3.2敏感数据传输需要保留相关记录。当数据在系统之间自动传输时，系统中必须增加数据检查功能，确保所传数据的完整性、准确性、合理性。3.3.3应通过对路由器等网络设备的设置，限制访问权限及控制数据传输路径。网络管理人员对数据传输路径的设置进行规范记录，并定期对网络设置进行评估，确保当前的设置能够满足数据传输的安全性需求。具体内容参见******003《基础架构管理制度》。3.3.4传输路径需要变更时，必须提出正式申请，在获得批准后方可进行变更。具体流程参见******003《基础架构管理制度》。3.3.5在数据传输和传递过程中，公司应采取措施保护敏感数据，通过权限设置，防止对数据未经授权的访问、修改，以及通过数据加密，保证数据传输过程中不被非法获取。3.4数据操作日志管理应指派专门人员，定期（至少每季度）对数据库的操作日志进行检查。如果发现异常，及时进行分析解决。4保护关键数据4.1关键数据的认定与存档4.1.1关键数据的认定，由数据持有部门根据数据对公司正常运行所起的重要程度向公司提交，由负责人会同申请部门及相关管理者及技术人员鉴定，通过后由指定专门人员对所申请的数据进行备份并保存。4.1.2关键数据存档可参照本章中的相关规定由公司统一执行。对关键数据保存的介质要有“关键数据”的标识，且要与其他非关键数据分开存档，以免混淆。4.1.3公司要指定专人对公司的关键数据进行定期检查登记，以便数据保管人员对关键数据更加有效的保存与维护。4.2关键数据介质的保存4.2.1备份频率：对于与财务报告相关的各种业务系统数据须每天做备份；对于人事的相关业务数据以每个考勤周期做为备份周期；在数据被大规模更新前后，须对数据做备份；在操作系统和应用程序发生重大改变前后，须对系统和应用程序做备份。4.2.2备份数据保留时间：对不同的备份对象根据需要及其重要性分别制定保存期限。4.2.3备份存储和备份介质管理：对数据、操作系统以及程序做备份的时候，须备份在两份备份介质中，一份放在本地，另一份定期存放在异地；备份介质，无论是存放在本地还是异地，须确保存放场所的安全，保证只有授权人员可以访问；在备份介质上，必须有唯一标识，标明备份的内容和日期和密级程度；建立一份备份介质目录清单，用以记录备份介质的位置、内容、数据保留期限。4.2.4备份恢复测试：备份介质中的数据须每半年进行恢复测试，以确保备份的有效性和备份恢复的可行性。4.2.5备份介质销毁：备份介质的销毁必须经过数据拥有部门负责人以及部门负责人授权后才可执行，并记录该销毁行为；若备份介质中存放机密数据，在销毁之前，对备份介质进行处理，使得备份介质中的数据处于不可读状态。4.3备份操作管理4.3.1对服务器要做好相应的备份。4.3.2备份遵循统一的审批流程，需要经过数据拥有部门以及部门负责人审批。4.3.3需按照数据的重要程度对不同备份对象进行分类，对不同的备份对象根据类别制定备份策略。汇总各备份策略以便进行统一管理。汇总表格式可参考《备份策略汇总表》。4.3.4备份策略应包含备份对象、备份要求、备份方法、备份频率、保存时限等内容。备份策略制定后应制定相应的备份操作手册（包含备份失败的处理方法）指导备份工作。4.3.5备份操作人员（可设定为系统管理员）须检查每次的备份工作是否成功，并填写备份工作检查、审核记录，对失败的备份操作处理需进行记录、汇报及跟进。4.3.6备份对象发生变更后，需调整备份策略和备份操作手册。备份策略的变更应得到数据拥有部门以及部门负责人审批。4.3.7《备份策略汇总表》及其他相应记录必须妥善保管。部门负责人每半年自行或指定专人对备份工作进行审核，核对系统中的备份策略与备份申请是否吻合，以保证备份是按照要求进行的；核对系统中的备份日志与备份工作汇总记录，以保证备份的有效性、完整性以及出现的问题已得到适当处理。5备份介质存放和管理5.1存放在本地和异地的备份介质必须具有明确的标识，建立统一的目录清单。保存备份介质的库（柜）亦应建立统一格式的目录清单。本地和异地的解释为：机房和其他办公区各为本地，互为异地，其物理距离没有要求。5