信息風(fēng)險識別與評價管理程序

件InformationSecurity全識別與評估管理程序REV版本A1of7規(guī)范公司信息資產(chǎn)和風(fēng)險評估工作的過程，有效發(fā)現(xiàn)公司存在的信息安全風(fēng)險，并根據(jù)風(fēng)險評估結(jié)果，確定公司需要實施的安全控制措施和其實施的優(yōu)先級。2.范圍適用于公司信息資產(chǎn)的識別、信息安全風(fēng)險評估管理。3.定義信息資產(chǎn)：公司直接賦予其價值，且需要保護的東西，它可以是有形的，也可以是無形的；可分為硬件、軟件、人員、數(shù)據(jù)及文件、服務(wù)和其它六大類別，具體如見信息資產(chǎn)分類表。4.權(quán)責(zé)4.1品保部：組織協(xié)調(diào)各部門開展信息資產(chǎn)價值評估、識別信息資產(chǎn)威脅和漏洞、計算信息資產(chǎn)風(fēng)險值、制定風(fēng)險處置計劃和處置風(fēng)險等工作。4.2各部門：識別與評價本部門范圍內(nèi)的信息資產(chǎn)評估、識別信息資產(chǎn)威脅和漏洞、計算信息資產(chǎn)風(fēng)險值、制定風(fēng)險處置計劃和處置風(fēng)險等工作。4.3管理者代表：審批風(fēng)險評估的安全基線，為風(fēng)險處理給出指導(dǎo)意見。5.作業(yè)內(nèi)容5.1信息安全識別與評估時機安全風(fēng)險評估的過程中，應(yīng)清晰地識別公司內(nèi)所有的信息資產(chǎn)，不能遺漏，劃入信息安全風(fēng)險評估范圍和邊界內(nèi)的每一項信息資產(chǎn)都應(yīng)該被確認和評估。5.1.2每年在管理評審前，品保部組織各部門對本部門對本區(qū)域內(nèi)的信息資產(chǎn)與信息安全進行重新評價與更新，并形成【資產(chǎn)識別及風(fēng)險評估表】。執(zhí)行年度風(fēng)險評估時應(yīng)考慮以下因素：險變化；2)上次風(fēng)險評估忽略的威脅與脆弱性；3)信息安全事件及缺陷；4)風(fēng)險接受準(zhǔn)則是否需要調(diào)整；表批準(zhǔn)。5.2.1各部門根據(jù)《信息資產(chǎn)管理程序》中定義的信息資產(chǎn)范圍(硬件、軟件、人員、數(shù)據(jù)及文件、服務(wù)和其它六大類別)識別本部門內(nèi)業(yè)務(wù)中所涉及的信息資產(chǎn)并確定信息資產(chǎn)價值，填寫【資產(chǎn)識別及風(fēng)險評估表】。件InformationSecurity全識別與評估管理程序REV版本A2of75.2.2資產(chǎn)價值=保密性+完整性+可用性+業(yè)務(wù)影響，評分參考“資產(chǎn)價值設(shè)定表”，如下：資產(chǎn)價值設(shè)定表性保密性完整性可用性業(yè)務(wù)影響1包含可對社會公信息處理設(shè)備和系統(tǒng)資源等完整性價值非常的修改或破壞對組織造成的影響可以可以忽略可用性價值可以對信息及信息系統(tǒng)的可用度在正常工作時間低于25%不會造成公司核心業(yè)務(wù)停頓2包含僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴散有可能對組織的利益造成損害完整性價值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影對業(yè)務(wù)沖擊輕微，容易彌補可用性價值較對信息及信息系統(tǒng)的可用度在正常工作時間達到25%以上公司核心業(yè)務(wù)停安全屬性等級3包含組織的一般性秘密，其泄露會使組織的安全和利益受到損害完整性價值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務(wù)沖擊明顯，但可以彌補可用性價值中對信息及信息系統(tǒng)的可用度在正常工作時公司核心業(yè)務(wù)時資產(chǎn)價值資產(chǎn)價值=保密性等級+完整性等級+可用性等級+業(yè)務(wù)影響等級劃分重要資產(chǎn)等級標(biāo)準(zhǔn)：大于等于3級為重要資產(chǎn)1-45—89—124包含組織的重要組織的安全和利益遭受嚴(yán)重損害高，未經(jīng)授權(quán)的修改或破壞會對組織難以彌補高，合法使用者對信息及信息系統(tǒng)的可用度達到每天90%以上公司核心業(yè)務(wù)停5包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運，對組織根本利益有著決定性影響，如果泄漏會造成災(zāi)難性的損害完整性價值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可用度達公司核心業(yè)務(wù)停頓件InformationSecurity全識別與評估管理程序REV版本A3of7資產(chǎn)等級12345信息資產(chǎn)數(shù)量很多，操作中難以對所有的資產(chǎn)進行風(fēng)險評估，因此采取評估典型資產(chǎn)的方式進行風(fēng)險評估；匯總各個部門的重要資產(chǎn)，確定典型資產(chǎn)，判斷典型資產(chǎn)的依據(jù)是：5.3.1典型資產(chǎn)代表的必須同是類型的資產(chǎn)，同類型是指相同的資產(chǎn)類型(如人員的典型資產(chǎn)均是代表人員這一類別)；5.3.2典型資產(chǎn)必須有一定代表性，如所處環(huán)境、管理方式與所代表資產(chǎn)均存在較大相似性，所面臨的威脅及存在的弱點均有一定的相似性；；資產(chǎn)重要程度評判標(biāo)準(zhǔn)取值不重要1不太重要2一般重要3重要4很重要55.4.1各部門應(yīng)找出典型資產(chǎn)可被威脅利用的脆弱性，根據(jù)每個資產(chǎn)分別識別其存在的弱點，然后綜合評價1)弱點是指資產(chǎn)本身的可被利用的弱點；2)識別弱點可透過資產(chǎn)的特性來進行；3)弱點類別參考“威脅脆弱性列表”中“脆弱性欄目”欄目；4)識別的弱點記錄于【資產(chǎn)識別及風(fēng)險評估表】中。5.4.2不同的資產(chǎn)類別對應(yīng)不同類別的弱點；根據(jù)其弱點被威脅利用所帶來的影響分析其弱點值，如下表：脆弱性影響程度評判標(biāo)準(zhǔn)取值資產(chǎn)被完全損害，或者極其嚴(yán)重5對資產(chǎn)的損害程度很大4對資產(chǎn)損害的程度中等3對資產(chǎn)的損害的程度較小2件InformationSecurity全識別與評估管理程序?qū)Y產(chǎn)的損害的程度微小，可以忽略REV版本1A4of7威脅會利用資產(chǎn)的弱點，對資產(chǎn)形成潛在風(fēng)險，識別威脅的工作內(nèi)容如下；5.5.1威脅識別與弱點識別使用同一個工具“威脅脆弱性列表”，工具已經(jīng)根據(jù)弱點種類形成關(guān)聯(lián)，選5.5.2不同類別的弱點會對應(yīng)不同類別的威脅，對應(yīng)關(guān)系參考“威脅脆弱性列表””中“威脅”欄目；識別的威脅記錄于【資產(chǎn)識別及風(fēng)險評估表】中。威脅發(fā)生可能性評判標(biāo)準(zhǔn)出現(xiàn)的頻率很高(或≥1次/周)；或在大多數(shù)情況下幾乎不可避免；或可以證實經(jīng)常發(fā)生過。出現(xiàn)的頻率較高(或≥1次/月)；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過。出現(xiàn)的頻率中等(或>1次/半年)；或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)生過。威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生。率來確定其威脅值，如下表：543215根據(jù)威脅發(fā)5.6.1針對識別出的弱點和威脅，檢查是否有對應(yīng)的控制措施，控制措施包括技術(shù)和管理方面。技術(shù)措施包括硬件、軟件設(shè)備等，管理措施包括制度、規(guī)范、操作指引等；5.6.2分析控制措施是否可以降低弱點的嚴(yán)重性、威脅發(fā)生的可能性和風(fēng)險帶來的影響，如下表；現(xiàn)有控制措施程度QEP程序文件ManagementProcedureREV版本信息安全識別與評估管理程序PAGE頁碼評判標(biāo)準(zhǔn)已經(jīng)部署的安全措施完全可以阻止對脆弱性的成功利用或能把安全事件發(fā)生后的影響已經(jīng)部署的安全措施可以阻止對脆弱性的成功利用或能顯著減少安全事件發(fā)生后的影已經(jīng)部署的安全措施能夠防止--至少能大大地阻止對脆弱性的成功利用或能明顯減少安全事件發(fā)生后的影響效果。防止脆弱性被利用的安全措施不是非常有效或減少安全事件發(fā)生后的影響效果一般。防止脆弱性被利用的安全措施是無效的或不能減少安全事件發(fā)生后的影響。A5of7123455.7.2風(fēng)險值=威脅發(fā)生可能性*脆弱性影響程度*現(xiàn)有控制措施程度*資產(chǎn)重要程度；表”進行分級，如下：風(fēng)險等級定義表風(fēng)險級別極高險(5級)高風(fēng)險(4級)中風(fēng)險(3級)低風(fēng)險(2級)極低風(fēng)險(1級)風(fēng)險取值175-39655-17425—54風(fēng)險接受則不可接受不可接受不可接受可以接受可以接受風(fēng)險描述和風(fēng)險處置一旦發(fā)生將產(chǎn)生非常嚴(yán)重的經(jīng)濟或社會影響，如組織信譽嚴(yán)重破壞、嚴(yán)重影響組織的正常經(jīng)營，經(jīng)濟損失重大、社會影響惡劣的經(jīng)營和組織信譽造成損害和度不大定快能解決造成的影響幾乎不存在，通過簡單的措施就能彌補理，根據(jù)公司的風(fēng)險承受程度在中級別風(fēng)險選擇一個值作為安全基線；件InformationSecurity全識別與評估管理程序REV版本A6of75.9應(yīng)采取控制措施，將風(fēng)險降低到安全基線以下?？刂拼胧┑倪x擇應(yīng)該包括以下考慮因素：5.10品保部部及各部門通過頭腦風(fēng)暴的形式對采取措施后的殘余風(fēng)險進行評估，確保殘余風(fēng)險降低到可接報公司領(lǐng)導(dǎo)，由領(lǐng)導(dǎo)決定處理方式(如：增加資源處理、暫緩處理、接受風(fēng)險)。5.11殘余風(fēng)險的計劃與評估5.11.1再評估對采取安全措施處理后的風(fēng)險，信息安全管理小組應(yīng)進行再評估，以判斷實施安全措施后的殘余風(fēng)險是否已經(jīng)降低到可接受的水平。5.11.2再處理某些風(fēng)險可能在選擇了適當(dāng)?shù)陌踩胧┖笕蕴幱诓豢山邮艿娘L(fēng)險范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險或進一、步增加相應(yīng)的安全措施.5.11.3審核批準(zhǔn)剩余風(fēng)險評估完成后，品保部組織形成【重要信息風(fēng)險清單】及報告于管理者代表批準(zhǔn)。6.參考文件6.1《信息資產(chǎn)管理程序》QEP-0477.相關(guān)表單7.1【資產(chǎn)識別及風(fēng)險評估表】FP048-01單位：各部門保存期限：最新FP048-02保存單位：人事行政部/品保部保存期限：最新FP048-03保存單位：人事行政部/品保部保存期限：最新FP048-04保存單位：品保部保存期限：最新件Information