参考模版,仅供参考
1 目的
为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。
2 范围
本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。
3 职责
3.1 信息安全管理小组
负责牵头成立风险评估小组。
3.2 风险评估小组
负责编制《信息安全风险评估计划》,确认评估结果,形成《信息安全风险评估报告》。
3.3 各部门
负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。
4 相关文件
《信息安全管理手册》
《秘密分级管理程序》
5 程序
5.1 风险评估前准备
成立风险评估小组
信息安全管理小组牵头成立风险评估小组,小组成员应包含信息安全重要责任部门的成员。
制定计划
风险评估小组制定《信息安全风险评估计划》,下发各部门。
5.2 资产赋值
部门赋值
各部门风险评估小组成员识别本部门资产,并进行资产赋值。
赋值计算
资产赋值的过程是对资产在保密性、完整性、可用性和法律法规合同上的达成程度进行分析,并在此基础上得出综合结果的过程。
保密性(C)赋值
根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。
保密性分类赋值方法
| 级别 | 价值 | 分级 | 描述 |
|---|---|---|---|
| 1 | 很低 | 可对社会公开的信息 | 公用的信息处理设备和系统资源等 |
| 2 | 低 | 组织/部门内公开 | 仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害 |
| 3 | 中等 | 组织的一般性秘密 | 其泄露会使组织的安全和利益受到损害 |
| 4 | 高 | 包含组织的重要秘密 | 其泄露会使组织的安全和利益遭受严重损害 |
| 5 | 很高 | 包含组织最重要的秘密 | 关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害 |
完整性(I)赋值
根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。
完整性(I)赋值的方法
| 级别 | 价值 | 分级 | 描述 |
|---|---|---|---|
| 1 | 很低 | 完整性价值非常低 | 未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略 |
| 2 | 低 | 完整性价值较低 | 未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补 |
| 3 | 中等 | 完整性价值中等 | 未经授权的修改或破坏会对组织造成影响,对业务冲击明显 |
| 4 | 高 | 完整性价值较高 | 未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补 |
| 5 | 很高 | 完整性价值非常关键 | 未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补 |
可用性(A)赋值
根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
可用性(A)赋值的方法
| 级别 | 价值 | 分级 | 描述 |
|---|---|---|---|
| 1 | 很低 | 可用性价值可以忽略 | 合法使用者对信息及信息系统的可用度在正常工作时间低于25% |
| 2 | 低 | 可用性价值较低 | 合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60min |
| 3 | 中等 | 可用性价值中等 | 合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30min |
| 4 | 高 | 可用性价值较高 | 合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10min |
| 5 | 很高 | 可用性价值非常高 | 合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断 |
法规合同符合性(L)赋值
根据资产在法律、法规、合同协议符合性上的不同要求,将其分为五个不同的等级,分别对应不同程度。
法规合同符合性(L)赋值的方法
| 级别 | 描述 |
|---|---|
| 1 | 未违反法律法规 |
| 2 | 被供应商起诉 |
| 3 | 被员工起诉 |
| 4 | 被竞争对手起诉 |
| 5 | 被客户公司起诉 |
导出资产清单
5.3 判定重要资产
按照资产赋值的结果,经过相加法得出重要性值,从而得出重要性等级,资产重要性划分为5级,级别越高表示资产重要性程度越高。
重要性等级说明
| 重要性等级 | 重要程度 | 重要性值 |
|---|---|---|
| 1 | 不重要 | 0\<值\<4 |
| 2 | 不太重要 | 4\<值\<8 |
| 3 | 一般重要 | 8\<值\<12 |
| 4 | 重要 | 12\<值\<16 |
| 5 | 很重要 | 16<值\<20 |
重要性等级为3,4和5的为重要资产。
5.3.1 审核确认
风险评估小组对各部门资产识别情况进行审核,确保没有遗漏重要资产,导出《重要资产清单》,报总经理确认。
5.4 重要资产风险评估
要求
应对所有的重要资产进行风险评估,评估应考虑威胁、脆弱性、威胁事件发生的可能性和威胁事件发生后对资产造成的影响程度及已经采取的措施等方面因素。
识别威胁
威胁是对组织及其资产构成潜在破坏的可能性因素,造成威胁的因素可分为人为因素和环境因素。威胁作用形式可以是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在保密性、完整性或可用性等方面造成损害;也可能是偶发的、或蓄意的事件。
威胁可基于表现形式分类。例如可分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、网络攻击、黑客攻击技术、物理攻击、泄密信息、篡改、抵赖等。
各部门根据资产本身所处的环境条件,识别每个资产所面临的威胁。
识别脆弱性
脆弱性是对一个或多个资产弱点的总称。脆弱性是资产本身存在的,如果没有相应的威胁发生,单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健,再严重的威胁也不会导致安全事件,并造成损失。即,威胁总是要利用资产的弱点才可能造成危害。
资产的脆弱性具有隐蔽性,有些弱点只有在一定条件和环境下才能显现,这是脆弱性识别中最为困难的部分。需要注意的是,不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性。
脆弱性识别将针对每一项需要保护的资产,找出可能被威胁利用的脆弱性,并对脆弱性的严重程度进行评估。脆弱性识别时的数据应来自于资产的所有者、使用者,以及相关业务领域的专家和软硬件方面的专业人员。
脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关。
识别威胁发生的可能性
分析威胁发生频率
| 等级 | 标识 | 分级 | 定义 |
|---|---|---|---|
| 1 | 很低 | 几乎不可能 | 出现的频率极小(或\<1次/十年);仅可能在非常罕见和例外的情况下发生 |
| 2 | 低 | 不太可能 | 出现的频率较小(或≈1次/两年);或一般不太可能发生;或没有被证实发生过 |
| 3 | 中 | 可能 | 出现的频率中等(或≈1次/半年);或在某种情况下可能会发生;或被证实曾经发生过 |
| 4 | 高 | 很可能 | 出现的频率较高(或≈1次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过 |
| 5 | 极高 | 非常可能 | 出现的频率极高(或>1次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过 |
分析脆弱性被利用率
| 等级 | 标识 | 定义 |
|---|---|---|
| 1 | 很低 | 强度好,如果被威胁利用,造成损害的可能性\<5% |
| 2 | 低 | 强度不好,如果被威胁利用,5%\<造成损害的可能性\<30% |
| 3 | 中等 | 脆弱,如果被威胁利用,30%\<造成损害的可能性\<70% |
| 4 | 高 | 很脆弱,如果被威胁利用,70%\<造成损害的可能性\<95% |
| 5 | 很高 | 非常脆弱,如果被威胁利用,造成损害的可能性>95% |
已有安全措施的确认
应对已采取的安全措施的有效性进行确认,对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对于确认为不适当的安全措施应核实是否应被取消,或者用更合适的安全措施替代。
安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以减少因安全事件发生对信息系统造成的影响,如业务持续性计划。
已有安全措施的确认与脆弱性识别存在一定的联系。一般来说,安全措施的使用将减少脆弱性,但安全措施的确认并不需要与脆弱性识别过程那样具体到每个资产、组件的弱点,而是一类具体措施的集合。
已有安全措施一般会通过控制资产的威胁和脆弱性降低资产的固有风险,因此需要对威胁程度和脆弱性进行打分。
5.5 风险计算
计算方法
根据威胁发生频率和脆弱性被利用率及资产重要程度,通过相乘法得出风险值。
风险等级
风险等级根据风险值划分为五级,等级越高,风险越高。
| 等级 | 等级划分 | 标识 | 描述 |
|---|---|---|---|
| 1 | 1-100 | 低风险 | 一旦发生造成的影响几乎不存在,通过简单的措施就能弥补。 |
| 2 | 101-200 | 一般风险 | 一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解决。 |
| 3 | 201-300 | 高风险 | 一旦发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大。 |
| 4 | 301-400 | 高风险 | 一旦发生将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害。 |
| 5 | 401-500 | 高风险 | 一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的正常经营,经济损失重大、社会影响恶劣。 |
5.6 不可接受风险的确定
根据风险等级,等级为3,4,5的为高风险,为不可接受的风险。
导出《信息安全风险评估表》,报总经理批准。
5.7 风险处理
对风险应进行处理。对可接受风险,可保持已有的安全措施;如果是不可接受风险(高风险),则需要采取安全措施以降低、控制风险。
对不可接受风险,应采取新的风险处理的措施,规定风险处理方式、责任部门和时间进度,高风险应得到优先的考虑。
风险处理方式说明
| 标识 | 描述 |
|---|---|
| 保持 | 现有控制措施完全可以应付或防止此风险的发生,控制措施保持不变 |
| 控制 | 现有控制措施不足或没有控制措施,必须制作重新相应的对策防止此风险发生 |
| 接受 | 控制现有风险所花费的成本过高、超出公司随范围且风险发生的可能性极小或没有适当的解决方案,公司决定接受此风险 |
| 避免 | 公司放弃可能涉及此风险的行为,以保证风险不会发生 |
| 转移 | 将风险转嫁至其他公司或第三方人员身上,公司内部不再对此风险作任何控制措施 |
5.7.1 计划
导出《风险处理计划》。
5.7.2 报告
风险评估小组导出《信息安全风险评估报告》,陈述信息安全管理现状,分析存在的信息安全风险,提出信息安全管理(控制)的建议与措施,提交信息安全管理小组进行审核。
5.7.3 审核
信息安全管理小组考虑成本与风险的关系,对《信息安全风险评估报告》及《风险处理计划》的相关内容审核,对认为不合适的控制或风险处理方式等提出说明,由风险评估小组协同相关部门重新考虑信息安全管理小组的意见,选择其他的控制或风险处理方式,并重新提交信息安全管理小组审核,由人事行政部批准实施。
5.7.4 实施
各责任部门按照批准后的《风险处理计划》的要求采取有效安全控制措施,确保所采取的控制措施是有效的。
5.8 剩余风险评估
再评估
对采取安全措施处理后的风险,信息安全管理小组应进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。
再处理
某些风险可能在选择了适当的安全措施后仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施。
审核批准
剩余风险评估完成后,导出《剩余风险评估报告》,报人事行政部审核、最高管理者批准。
5.9 信息安全风险的连续评估
定期评估
信息安全管理小组每年应组织对信息安全风险重新评估一次,以适应信息资产的变化,确定是否存在新的威胁或脆弱性及是否需要增加新的控制措施。
非定期评估
当企业发生以下情况时需及时进行风险评估:
当发生重大信息安全事故时;
当信息网络系统发生重大更改时;
信息安全管理小组确定有必要时。
更新资产
各部门对新增加、转移的或授权销毁的资产应及时更新资产清单。
调整控制措施
信息安全管理小组应分析信息资产的风险变化情况,以便根据企业的资金和技术,确定、增加或调整适当的信息安全控制措施。
6 记录
《信息安全风险评估计划》
《资产清单》(含《重要资产清单》)
《信息安全风险评估表》(含《风险处理计划》)
《信息安全风险评估报告》
《剩余风险评估报告》
