《B01信息安全-风险管理程序.docx》由会员分享,可在线阅读,更多相关《B01信息安全-风险管理程序.docx(9页珍藏版)》请在第一文库网上搜索。
1、深圳市XXX科技有限公司信息安全风险管理程序编 号:ISMS-B-01版本号:VI. 0编制:日期:2021-8-4审核:日期:2021-8-4批准:日期:2021-8-4受控状态受控文件深圳市XXX科技有限公司信息安全风险管理程序1目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。3职责3. 1信息安全管理小组负责牵头成立风险评估小组。3. 2风险评估小组负责编制信息安全风险评估计划,确认评估结果,形成信息安全风险评估报告。3.3各部门负责本部门使用或管
2、理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。4相关文件信息安全管理手册商业秘密管理程序5程序5.1 风险评估前准备5.1.1 成立风险评估小组信息安全小组牵头成立风险评估小组,小组成员应包含信息安全重要责任部门的成员。5. 1.2制定计划风险评估小组制定信息安全风险评估计划,下发各部门。5.2 资产赋值5.3 . 1部门赋值各部门风险评估小组成员识别本部门资产,并进行资产赋值。5. 2. 2赋值计算资产赋值的过程是对资产在保密性、完整性、可用性的达成程度进行分析,并在此基础上得出综合结果的过程。5.2.3保密性(C)赋值根据资产在保密性上的不同要求,将其分为五个不同的
3、等级,分别对应资产在可用性上的达成的不同程度。可用性(A)赋值的方法级别价a_分级描述1很低可用性价值可以忽略合法使用者对信息及信息系统的可用度在正常工作时间低于25%2低可用性价值较低合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60min3中等可用性价值中等合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30nlin4高可用性价值较高合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于lOminr-很高可用性价值非常高合法使用者对信息及佶息系统的可用度达到年度99. 9%以上,或系统不允许
4、中断5.2.7导出资产清单识别出来的信息资产需要详细登记在信息资产清单中。5. 3判定重要资产根据信息资产的机密性、完整性和可用性赋值的结果相加除以3得出“资产价值”,对于信息资产清单中“资产价值”在大于等于4的资产,作为重要信息资产记录到重要信息资产清单。5.3. 1审核确认风险评估小组对各部门资产识别情况进行审核,确保没有遗漏重要资产,导出重要信息资产清单,报总经理确认。5.4风险识别与分析5.4.1 威胁识别与分析深圳市XXX科技有限公司TC06越权或滥用通过采用一些措施,超越自己的权限访问了本来无权访问的资源;或者滥用自己的职权,做出破坏信息系统的行为TC07黑客攻击利用黑客工具和技术
5、,例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵TC08物理攻击物理接触、物理破坏、盗窃TC09泄密机密泄漏,机密信息泄漏给他人TC10篡改非法修改信息,破坏信息的完整性TC11抵赖不承认收到的信息和所作的操作和交易应根据资产组内的每一项资产,以及每一项资产所处的环境条件、以前曾发生的安全事件等情况来进行威胁识别。一项资产可能面临着多个威胁,同样一个威胁可能对不同的资产造成影响;5.4. 2脆弱性识别与分析脆弱性评估将针对资产组内所有资产,找出该资产组可能被威胁利用的脆弱性,获得脆弱性所采用的方法主要为:问卷调查、访谈、工具扫描、
6、手动检查、文档审查、渗透测试等;类型脆弱性分类脆弱性示例技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。服务器(含操作系统)从物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置(初始化)、注册表加固、网络安全、系统管理等方面进行识别。网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。数据库从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别。应用系统审计机制、审计存储、访问控制策略、
7、数据完整性、通信、鉴别机制、密码保护等方面进行识别。类型脆弱性分类脆弱性示例管理脆弱性技术管理物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性。组织管理安全策略、组织安全、资产分类与控制、人员安全、符合性5. 4. 3现有控制措施识别与分析在识别威胁和脆弱性的同时,评估人员应对已采取的安全措施进行识别,对现有控制措施的有效性进行确认。在对威胁和脆弱性赋值时,需要考虑现有控制措施的有效性。5. 5风险评价本公司信息资产风险值通过风险各要素赋值相乘法来确定:风险值计算公式:R=i*p其中,R表示安全风险值;i表示风险影响;P表示风险发生可能性。风险影响的赋值标准:风险影响赋等级
8、风险影响的不同维度相关方业务连续性5很高全部或大部分客户、监控机构、其至社会公众公司大部分或全部核心业务受到严重影响4高整个公司,或部分客户公司大部分核心业务或日常活动受影响3中多个部门,或个别客户公司个别业务受影响,或日常办公活动中断2低本部门或部门内部人员公司业务不受影响,只是少部分日常办公活动活动受影响1很低个人基本不影响本部门业务和日常办公活动风险发生可能性的赋值标准:风险发生可能性赋值等级风险发生可能性时间频率发生机率5很高出现的频率很图(或1次/日);或在大多数情况下几乎不可避免;或可以证实经常发生过。不可避免(99%)4高出现的频率较局(或1次/周);或在大多数情况下很右口能会发
9、生;或可以证实多次发生过。非常后可能(90%99%)3中出现的频率中等(或1次/月);或在塘中情况下可能会发生;或被证实曾经发生过。可能(10%-90%)2低出现的频率较小(或1次/年);或一般不太可能发生;或在臬种情况下可能会发生。可能性很小(110%)1很低威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生,或没有被证实发生过。不可能(41%)注:风险的影响或发生可能性根据赋值标准,可能同时适用于二个维度,这种情况下,赋值取这二个维度赋值的最大值。5. 5. 2确定风险可接受标准风险等级采用分值计算表示。分值越大,风险越高。信息安全小组决定以下风险等级标准:赋值级别描述15-25高如果
10、发生将使资产遭受严重破坏,组织利益受到严重损失6-12中发生后将使资产受到较重的破坏,组织利益受到损失0-5低发生后将使资产受到的破坏程度和利益损失比较轻微5. 5. 3风险接受准则对于信息资产评估的结果,本公司原则上以风险值小于12分(包括12分)的风险为可接受风险,大于12分为不可接受风险,要采取控制措施进行控制。对于不可接受的风险,由于经济或技术原因,经管理者代表批准后,可以暂时接受风险,待经济或技术具有可行性时再采取适当的措施降低风险。5. 5. 4风险控制措施的选择和实施对于不可接受的风险,有四种风险处置方式可以选择:降低风险、转移风险、消除风险、接受风险。最常见的风险处置方式是降低
11、风险,降低风险可以选择IS027001: 2013标准提供的14个域114项中的一项或几项控制措施。5. 5. 5控制措施有效性测量在风险控制措施全部或部分实施完成后,信息安全小组可以对风险控制措施的有效性进行测量;测量的范围可以测量全部的控制措施,也可以测量部分的控制措施,出于时间和经济成本的考虑,建议选取主要的控制措施进行测量,测试方法由信息安全小组视情况决定。5. 6剩余风险评估1.1.1 6. 1再评估对采取安全措施处理后的风险,信息安全小组应进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。1.1.2 再处理某些风险可能在选择了适当的安全措施后仍处于不可接受的风险
12、范围内,应考虑是否接受此风险或进一步增加相应的安全措施。1.1.3 审核批准剩余风险评估完成后,导出信息安全残余风险评估报告,报任继中审核、最高管理者批准。5. 7信息安全风险的连续评估5. 7. 1定期评估信息安全小组每年应组织对信息安全风险重新评估一次,以适应信息资产的变化,确定是否存在新的威胁或脆弱性及是否需要增加新的控制措施。5. 7. 2非定期评估当企业发生以下情况时需及时进行风险评估:a)当发生重大信息安全事故时;b)当信息网络系统发生重大更改时;c)信息安全小组确定有必要时。5. 7.3更新资产各部门对新增加、转移的或授权销毁的资产应及时更新资产清单。5. 7. 4调整控制措施信息安全小组应分析信息资产的风险变化情况,以便根据企业的资金和技术,确定、增加或调整适当的信息安全控制措施。6记录信息安全风险评估计划信息资产清单重要信息资产清单信息安全风险评估表(含风险处置计划)信息安全残余风险评估报告信息安全风险评估报告9