JYYHPS信息安全风险评估管理程序.doc

1、四川久远银海软件股份有限公司文档编号JYYH-PS-20信息安全风险评估管理程序文档版本A0执行日期2015-01-08文档密级：一般文档状态： 草案 正式发布 正在修订受控状态： 受控 非受控日期版本描述作者审核 审批2015-01-08A0A版首次发布 质量小组孙佩连春华 I信息安全风险评估管理程序Risk Assessment目录1.适用12.目的13.职责14.程序14.1.风险评估前准备14.2.信息资产的识别14.3.信息资产风险等级评估24.4.不可接受风险的确定和处理24.5.评估时机35.相关/支持性文件36.附表36.1.信息资产分类参考目录46.2.资产赋值判断准则66.

2、2.1.机密性赋值66.2.2.完整性赋值76.2.3.可用性赋值76.2.4.资产重要性等级86.3.信息安全威胁参考表86.4.信息安全薄弱点参考表96.5.威胁发生可能性等级对照表116.6.当前控制力度等级表126.7.弱点被利用可能性等级表126.8.事件可能影响程度等级对照表126.8.1.对机密性的影响等级126.8.2.对完整性的影响等级赋值136.8.3.对可用性的影响等级136.8.4.事件影响程度等级136.9.信息安全风险矩阵计算表136.10.信息安全风险接受准则14- 5 -1. 适用本程序适用于本公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。2. 目

3、的本程序规定了公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。3. 职责1、 过程改进委员会会负责牵头成立风险评估小组。2、 风险评估小组负责编制信息安全风险评估计划，监督风险评估过程，确认评估结果，形成信息安全风险评估报告。3、 各部门主管或主管指定人员负责本部门使用或管理的信息资产的识别和风险评估,并负责本部门所涉及的信息资产的具体安全控制工作。4. 程序4.1. 风险评估前准备1、 过程改进委员

4、会会牵头成立风险评估小组,小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。2、 风险评估小组制定信息安全风险评估计划,下发各部门主管或主管指定人员。3、 必要时应对风险评估实施人员进行风险评估相关知识和表格填写的培训。4.2. 信息资产的识别1、 风险评估小组通过电子邮件向各部门主管或主管指定人员发放信息资产分类参考目录、资产赋值判断准则、信息资产识别表，同时提出信息资产识别的要求。2、 各部门主管或主管指定人员参考信息资产分类参考目录识别本部门信息资产，填写信息资产识别表，并根据资产赋值判断准则判断每类资产的赋值，经本部门主管确认后，在风险评估计划规定的时间

5、内提交风险评估小组审核汇总。3、 风险评估小组对各部门填写的信息资产识别表进行审核，确保没有遗漏信息资产，形成公司的信息资产识别表，并存档。4.3. 信息资产风险等级评估1、 应按资产分类对信息资产识别表中的所有资产进行风险评估, 评估应考虑威胁发生的可能性和威胁发生后对信息资产造成的影响程度两方面因素。2、 风险评估小组向各部门内审员分发信息资产风险评估表、信息安全威胁参考表、信息安全薄弱点参考表、威胁发生可能性等级对照表、威胁利用弱点可能影响程度等级对照表。3、 各部门主管或主管指定人员根据资产本身所处的环境条件,参考信息安全威胁参考表识别每个信息资产所面临的威胁，针对每个威胁,识别目前已

6、有的控制；并参考信息安全薄弱点参考表识别可能被该威胁所利用的薄弱点；在考虑现有的控制前提下，参考威胁发生可能性等级对照表判断每项信息资产所面临威胁发生的可能性；参考弱点被利用可能性等级表判断威胁利用弱点的可能性，威胁利用弱点可能影响程度等级对照表，判断威胁利用薄弱点可能使信息资产保密性、完整性或可用性丢失所产生的影响程度等级。将结果填写在信息资产风险评估表上，提交风险评估小组审核汇总。4、 风险评估小组考虑本公司整体的信息安全要求，对各部门填写的信息资产风险评估表进行审核，确保风险评估水平的一致性，确保没有遗漏重要信息安全风险。如果对评估结果进行修改，应该和资产责任部门进行沟通并获得该部门的确

7、认。5、 风险评估小组根据信息安全风险矩阵计算表计算风险等级,完成公司的信息资产风险评估表，并存档。4.4. 不可接受风险的确定和处理1、 风险评估小组根据信息安全风险接受准则，确定风险的可接受性；针对不可接受风险编制信息安全风险处置计划，该计划应该规定风险处理方式、责任部门和时间进度；编制信息安全风险评估报告,陈述本公司信息安全管理现状，分析存在的信息安全风险，在信息安全风险处置计划中提出信息安全管理（控制)的建议与措施，提交过程改进委员会会进行审核，由管理者代表批准实施。2、 各责任部门按照信息安全风险处置计划的要求采取有效安全控制措施后,原评估部门重新评估其风险等级，确保所采取的控制措施

8、是充分的,直到其风险降至可接受为止。4.5. 评估时机1、 每年重新评估一次，以确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施，对发生以下情况需及时进行风险评估： 当发生重大信息安全事故时； 当信息网络系统发生重大更改时； 过程改进委员会会确定有必要时。2、 风险评估小组对新增加、转移的或授权销毁的信息资产应及时按照本程序在信息资产识别表上予以添加或变更。5. 相关/支持性文件1、 信息安全适用性声明2、 信息安全管理手册3、 文件控制程序4、 信息安全风险评估报告6. 附表记录名称保存部门保存期限信息资产识别表运营管理中心1年信息资产风险评估表运营管理中心1年信息安全风险评估报告运营

9、管理中心2年信息安全风险处置计划运营管理中心2年残余风险评审表运营管理中心2年6.1. 信息资产分类参考目录大类详细分类举例文档和数据经营规划中长期规划等经营计划等组织情况组织变更方案等组织机构图等组织变更通知等组织手册等规章制度各项规程、业务手册等人事制度人事方案等人事待遇资料等录用计划等离职资料等中期人员计划等人员构成等人事变动通知等培训计划等培训资料等财务信息预决算（各类投资预决算)等业绩（财务报告)等中期财务状况等资金计划等成本等财务数据的处理方法（成本计算方法和系统，会计管理审查等经营分析系统，减税的方法、规程)等营业信息市场调查报告（市场动向，顾客需求，其它公司动向及对这些情况的分

10、析方法和结果)等商谈的内容、合同等报价等客户名单等营业战略（有关和其它公司合作销售、销售途径的确定及变更，对代理商的政策等情报)等退货和投诉处理（退货的品名、数量、原因及对投诉的处理方法)等供应商信息等技术信息试验/分析数据（本公司或者委托其它单位进行的试验/分析)等研究成果（本公司或者和其它单位合作研究开发的技术成果)等科技发明的内容（专利申请书以及有关的资料/试验数据)等开发计划书等新产品开发的体制、组织（新品开发人员的组成，业务分担，技术人员的配置等)技术协助的有关内容（协作方，协作内容，协作时间等)教育资料等技术备忘录等软件信息生产管理系统等技术解析系统等计划财务系统等设计书等流程等编

11、码、密码系统等源程序表等其他诉讼或其他有争议案件的内容（民事、无形资产、工伤等纠纷内容)公司基本设施情况（包括动力设施)等董事会资料（新的投资领域、设备投资计划等)公司电话簿等公司安全保卫实施情况及突发事件对策等软件操作系统Windows、 Linux等应用软件/系统开发工具、办公软件、网站平台、 财务系统 等数据库MS SQL Server、MySQL等硬件设备通讯工具传真等传输线路光纤、双绞线等存储媒体磁带、光盘、软盘、U盘等存储设备光盘刻录机、磁带机等文印设备打印机、复印机、扫描仪服务器PC Server、小型机等桌面终端PC、工作站等网络通信设备路由器、交换机、集线器、无线路由器等网络

12、安全设备防火墙、防水墙、IPS等支撑设施UPS、机房空调、发电机等人力资源高层管理人员公司总/副总经理、总监等中层管理人员部门经理技术管理人员项目经理、项目组长、安全工程师普通技术人员软件工程师、程序员、测试工程师、界面工程师等IT服务人员系统管理员、网络管理员、维护工程师其它人事、行政、财务等人员服务通信ADSL、光纤等房租办公房屋租用托管服务器托管、虚拟主机、邮箱托管法律外聘律师、法律顾问供电照明电、动力电审计财务审计6.2. 资产赋值判断准则对资产的赋值不仅要考虑资产的经济价值，更重要的是要考虑资产的安全状况对于系统或组织的重要性，由资产在其三个安全属性上的达成程度决定。 资产赋值的过程

13、也就是对资产在机密性、完整性和可用性上的达成程度进行分析，并在此基础上得出综合结果的过程。达成程度可由安全属性缺失时造成的影响来表示，这种影响可能造成某些资产的损害以至危及信息系统，还可能导致经济效益、市场份额、组织形象的损失。6.2.1. 机密性赋值根据资产在机密性上的不同要求，将其分为三个不同的等级，分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响。赋值标识定 义3高包含组织最重要的秘密，关系未来发展的前途命运，对根本利益有着决定性的影响，如果泄露会造成灾难性的损害，例如直接损失超过100万人民币，或重大项目（合同）失败，或失去重要客户，或关键业务中断3天。 2中组织

14、的一般性秘密，其泄露会使组织的安全和利益受到损害，例如直接损失超过10万人民币，或项目（合同）失败，或失去客户，或关键业务中断超过1天。1低可在社会、组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害或不造成伤害。6.2.2. 完整性赋值根据资产在完整性上的不同要求，将其分为三个不同的等级，分别对应资产在完整性上缺失时对整个组织的影响。赋值标识定 义3高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，并且难以弥补。例如直接损失超过100万人民币，或重大项目（合同）失败，或失去重要客户。2中完整性价

15、值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补。例如直接损失超过10万人民币，或项目（合同）失败，或失去客户。1低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，甚至可以忽略，对业务冲击轻微，容易弥补。6.2.3. 可用性赋值根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上的达成的不同程度。赋值标识定 义3高可用性价值非常高，合法使用者对资产的可用度达到年度90%以上，或系统不允许中断。2中可用性价值中等，合法使用者对资产的可用度在正常工作时间达到50%以上，或系统允许中断时间小于8工作时。1低可用性价值较低或可被忽略，合法使用者

16、对资产的可用度在正常工作时间达到50%以下，或系统允许中断时间小于24工作时。6.2.4. 资产重要性等级资产价值（V） 机密性价值（C）完整性价值（I）可用性价值（A） 资产等级：等级价值分类资产总价值1低3 42中5 73高8 96.3. 信息安全威胁参考表编号威胁硬件和设施软件和系统文档和数据人力资源服务1故障-2废弃3服务失效/中断4恶意软件-5抵赖-6通信监听-7操作失误-8未经授权更改-9未经授权访问、使用或复制-10被利用传送敏感信息11盗窃-12供电故障-13恶意破坏-14电子存储媒体故障-15违背知识产权相关法律、法规-16温度、湿度、灰尘超限-17静电-18黑客攻击-19容

17、量超载-20系统管理员权限滥用-21密钥泄露、篡改-22密钥滥用-23个体伤害（车祸、疾病等）-24不公正待遇-25社会工程-26人为灾难：瘟疫、火灾、爆炸、恐怖袭击等27自然灾难：地震、洪水、台风、雷击等28服务供应商泄密6.4. 信息安全薄弱点参考表编号大类编号小类及说明1环境和基础设施1.1物理保护的缺乏：建筑物、门、窗等1.2物理访问控制不充分或不仔细1.3电力供应不稳1.4处于易受到威胁的场所，例如洪水、地震1.5缺乏防火、防雷等保护性措施2硬件2.1缺乏周期性的设备更新方案2.2易受电压变化影响2.3易受到温度、湿度、灰尘和污垢影响2.5易受到电磁辐射2.6媒体介质缺乏维护或错误安

18、装2.7缺乏有效的配置变更控制2.8缺乏设施安全控制机制2.9不当维护2.10不当处置3软件3.1不清晰、不完整的开发规格说明书3.2没有、或不完备的软件测试3.3复杂的用户界面3.4缺乏标示和授权机制，例如用户授权3.5缺乏审核踪迹3.6众所周知的软件缺陷，易受病毒等攻击3.7密码表未受到保护3.8密码强度太弱3.9访问权限的错误配置3.10未经控制的下载和使用软件3.11离开工作常所未注销（锁屏）3.12缺乏有效的变更控制3.13文档缺乏3.14缺乏备份3.15处置或重用没有正确的擦除内容的存储介质3.16缺乏加解密使用策略3.17缺乏密钥管理3.18缺乏身份鉴别机制3.19缺乏补丁管理机

19、制3.20安装、使用盗版软件3.21缺乏使用监控3.22未经授权复制或传播软件（许可）3.23缺乏（文件）共享安全策略3.24缺乏服务/端口安全策略3.25缺乏病毒库升级管理机制3.26不受控发布公共信息4网络与通信4.1通信线路缺乏保护4.2电缆连接不牢固4.3对发送和接收方缺乏识别与验证4.4明文传输口令4.5发送与接受消息时缺少证据4.6拨号线路4.7未保护的敏感信息传输4.8网络管理不恰当4.9未受保护的公网连接4.10缺乏身份鉴别机制4.11未配置或错误配置访问权限5文档5.1存放缺乏保护5.2不受控访问或复制5.3随意处置5.4缺乏备份机制6人员6.1员工缺编6.2安全训练不完备6

20、.3缺乏安全意识6.4缺乏控制机制6.5缺乏员工关怀/申诉政策6.6不完备的招聘/离职程序6.7道德缺失7一般应用弱点7.1单点故障7.2服务故障响应不及时7.3负载过高7.4缺乏安全控制机制7.5缺乏应急机制6.5. 威胁发生可能性等级对照表等级说 明发生可能性1低非等级2与等级3的定义2中每半年至少发生一次但不及等级3 3高每月至少发生两次说明：判断威胁出现的频率是威胁识别的重要工作，评估者应根据经验和（或）有关的统计数据来进行判断。在风险评估过程中，还需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率：1) 以往安全事件报告中出现过的威胁及其频率的统计；2) 实际环境中通

21、过检测工具以及各种日志发现的威胁及其频率的统计；3) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。6.6. 当前控制力度等级表赋值标识定 义1强控制措施充分、有效、适宜，控制措施文档化，运行记录完备2中控制措施充分（或基本充分）、有效（或基本有效）、适宜（或基本适宜），但控制措施未文档化，以公司习惯驱动3弱基本无控制措施，被公司忽视，6.7. 弱点被利用可能性等级表赋值标识定义1低当前控制等级为1，且威胁发生等级为2以内（包括2）2中非等级1与等级3以外的一切情况3高当前控制等级为3，且威胁发生等级为3说明：每种威胁必须利用相应的资产弱点，才能对资产造

22、成损害。因此威胁利用弱点的几率也反映了当前公司管理规定的规范程度和执行力度，同时也反映出该威胁发生的频率。6.8. 事件可能影响程度等级对照表6.8.1. 对机密性的影响等级赋值标识定 义3高导致资产完全丧失机密性，或严重降低资产机密性，。2中资产部分丧失机密性。1低对资产机密性无影响或影响轻微6.8.2. 对完整性的影响等级赋值赋值标识定 义3高导致资产完全丧失完整性，或严重降低资产完整性，影响不可恢复或恢复困难。2中资产部分丧失完整性，影响可恢复。1低对资产完整性无影响或影响轻微6.8.3. 对可用性的影响等级赋值标识定 义3高导致资产完全丧失可用性，或严重降低资产可用性，影响不可恢复或恢

23、复困难。2中资产部分丧失可用性，影响可恢复。1低对资产可用性无影响或影响轻微6.8.4. 事件影响程度等级影响程度等级Max(机密性C,完整性I,可用性A) 6.9. 信息安全风险矩阵计算表威胁发生可能性低1中2高3影响程度等级低1中2高3低1中2高3低1中2高3资产价值1123246369224648126121833696121891827说明：在完成了资产识别、威胁识别、弱点识别，以及对已有安全措施确认后，将采用适当的方法确定威胁利用弱点导致安全事件发生的可能性，考虑安全事件一旦发生其所作用的资产的重要性及弱点的严重程度判断安全事件造成的损失对组织的影响，即安全风险。风险计算的方式如下，风险值 弱点被利用可能性等级X威胁利用弱点影响程度等级X资产价值6.10. 信息安全风险接受准则等级划分标准说明A级18及以上不可接受的风险，必须采取控制措施B级6-12有条件接受的风险（需经评估小组评审，判断是否可以接受的风险)C级1-4不需要评审即可接受的风险