JYYHPS信息安全风险评估管理程序.doc
《JYYHPS信息安全风险评估管理程序.doc》由会员分享,可在线阅读,更多相关《JYYHPS信息安全风险评估管理程序.doc(18页珍藏版)》请在冰点文库上搜索。
四川久远银海软件股份有限公司
文档编号
JYYH-PS-20
信息安全风险评估管理程序
文档版本
A0
执行日期
2015-01-08
文档密级:
一般
文档状态:
[]草案[√]正式发布[]正在修订
受控状态:
[√]受控[]非受控
日期
版本
描述
作者
审核
审批
2015-01-08
A0
A版首次发布
质量小组
孙佩
连春华
I
信息安全风险评估管理程序 RiskAssessment
目录
1. 适用 1
2. 目的 1
3. 职责 1
4. 程序 1
4.1. 风险评估前准备 1
4.2. 信息资产的识别 1
4.3. 信息资产风险等级评估 2
4.4. 不可接受风险的确定和处理 2
4.5. 评估时机 3
5. 相关/支持性文件 3
6. 附表 3
6.1. 信息资产分类参考目录 4
6.2. 资产赋值判断准则 6
6.2.1. 机密性赋值 6
6.2.2. 完整性赋值 7
6.2.3. 可用性赋值 7
6.2.4. 资产重要性等级 8
6.3. 信息安全威胁参考表 8
6.4. 信息安全薄弱点参考表 9
6.5. 威胁发生可能性等级对照表 11
6.6. 当前控制力度等级表 12
6.7. 弱点被利用可能性等级表 12
6.8. 事件可能影响程度等级对照表 12
6.8.1. 对机密性的影响等级 12
6.8.2. 对完整性的影响等级赋值 13
6.8.3. 对可用性的影响等级 13
6.8.4. 事件影响程度等级 13
6.9. 信息安全风险矩阵计算表 13
6.10. 信息安全风险接受准则 14
----------------------------------------------5----------------------------------------------
1.适用
本程序适用于本公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。
2.目的
本程序规定了公司所采用的信息安全风险评估方法。
通过识别信息资产、风险等级评估认知本公司的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持本公司业务持续性发展,以满足本公司信息安全管理方针的要求。
3.职责
1、过程改进委员会会负责牵头成立风险评估小组。
2、风险评估小组负责编制信息安全风险评估计划,监督风险评估过程,确认评估结果,形成《信息安全风险评估报告》。
3、各部门主管或主管指定人员负责本部门使用或管理的信息资产的识别和风险评估,并负责本部门所涉及的信息资产的具体安全控制工作。
4.程序
4.1.风险评估前准备
1、过程改进委员会会牵头成立风险评估小组,小组成员至少应该包含:
信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。
2、风险评估小组制定信息安全风险评估计划,下发各部门主管或主管指定人员。
3、必要时应对风险评估实施人员进行风险评估相关知识和表格填写的培训。
4.2.信息资产的识别
1、风险评估小组通过电子邮件向各部门主管或主管指定人员发放《信息资产分类参考目录》、《资产赋值判断准则》、《信息资产识别表》,同时提出信息资产识别的要求。
2、各部门主管或主管指定人员参考《信息资产分类参考目录》识别本部门信息资产,填写《信息资产识别表》,并根据《资产赋值判断准则》判断每类资产的赋值,经本部门主管确认后,在风险评估计划规定的时间内提交风险评估小组审核汇总。
3、风险评估小组对各部门填写的《信息资产识别表》进行审核,确保没有遗漏信息资产,形成公司的《信息资产识别表》,并存档。
4.3.信息资产风险等级评估
1、应按资产分类对《信息资产识别表》中的所有资产进行风险评估,评估应考虑威胁发生的可能性和威胁发生后对信息资产造成的影响程度两方面因素。
2、风险评估小组向各部门内审员分发《信息资产风险评估表》、《信息安全威胁参考表》、《信息安全薄弱点参考表》、《威胁发生可能性等级对照表》、《威胁利用弱点可能影响程度等级对照表》。
3、各部门主管或主管指定人员根据资产本身所处的环境条件,参考《信息安全威胁参考表》识别每个信息资产所面临的威胁,针对每个威胁,识别目前已有的控制;并参考《信息安全薄弱点参考表》识别可能被该威胁所利用的薄弱点;在考虑现有的控制前提下,参考《威胁发生可能性等级对照表》判断每项信息资产所面临威胁发生的可能性;参考《弱点被利用可能性等级表》判断威胁利用弱点的可能性,《威胁利用弱点可能影响程度等级对照表》,判断威胁利用薄弱点可能使信息资产保密性、完整性或可用性丢失所产生的影响程度等级。
将结果填写在《信息资产风险评估表》上,提交风险评估小组审核汇总。
4、风险评估小组考虑本公司整体的信息安全要求,对各部门填写的《信息资产风险评估表》进行审核,确保风险评估水平的一致性,确保没有遗漏重要信息安全风险。
如果对评估结果进行修改,应该和资产责任部门进行沟通并获得该部门的确认。
5、风险评估小组根据《信息安全风险矩阵计算表》计算风险等级,完成公司的《信息资产风险评估表》,并存档。
4.4.不可接受风险的确定和处理
1、风险评估小组根据《信息安全风险接受准则》,确定风险的可接受性;针对不可接受风险编制《信息安全风险处置计划》,该计划应该规定风险处理方式、责任部门和时间进度;编制《信息安全风险评估报告》,陈述本公司信息安全管理现状,分析存在的信息安全风险,在《信息安全风险处置计划》中提出信息安全管理(控制)的建议与措施,提交过程改进委员会会进行审核,由管理者代表批准实施。
2、各责任部门按照《信息安全风险处置计划》的要求采取有效安全控制措施后,原评估部门重新评估其风险等级,确保所采取的控制措施是充分的,直到其风险降至可接受为止。
4.5.评估时机
1、每年重新评估一次,以确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施,对发生以下情况需及时进行风险评估:
当发生重大信息安全事故时;
当信息网络系统发生重大更改时;
过程改进委员会会确定有必要时。
2、风险评估小组对新增加、转移的或授权销毁的信息资产应及时按照本程序在《信息资产识别表》上予以添加或变更。
5.相关/支持性文件
1、《信息安全适用性声明》
2、《信息安全管理手册》
3、《文件控制程序》
4、《信息安全风险评估报告》
6.附表
记录名称
保存部门
保存期限
《信息资产识别表》
运营管理中心
1年
《信息资产风险评估表》
运营管理中心
1年
《信息安全风险评估报告》
运营管理中心
2年
《信息安全风险处置计划》
运营管理中心
2年
《残余风险评审表》
运营管理中心
2年
6.1.信息资产分类参考目录
大类
详细分类
举例
文档和数据
经营规划
中长期规划等
经营计划等
组织情况
组织变更方案等
组织机构图等
组织变更通知等
组织手册等
规章制度
各项规程、业务手册等
人事制度
人事方案等
人事待遇资料等
录用计划等
离职资料等
中期人员计划等
人员构成等
人事变动通知等
培训计划等
培训资料等
财务信息
预决算(各类投资预决算)等
业绩(财务报告)等
中期财务状况等
资金计划等
成本等
财务数据的处理方法(成本计算方法和系统,会计管理审查等经营分析系统,减税的方法、规程)等
营业信息
市场调查报告(市场动向,顾客需求,其它公司动向及对这些情况的分析方法和结果)等
商谈的内容、合同等
报价等
客户名单等
营业战略(有关和其它公司合作销售、销售途径的确定及变更,对代理商的政策等情报)等
退货和投诉处理(退货的品名、数量、原因及对投诉的处理方法)等
供应商信息等
技术信息
试验/分析数据(本公司或者委托其它单位进行的试验/分析)等
研究成果(本公司或者和其它单位合作研究开发的技术成果)等
科技发明的内容(专利申请书以及有关的资料/试验数据)等
开发计划书等
新产品开发的体制、组织(新品开发人员的组成,业务分担,技术人员的配置等)
技术协助的有关内容(协作方,协作内容,协作时间等)
教育资料等
技术备忘录等
软件信息
生产管理系统等
技术解析系统等
计划财务系统等
设计书等
流程等
编码、密码系统等
源程序表等
其他
诉讼或其他有争议案件的内容(民事、无形资产、工伤等纠纷内容)
公司基本设施情况(包括动力设施)等
董事会资料(新的投资领域、设备投资计划等)
公司电话簿等
公司安全保卫实施情况及突发事件对策等
软件
操作系统
Windows、Linux等
应用软件/系统
开发工具、办公软件、网站平台、财务系统等
数据库
MSSQLServer、MySQL等
硬件设备
通讯工具
传真等
传输线路
光纤、双绞线等
存储媒体
磁带、光盘、软盘、U盘等
存储设备
光盘刻录机、磁带机等
文印设备
打印机、复印机、扫描仪
服务器
PCServer、小型机等
桌面终端
PC、工作站等
网络通信设备
路由器、交换机、集线器、无线路由器等
网络安全设备
防火墙、防水墙、IPS等
支撑设施
UPS、机房空调、发电机等
人力资源
高层管理人员
公司总/副总经理、总监等
中层管理人员
部门经理
技术管理人员
项目经理、项目组长、安全工程师
普通技术人员
软件工程师、程序员、测试工程师、界面工程师等
IT服务人员
系统管理员、网络管理员、维护工程师
其它
人事、行政、财务等人员
服务
通信
ADSL、光纤等
房租
办公房屋租用
托管
服务器托管、虚拟主机、邮箱托管
法律
外聘律师、法律顾问
供电
照明电、动力电
审计
财务审计
6.2.资产赋值判断准则
对资产的赋值不仅要考虑资产的经济价值,更重要的是要考虑资产的安全状况对于系统或组织的重要性,由资产在其三个安全属性上的达成程度决定。
资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析,并在此基础上得出综合结果的过程。
达成程度可由安全属性缺失时造成的影响来表示,这种影响可能造成某些资产的损害以至危及信息系统,还可能导致经济效益、市场份额、组织形象的损失。
6.2.1.机密性赋值
根据资产在机密性上的不同要求,将其分为三个不同的等级,分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响。
赋值
标识
定义
3
高
包含组织最重要的秘密,关系未来发展的前途命运,对根本利益有着决定性的影响,如果泄露会造成灾难性的损害,例如直接损失超过100万人民币,或重大项目(合同)失败,或失去重要客户,或关键业务中断3天。
2
中
组织的一般性秘密,其泄露会使组织的安全和利益受到损害,例如直接损失超过10万人民币,或项目(合同)失败,或失去客户,或关键业务中断超过1天。
1
低
可在社会、组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害或不造成伤害。
6.2.2.完整性赋值
根据资产在完整性上的不同要求,将其分为三个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响。
赋值
标识
定义
3
高
完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,并且难以弥补。
例如直接损失超过100万人民币,或重大项目(合同)失败,或失去重要客户。
2
中
完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补。
例如直接损失超过10万人民币,或项目(合同)失败,或失去客户。
1
低
完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,甚至可以忽略,对业务冲击轻微,容易弥补。
6.2.3.可用性赋值
根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
赋值
标识
定义
3
高
可用性价值非常高,合法使用者对资产的可用度达到年度90%以上,或系统不允许中断。
2
中
可用性价值中等,合法使用者对资产的可用度在正常工作时间达到50%以上,或系统允许中断时间小于8工作时。
1
低
可用性价值较低或可被忽略,合法使用者对资产的可用度在正常工作时间达到50%以下,或系统允许中断时间小于24工作时。
6.2.4.资产重要性等级
资产价值(V)=机密性价值(C)+完整性价值(I)+可用性价值(A)
资产等级:
等级
价值分类
资产总价值
1
低
3~4
2
中
5~7
3
高
8~9
6.3.信息安全威胁参考表
编号
威胁
硬件和设施
软件和系统
文档和数据
人力资源
服务
1
故障
★
★
-
-
2
废弃
★
★
★
3
服务失效/中断
★
4
恶意软件
★
-
5
抵赖
-
★
-
6
通信监听
-
-
-
★
7
操作失误
★
★
-
8
未经授权更改
★
★
★
-
9
未经授权访问、使用或复制
★
★
★
-
10
被利用传送敏感信息
★
★
11
盗窃
★
★
★
-
12
供电故障
★
-
★
13
恶意破坏
★
★
★
-
14
电子存储媒体故障
★
★
-
15
违背知识产权相关法律、法规
★
★
-
16
温度、湿度、灰尘超限
★
-
-
-
17
静电
★
-
-
-
18
黑客攻击
★
★
-
19
容量超载
★
★
-
-
★
20
系统管理员权限滥用
★
★
-
-
21
密钥泄露、篡改
★
★
-
-
22
密钥滥用
★
-
-
-
23
个体伤害(车祸、疾病等)
-
-
-
★
24
不公正待遇
-
-
-
★
25
社会工程
-
-
-
★
26
人为灾难:
瘟疫、火灾、爆炸、恐怖袭击等
★
★
★
★
27
自然灾难:
地震、洪水、台风、雷击等
★
★
★
★
28
服务供应商泄密
★
6.4.信息安全薄弱点参考表
编号
大类
编号
小类及说明
1
环境和基础设施
1.1
物理保护的缺乏:
建筑物、门、窗等
1.2
物理访问控制不充分或不仔细
1.3
电力供应不稳
1.4
处于易受到威胁的场所,例如洪水、地震
1.5
缺乏防火、防雷等保护性措施
2
硬件
2.1
缺乏周期性的设备更新方案
2.2
易受电压变化影响
2.3
易受到温度、湿度、灰尘和污垢影响
2.5
易受到电磁辐射
2.6
媒体介质缺乏维护或错误安装
2.7
缺乏有效的配置变更控制
2.8
缺乏设施安全控制机制
2.9
不当维护
2.10
不当处置
3
软件
3.1
不清晰、不完整的开发规格说明书
3.2
没有、或不完备的软件测试
3.3
复杂的用户界面
3.4
缺乏标示和授权机制,例如用户授权
3.5
缺乏审核踪迹
3.6
众所周知的软件缺陷,易受病毒等攻击
3.7
密码表未受到保护
3.8
密码强度太弱
3.9
访问权限的错误配置
3.10
未经控制的下载和使用软件
3.11
离开工作常所未注销(锁屏)
3.12
缺乏有效的变更控制
3.13
文档缺乏
3.14
缺乏备份
3.15
处置或重用没有正确的擦除内容的存储介质
3.16
缺乏加解密使用策略
3.17
缺乏密钥管理
3.18
缺乏身份鉴别机制
3.19
缺乏补丁管理机制
3.20
安装、使用盗版软件
3.21
缺乏使用监控
3.22
未经授权复制或传播软件(许可)
3.23
缺乏(文件)共享安全策略
3.24
缺乏服务/端口安全策略
3.25
缺乏病毒库升级管理机制
3.26
不受控发布公共信息
4
网络与通信
4.1
通信线路缺乏保护
4.2
电缆连接不牢固
4.3
对发送和接收方缺乏识别与验证
4.4
明文传输口令
4.5
发送与接受消息时缺少证据
4.6
拨号线路
4.7
未保护的敏感信息传输
4.8
网络管理不恰当
4.9
未受保护的公网连接
4.10
缺乏身份鉴别机制
4.11
未配置或错误配置访问权限
5
文档
5.1
存放缺乏保护
5.2
不受控访问或复制
5.3
随意处置
5.4
缺乏备份机制
6
人员
6.1
员工缺编
6.2
安全训练不完备
6.3
缺乏安全意识
6.4
缺乏控制机制
6.5
缺乏员工关怀/申诉政策
6.6
不完备的招聘/离职程序
6.7
道德缺失
7
一般应用弱点
7.1
单点故障
7.2
服务故障响应不及时
7.3
负载过高
7.4
缺乏安全控制机制
7.5
缺乏应急机制
6.5.威胁发生可能性等级对照表
等级
说明
发生可能性
1
低
非等级2与等级3的定义
2
中
每半年至少发生一次但不及等级3
3
高
每月至少发生两次
说明:
判断威胁出现的频率是威胁识别的重要工作,评估者应根据经验和(或)有关的统计数据来进行判断。
在风险评估过程中,还需要综合考虑以下三个方面,以形成在某种评估环境中各种威胁出现的频率:
1)以往安全事件报告中出现过的威胁及其频率的统计;
2)实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;
3)近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。
6.6.当前控制力度等级表
赋值
标识
定义
1
强
控制措施充分、有效、适宜,控制措施文档化,运行记录完备
2
中
控制措施充分(或基本充分)、有效(或基本有效)、适宜(或基本适宜),但控制措施未文档化,以公司习惯驱动
3
弱
基本无控制措施,被公司忽视,
6.7.弱点被利用可能性等级表
赋值
标识
定义
1
低
当前控制等级为1,且威胁发生等级为2以内(包括2)
2
中
非等级1与等级3以外的一切情况
3
高
当前控制等级为3,且威胁发生等级为3
说明:
每种威胁必须利用相应的资产弱点,才能对资产造成损害。
因此威胁利用弱点的几率也反映了当前公司管理规定的规范程度和执行力度,同时也反映出该威胁发生的频率。
6.8.事件可能影响程度等级对照表
6.8.1.对机密性的影响等级
赋值
标识
定义
3
高
导致资产完全丧失机密性,或严重降低资产机密性,。
2
中
资产部分丧失机密性。
1
低
对资产机密性无影响或影响轻微
6.8.2.对完整性的影响等级赋值
赋值
标识
定义
3
高
导致资产完全丧失完整性,或严重降低资产完整性,影响不可恢复或恢复困难。
2
中
资产部分丧失完整性,影响可恢复。
1
低
对资产完整性无影响或影响轻微
6.8.3.对可用性的影响等级
赋值
标识
定义
3
高
导致资产完全丧失可用性,或严重降低资产可用性,影响不可恢复或恢复困难。
2
中
资产部分丧失可用性,影响可恢复。
1
低
对资产可用性无影响或影响轻微
6.8.4.事件影响程度等级
影响程度等级=Max(机密性C,完整性I,可用性A)
6.9.信息安全风险矩阵计算表
威胁发生可能性
低1
中2
高3
影响程度等级
低1
中2
高3
低1
中2
高3
低1
中2
高3
资产价值
1
1
2
3
2
4
6
3
6
9
2
2
4
6
4
8
12
6
12
18
3
3
6
9
6
12
18
9
18
27
说明:
在完成了资产识别、威胁识别、弱点识别,以及对已有安全措施确认后,将采用适当的方法确定威胁利用弱点导致安全事件发生的可能性,考虑安全事件一旦发生其所作用的资产的重要性及弱点的严重程度判断安全事件造成的损失对组织的影响,即安全风险。
风险计算的方式如下,
风险值=弱点被利用可能性等级X威胁利用弱点影响程度等级X资产价值
6.10.信息安全风险接受准则
等级
划分标准
说明
A级
18及以上
不可接受的风险,必须采取控制措施
B级
6-12
有条件接受的风险(需经评估小组评审,判断是否可以接受的风险)
C级
1-4
不需要评审即可接受的风险
升级会员 