信息安全風險評估

信息安全風險評估管理程序

編號：SIP01版本：A修改碼：2

上海大昭和有限公司Page1of6

1。目的

在ISMS覆蓋范圍內(nèi)對信息安全現(xiàn)行狀況進行系統(tǒng)風險評估，形成評估報告，描述風險等級,識別

和評價供處理風險的可選措施，選擇控制目標和控制措施處理風險.

2.范圍

在ISMS覆蓋范圍內(nèi)主要信息資產(chǎn)

3。職責

3.1各部門負責部門內(nèi)部資產(chǎn)的識別，確定資產(chǎn)價值。

3.2ISMS小組負責風險評估和制訂控制措施和信息系統(tǒng)運行的批準。

4.內(nèi)容

4.1資產(chǎn)的識別

4.1。1各部門每年按照管理者代表的要求負責部門內(nèi)部資產(chǎn)的識別，確定資產(chǎn)價值。

4.1。2資產(chǎn)分類

根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類。

4。1.3資產(chǎn)賦值

資產(chǎn)賦值就是對資產(chǎn)在機密性、完整性和可用性上的達成程度進行分析，選擇對資產(chǎn)機密性、完

整性和可用性最為重要（分值最高）的一個屬性的賦值等級作為資產(chǎn)的最終賦值結(jié)果。資產(chǎn)等級

劃分為五級，分別代表資產(chǎn)重要性的高低。等級數(shù)值越大,資產(chǎn)價值越高。

1）機密性賦值

根據(jù)資產(chǎn)在機密性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在機密性上的應(yīng)達成的不同

程度或者機密性缺失時對整個組織的影響。

賦值標識定義

5極高包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運，對組織根本利益有著決定性

影響，如果泄漏會造成災(zāi)難性的損害

4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴重損害

3中等包含組織的一般性秘密，其泄露會使組織的安全和利益受到損害

2低包含僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息,向外擴散有可能對組織

的利益造成損害

1可忽略包含可對社會公開的信息,公用的信息處理設(shè)備和系統(tǒng)資源等

2）完整性賦值

根據(jù)資產(chǎn)在完整性上的不同要求,將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在完整性上的達成的不同程度

或者完整性缺失時對整個組織的影響。

信息安全風險評估管理程序

編號：SIP01版本：A修改碼：2

上海大昭和有限公司Page2of6

賦值標識定義

5極高完整性價值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影

響,對業(yè)務(wù)沖擊重大，并可能造成嚴重的業(yè)務(wù)中斷，難以彌補

4高完整性價值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響,對業(yè)務(wù)沖擊嚴重，

比較難以彌補

3中等完整性價值中等,未經(jīng)授權(quán)的修改或破壞會對組織造成影響,對業(yè)務(wù)沖擊明顯，但可以

彌補

2低完整性價值較低,未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響，可以忍受，對業(yè)務(wù)

沖擊輕微,容易彌補

1可忽略完整性價值非常低,未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略，對業(yè)務(wù)沖擊

可以忽略

3）可用性賦值

根據(jù)資產(chǎn)在可用性上的不同要求,將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在可用性上的達成的不同程

度。

賦值標識定義

5極高可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可用度達到年度99。9%以上

4高可用性價值較高,合法使用者對信息及信息系統(tǒng)的可用度達到每天90%以上

3中等可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到70%以上

2低可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到25%以上

1可忽略可用性價值可以忽略,合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于25%

3分以上為重要資產(chǎn),重要信息資產(chǎn)由IT部門確立清單

4.2威脅識別

4.2。1威脅分類

對重要資產(chǎn)應(yīng)由ISMS小組識別其面臨的威脅。針對威脅來源，根據(jù)其表現(xiàn)形式將威脅分為軟硬

件故障、物理環(huán)境威脅、無作為或操作失誤、管理不到位、惡意代碼和病毒、越權(quán)或濫用、黑客

攻擊技術(shù)、物理攻擊、泄密、篡改和抵賴等。

4。2.2威脅賦值

評估者應(yīng)根據(jù)經(jīng)驗和（或）有關(guān)的統(tǒng)計數(shù)據(jù)來判斷威脅出現(xiàn)的頻率。威脅頻率等級劃分為五級，

分別代表威脅出現(xiàn)的頻率的高低.等級數(shù)值越大,威脅出現(xiàn)的頻率越高。威脅賦值見下表。

等級標識定義

5很高威脅出現(xiàn)的頻率很高,在大多數(shù)情況下幾乎不可避免或者可以證實經(jīng)常發(fā)生過（每天)

4高威脅出現(xiàn)的頻率較高,在大多數(shù)情況下很有可能會發(fā)生或者可以證實多次發(fā)生過（每周）

3中威脅出現(xiàn)的頻率中等，在某種情況下可能會發(fā)生或被證實曾經(jīng)發(fā)生過（每月、曾經(jīng)發(fā)生過）

2低威脅出現(xiàn)的頻率較小，一般不太可能發(fā)生,也沒有被證實發(fā)生過（每年）

1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生(特殊情況)

4。3脆弱性識別

信息安全風險評估管理程序

編號：SIP01版本：A修改碼：2

上海大昭和有限公司Page3of6

4.3.1脆弱性識別內(nèi)容

脆弱性識別主要從技術(shù)和管理兩個方面進行,技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層

等各個層面的安全問題.管理脆弱性又可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動

相關(guān)，后者與管理環(huán)境相關(guān).

4。3.2脆弱性嚴重程度賦值

脆弱性嚴重程度的等級劃分為五級，分別代表資產(chǎn)脆弱性嚴重程度的高低。等級數(shù)值越大，

脆弱性嚴重程度越高。脆弱性嚴重程度賦值見下表

等級標識定義

5很高如果被威脅利用，將對資產(chǎn)造成完全損害（90％以上）

4高如果被威脅利用,將對資產(chǎn)造成重大損害（70％）

3中如果被威脅利用，將對資產(chǎn)造成一般損害(30％）

2低如果被威脅利用，將對資產(chǎn)造成較小損害（10％）

1很低如果被威脅利用，將對資產(chǎn)造成的損害可以忽略（10%以下）

4.4已有安全措施的確認

ISMS小組應(yīng)對已采取的安全措施的有效性進行確認,對有效的安全措施繼續(xù)保持，以避免不

必要的工作和費用，防止安全措施的重復(fù)實施。對于確認為不適當?shù)陌踩胧?yīng)核實是否應(yīng)被取

消,或者用更合適的安全措施替代。

4。5風險分析

完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及對已有安全措施確認后，ISMS小組采用相乘法

確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性,考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要

性及脆弱性的嚴重程度判斷安全事件造成的損失對組織的影響，即安全風險。

4。5。1安全事件發(fā)生的可能性等級P=(T*V）0。5,（四舍五入,V=5時加嚴）

脆弱性嚴重程度V12345

威脅發(fā)生

頻率T

111223

212234

312334

422345

523445

4。5.2、安全事件發(fā)生后的損失等級L＝(A*V）0.5，(四舍五入,V=5時加嚴）

信息安全風險評估管理程序

編號：SIP01版本：A修改碼：2

上海大昭和有限公司Page4of6

脆弱性嚴重程度V

12345

資產(chǎn)價值

A

111223

211234

312334

422345

523455

4。5。3、風險等級R＝(L*P）0.5，(四舍五入，P=5時加嚴）

可能性P12345

損失L

112223

212233

312334

422344

523445

4。5。4風險管理策略

完全的消除風險是不可能和不實際的.公司需要有效和經(jīng)濟的運轉(zhuǎn),因此必須根據(jù)安全事件

的可能性和對業(yè)務(wù)的影響來平衡費用、時間、安全尺度幾個方面的問題。公司在考慮接受殘余風

險時的標準為只接受中或低范圍內(nèi)的風險;但是對于必須投入很高的費用才能將殘余風險降為中

或低的情況，則分階段實施控制。

風險值越高,安全事件發(fā)生的可能性就越高，安全事件對該資產(chǎn)以及業(yè)務(wù)的影響也就越大，風險

管理策略有以下：

?接受風險：接受潛在的風險并繼續(xù)運行信息系統(tǒng)，不對風險進行處理。

?降低風險：通過實現(xiàn)安全措施來降低風險,從而將脆弱性被威脅源利用后可能帶來的不利

影響最小化（如使用防火墻、漏洞掃描系統(tǒng)等安全產(chǎn)品)。

?規(guī)避風險:不介入風險，通過消除風險的原因和/或后果（如放棄系統(tǒng)某項功能或關(guān)閉系

統(tǒng))來規(guī)避風險。

?轉(zhuǎn)移風險：通過使用其它措施來補償損失，從而轉(zhuǎn)移風險，如購買保險。

風險等級3（含）以上為不可接受風險,3（不含）以下為可接受風險。如果是可接受風險，

可保持已有的安全措施；如果是不可接受風險，則需要采取安全措施以降低、控制風險.安全措

施的選擇應(yīng)兼顧管理與技術(shù)兩個方面,可以參照信息安全的相關(guān)標準實施.

4。6確定控制目標、控制措施和對策

信息安全風險評估管理程序

編號：SIP01版本：A修改碼：2

上海大昭和有限公司Page5of6

基于在風險評估結(jié)果報告中提出的風險級別,ISMS小組對風險處理的工作進行優(yōu)先級排序。

高等級(例如被定義為“非常高"或“高”風險級的風險）的風險項應(yīng)該最優(yōu)先處理。

?評估所建議的安全措施

?實施成本效益分析

?選擇安全措施

?制定安全措施的實現(xiàn)計劃

?實現(xiàn)所選擇的安全措施

4.7殘余風險的監(jiān)視與處理

風險處理的最后過程中,ISMS小組應(yīng)列舉出信息系統(tǒng)中所有殘余風險的清單。在信息系統(tǒng)的

運行中，應(yīng)密切監(jiān)視這些殘余風險的變化，并及時處理.

每年年初評估信息系統(tǒng)安全風險時，對殘余風險和已確定的可接受的風險級別進行評審時，

應(yīng)考慮以下方面的變化：

?組織結(jié)構(gòu)；

?技術(shù);

?業(yè)務(wù)目標和過程;

?已識別的威脅；

?已實施控制措施的有效性;

?外部事件,如法律法規(guī)環(huán)境的變更、合同義務(wù)的變更和社會環(huán)境的變更。

4。8信息系統(tǒng)運行的批準

ISMS小組考察風險處理的結(jié)果,判斷殘余風險是否處在可接受的水平之內(nèi)?；谶@一判斷，

管理層將做出決策，決定是否允許信息系統(tǒng)運行。

如果信息系統(tǒng)的殘余風險不可接受，而現(xiàn)實情況又要求系統(tǒng)必須投入運行，且當前沒有其它

資源能勝任單位的使命。這時可以臨時批準信息系統(tǒng)投入運行。

在這種情況下，必須由信息系統(tǒng)的主管者決定臨時運行的時間段，制定出在此期間的應(yīng)急預(yù)

案以及繼續(xù)處理風險的措施。在臨時運行的時間段結(jié)束后，應(yīng)重新評估殘余風險的可接受度。如

果殘余風險仍然不可接受，則一般不應(yīng)再批準信息系統(tǒng)臨時運行。

5相關(guān)文件

信息資產(chǎn)管理程序

信息安全風險評估管理程序

編號：SIP01版本：A修改碼：2

上海大昭和有限公司Page6of6

6記錄

信息資產(chǎn)識別表

重要資產(chǎn)清單

威脅/脆弱性因素表

風險評估表

安全措施實施計劃

殘余風險清單