东莞市有限公司 ISMS-COP01
东莞市有限公司
信息安全风险评估管理程序
文件编号:ISMS-COP01 编写:信息安全管理委员会 审核: 批准:陈世胜 发布版次:A/0版 生效日期: 分发:各部门
状态:受控 2018年05月10日 2018年05月10日 2018年05月12日 2018年05月12日 2018年05月18日 接受部门:各部门
变 更 记 录
变更日期 版本 A/0 变更说明 初始版本
第1页 共106页
编写 审核 批准 东莞市有限公司 ISMS-COP01
信息安全风险评估管理程序
1 适用
本程序适用于本公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。
2 目的
本程序规定了本公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估,认知本公司的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持本公司业务持续性发展,以满足本公司信息安全管理方针的要求。
3 范围
本程序适用于第一次完整的风险评估和定期的再评估。在辨识资产时,本着尽量细化的原则进行,但在评估时我司又会把资产按照系统进行规划。辨识与评估的重点是信息资产,不区分物理资产、软件和硬件。
4 职责
4.1 成立风险评估小组
办公室负责牵头成立风险评估小组。
4.2 策划与实施
风险评估小组每年至少一次,或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后,负责编制信息安全风险评估计划,确认评估结果,形成《信息安全风险评估报告》。
4.3 信息资产识别与风险评估活动
各部门负责本部门使用或管理的信息资产的识别,并负责本部门所涉及的信息资产的具体安全控制工作。
第2页 共106页
东莞市有限公司 ISMS-COP01 4.3.1 各部门负责人负责本部门的信息资产识别。 4.3.2 办公室经理负责汇总、校对全公司的信息资产。 4.3.3 办公室负责风险评估的策划。
4.3.4 信息安全小组负责进行第一次评估与定期的再评估。
5 程序
5.1 风险评估前准备
5.1.1 办公室牵头成立风险评估小组,小组成员至少应该包含:信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。
5.1.2 风险评估小组制定信息安全风险评估计划,下发各部门内审员。 5.1.3 必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。
5.2 信息资产的识别
5.2.1 本公司的资产范围包括:
5.2.1.1 信息资产
1) 数据文档资产:客户和公司数据,各种介质的信息文件包括纸质文件。 2) 软件资产:应用软件、系统软件、开发工具和适用程序。 3) 硬件资产:计算机设备、通讯设备、可移动介质和其他设备。 4) 服务:培训服务、租赁服务、公用设施(能源、电力)。 5) 人员:人员的资格、技能和经验。 6) 无形资产:组织的声誉、商标、形象。
5.3资产及其重要度
5.3.1识别组织的资产
? 识别在评估范围内的资产。对于在范围内的每一项资产都要恰当统计;不在评估范
围内的资产,也要进行记录;
? 按一定的标准,将信息资产进行恰当的分类,在此基础上进行下一步的风险评估工
作。
? 识别组织资产,参考《资产等级分类及重要度(安全等级)划分》
第3页 共106页
东莞市有限公司 ISMS-COP01
5.3.2评估资产的重要度
1. 对资产的等级进行定义,并表示成相对等级的形式。
识别出资产之后,必须对资产的重要度进行评估。评估的依据是资产的保密性、完整性和可用性在遭受损失之后的后果。
不同资产的安全属性的重要程度是不一样的,例如:对财物数据来说保密性和可核查性是最重要的安全属性,而对操作软件来说更强调可用性。对资产评估的过程本身就是对资产安全属性损失后果的分析。
在本程序中虽然不按照安全属性分别赋值,但是评估过程中要充分考虑本节中列出的各种安全属性。
资产重要度描述如下表。
等级 描 述 对这些资产的保密性、完整性或可用性等安全属性的影响(即发生3(高) 泄露、损坏、丢失或无法使用等)将对组织造成极严重的或灾难性的损失,通常其直接或间接的影响范围波及到公司整体。 对这些资产的保密性、完整性或可用性等安全属性的影响(即发生2(中) 泄露、损坏、丢失或无法使用等)将对组织造成较重要的损失,通常其直接或间接的影响范围波及到公司局部。 对这些资产的保密性、完整性或可用性等安全属性的影响(即发生1(低) 泄露、损坏、丢失或无法使用等)将对组织造成一定的损失,通常其直接或间接的影响范围仅波及到公司很少部门。 1 3 5 重要度赋值
2. 决定资产重要度时,需要考虑:
? 资产的成本价格,更重要的是考虑资产对于组织业务的安全重要性,即根据资产损失所引发的潜在的影响来决定;
? 为确保资产重要度的一致性和准确性,建立一个统一的尺度,以无歧义的方式对资产的重要度进行赋值;
? 分析和评价资产受到侵害后的保密性、完整性和可用性损失。 ? 决定资产重要度,参考《资产安全等级分类》
第4页 共106页
东莞市有限公司 ISMS-COP01
5.4识别资产面临的威胁
实施风险评估需要对要保护的每一项关键资产进行威胁的识别。威胁可以从资产的所有者、使用者、计划书、信息专家、社团内部及外部负责信息安全的组织等处获得。通常,一个可能的威胁列表对完成威胁评估有所帮助。当应用威胁目录(列表)或者以前的威胁评估结果时,必须意识到,威胁总是不断变化的,尤其是在业务环境与信息发生变化时。
1. 分析本公司的信息系统存在的威胁种类,确定威胁分类的标准。 2. 综合威胁来源、种类和其他因素后得出威胁列表; 3. 针对每一项需要保护的信息资产,找出可能面临的威胁。
在识别资产所面临的威胁时,应该考虑下面三个方面的资料和信息来源: ? 通过历史的安全事件报告或记录,统计各种发生过的威胁和其发生频率; ? 在评估对象的实际环境中,通过IDS等系统获取的威胁发生数据的统计和分析,各种日志中威胁发生的数据的统计和分析;
? 过去一年或两年来国际公司或机构(例如:微软公司)、社团内部负责信息安全的组织(例如:CERT应急响应中心)、社团外部负责信息安全的组织(例如:病毒防范产品公司)、业务关联公司发布的对于整个社会或特定行业安全威胁及其发生频率的统计数据。
5.5识别威胁可以利用的脆弱性
这一步是评估容易被攻击者(或威胁源)攻破(或破坏)的薄弱点,包括基础设施中的弱点、控制中的弱点、员工意识上的弱点、系统中的弱点和设计上的弱点等。包括针对资产所关联的物理环境、组织、人员、管理、硬件、软件、程序、代码、通信设备等多种可能被威胁源所利用并可能导致危害的,由资产自身特性导致的弱点。系统脆弱性往往需要与对应的威胁相结合时才会对系统的安全造成危害。
一个没有对应威胁的脆弱性一般不会造成实在的风险,可以不采取相应的防护措施,但是有必要密切监视这种潜在的风险。注意,脆弱性不仅是由于最初购置或制造时的原因产生的,资产的应用方法、目的的不同、防护措施的不足都可能造成脆弱性。例如:E2PROM是一种可擦写的存储设备,可擦写是其设计时的一项标准,但可擦写属性意味着E2PROM所存储的信息未经授权的破坏成为可能,这就是一个脆弱性。
5.6评估资产在威胁暴露度
暴露度等级描述资产或资产安全属性受损害的程度,以下简称暴露度。
第5页 共106页
