东莞市有限公司 ISMS-COP01
本评估方法将暴露度的等级定义为5级。如下表所示:
等 级 5 4 3 2 1 描 述 资产被完全损害,或者极其严重 对资产的损害程度很大 对资产损害的程度中等 对资产的损害的程度很小 对资产损害的程度几乎没有 表:暴露度的等级定义
在评估时可参考下面两个表的描述,即根据对资产的安全属性(保密性、可用性、完整性)的损害及影响程度评价对应的暴露等级。
等 级 5 4 3 2 1 资产的保密性或完整性 资产严重或完全损害,例如,从外部可接触,并影响业务利润或成败 严重但对资产造成不完全损害,例如,影响业务利润或成败,可从外部接触到。 中等损坏或损失,例如影响内部业务实施,导致运作成本增加或利润减少 低损害或损失,例如,影响内部业务实行,无法评定成本的增加 资产有轻微更改或无更改 表:资产保密性/完整性暴露度的等级定义
等级 5 4 3 2 1 停工 工作中断 工作延迟 工作受干扰 由正常业务操作吸收 可 用 性 描 述 实质性支持成本或业务承诺被取消 支持成本或业务承诺延迟可量化增长 对支持成本或工作效率有显著的影响,无可评定的业务影响 无可评定的影响,支持或基础结构成本有少量增加 对支持成本/工作效率或业务承诺无可评定的影响 表:资产可用性暴露度的等级定义
5.7评估威胁发生的可能性
容易度描述的是威胁利用脆弱性而可能发生的容易程度。这里所说的发生容易
第6页 共106页
东莞市有限公司 ISMS-COP01
度与具体的信息系统没有关系。当与控制措施结合之后才形成影响的发生可能性。
对于发生容易度的等级,需要根据资产不同的安全属性分别定义。本公司将发生容易度的等级定义为5级。参见下表:
等级 5 4 3 2 1 描 述 发生容易度高 发生容易度较高 发生容易度中 发生容易度较低 发生容易度低 表:发生容易度等级定义
5.8识别与分析控目前控制手段的有效性
控制措施可以减少风险发生可能性或者减轻发生后的影响。因此,必须识别出控制措施并对其有效性进行评估。根据控制措施的有效性对控制措施赋值,以下简称控制度。公司将控制度的等级划分为1-5(5为基本无效)。每一个等级都要对应相应的有效性系数之后参加风险的计算。如下表。
控制度 1 2 3 4 5 描 述 表示控制措施非常有效 表示控制措施有很大程度的效果 表示控制措施基本有效 表示控制措施有一定的效果 表示控制措施基本无效 表:控制措施的控制度与控制措施有效性对应关系
5.9分析资产在威胁脆弱性下发生的影响度
影响是指威胁对脆弱性一次成功攻击所产生的负面影响。
影响等级(以下简称影响度)是资产重要度等级和暴露等级的乘积。 确定影响度的定义,本公司采取以下定义和计算方式 影响度 = (资产重要度等级 * 暴露等级)* 20%
第7页 共106页
东莞市有限公司 ISMS-COP01
由资产重要度等级值(1-5)与暴露等级(1-5)相乘,并乘以系数20%取整后,那么影响度等级为:1-5。
5.10确定资产发生风险的可能性
资产发生风险的可能性以下简称发生可能性。 发生可能性 = (发生容易度等级 * 控制度)* 20%
由发生容易度等级值(1-5)与控制措施赋值(1-5)相乘,并乘以系数20%取整后,那么影响发生可能性等级为:1-5。
5.11计算风险大小
风险大小量化后称为风险等级,以下简称风险度。 风险度 = 影响度 * 发生可能性
表:风险计算矩阵
本公司按照风险数值排序的方法,将上面的25的矩阵等级,按照组织对风险的接受程度定义为高、中、低3个风险度的级别。风险度为15(含)以上时表示高,5(含)~15表示中,5以下表示低;这包括可接受风险与不可接受风险的划分,接受与不可接受的界限应当考虑风险控制成本与风险(机会损失成本)的平衡;
风险级别 高 对应风险度 >= 15 系统可能要继续运行,但是必须尽快部署针对性计划。 如果被评估为中风险,那么便要求有纠正行动,必须在一个合中 >=5&&<15 理的时间段内制定有关计划来实施这些行动。 风险描述和必要行动 如果被评估为高风险,那么便强烈要求有纠正措施。一个现有 第8页 共106页
东莞市有限公司 ISMS-COP01
如果被评估为低风险,须确定是否还需要采取纠正行动或者是低 <5 否接受风险。 5.12风险处理和接受准则
本公司要求对“高”风险度制定《风险处理计划》,“中”风险由信息安全小组决定是否采取安全措施,“低”风险属于可以接受的风险。总经理需要决定是否接受风险处理后的残余风险并承认《风险处理计划》。
5.13不可接受风险的确定和处理
各责任部门按照《信息安全不可接受风险处理计划》的要求采取有效安全控制措施后,
原评估小组重新评估其计划效果,降至残余风险可接受为止,确保所采取的控制措施是充分的,该措施直到为再次风险评估的输入。残余风险报告须经总经理批准。
5.14 评估时机
5.14.1 每年重新评估一次,以确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施,对发生以下情况需及时进行风险评估:
a) 当发生重大信息安全事故时;
b) 当信息网络系统发生重大更改时; c) 信息安全管理小组确定有必要时。
5.14.2 各部门对新增加、转移的或授权销毁的信息资产应及时按照本程序在《信息资产识别评价表》、《重要信息资产清单》上予以添加或变更。
6 相关/支持性文件
?
? ? ?
《信息安全适用性声明》 《信息安全管理手册》 《文件和资料管理程序》 《信息安全风险评估报告》
7 记录
记录名称 《风险处理计划》 保存部门 办公室 保存期限 3年 第9页 共106页
东莞市有限公司 ISMS-COP01
东莞市有限公司
记录管理程序
《信息安全风险评估报告》 《信息资产识别评估表》 《残余风险评价报告》 《重要信息资产清单》 《残余风险计算表》
办公室 办公室 办公室 办公室 办公室 3年 3年 3年 3年 3年
文件编号:ISMS-COP02 编写:信息安全管理委员会 审核: 批准:陈世胜 发布版次:A/0版
状态:受控 2018年05月10日 2018年05月10日 2018年05月12日 2018年05月12日
第10页 共106页
