信息安全风险识别与评价管理程序解析.doc

题目： 信息安全风险识别与评价管理程序 编号 GM-III-B005 版本号 00 生效日期 2015.07.20 起草部门 信息中心 颁发部门 总经理办公室 一、目的： 通过风险评估，采取有效措施，降低威胁事件发生的可能性，或者减少威胁事件造成的影响，从而将风险消减到可接受的水平。 二、范围： 适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。 三、责任： 3.1 管理者代表 信息中心执行信息安全风险的识别与评价；审核并批准重大信息安全风险，并负责编制《信息资产风险评估准则》，执行信息安全风险调查与评价，提出重大信息安全风险报告。 3.2 各部门 协助信息中心的调查，参与讨论重大信息安全风险的管理办法。 四、内容： 4.1 资产识别 保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此，应对组织中的资产进行识别。 在一个组织中，资产有多种表现形式；同样的两个资产也因属于不同的信息系统而重要性不同，而且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。在实际工作中，具体的资产分类方法可以根据具体的评估对象和要求，由评估者灵活把握。根据资产的表现形式，可将资产分为数据、软件、硬件、服务、人员等类型。 表1 列出了一种资产分类方法。 表1 一种基于表现形式的资产分类方法 类别 简称 解释/示例 数据 Data 存在电子媒介的各种数据资料，包括源代码、数据库数据，各种数据资料、系统文档、运行管理过程、计划、报告、用户手册等。 软件 Software 应用软件、系统软件、开发工具和资源库等。 服务 Service 软件维护等 硬件 Hardware 计算机硬件、路由器，交换机。硬件防火墙。程控交换机、布线、备份存储 文档 Document 纸质的各种文件、传真、电报、财务报告、发展计划。 设备 Facility 电源、空调、保险柜、文件柜、门禁、消防设施等 人员 HR 各级人员和雇主、合同方雇员 其它 Other 企业形象、客户关系等 4.2 信息类别 4.2.1信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。 4.2.2 信息分类定义： a)“国家秘密事项”：《中华人民共和国保守国家秘密法》中指定的秘密事； b)“企业秘密事项”：不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害，或者由于业务上的需要仅限有关人员知道的商业秘密事项； c)“敏感信息事项”：为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项； d)“一般事项”：秘密事项以外，仅用来传递信息、昭示承诺或对外宣传所涉及的事项； e)“公开事项”：其他可以完全公开的事项。 4.2.3 信息分类不适用时，可不填写。 五、风险评估实施: 5.1 资产赋值 5.1.1 保密性赋值 根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。 表2 提供了一种保密性赋值的参考 赋值 标识 定义 5 很高 包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害 4 高 包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害 3 中等 组织的一般性秘密，其泄露会使组织的安全和利益受到损害 2 低 仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害 1 很低 可对社会公开的信息，公用的信息处理设备和系统资源等 5.1.2 完整性赋值 根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上缺失时对整个组织的影响。表3 提供了一种完整性赋值的参考。 表3 资产完整性赋值表 赋值 标识 定义 5 很高 完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补 4 高 完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补 3 中等 完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补 2 低 完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务