ZF-ISMS-2011-0105-信息安全风险管理程序V20.doc

江苏智发数字医疗科技有限公司 信息安全风险管理程序 受控状态：受控文件 编号/版本：ZF-ISMS-2011-0105/ V2.0 编 制：研发部 批 准： 批准时间：2011-07-08 实施时间：2011-07-08 版本历史记录 版本 制订者 修改时间 更改内容 审批人 审核意见 变更申请单号 0.1 毛永兴 2011-07-08 草稿做成 刘双庆 同意 1.0 毛永兴 2011-07-08 发布实施 刘双庆 同意 1.0 2.0 叶庆楚 2012-07-17 更新“4.4判定标准”部分的内容，使判定标准更加清晰和宜于理解。 汤旭锋 同意 2.0 信息安全风险管理程序 1 目的 为了方便在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平，特制定本程序。 范围 适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。 职责 管理者代表负责组织成立风险评估小组，并协调信息安全风险管理工作。 研发部是信息安全风险评估和风险处置的归口管理部门。 行政人事部是监察信息安全风险评估和风险处置的部门,负责编制《风险处置计划》，确认评估结果，形成《风险评估报告》。 各部门负责本部门使用或管理的资产的识别和风险评估和风险处置的具体实施，并负责本部门所涉及的资产的具体安全控制工作。 工作程序 风险评估前准备 管理者代表组织成立风险评估小组，小组成员包含信息安全责任部门的成员，并制定《风险评估计划》，经总经理批准。风险评估小组按计划协助各部门对影响经营、服务和日常管理的重要业务系统以及涉及资产进行识别和风险评估。 资产风险评估 应对所有的资产进行风险评估，评估应考虑威胁、薄弱点、威胁事件发生的可能性和威胁事件发生后对资产造成的影响程度及已经采取的控制措施等方面的因素。 识别威胁 威胁是对组织及其资产构成潜在破坏的可能性因素，是客观存在的。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和无意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，例如非授权的泄露、篡改、删除等，在保密性、完整性或可用性等方面造成损害；也可能是偶发的、或蓄意的事件。 风险评估人员根据资产本身所处的环境条件，识别每个资产所面临的威胁。 识别薄弱点 薄弱点是对一个或多个资产弱点的总称。薄弱点是资产本身存在的，如果没有相应的威胁发生，单纯的薄弱点本身不会对资产造成损害。而且如果系统足够强健，再严重的威胁也不会导致安全事件，并造成损失。即，威胁总是要利用资产的弱点才可能造成危害。 资产的薄弱点具有隐蔽性，有些弱点只有在一定条件和环境下才能显现，这是薄弱点识别中最为困难的部分。需要注意的是，不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个薄弱点。 薄弱点识别将针对每一项需要保护的资产，找出可能被威胁利用的薄弱点，并对薄弱点的严重程度进行评估。薄弱点识别时的数据应来自于资产的所有者、使用者，以及相关业务领域的专家和软硬件方面的专业等人员。 薄弱点识别主要从技术和管理两个方面进行，技术薄弱点涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理薄弱点又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关。 风险评估的方法 运用FMEA (评估潜在失效模式及影响的定量分析)方法从以下三个方面进行风险评价，然后算出风险值RPN，以确定风险等级。　 S－严重性：失效可能产生后果的严重程度； 影响程序指一旦威胁事件实际发生时，将给资产带来多大程度的损失。 在分析时，应分别分析、确定威胁事件发生后对资产自身价值、保密性、完整性、可用性、法律法规符合性的影响程度，并进行量化赋值。 严重程度的赋值方法见“4.4.1严重性”。 O－可能性：预计出现的频率, 识别威胁发生的可能性； 分析威胁利用薄弱点给资产造成损害的可能性。确定各个威胁利用薄弱点造成损害的可能性的量化赋值见“5.4.2可能性”。 判断每项重要资产所面临威胁发生的可能性时应注意： 威胁事件本身发生的可能性：这可以根据以往的统计数据来判断。 现有的安全控制措施。 现存的安全薄弱点：管理上的缺陷或者资产本身的薄弱点越多，被威胁利用的可能性就越大，威胁发生的可能性越大。 指南：已有的控制措施可能降低威胁发生的可能性，例如良好的避雷系统能