actmismsop09信息安全风险评估原则v10.docxVIP

文件编号：ACTM-ISMS-OP-09 信息安全风险评估原则 版本号：1.0 第 1 页，共 15 页 版本修订历史记录 版本号 修订内容 修订者 修订时间 1.0 第一次下发 潘永平 2011-08-30 文 件 签 核 栏 拟 制 审 核（ISO） 审 核 批 准 姓 名 潘永平 曾志俊 项松 余道义 职 务 项目工程部主管 管理代表 总监 总经理 签 名 期 文件编号：ACTM-ISMS-OP-09 信息安全风险评估原则 版本号：1.0 第 2 页，共 15 页 1. 信息资产分类参考 资产分类参考目录（表一） 大类 详细分类 举例 业务过程 各部门及子部门的业 招聘业务过程、网络维护业务过程等 务相关过程和活动 经营策划 经营计划 组织情况 组织结构图 规章制度 公司各级文件和管理制度 文档和数据 财务信息 资金计划、成本、财务状况、财务报告 营业信息 合同、报价、顾客名录、营销战略 技术信息 研究成果、技术工艺 软件信息 程序代码表、软件的各项管理系统表、设计书 其他 公司电话名单、董事会资料 系统软件 Windows、UNIX操作系统，数据库管理系统，语 句包，开发系统等 软件和系统 应用软件 office办公软件、数据库软件、各类工具软件等 程序代码 各种共享源代码，自行或合作开发的各种代码等 软件的各项管理系统 生产管理，人力资源管理系统，ERP系统 计算机设备 大型机、小型机、服务器、工作站、台式计算机 、便携计算机等 网络设备 路由器、网关、交换机等 通讯工具 电话 传输线路 光纤、双绞线 硬件和设施 存储设备 光盘、U盘、磁带机、磁盘阵列、磁带、软盘、 移动硬盘等 保障设备 UPS、变电设备、空调、保险柜、文件柜、门禁 、消防设施等 安全设备 防火墙、入侵检测系统、身份鉴别等 其它电子设备 打印机、复印机、扫描仪、传真机等 涉密人员 市场、财务、人事、系统管理员，掌握重要信息 人力资源 和核心业务的人员 特殊人员 有特殊技能知识的人 IT服务 系统运行、维护、软件开发、维护、数据管理、 网络服务、信息安全服务 服务和其他 后勤服务 照明、供电、空调、安全保卫 第3方服务 第3方服务过程的信息安全控制 无形资产 企业形象、客户关系等 文件编号：ACTM-ISMS-OP-09 信息安全风险评估原则 版本号：1.0 第 3 页，共 15 页 2. 重要信息资产判断准则 重要信息资产判断准则（表二） 分类 判断准则 业务过程 公司已有的业务过程一般情况下都属于重要资产 1.属于企业机密 文档和数据 2.被修改、不正当使用或缺失对公司活动及管理或商 业信誉、形象直接产生不良影响 3.本部门认为重要信息资产 1.属于企业秘密的程序 软件和系统 2.如果被修改或失效对公司活动及管理或商业信誉、 形象直接产生不良影响 3.本部门认为重要信息资产 1.产生或保存的信息属于秘密的设备和媒体 硬件和设施 2.处理方法不当或设备故障对公司活动及管理或商业 信誉、形象直接产生不良影响 3.本部门认为重要信息资产 人力资源 1.产生或保存企业秘密信息的人员或特殊技能的人员 2.本部门认为重要信息资产 服务和其他 1.影响业务流程的关键服务、无形资产 2.本部门认为重要信息资产 3. 信息资产分级标准（CIAB） 文件编号：ACTM-ISMS-OP-09 信息安全风险评估原则 版本号：1.0 第 4 页，共 15 页 信息资产CIAB分级标准（表三） 信息资产等 C-机密性 I-完整性 A-可用性 B-业务相关性 级 包含组织最重要的秘密， 完整性价值非常关键，未经 授权的修改或破坏会对组织 可用性价值非常高， 业务完全依靠该信息资 关系未来发展的前途命 造成重大的或无法接受的影 合法使用者对信息及 产，一旦发生故障就会 5（非常高） 运，对组织根本利益有着 响，对业务冲击重大，并可 信息系统的可用度达 导致中断，工作不能进 决定性影响，如果泄漏会 能造成严重的业务中断，对 到年度99.9%以上 行下去 造成灾难性的损害 以弥补 完整性价值较高，未经授权 可用性价值较高，合 业务对该信息资产依赖 包含组织的重要秘密，其 程度很大，脱离该信息 4（高） 泄漏会使组织的安全和利 的修改或破坏会对组织造成 法使用者对信息及信 资产将导致生产效率大 重大影响，对业务冲击严 息系统的可用度达到 益遭受严重损害 幅下降，质量不能得到 重，比较难以弥补 每天90%以上 保证 完整性价值中等，未经授权 可用性价值中等，合 业务主要依靠该信息资 包含组织的一般性秘密， 法使用者对信息及信 3（中） 其泄漏会使组织的安全和 的修改或破坏会对组织造成 息系统的可用度在正 产开展，同时保持原有 影响，对业务冲击明显，但 工作及生产模式，可以 利益受到损害