×××术有限公司信息安全风险评估管理办法.docxVIP

**信息安全风险评估管理办法总则为确保**网络及信息系统安全、高效、可控的运行，提高业务系统安全运行能力，全面降低信息安全风险，特制定本管理办法。组织与责任信息安全管理组负责信息安全风险评估的具体实施。技术支撑部门协助信息安全管理执行组的信息安全风险评估工作，并且实施信息安全管理执行组通过风险评估后提供的解决方案与建议。其他部门协助信息安全管理执行组开展信息安全风险评估工作。信息安全风险评估规定弱点分析概述弱点评估是安全风险评估中最主要的内容。弱点是信息资产本身存在的，它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的弱点。弱点检查信息安全管理组应定期对集团IT系统进行全面的信息安全弱点检查，了解各IT系统的信息安全现状。IT系统安全检查的范围包括：主机系统、网络设备、安全设备、数据库系统、应用系统、邮件系统以及其它在用系统。IT系统安全检查的工具与方法如下：工具检查：针对IT设备建议采用专用的脆弱性评估工具进行检查，如Nessus、BurpSuite等工具，针对应用系统及代码安全检查，建议采用商业专用软件进行检查，如IBM AppScan。手工检查：由信息安全专员或技术支撑部门相关人员参照相关的指导文档上机进行手工检查。信息安全检查工作开展前，信息安全管理组需制定安全检查计划，对于部分可用性要求高的业务系统或设备，计划中要明确执行的时间，并且该计划要通知相关部门与系统维护人员，明确相关人员的及部门的职责与注意事项。信息安全管理组与外服公司针对信息安全检查须制定《安全检查方案》，方案中，针对工具扫描部分需明确扫描策略，同时方案必须提供规避操作风险的措施与方法。并且该方案必须获得技术支撑部领导批准。信息安全管理组应对IT系统安全检查的结果进行汇总，并进行详细分析，提供具体的安全解决建议，如安全加固、安全技术引进等。当发生重大的信息安全事件，信息安全管理组应在事后进行一次全面的安全检查，并通过安全检查结果对重要的安全问题进行及时解决。常见的弱点种类分为：技术性弱点：系统，程序，设备中存在的漏洞或缺陷，比如结构设计问题或编程漏洞；操作性弱点：软件和系统在配置，操作，使用中的缺陷，包括人员在日常工作中的不良习惯，审计或备份的缺乏；管理性弱点：策略，程序，规章制度，人员意识，组织结构等方面的不足；识别弱点的途径包括审计报告，事件报告，安全复查报告，系统测试及评估报告，还可以利用专业机构发布的列表信息。当然，许多技术性和操作性弱点，可以借助自动化的漏洞扫描工具和渗透测试等方法来识别和评估。在对生命周期敏感的资产评估过程中，应注意从创建，使用，传输，存储，销毁等不同的阶段识别弱点。弱点的发现随着新应用,新技术的出现,需要不断更新完善弱点列表。弱点赋值信息资产弱点为IT设备自身存在的安全问题。在**，弱点的严重性以暴露程度进行评价，即弱点被利用的难易程度，而弱点对资产安全影响的严重程度放在资产价值中去考虑，一个弱点可能导致多项不同价值资产的风险上升。参考业界的最佳实践，采用的等级划分如下：将弱点严重性分为4个等级，分别是非常高（VH）、高（H）、中等（M）、低（L），并且从高到低分别赋值4-1。赋值标准参照下表。赋值弱点等级弱点赋值说明（弱点严重程度）4很高弱点很严重，可直接、轻易的被非法者利用，并对信息资产生产破坏3高弱点严重，可利用直接，但需通过一定的攻击手段，可对信息资产生产破坏2中弱点严重一般，利用非常困难或不可利用，但通过与其它弱点进行组合利用，可对信息资产生产破坏1低弱点不严重，弱点不能利用，但会泄露有限的资产信息威胁分析概述安全威胁是一种对系统、组织及其资产构成潜在破坏的可能性因素或者事件。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素包括有意因素和无意因素。环境因素包括自然界的不可抗力因素和其它物理因素。威胁来源分析信息系统的安全威胁来源可考虑以下方面：威胁来源表威胁来源威胁来源描述环境因素、意外事故或故障由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害；意外事故或由于软件、硬件、数据、通讯线路方面的故障。无恶意内部人员内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致故障或被攻击；内部人员由于缺乏培训，专业技能不足,不具备岗位技能要求而导致信息系统故障或被攻击。恶意内部人员不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主的或内外勾结的方式盗窃机密信息或进行篡改，获取利益。第三方第三方合作伙伴和供应商，包括业务合作伙伴以及软件开发合作伙伴、系统集成商、服务商和产品供应商；包括第三方恶意的和无恶意的行为。外部人员攻击外部人员利用信息系统的弱点，对网络和系统的机密性、