信息安全风险评估与风险管理控制程序.docVIP

*******有限公司 风险评估和风险管理 控制程序  修订历史 文档编号 保密级别 内部 分发范围 日期 修订情况 修订人 批准人 目的 根据风险评估结果，确定公司需要实施的安全控制措施和其实施的优先级。 范围 公司全体员工 职责 信息技术部 负责评估各个部门的资产，识别威胁、漏洞、计算风险，并草拟风险处置计划，处置风险。 信息安全委员会 确定安全基线，为风险处理给出指导意见。 流程 内容 识别流程和资产 风险评估的第一步是定义范围，并在范围内识别所有相关资产。资产包括数据资产、软件、人员、实物和服务五大类。 而后会进行业务流程的梳理工作，根据部门职责梳理相应的流程，并汇总。 根据流程中所涉及到的内容，根据五类资产的分类，识别资产。 对每一个资产依据其CIA三个角度，确定资产的价值，每个角度，并根据公式计算出其重要性。 具体的计算方法：重要性定义： 1: CIA都为1，重要性为1 2: CIA中最大为2，1个或2个2，重要性为2 3: CIA中，3个2或1个3，重要性为3 4: CIA中，2个3或3个3，重要性为4 选出重要典型资产 每个部门根据自己选出的资产，透过头脑风暴的形式选出部门的重要资产，选择重要资产的依据是：资产的重要性、面临的风险是相似的、资产是否具有代表性。 汇总各个部门的重点典型资产，再站在宏观的角度，根据以上方法选出公司级别的重要核心资产。 由风险评估范围内的各部门识别出相关的信息的资产并初定CIA值，通过现场会议论确认资产的CIA值，并共同典型资产，典型资产的依据是： 典型资产代表的必须同是类型的资产，同类型是指相同的资产类型（如人员的典型资产均是代表人员这一类别的）。 典型资产必须有一定的代表性，如所处的环境、管理的方式与所代表的资产均存在较大的相似性，所面临的威胁及存在的弱点均有一定的相似性。 典型资产的重要性应该是被代表的资产之中最高的。 针对重要资产识别所有弱点 弱点是指资产本身的可被利用的弱点。 识别弱点可透过资产的特性来进行。 分析弱点 针对不同的资产类别对应不同类别的弱点。 根据其弱点一旦被威胁利用所带来的影响分析其弱点值，弱点值定义如下： 等级 弱点值 严重性描述（弱点一旦被利用可能对资产造成的冲击） 高 3 导致资产完全破坏（保密性、可用性和完整性） 中 2 导致资产较大破坏（保密性、可用性和完整性） 低 1 导致资产部分破坏（保密性、可用性和完整性） 极低 0 导致资产轻微破坏（保密性、可用性和完整性） 识别所有威胁 威胁利用资产的弱点，对资产带来潜在危险。威胁可以是意外产生的、也可以是人为故意的。 识别威胁的来源，威胁来源是指对资产带来潜在危险的任何情况和事件。 对识别出的重要资产逐个进行威胁识别。 针对不同类别的弱点会对应不同类别的威胁。 分析威胁 辨别所有可能对资产带来影响的威胁。 针对人员的威胁，应该考虑其背后的能力和资源的要求。 根据威胁发生的概率来确定其威胁值： 等级 威胁值 可能性描述（威胁发生的频率） 高 3 曾经发生过，预期会多次发生 中 2 曾经发生过，预期会再次发生或从未发生过，预期会多次发生 低 1 从未发生过，预期会发生 极低 0 预期几乎不发生 分析现有的控制措施 识别现有的控制措施。 分析控制措施是否可以降低威胁发生的可能性和威胁带来的影响。 控制措施包括技术和管理方面的。技术措施包括硬件、软件、加密设备等。管理措施包括策略、标准、操作程序、人员安全等。 确定风险 总结前几个阶段的结果，确定风险包括以下三个因素： 根据资产的重要性(A) 威胁利用漏洞而造成损害的可能性(B) 影响信息机密性、完整性和可用性的严重程度(C) 根据此公式风险=A×B×C，计算出最终的风险值 确定安全基线 根据风险评估的结果，由管理委员会确定安全基线。 风险处理 比较每个资产的风险优先级和安全基线，对超过安全基线的资产进行风险管理处理。 采取控制措施，将风险降低到安全基线以下。控制措施的选择应该包括以下考虑因素： 控制措施的安全性、有效性和稳定性 控制措施的代价和带来的效益 法律法规的要求 公司的安全策略 对日常运行和操作的影响 信息安全管理委员会经过头脑风暴的形式对采取措施后的残余风险进行评估，确保残余风险降低到可接受的安全基线一下，如果残余风险仍高于可接受水平，管理委员会需要对此做出解释。 经过信息安全管理委员会评估，无残余风险高于可接受水平，因此不需要另做解释。