2、XXx信息风险评估服务实施指南.doc

PAGE PAGE 2 内部使用，不得外传 中证信息风险评估项目 实施指南 版本 编制 审核 批准 1.0 发布日期：2015-4-5 北京中证信息 安全服务部 目录 TOC 1 前言 3 2 术语和定义 3 3 评估标准 5 3.1 检测依据 5 3.1.1 行业规范 5 3.1.2 行业标准 5 3.1.3 国家标准 5 3.1.4 国际标准 7 4 实施流程 8 4.1 阶段一 准备阶段 8 4.1.1 阶段任务 8 4.1.2 阶段目标 9 4.1.3 阶段步骤 9 4.1.3.1 项目组织 9 4.1.3.2 项目准备 10 4.1.3.3 项目启动 10 4.2 阶段二 识别阶段 11 4.2.1 阶段任务 11 4.2.2 阶段目标 11 4.2.3 阶段步骤 11 4.2.3.1 资产识别 11 4.2.3.2 威胁识别 14 4.2.3.3 脆弱性识别 16 4.2.3.3.1 技术脆弱性识别 16 4.2.3.3.2 管理脆弱性识别 18 4.2.3.4 安全措施识别 19 4.3 阶段三 分析阶段 19 4.3.1 阶段任务 19 4.3.2 阶段目标 19 4.3.3 阶段步骤 20 4.3.3.1 资产分析 20 4.3.3.2 威胁分析 20 4.3.3.3 脆弱性分析 20 4.3.3.4 综合风险分析 20 4.4 阶段四 规划验收阶段 23 4.4.1 阶段任务 23 4.4.2 阶段目标 23 4.4.3 阶段步骤 24 5 评估准则 25 5.1 保密原则 25 5.2 互动原则 25 5.3 最小影响原则 26 5.4 规范性原则 26 5.5 质量保障原则 26 附 录 A （规范性附录） 资产价值的计算方法 26 A.1 对数法 26 A.2 矩阵法 27 附 录 B （规范性附录） 风险值的计算方法 28 B.1 相乘法 28 B.2 矩阵法 29 参考文献 30 前言 本文档使用对象为中证信息风险评估服务实施的项目管理者和实施技术人员，作为其在工程实施的时候依据的实施流程和操作规范。使用权和修改权归中证信息安全服务部。 术语和定义 风险评估：依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 资产asset：对组织具有价值的信息或资源，是安全策略保护的对象。 信息安全information security：是指信息的保密性、完整性、可用性的保护。 保密性：数据所具有的特性，即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度。 完整性：保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。 可用性：数据或资源的特性，被授权实体按要求能访问和使用数据或资源。 威胁：是指可能对信息资产或组织造成损害事故的潜在原因。 脆弱性：可能被威胁所利用的资产或若干资产的薄弱环节。 安全风险：人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 安全风险管理：是指以可接受的费用识别、控制、降低或消除可能影响信息系统安全风险的过程。通过风险评估来识别系统中的风险，以此制定信息安全方针，实施适当的风险控制计划使风险被避免、转移或降低至可接受的程度。 风险控制：是指风险评估完成后实施降低安全风险的行为、程序或机制，是风险管理的第二个过程，它包括对风险评估建议的安全防护措施进行优先级排序、评估和实现。 残余风险：采取了安全措施后，信息系统仍然可能存在的风险。 安全事件：系统、服务或网络的一种可识别状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或未预知的不安全状况。 安全需求：为保证组织业务战略的正常运作而在安全措施方面提出的要求。 安全措施：保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制。 评估标准 检测依据 行业规范 银监发[2006]5号《电子业务管理办法》； 银监发[2006]9号《电子安全评估指引》； 银监发[2007]42号《商业操作风险管理指引》； 银监发[2009]19号《商业信息科技风险管理指引》 银监发[2007] 6号《商业内部控制指引》； 银监发[2011]104号《商业业务连续性监管指引》； 银监办便函[2011]549号《网上安全风险管理指引》； 行业标准 JR/T 0026-2006 《银行业计算机信息系统雷电