《信息安全风险评估管理程序》.docxVIP

编 号：NN-PD17 XXXX网络安全技术有限公司 版 次：080501 程 序 文 件 生效日期：2008.05.01 信息安全风险评估管理程序 编制： 日期: 审核： 日期: 批准： 日期: 本版修改记录 修改状态 日期 修改原因及内容提要 修改人 审核人 批准人 信息安全风险评估管理程序 1.0目的 在ISMS覆盖范围内对信息安全现行状况进行系统风险评估，形成评估报告，描述风 险等级，识别和评价供处理风险的可选措施，选择控制目标和控制措施处理风险。 2.0适用范围 在ISMS覆盖范围内主要信息资产 3.0定义（无） 4.0职责 4.1各部门负责部门内部资产的识别，确定资产价值。 4.2信息安全部负责风险评估和制订控制措施。 4.3CEO负责信息系统运行的批准。 5.0流程图 行动和流程 相关支持文件和记录 信息安全部 各职能部门 信息安全部 信息安全部 管理层 信息安全部 管理层 信息安全部 风险评估表 残余风险清单 安全措施实施计划 6.0内容 6.1资产的识别 6.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别，确定资产价值。 6.1.2资产分类 根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员 等类。 6.1.3资产（A）赋值 资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析，选 择对资产机密性、完整性和可用性最为重要（分值最高）的一个属性的赋值 等级作为资产的最终赋值结果。资产等级划分为五级，分别代表资产重要性 的高低。等级数值越大，资产价值越高。 1 ）机密性赋值 根据资产在机密性上的不同要求，将其分为五个不同的等级，分别对应资产 在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。 赋值 标识 定义 5 极高 包含组织最重要的秘密， 关系未来发展的前途命运， 对组织 根本利益有着决定性影响，如果泄漏会造成灾难性的损害 4 高 包含组织的重要秘密，其泄露会使组织的安全和利益遭受严 重损害 3 中等 包含组织的一般性秘密，其泄露会使组织的安全和利益受到 损害 2 低 包含仅能在组织内部或在组织某一部门内部公开的信息， 向 外扩散有可能对组织的利益造成损害 1 可忽 略 包含可对社会公开的信息， 公用的信息处理设备和系统资源 等 2）完整性赋值 根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产 在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。 赋值 标识 定义 5 极高 完整性价值非常关键，未经授权的修改或破坏会对组织造成 重大的或无法接受的影响， 对业务冲击重大，并可能造成严  重的业务中断，难以弥补 4 高 完整性价值较局，未经授权的修改或破坏会对组织造成重大 影响，对业务冲击严重，比较难以弥补 3 中等 完整性价值中等，未经授权的修改或破坏会对组织造成影 响，对业务冲击明显，但可以弥补 2 低 完整性价值较低，未经授权的修改或破坏会对组织造成轻微 影响，可以忍受，对业务冲击轻微，容易弥补 1 可忽 略 完整性价值非常低，未经授权的修改或破坏对组织造成的影 响可以忽略，对业务冲击可以忽略 3)可用性赋值 根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产 在可用性上的达成的不同程度。 赋值 标识 定义 5 极高 可用性价值非常高，合法使用者对信息及信息系统的可用 度达到年度99.9%以上 4 高 可用性价值较局，合法使用者对信息及信息系统的可用度 达到每天90%以上 3 中等 可用性价值中等，合法使用者对信息及信息系统的可用度 在正常工作时间达到 70%以上 2 低 可用性价值较低，合法使用者对信息及信息系统的可用度 在正常工作时间达到 25%以上 1 可忽 略 可用性价值可以忽略，合法使用者对信息及信息系统的可 用好正常工作时间彳氐于 25% 3分以上为重要资产，重要信息资产由信息安全部确立清单 6.2威胁识别 6.2.1威胁分类 对重要资产应由ISMS小组识别其面临的威胁。针对威胁来源，根据其表现 形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、 恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖 等。 6.2.2威胁(T)赋值 评估者应根据经验和（或）有关的统计数据来判断威胁出现的频率。 威胁频率 等级划分为五级，分别代表威胁出现的频率的高低。等级数值越大，威胁出现 的频率越高。威胁赋值见下表。 等级 标识 定义 5 很高 威胁出现的频率很高，在大多数情况下几乎不可避免或者可 以证实经常发生过（每天） 4 高 威胁出现的频率较局，在大多数情况下很有可能会发生或者 可以证实多次发生过（每周） 3 中 威胁出现的频率中等，在某种情况卜可能会发生或被证实曾