信息安全系统风险管理系统程序.docx

实用文档 标准 实用文档 目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式， 将信息安全风险控制在 可接受的水平，特制定本程序。 范围 本程序适用信息安全管理体系 (ISMS) 范围内信息安全风险评估活动的管理。 职责 3.1 研发中心 负责牵头成立信息安全管理委员会。 3.2 信息安全管理委员会 负责编制《信息安全风险评估计划》 ，确认评估结果，形成《风险评估报告》及《风险处理计划》 。 3.3 各部门 负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制工 作。 相关文件 《信息安全管理手册》 GB-T20984-2007 信息安全风险评估规范》 《信息技术 安全技术 信息技术安全管理指南 第 3 部分： IT 安全管理技术》 程序 5.1 风险评估前准备 ① 研发中心牵头成立信息安全管理委员会，委员会成员应包含信息安全重要责任部门的成员。 ② 信息安全管理委员会制定《信息安全风险评估计划》 ，下发各部门。 ③ 风险评估方法 -定性综合风险评估方法 本项目采用的是定性的风险评估方法。 定性风险评估并不强求对构成风险的各个要素 （特别是 资产）进行精确的量化评价，它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准，来 对风险要素进行相对的等级分化，最终得出的风险大小，只需要通过等级差别来分出风险处理的优 先顺序即可。 综合评估是先识别资产并对资产进行赋值评估， 得出重要资产， 然后对重要资产进行详细的风 险评估。 标准 实用文档 5.2 资产赋值 ① 各部门信息安全管理委员会成员对本部门资产进行识别，并进行资产赋值。 资产价值计算方法：资产价值 = 保密性赋值＋完整性赋值＋可用性赋值 ② 资产赋值的过程是对资产在信息分类、机密性、完整性、 可用性进行分析评估，并在此基础上 得出综合结果的过程。 ③ 确定信息类别 信息分类按“ 5.9 资产识别参考（资产类别） ”进行，信息分类不适用时，可不填写。 ④ 机密性 (C) 赋值 根据资产在机密性上的不同要求， 将其分为五个不同的等级， 分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。 ⑤ 完整性 (I) 赋值 根据资产在完整性上的不同要求， 将其分为五个不同的等级， 分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。 ⑥ 可用性 (A) 赋值 根据资产在可用性上的不同要求， 将其分为五个不同的等级， 分别对应资产在可用性上的达成的不同程度。 标准 实用文档 资产价值判断标准 标准 实用文档 要 实体 / 服务资产 文件 / 软件资产 准则 数据资产 无形资产 人员资产 素 数据存储、 传输及处 理设施在 一个工作 赋 每次中断允许 赋 使用频次要 赋 赋 允许离岗时 赋 使用频次 按资产 日内允许 值 时间 值 求 值 值 间 值 使用或 中断的次 可 数或时间 允许中 用 比例 断的时 性 16 次以上 间次数 来评估 或全部工 1 3 天以上 1 每年都要使 1 每年都要使用 10 个工作日 1 作时间中 用至少 1次 1 及以上 至少 1次 断 9-15 次或 2 1－3 天 2 每个季度都 2 每个季度都要 6-9 工作日 2 1/2 工作时 要使用至少 1 2 使用至少 1 次 标准 实用文档 间中断 次 3-8 次或 每个月都要 每个月都要使 1/4 工作时 3 12小时－ 1天 3 3 3-5 个工作日 3 3 用至少 1次 间中断 使用至少 1 次 1-2 次或 1/8 工作时 4 3小时－ 12 小时 4 每周都要使4 每周都要使用 4 2 个工作日 4 间中断 用至少 1次 至少 1次 5 0－3 小时 5 每天都要使 每天都要使用 5 1 个工作日 5 不允许 5 至少 1次 用至少 1次 标准 实用文档 形成资产清单 各部门的《重要资产调查与风险评估表》经本部门负责人审核，报管理者代表确认。 5.3 判定重要资产 ① 根据前面的资产机密性、 完整性、 可用性的赋值相加得到资产的价值， 资产价值越高表示资产 重要性程度越高。 要素 标识 相对价值范围 等级 很高 15,14,13 4 资产等级 高 12,11,10 3 9,8,7,6 2 一般 低 5,4,3 1 ② 按资产价值得出重要资产， 资产价值为 4，3 的是重要资产， 资产价值为 2，1 的是非重要资产。 ③ 信息安全管理委员会对各部门资产识别情况进行审核， 确保没有遗漏重要资产， 形成各部门的 《资产识别清单》 。 ④ 各部门的《资产识别清单》经本部门负责人审核，报管理者代表确认，并分发各部门存档。 5.4 重要资产风险评估 ① 应对所有的重要资产进行风险评估， 评估应