信息安全风险识别与评价管理程序[整理].docxVIP

20XX文档收拾 | 学习参阅collection of questions and answers标题：信息安全危险辨认与点评办理程序 编号 GM-III-B005 版本号 00 收效日期 2015.07.20 起草部分 信息中心 颁布部分 总经理办公室 一、意图：经过危险点评，采纳有用办法，下降要挟事情产生的或许性，或许削减要挟事情构成的影响，然后将危险消减到可承受的水平。二、规模：适用于对信息安全办理体系信息安全危险的辨认、点评、操控等办理。三、职责：3.1 办理者代表信息中心履行信息安全危险的辨认与点评；审阅并同意严峻信息安全危险，并担任编制《信息财物危险评估原则》，履行信息安全危险查询与点评，提出严峻信息安全危险陈述。3.2 各部分帮忙信息中心的查询，参加评论严峻信息安全危险的办理办法。四、内容：4.1 财物辨认保密性、完整性和可用性是点评财物的三个安全特色。危险点评中财物的价值不是以财物的经济价值来衡量，而是由财物在这三个安全特色上的到达程度或许其安全特色未到达时所构成的影响程度来决议的。安全特色到达程度的不同将使财物具有不同的价值，而财物面对的要挟、存在的软弱性、以及已选用的安全办法都将对财物安全特色的到达程度产生影响。为此，应对安排中的财物进行辨认。在一个安排中，财物有多种表现办法；相同的两个财物也因归于不同的信息体系而重要性不同，并且关于供给多种事务的安排，其支撑事务继续运转的体系数量或许更多。这时首要需求将信息体系及相关的财物进行恰当的分类，以此为基础进行下一步的危险点评。在实践工作中，详细的财物分类办法能够依据详细的点评目标和要求，由点评者灵敏掌握。依据财物的表现办法，可将财物分为数据、软件、硬件、服务、人员等类型。表1 列出了一种财物分类办法。表1 一种依据表现办法的财物分类办法 类别 简称 解说/示例 数据 Data 存在电子前言的各种数据资料，包含源代码、数据库数据，各种数据资料、体系文档、运转办理进程、方案、陈述、用户手册等。 软件 Software 使用软件、体系软件、开发东西和资源库等。 服务 Service 软件保护等 硬件 Hardware 核算机硬件、路由器，交换机。硬件防火墙。程控交换机、布线、备份存储 文档 Document 纸质的各种文件、传真、电报、财务陈述、开展方案。 设备 Facility 电源、空调、保险柜、文件柜、门禁、消防设施等 人员 HR 各级人员和雇主、合同方雇员 其它 Other 企业形象、客户联系等 4.2 信息类别  4.2.1信息分类的重要度分为5类:国家隐秘事项、企业隐秘事项、灵敏信息事项、一般事项和揭露事项。  4.2.2 信息分类界说： “国家隐秘事项”：《中华人民共和国保存国家隐秘法》中指定的隐秘事； “企业隐秘事项”：不行对外揭露、若走漏或被篡改会对本公司的生产运营构成危害，或许因为事务上的需求仅限有关人员知道的商业隐秘事项； “灵敏信息事项”：为了日常的事务能顺利进行而向公司员工公司开、但不行向公司以外人员随意揭露的内部操控事项； “一般事项”：秘密事项以外，仅用来传递信息、昭示许诺或对外宣扬所触及的事项； “揭露事项”：其他能够彻底揭露的事项。 4.2.3 信息分类不适用时，可不填写。  五、危险点评施行:  5.1 财物赋值  5.1.1 保密性赋值  依据财物在保密性上的不同要求，将其分为五个不同的等级，别离对应财物在保密性上应到达的不同程度或许保密性缺失时对整个安排的影响。  表2 供给了一种保密性赋值的参阅 赋值 标识 界说 5 很高 包含安排最重要的隐秘，联系未来开展的出路命运，对安排根本利益有着决议性的影响，假如走漏会构成灾难性的危害 4 高 包含安排的重要隐秘，其走漏会使安排的安全和利益遭受严峻危害 3 中等 安排的一般性隐秘，其走漏会使安排的安全和利益遭到危害 2 低 仅能在安排内部或在安排某一部分内部揭露的信息，向外分散有或许对安排的利益构成细微危害 1 很低 可对社会揭露的信息，共用的信息处理设备和体系资源等 5.1.2 完整性赋值  依据财物在完整性上的不同要求，将其分为五个不同的等级，别离对应财物在完整性上缺失时对整个安排的影响。表3 供给了一种完整性赋值的参阅。  表3 财物完整性赋值表 赋值 标识 界说 5 很高 完整性价值十分要害，未经授权的修正或损坏会对安排构成严峻的或无法承受的影响，对事务冲击严峻，并或许构成严峻的事务中止，难以补偿 4 高 完整性价值较高，未经授权的修正或损坏会对安排构成严峻影响，对事务冲击严峻，较难补偿 3 中等 完整性价值中等，未经授权的修正或损坏会对安排构成影响，对事务冲击显着，但能够补偿 2 低 完整性价值较低，未经授权的修正或损坏会对