信息安全风险识别与评价管理程序.docxVIP

题目： 信息安全风险识别与评价管理程序 编亏 GM-III-B005 版本号 00 生效日期 2015.07.20 起草部门 信息中心 颁发部门 总经理办公室 一、 目的： 通过风险评估，采取有效措施，降低威胁事件发生的可能性，或者减少威胁事件造成的 影响，从而将风险消减到可接受的水平。 二、 围： 适用丁对信息安全管理体系信息安全风险的识别、评价、控制等管理。 三、 责任： 3.1管理者代表 信息中心执行信息安全风险的识别与评价；审核并批准重大信息安全风险，并负责编制 《信息资产风险评估准则》，执行信息安全风险调查与评价，提出重大信息安全风险报告。 3.2各部门 协助信息中心的调查，参与讨论重大信息安全风险的管理办法。 四、 容： 4.1资产识别 保密性、完整性和可用性是评价资产的三个安全届性。风险评估中资产的价值不是以资 产的经济价值来衡量，而是由资产在这三个安全届性上的达成程度或者其安全届性未达成时 所造成的影响程度来决定的。安全届性达成程度的不同将使资产具有不同的价值，而资产面 临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全届性的达成程度产生影响。 为此，应对组织中的资产进行识别。 在一个组织中，资产有多种表现形式；同样的两个资产也因届丁不同的信息系统而重要 性不同，而且对丁提供多种业务的组织，其支持业务持续运行的系统数量可能更多。这时首 先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。在实 际工作中，具体的资产分类法可以根据具体的评估对象和要求，由评估者灵活把握。根据资 题目： 信息安全风险识别与评价管理程序 编亏 GM-III-B005 版本号 00 生效日期 2015.07.20 产的表现形式，可将资产分为数据、软件、硬件、服务、人员等类型。 表1列出了一种资产分类法 表1 一种基丁表现形式的资产分类法 类别 简称 解释/示例 数据 Data 存在电子媒介的各种数据资料，包括源代码、数据库数据， 各种数据资料、系统:文档、运行管理过程、计划、报告、 用户手册等。 软件 Software 应用软件、系统软件、开发工具和资源库等。 服务 Service 软件维护等 硬件 Hardware 计算机硬件、路由器，交换机。硬件防火墙。程控交换机、 布线、备份存储 文档 Document 纸质的各种文件、传真、电报、财务报告、发展计划。 设备 Facility 电源、空调、保险柜、文件柜、门禁、消防设施等 人员 HR 各级人员和雇主、合同雇员 其它 Other 企业形象、客户关系等 4.2信息类别 4.2.1信息分类的重要度分为5类:秘密事项、企业秘密事项、敏感信息事项、一般事项和公 开事项。 4.2.2信息分类定义： “秘密事项”：《中华人民国保守秘密法》中指定的秘密事； “企业秘密事项”：不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害，或者 由丁业务上的需要仅限有关人员知道的商业秘密事项； 题目： 信息安全风险识别与评价管理程序 编亏 GM-III-B005 版本号 00 生效日期 2015.07.20 “敏感信息事项”：为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人 员随意公开的部控制事项； “一般事项”：秘密事项以外，仅用来传递信息、昭示承诺或对外宣传所涉及的事项； “公开事项”：其他可以完全公开的事项。 4.2.3信息分类不适用时，可不填写。 五、风险评估实施： 5.1资产赋值 5.1.1保密性赋值 根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上应达 成的不同程度或者保密性缺失时对整个组织的影响。 表2提供了一种保密性赋值的参考 赋值 标识 定义 5 很高 包含组织最重要的秘密，关系未来发展的前途命运，对组织根 本利益有着决定性的影响，如果泄露会造成灾难性的损害 4 高 包含组织的重要秘密，其泄露会使组织的安全和利益遭受重损 害 3 中等 组织的一般性秘密，其泄露会使组织的安全和利益受到损害 2 低 仅能在组织部或在组织某F门部公开的信息,向外扩散有可 能对组织的利益造成轻微损害 1 很低 可对社会公开的信息，公用的信息处理设备和系统资源等 5.1.2完整性赋值 根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上缺失 时对整个组织的影响。表3提供了一种完整性赋值的参考。 题目：信息安全风险识别与评价管理程序编亏GM-III-B005版本号00生效日期2015.07.20 题目： 信息安全风险识别与评价管理程序 编亏 GM-III-B005 版本号 00 生效日期 2015.07.20 生效日期 2015.07.20 表3资产完整性赋值表 赋值 标识 定义 5 很高 完整性价值非常关键，未