ISO27001風(fēng)險評估程序

1、ISO27001 風(fēng) 險 評 估 程 序1目的為了對公司的信息資產(chǎn)進(jìn)行風(fēng)險評估和風(fēng)險控制，評估組織信息資產(chǎn)所面臨的風(fēng)險并對風(fēng)險實施有效控制，以確保風(fēng)險被降低或消除，特制定本程序。2適用范圍本程序適用于適用于對公司的信息資產(chǎn)進(jìn)行風(fēng)險評估和風(fēng)險控制。3職責(zé)與權(quán)限3.1 信 息 安 全 委 員 會制定資產(chǎn)評估準(zhǔn)則，確定風(fēng)險評估方法； 負(fù)責(zé)對控制目標(biāo)、控制措施的有效性進(jìn)行監(jiān)督和評審。確定風(fēng)險評估的范圍； 指導(dǎo)各部門進(jìn)行風(fēng)險評估； 匯總和分析風(fēng)險評估結(jié)果，作出風(fēng)險評價； 制定風(fēng)險處理計劃，向信息安全委員會提交信息安全風(fēng)險評估報告。3.3 各 部 門各部門資產(chǎn)負(fù)責(zé)人按規(guī)定維護(hù)相關(guān)資產(chǎn)。識別并列出跟本部門業(yè)

2、務(wù)有關(guān)的資產(chǎn)； 對本部門資產(chǎn)進(jìn)行風(fēng)險評估。4風(fēng)險評估程序和工作流程4.1 風(fēng) 險 評 估 與 管 理4.1.1 過 程 識 別在 ISMS 范圍內(nèi)，各部門識別本部門涉及的主要業(yè)務(wù)過程及使用的各類信息資產(chǎn)。4.1.2 風(fēng) 險 評 估風(fēng)險評估是依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行評價的過程。即風(fēng)險分析和風(fēng)險評價的全過 程。4.1.3 風(fēng) 險 管理風(fēng)險管理是識別、控制、消除、減小可能影響信息系統(tǒng)資源的不確定事件的過程。指導(dǎo) 和控制一個組織的風(fēng)險的協(xié)調(diào)的活動。4.1.4 風(fēng) 險 評估 方法結(jié)合公司在風(fēng)險評估時投入的時間、人力、成本

3、等各方面的因素，公司采用基本風(fēng)險評 估方法?；镜娘L(fēng)險評估方法是指應(yīng)用直接和簡易的方法達(dá)到基本的安全水平，就能滿足組 織及其業(yè)務(wù)環(huán)境的所有要求。 公司采用這種方法使得組織在識別和評估基本安全需求的基礎(chǔ) 上，通過建立相應(yīng)的信息安全管理體系，獲得對信息資產(chǎn)的基本保護(hù)。4.1.5 風(fēng) 險 評估 與風(fēng) 險管 理的 區(qū)分是一個持續(xù)的周期，通常以一定的間隔重新開始來更新流程中各個地區(qū)階段的數(shù)據(jù) 是一個持續(xù)循環(huán)、不斷上升的過程。風(fēng)險評估是確定組織面臨的風(fēng)險并確定其優(yōu)先級的過程，是風(fēng)險管理流程中最必須、最當(dāng)潛在的與安全相關(guān)的事件在企業(yè)內(nèi)發(fā)生時，如變動業(yè)務(wù)方法、發(fā)現(xiàn)新的漏洞等， 組織都可能會啟動風(fēng)險評估。4.2

4、 風(fēng) 險 評估 實施 流程總要求 : 組織應(yīng)根據(jù)整體業(yè)務(wù)活動和風(fēng)險，建立、實施、運(yùn)行、監(jiān)視、評審、保持并改進(jìn) 文件化的 ISMS。圖風(fēng)險評估實施流程421 風(fēng)險評估準(zhǔn)備確定風(fēng)險評估的目標(biāo);確定風(fēng)險評估的范圍;（滿足我公司業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要及法律法規(guī) ）（組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機(jī)構(gòu)）組建適當(dāng)?shù)脑u估管理與實施團(tuán)隊；（由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等組成的 風(fēng)險評估小組） 選擇與組織相適應(yīng)的具體的風(fēng)險判斷方法；（考慮評估的目的、范圍、時間、效果、 人員素質(zhì)等因素來選擇具體的風(fēng)險判斷方法） 獲得最高管理者對風(fēng)險評估工作的支持。（得到組織的最高管理者的支持、批準(zhǔn)）

5、4.2.2 資產(chǎn)識別列出在信息安全管理體系范圍內(nèi)，與我公司內(nèi)的業(yè)務(wù)環(huán)境、業(yè)務(wù)運(yùn)營及信息相關(guān)的資產(chǎn)。資產(chǎn)分類；（人員、實體、軟件、文件、數(shù)據(jù)、服務(wù)、無形、服務(wù)及其他資產(chǎn) ）資產(chǎn)賦值（CIA:對資產(chǎn)在機(jī)密性、完整性和可用性上的達(dá)成程度進(jìn)行綜合評定得出）資產(chǎn)重要性等級確定。4.2.3 威 脅 識 別使用與資產(chǎn)相關(guān)的通用威脅列表，檢查并列出資產(chǎn)的威脅。威脅分類； 威脅賦值；4.2.4 脆 弱 性 識 別使用與資產(chǎn)相關(guān)的通用薄弱點列表，檢查并列出資產(chǎn)的脆弱性。識別方法 識別內(nèi)容 脆弱性賦值4.2.5 對 現(xiàn) 有 安 全控 制 的 識 別識別并整理所有與資產(chǎn)相關(guān)聯(lián)的、現(xiàn)有的或者已經(jīng)作了計劃的控制措施。4.

6、2.6 風(fēng) 險 分 析分析由上述評估產(chǎn)生的有關(guān)資產(chǎn)、威脅和脆弱性的信息，以實用的、簡單的方法進(jìn)行風(fēng)險測量，計算出風(fēng)險等級。把識別分析出來的風(fēng)險與風(fēng)險判據(jù)進(jìn)行比較， 以判斷特定的風(fēng)險是否可接受或需采取其它措施處置。風(fēng)險分析的結(jié)果為具有不同等級的風(fēng)險列表，并記錄在資產(chǎn)風(fēng)險評估表中。4.2.7 風(fēng) 險 處 理對評定后的風(fēng)險等級進(jìn)行判定，確定是否能接受，如可接受，則按現(xiàn)有控制措施進(jìn)行控制，如不可接受，則應(yīng)選擇采取新的安全控制措施，并對需要投入較長時間和較高費用的高風(fēng)險制定風(fēng)險處理計劃，記錄在資產(chǎn)風(fēng)險評估表中，按風(fēng)險處理計劃進(jìn)行處理后重新評價風(fēng)險，直至風(fēng)險降低或可接受為止。確定可接受的殘余風(fēng)險的水平；

7、持續(xù)地評審?fù){以及薄弱點； 評審現(xiàn)有的安全控制方法； 應(yīng)用 ISO/IEC 27001 中的其它安全控制方法；風(fēng)險值計算方法：風(fēng)險值=資產(chǎn)等級+威脅性賦值+脆弱性賦值引入方針和程序。4.2.8 殘 余 風(fēng) 險根據(jù)風(fēng)險評價結(jié)果，判斷殘余風(fēng)險是否可接受，是，則實施風(fēng)險控制；否，則制定風(fēng)險處理計劃。4.2.9 風(fēng) 險 控 制根據(jù)風(fēng)險處理結(jié)果，按照確定的風(fēng)險控制措施和計劃進(jìn)行落實，必要時形成相關(guān)控制文件。風(fēng)險控制措施可根據(jù)控制費用與風(fēng)險平衡的原則， 參照以下方式進(jìn)行選擇， 以降低風(fēng)險:避免風(fēng)險； 轉(zhuǎn)移風(fēng)險； 減少風(fēng)險； 減少薄弱點； 減少威脅可能的影響程度； 探測有害事故，對其做出反應(yīng)并恢復(fù)。4.3

8、風(fēng)險 值 的計 算方 法4.3.1 風(fēng) 險 計算 原理風(fēng)險值=R( A, T, V) = R(L(T , V), F(Ia , Va)其中，R表示安全風(fēng)險計算函數(shù);A:表示資產(chǎn);T:表示威脅;V:表示脆弱性;Ia ：表示安全事件所作用的資產(chǎn)重要程度；Va：表示脆弱性嚴(yán)重程度;L:表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性;F:表示安全事件發(fā)生后產(chǎn)生的損失。4.3.2 風(fēng) 險 計 算 準(zhǔn) 則資產(chǎn)等級、風(fēng)險等級評定方法：見下表表一：保密性的要求評價準(zhǔn)則1淮卿*&稠資產(chǎn)e有減附煙嗟皺件加知護(hù)ff.玄件燙產(chǎn)人w資廠1Mb訪妙情JS圧在底、紬:聶S的訪同拽ft講產(chǎn)燼和t?的*T呼厠 *31

9、 1ks-祁-as. ftir.7? ili?；nRfrl；fi 恂護(hù).尸«1y乍筑亦誦，ftfc耳訕祎 信目計何將:尸M'13詩仕排賊侑JfMTfflrtt? 唳IttlB虬;“11t1時公苛禾外部£縣沁幵的1115時£苛內(nèi)所訐員工孚£ft 的3時殳可旳竹祈習(xí)員匸Sl藍(lán)丹曲3對£茴円第所冠島 工i注井的34 的円咅陳帝吊匚!?也幵的3剖口哎範(fàn)館可u ifiiTiatijs 息F總盡千左=某T古pn刪能 可X訪旬虻他宜m但千臨和t-inmt卻懊 訪創(chuàng)的石也只#手©印朵沖的1SSRb拝干葺詐引郁門或 滬.DSB*、誼同町越，乜貝

10、:布!于£比SS?4|WT-itn-中？乜階、艮1；1 上帶En*鈾壬WAR可H 訪 WM.®rv耳1千iifl中SPIT人JMT.丄a 郎門*« 用可図諭冋胛-盲 Sly尺審.于£可中壬舊 5人員E5世卡門 少?關(guān)翼丿、員5(? 訪閘的侑薛7啟用.子£同中圧B建人 賈如:町耳逼間歸匕27卩眼于暨i?鬲啟 Ttf匡人呂實醫(yī)= 少壯笑養(yǎng)人fl對J厲間爾扁邑權(quán)#子說*feli!血貝惡Pb=i小從蓋ffiu賈曲間19W千令E*i=t 吋人 RiEilTfl iV輒關(guān)旦訪何的嗚盤口陳于 aAfisETTld-tt 無tt人amiJi館問 aicB只岸.

11、于町咗1£覽人 黃耐趙ft點TWI 倩問酌僧口r表二：完整性的要求評價準(zhǔn)則1買體資產(chǎn)百古或F1 /外衍鞭也脈孫革對竇嚴(yán)A易資蘆II充劉注j±理熾旳 業(yè)海時帥 壓*營S 蘭M0刃嚴(yán)± 極如古1舊#甲準(zhǔn)目卿t眄fi艮KBra可krt?爲(wèi)1可1可1用昭1可E熔盤1S3fiI+IK 糊IT：133336-feHX3般F坷t垢S胡吱皋' 諒、E務(wù)等方a0W=XMb?產(chǎn)重1f*iITirsis»非呈F*重»北案嚴(yán)審»f)表三:可用性的要求評價準(zhǔn)則嚼篥iEW淇低/胭勢竇嚴(yán)丈粋應(yīng)障賁產(chǎn)形專嚴(yán)5壹嚴(yán)1可.甲tt£允許中斷 忙時1；対暫

12、兄沖ft '鞘陽？就."'壻1 苗!*理卡羊卉=1 iI3plX-A 中皆：J燻典HI (ttti處電屋亡亡涉丸譏時離W®氏田"忙宴牽WE尊花.菇5如淌J敬卩上或全耳 工卄世間中貸 B-ltyral/El"百gij;工乍 制問卩 卜:SN肉押工嚇 科冋中制不帶扶型上1雪筵炮呈小-L戲'與年用莖少1J A1山亍工作日艮罠上131 一涙】爭牛季虜1!葆嗨用至學(xué)血S侖 f $1107*. fle-月fl蕓ftE至”:：3R&-P工作B35倍卜時一1耳靭卜H®R型司呈戈1>5tnTntTT胡貝都訣用註卜1次7蟲72

13、十工作07?Q-制、討»窈咒昭磐可基吐踽»>01卡工昨日f>表四:資產(chǎn)等級的評價準(zhǔn)則要素標(biāo)識 很高相對價值范圍甌 25, £7等級4資產(chǎn)重要程度 重咚資產(chǎn)咨產(chǎn)笞細(xì)髙1L 19, 213一般資產(chǎn)W廠卡舉一股11, 13, 152一般資產(chǎn)低3,瓦 J 91一般資產(chǎn)表五：脆弱性被威脅利用后的嚴(yán)重性的評價準(zhǔn)則要素標(biāo)識發(fā)生的頻率W威脅利用 弱點導(dǎo)致 危害的可 能性很高出圳的頻率很高或 1次/周）i或在大多 數(shù)情況下幾乎不可避 免，或可以證實經(jīng)常發(fā)5高出現(xiàn)的頻率較高（或 1次/!） !或注去鳥 數(shù)情況下很有可能會發(fā) 生，或可以證實多次發(fā) 生過4一股出現(xiàn)的頻率中等或

14、 1次/半年；或在某 種情況下可能會發(fā)生. 或被證實曾經(jīng)發(fā)生過3低出觀的頻率較水i或一 般不太可能發(fā)生；或沒 有補(bǔ)證實境生過2很低威脅幾乎不可能發(fā)生J 個可能在非常罕見和例 外的情況下發(fā)生1表六：脆弱性被威脅利用后的嚴(yán)重性的評價準(zhǔn)則脆騎性被 威肋刑用 右的產(chǎn)重-性標(biāo)識很高嚴(yán)車程度 如杲被咸脅利用.將對 £司車呉湊嚴(yán)造/車大5A如1串被咸脅利用，將對 車藝擁產(chǎn)造成一般損窖4一般如果被威脅利用.將對 一般詵產(chǎn)遙成車大按害3低如果被威脅利用"聞對 一般貴產(chǎn)造晟一般擁害2很低如杲彼威Eh利川，將對 資產(chǎn)造威的損害可以熬 略1表七：脆弱性被威脅利用后的嚴(yán)重性的評價準(zhǔn)則要素標(biāo)識風(fēng)險值范圍級別可接受淮則高風(fēng)險12144鳳險不可接受，必須立即柬取槎 制措擒降低鳳險鳳險覩別較咼風(fēng)險9113執(zhí)險可臥摂受F但需要采取進(jìn)一 步措施降低風(fēng)險或在威冊發(fā)生時 采取處理措施一般鳳險S先£鳳險可以接晏，可以保掙日前的低風(fēng)險g51控制措施按風(fēng)險值的評價準(zhǔn)則計算出信息資產(chǎn)風(fēng)險值后，按上記表七對應(yīng)獲得風(fēng)險級別。433風(fēng)險結(jié)果判定按風(fēng)險值的評價準(zhǔn)則計算出信息資產(chǎn)風(fēng)險值后獲得的風(fēng)險級別，對風(fēng)險進(jìn)行判定。等級標(biāo)識描述5很為n發(fā)生將便系統(tǒng)遭盤非営嚴(yán)眞破壞，縱織刊益盤到 店；亍嚴(yán)*出失1如果發(fā)生將使系統(tǒng)遭受嚴(yán)威楓壞，細(xì)織創(chuàng)益受到嚴(yán)施 損失3d&#