ISMS安全風(fēng)險(xiǎn)評(píng)估管理規(guī)定

1、*文件名稱ISMS安全風(fēng)險(xiǎn)評(píng)估管理規(guī)定*文件編號(hào)*文件所有者文件密級(jí)本版批復(fù)信息負(fù)責(zé)人日期意見(jiàn)*擬制*簽發(fā)文件版本記錄*生效日期*作者版本變更說(shuō)明V1.0新文件建立文件說(shuō)明*目的通過(guò)識(shí)別信息資產(chǎn)、風(fēng)險(xiǎn)等級(jí)評(píng)估，認(rèn)知本公司的信息安全風(fēng)險(xiǎn)，在考慮控制成本與風(fēng)險(xiǎn)平衡的前提下選擇合適控制目標(biāo)和控制方式將信息安全風(fēng)險(xiǎn)控制在可接受的水平，保持本公司業(yè)務(wù)持續(xù)性發(fā)展，以滿足本公司信息安全管理方針的要求。*適用范圍公司文件結(jié)構(gòu)名詞解釋目錄目錄21 適用22 目的33 范圍34 職責(zé)34.1 成立風(fēng)險(xiǎn)評(píng)估小組34.2 策劃與實(shí)施34.3 信息資產(chǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估活動(dòng)35 程序45.1 風(fēng)險(xiǎn)評(píng)估前準(zhǔn)備45.2 信息資

2、產(chǎn)的識(shí)別41 適用本程序適用于本公司信息安全管理體系（ISMS）范圍內(nèi)信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)。2 目的本程序規(guī)定了本公司所采用的信息安全風(fēng)險(xiǎn)評(píng)估方法。通過(guò)識(shí)別信息資產(chǎn)、風(fēng)險(xiǎn)等級(jí)評(píng)估，認(rèn)知本公司的信息安全風(fēng)險(xiǎn)，在考慮控制成本與風(fēng)險(xiǎn)平衡的前提下選擇合適控制目標(biāo)和控制方式將信息安全風(fēng)險(xiǎn)控制在可接受的水平，保持本公司業(yè)務(wù)持續(xù)性發(fā)展，以滿足本公司信息安全管理方針的要求。具體操作步驟，參照信息安全風(fēng)險(xiǎn)評(píng)估指南具體執(zhí)行。3 范圍本程序適用于第一次完整的風(fēng)險(xiǎn)評(píng)估和定期的再評(píng)估。在辨識(shí)資產(chǎn)時(shí)，本著盡量細(xì)化的原則進(jìn)行，但在評(píng)估時(shí)我司又會(huì)把資產(chǎn)按照系統(tǒng)進(jìn)行規(guī)劃。辨識(shí)與評(píng)估的重點(diǎn)是信息資產(chǎn)，不區(qū)分物理資產(chǎn)、軟件和硬件。

3、4 職責(zé)4.1 成立風(fēng)險(xiǎn)評(píng)估小組信息安全小組負(fù)責(zé)牽頭成立風(fēng)險(xiǎn)評(píng)估小組。4.2 策劃與實(shí)施風(fēng)險(xiǎn)評(píng)估小組每年至少一次，或當(dāng)體系、組織、業(yè)務(wù)、技術(shù)、環(huán)境等影響企業(yè)的重大事項(xiàng)發(fā)生變更、重大事故事件發(fā)生后，負(fù)責(zé)編制信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃，確認(rèn)評(píng)估結(jié)果，形成信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告。4.3 信息資產(chǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估活動(dòng)各部門負(fù)責(zé)本部門使用或管理的信息資產(chǎn)的識(shí)別和風(fēng)險(xiǎn)評(píng)估，并負(fù)責(zé)本部門所涉及的信息資產(chǎn)的具體安全控制工作。1) 4.3.1 各部門負(fù)責(zé)人負(fù)責(zé)本部門的信息資產(chǎn)識(shí)別。2) 4.3.2 行政部經(jīng)理負(fù)責(zé)匯總、校對(duì)全公司的信息資產(chǎn)。3) 4.3.3 信息安全管理小組負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估的策劃。4) 4.3.4 信息安全委

4、員會(huì)負(fù)責(zé)進(jìn)行第一次評(píng)估與定期的再評(píng)估。5 程序5.1 風(fēng)險(xiǎn)評(píng)估前準(zhǔn)備5.1.1 信息安全管理小組牽頭成立風(fēng)險(xiǎn)評(píng)估小組，小組成員至少應(yīng)該包含：信息安全管理體系負(fù)責(zé)部門的成員、信息安全重要責(zé)任部門的成員。5.1.2 風(fēng)險(xiǎn)評(píng)估小組制定信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃，下發(fā)各部門內(nèi)審員。5.1.3 必要時(shí)應(yīng)對(duì)各部門內(nèi)審員進(jìn)行風(fēng)險(xiǎn)評(píng)估相關(guān)知識(shí)和表格填寫的培訓(xùn)。5.2 信息資產(chǎn)的識(shí)別5.2.1 本公司的資產(chǎn)范圍包括：5.2.1.1 信息資產(chǎn)5) 軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開(kāi)發(fā)工具和適用程序。6) 物理資產(chǎn)：計(jì)算機(jī)設(shè)備、通訊設(shè)備、可移動(dòng)介質(zhì)和其他設(shè)備。7) 服務(wù)：培訓(xùn)服務(wù)、租賃服務(wù)、公用設(shè)施（能源、電力）。8) 人

5、員：人員的資格、技能和經(jīng)驗(yàn)。9) 無(wú)形資產(chǎn)：組織的聲譽(yù)、商標(biāo)、形象。5.2.1.2本公司的資產(chǎn)范圍包括：數(shù)據(jù)庫(kù)、數(shù)據(jù)文件、數(shù)據(jù)合同、系統(tǒng)文件、研究信息、用戶手冊(cè)、培訓(xùn)教材、培訓(xùn)操作、培訓(xùn)軟件、支持性程序、業(yè)務(wù)連續(xù)性計(jì)劃、應(yīng)變安排、審核記錄、審核的追蹤、歸檔信息。5.2.1.3 評(píng)估程序本評(píng)估應(yīng)考慮：范圍、目的、時(shí)間、效果、組織文化、人員素質(zhì)以及具體開(kāi)展的程度等因素來(lái)確定，使之能夠與組織的環(huán)境和安全要求相適應(yīng)。5.2.2 資產(chǎn)屬性賦值5.2.2.1資產(chǎn)賦值是對(duì)資產(chǎn)安全價(jià)值的估價(jià)，而不是以資產(chǎn)的賬面價(jià)格來(lái)衡量的。在對(duì)資產(chǎn)進(jìn)行估價(jià)時(shí)，不僅要考慮資產(chǎn)的成本價(jià)格，更重要的是考慮資產(chǎn)對(duì)于組織業(yè)務(wù)的安全重要

6、性，即根據(jù)資產(chǎn)損失所引發(fā)的潛在的商務(wù)影響來(lái)決定。為確保資產(chǎn)估價(jià)時(shí)的一致性和準(zhǔn)確性，機(jī)構(gòu)應(yīng)按照上述原則，建立一個(gè)資產(chǎn)價(jià)值尺度（資產(chǎn)評(píng)估標(biāo)準(zhǔn)），以明確如何對(duì)資產(chǎn)進(jìn)行賦值。5.2.2.2資產(chǎn)估價(jià)的過(guò)程也就是對(duì)資產(chǎn)保密性、完整性和可用性影響分析的過(guò)程。影響就是由人為或突發(fā)性引起的安全事件對(duì)資產(chǎn)破壞的后果。這一后果可能毀滅某些資產(chǎn)，危及信息系統(tǒng)并使其喪失保密性、完整性和可用性，最終還會(huì)導(dǎo)致財(cái)政損失、市場(chǎng)份額或公司形象的損失。特別重要的是，即使每一次影響引起的損失并不大，但長(zhǎng)期積累的眾多意外事件的影響總和則可造成嚴(yán)重?fù)p失。一般情況下，影響主要從以下幾方面來(lái)考慮：（1）違反了有關(guān)法律或（和）規(guī)章制度（2）影

7、響了業(yè)務(wù)執(zhí)行（3）造成了信譽(yù)、聲譽(yù)損失（4）侵犯了個(gè)人隱私（5）造成了人身傷害（6）對(duì)法律實(shí)施造成了負(fù)面影響（7）侵犯了商業(yè)機(jī)密（8）違反了社會(huì)公共準(zhǔn)則（9）造成了經(jīng)濟(jì)損失（10）破壞了業(yè)務(wù)活動(dòng)（11）危害了公共安全資產(chǎn)安全屬性的不同通常也意味著安全控制、保護(hù)功能需求的不同。通過(guò)考察三種不同安全屬性，可以能夠基本反映資產(chǎn)的價(jià)值。5.2.2.3保密性賦值：賦值標(biāo)識(shí)定義5極高指組織最重要的機(jī)密，關(guān)系組織未來(lái)發(fā)展的前途命運(yùn)，對(duì)組織根本利益有著決定性影響，如果泄漏會(huì)造成災(zāi)難性的影響 4高是指包含組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受嚴(yán)重?fù)p害3中等是指包含組織一般性秘密，其泄露會(huì)使組織的安全和利

8、益受到損害2低指僅在組織內(nèi)部或在組織某一部門內(nèi)部公開(kāi),向外擴(kuò)散有可能對(duì)組織的利益造成損害1可忽略對(duì)社會(huì)公開(kāi)的信息，公用的信息處理設(shè)備和系統(tǒng)資源等信息資產(chǎn)5.2.2.4完整性賦值：賦值標(biāo)識(shí)定義5極高完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體造成重大的或無(wú)法接受、特別不愿接受的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)4高完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體造成重大影響，對(duì)業(yè)務(wù)沖擊嚴(yán)重，比較難以彌補(bǔ)3中等完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體造成影響，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)2低完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體造成輕微影響，可以忍受，對(duì)業(yè)務(wù)沖

9、擊輕微，容易彌補(bǔ)1可忽略完整性價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體造成的影響可以忽略，對(duì)業(yè)務(wù)沖擊可以忽略5.2.2.5可用性賦值：賦值標(biāo)識(shí)定義5極高可用性價(jià)值非常高，合法使用者對(duì)信息系統(tǒng)及資源的可用度達(dá)到年度99.9%以上4高可用性價(jià)值較高，合法使用者對(duì)信息系統(tǒng)及資源的可用度達(dá)到每天99%以上3中等可用性價(jià)值中等，合法使用者對(duì)信息系統(tǒng)及資源的可用度在正常上班時(shí)間達(dá)到90%以上2低可用性價(jià)值較低，合法使用者對(duì)信息系統(tǒng)及資源的可用度在正常上班時(shí)間達(dá)到25%以上1可忽略可用性價(jià)值可以忽略，法使用者對(duì)信息系統(tǒng)及資源的可用度在正常上班時(shí)間低于25%5.2.2.6資產(chǎn)賦值最終資產(chǎn)價(jià)值可以通過(guò)違反資產(chǎn)

10、的保密性、完整性和可用性三個(gè)方面的程度綜合確定，資產(chǎn)的賦值采用定性的相對(duì)等級(jí)的方式。與以上安全屬性的等級(jí)相對(duì)應(yīng)，資產(chǎn)價(jià)值的等級(jí)可分為五級(jí)，從1到5由低到高分別代表五個(gè)級(jí)別的資產(chǎn)相對(duì)價(jià)值，等級(jí)越大，資產(chǎn)越重要。具體每一級(jí)別的資產(chǎn)價(jià)值定義參見(jiàn)下表。由于資產(chǎn)最終價(jià)值的等級(jí)評(píng)估是依據(jù)資產(chǎn)保密性、完整性、可用性的賦值級(jí)別，經(jīng)過(guò)綜合評(píng)定得出的，評(píng)定準(zhǔn)則可以根據(jù)企業(yè)自身的特點(diǎn)，選擇以安全三性中要求最高的一性的賦值級(jí)別為綜合資產(chǎn)賦值準(zhǔn)則。等級(jí)標(biāo)識(shí)資產(chǎn)價(jià)值定義5很高資產(chǎn)的重要程度很高，其安全屬性破壞后可能導(dǎo)致系統(tǒng)受到非常嚴(yán)重的影響4高資產(chǎn)的重要程度較高，其安全屬性破壞后可能導(dǎo)致系統(tǒng)受到比較嚴(yán)重的影響3中資產(chǎn)的重

11、要程度較高，其安全屬性破壞后可能導(dǎo)致系統(tǒng)受到中等程度的影響2低資產(chǎn)的重要程度較低，其安全屬性破壞后可能導(dǎo)致系統(tǒng)受到較低程度的影響1很低資產(chǎn)的重要程度都很低，其安全屬性破壞后可能導(dǎo)致系統(tǒng)受到很低程度的影響，甚至忽略不計(jì)5.2.3 風(fēng)險(xiǎn)評(píng)估小組向各部門內(nèi)審員發(fā)放信息資產(chǎn)分類參考目錄、信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表 、信息資產(chǎn)識(shí)別評(píng)價(jià)表，同時(shí)提出信息資產(chǎn)識(shí)別的要求。5.2.4 各部門內(nèi)審員參考信息資產(chǎn)分類參考目錄1識(shí)別本部門信息資產(chǎn)，根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估指南中的“附錄B資產(chǎn)重要性程度判斷準(zhǔn)則”判斷其是否是重要信息資產(chǎn)，并填寫信息資產(chǎn)識(shí)別評(píng)價(jià)表，經(jīng)本部門負(fù)責(zé)人審核確認(rèn)后，在風(fēng)險(xiǎn)評(píng)估計(jì)劃規(guī)定的時(shí)間內(nèi)提交風(fēng)險(xiǎn)評(píng)估小組

12、審核匯總。5.2.5 風(fēng)險(xiǎn)評(píng)估小組對(duì)各部門填寫的信息資產(chǎn)識(shí)別評(píng)價(jià)表進(jìn)行審核，確保沒(méi)有遺漏信息資產(chǎn)，形成各部門的信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表，并分發(fā)各部門存檔。5.3 信息資產(chǎn)風(fēng)險(xiǎn)等級(jí)評(píng)估5.3.1 應(yīng)對(duì)信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表中的所有資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，評(píng)估應(yīng)考慮威脅事件發(fā)生的可能性和威脅事件發(fā)生后對(duì)信息資產(chǎn)造成的影響程度兩方面因素。5.3.2 風(fēng)險(xiǎn)評(píng)估小組向各部門內(nèi)審員分發(fā)信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表、信息安全威脅參考表1、信息安全薄弱點(diǎn)參考表1、事件發(fā)生可能性等級(jí)對(duì)照表1、事件可能影響程度等級(jí)對(duì)照表1。5.3.3 各部門內(nèi)審員根據(jù)資產(chǎn)本身所處的環(huán)境條件,參考信息安全威脅參考表1識(shí)別每個(gè)信息資產(chǎn)所面臨的威脅，針對(duì)每個(gè)威

13、脅，識(shí)別目前已有的控制；并參考信息安全薄弱點(diǎn)參考表1識(shí)別可能被該威脅所利用的薄弱點(diǎn)；在考慮現(xiàn)有的控制前提下，參考事件發(fā)生可能性等級(jí)對(duì)照表1判斷每項(xiàng)信息資產(chǎn)所面臨威脅發(fā)生的可能性；參考事件可能影響程度等級(jí)對(duì)照表1，判斷威脅利用薄弱點(diǎn)可能使信息資產(chǎn)保密性、完整性或可用性丟失所產(chǎn)生的影響程度等級(jí)。將結(jié)果填寫在信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表上，提交風(fēng)險(xiǎn)評(píng)估小組審核匯總。5.3.4 風(fēng)險(xiǎn)評(píng)估小組考慮本公司整體的信息安全要求，對(duì)各部門填寫的信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表進(jìn)行審核，確保風(fēng)險(xiǎn)評(píng)估水平的一致性，確保沒(méi)有遺漏信息安全風(fēng)險(xiǎn)。如果對(duì)評(píng)估結(jié)果進(jìn)行修改，應(yīng)該和資產(chǎn)責(zé)任部門進(jìn)行溝通并獲得該部門的確認(rèn)。5.3.5 風(fēng)險(xiǎn)評(píng)估小組根據(jù)

14、信息安全風(fēng)險(xiǎn)矩陣計(jì)算表1計(jì)算風(fēng)險(xiǎn)等級(jí)，把風(fēng)險(xiǎn)等級(jí)最高的一級(jí)或者兩級(jí)資產(chǎn)列為重要信息資產(chǎn)清單，并存檔。5.4 不可接受風(fēng)險(xiǎn)的確定和處理5.4.1 風(fēng)險(xiǎn)評(píng)估小組根據(jù)信息安全風(fēng)險(xiǎn)接受準(zhǔn)則1，確定風(fēng)險(xiǎn)的可接受性；針對(duì)不可接受風(fēng)險(xiǎn)編制信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃，該計(jì)劃應(yīng)該規(guī)定風(fēng)險(xiǎn)處理方式、責(zé)任部門和時(shí)間進(jìn)度；編制信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告，陳述本公司信息安全管理現(xiàn)狀，分析存在的信息安全風(fēng)險(xiǎn)，提出信息安全管理（控制）的建議與措施，附信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃提交信息安全管理委員會(huì)進(jìn)行審核，由ISMS管理者代表批準(zhǔn)實(shí)施。5.4.2 各責(zé)任部門按照信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃的要求采取有效安全控制措施后,原評(píng)估部門重新評(píng)估其計(jì)劃效果，降至可接受為止，確保所采取的控制措施是充分的，該措施直到為再次風(fēng)險(xiǎn)評(píng)估的輸入。5.5 評(píng)估時(shí)機(jī)5.5.1 每年重新評(píng)估一次，以確定是否存在新的威脅或薄弱點(diǎn)及是否需要增加新的控制措施，對(duì)發(fā)生以下情況需及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：a) 當(dāng)發(fā)生重大信息安全事故時(shí)；b) 當(dāng)信息網(wǎng)絡(luò)系統(tǒng)發(fā)生重大更改時(shí)；c) 信息安全管理委員會(huì)確定有必要時(shí)。