信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估管理辦法

1、精選優(yōu)質(zhì)文檔-傾情為你奉上信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估管理辦法第一章 總則第1條 公司安全評(píng)估管理辦法是指導(dǎo)公司進(jìn)行周期性的信息安全評(píng)估，目的是評(píng)估出公司信息網(wǎng)絡(luò)范圍內(nèi)的弱點(diǎn)，并指導(dǎo)進(jìn)一步的安全修補(bǔ)，從而消除潛在的危險(xiǎn)，使整個(gè)公司的信息安全水平保持在一個(gè)較高的水平。第2條 安全評(píng)估的范圍包括公司范圍內(nèi)所有的信息資產(chǎn)，并包括與公司簽訂有第三方協(xié)議的外部信息資產(chǎn)。安全評(píng)估的具體對(duì)象包括服務(wù)器、網(wǎng)絡(luò)和應(yīng)用系統(tǒng)，以及管理和維護(hù)這些對(duì)象的過程。第二章 風(fēng)險(xiǎn)的概念第3條 資產(chǎn)：資產(chǎn)是企業(yè)、機(jī)構(gòu)直接賦予了價(jià)值因而需要保護(hù)的東西。它可能是以多種形式存在，有無形的、有有形的，有硬件、有軟件，有文檔、代碼，也有服務(wù)、企業(yè)

2、形象等。它們分別具有不同的價(jià)值屬性和存在特點(diǎn)，存在的弱點(diǎn)、面臨的威脅、需要進(jìn)行的保護(hù)和安全控制都各不相同。第4條 弱點(diǎn)：弱點(diǎn)和資產(chǎn)緊密相連，它可能被威脅（威脅的定義參見威脅一章）利用、引起資產(chǎn)損失或傷害。值得注意的是，弱點(diǎn)本身不會(huì)造成損失，它只是一種條件或環(huán)境、可能導(dǎo)致被威脅利用而造成資產(chǎn)損失。弱點(diǎn)的出現(xiàn)有各種原因，例如可能是軟件開發(fā)過程中的質(zhì)量問題，也可能是系統(tǒng)管理員配置方面的，也可能是管理方面的。但是，它們的共同特性就是給攻擊者提供了機(jī)會(huì)。第5條 威脅：威脅是對(duì)系統(tǒng)和企業(yè)網(wǎng)的資產(chǎn)引起不期望事件而造成的損害的潛在可能性。威脅可能源于對(duì)企業(yè)信息直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，

3、在機(jī)密性、完整性或可用性等方面造成損害。威脅也可能源于偶發(fā)的、或蓄意的事件。一般來說，威脅總是要利用企業(yè)網(wǎng)絡(luò)中的系統(tǒng)、應(yīng)用或服務(wù)的弱點(diǎn)（弱點(diǎn)的定義參見弱點(diǎn)一章）才可能成功地對(duì)資產(chǎn)造成傷害。從宏觀上講，威脅按照產(chǎn)生的來源可以分為非授權(quán)蓄意行為、不可抗力、人為錯(cuò)誤、以及設(shè)施/設(shè)備錯(cuò)誤等。鑒于本項(xiàng)目的特點(diǎn)，將威脅的評(píng)估專注于非授權(quán)蓄意行為上面。第6條 風(fēng)險(xiǎn)： 風(fēng)險(xiǎn)是一種潛在可能性，是指某個(gè)威脅利用弱點(diǎn)引起某項(xiàng)資產(chǎn)或一組資產(chǎn)的損害，從而直接地或間接地引起企業(yè)或機(jī)構(gòu)的損害。因此，風(fēng)險(xiǎn)和具體的資產(chǎn)、其價(jià)值、威脅等級(jí)以及相關(guān)的弱點(diǎn)直接相關(guān)。第7條 安全評(píng)估：安全評(píng)估是識(shí)別被保護(hù)的資產(chǎn)和評(píng)價(jià)資產(chǎn)風(fēng)險(xiǎn)的過程。第

4、三章 安全評(píng)估過程第8條 安全評(píng)估的方法是首先選定某項(xiàng)資產(chǎn)、評(píng)估資產(chǎn)價(jià)值、挖掘并評(píng)估資產(chǎn)面臨的威脅、挖掘并評(píng)估資產(chǎn)存在的弱點(diǎn)、評(píng)估該資產(chǎn)的風(fēng)險(xiǎn)、進(jìn)而得出整個(gè)評(píng)估目標(biāo)的風(fēng)險(xiǎn)。第9條 安全評(píng)估的過程包含以下4個(gè)步驟：1. 識(shí)別資產(chǎn)并進(jìn)行確定資產(chǎn)價(jià)值賦值：在確定的評(píng)估范圍內(nèi)識(shí)別要保護(hù)的資產(chǎn)，并對(duì)資產(chǎn)進(jìn)行分類，根據(jù)資產(chǎn)的安全屬性進(jìn)行資產(chǎn)價(jià)值評(píng)估。2. 評(píng)估對(duì)資產(chǎn)的威脅：評(píng)估在當(dāng)前安全環(huán)境中資產(chǎn)能夠受到的威脅來源和威脅的可能性。3. 評(píng)估資產(chǎn)威脅相關(guān)的弱點(diǎn)：評(píng)估威脅可能利用的資產(chǎn)的弱點(diǎn)及其嚴(yán)重程度。4. 評(píng)估風(fēng)險(xiǎn)并排列優(yōu)先級(jí)：根據(jù)威脅和弱點(diǎn)評(píng)估的結(jié)果，評(píng)估資產(chǎn)受到的風(fēng)險(xiǎn)，并對(duì)資產(chǎn)的風(fēng)險(xiǎn)進(jìn)行優(yōu)先級(jí)排列。第

5、10條 根據(jù)安全評(píng)估結(jié)果，制定對(duì)風(fēng)險(xiǎn)實(shí)施安全控制的計(jì)劃。第四章 安全評(píng)估策略第11條 公司的安全評(píng)估需要周期性地進(jìn)行，并通過實(shí)施風(fēng)險(xiǎn)安全控制使公司的整體安全保持在一個(gè)較高的水平。第12條 全面的安全評(píng)估每年進(jìn)行一次。安全評(píng)估的執(zhí)行者可以是公司信息安全部門或者是在信息安全部門的組織下由安全服務(wù)提供商執(zhí)行。第13條 公司各業(yè)務(wù)網(wǎng)絡(luò)每年至少執(zhí)行兩次安全評(píng)估。安全評(píng)估由各業(yè)務(wù)部門自行執(zhí)行或者由安全服務(wù)提供商執(zhí)行。第14條 當(dāng)引入新的業(yè)務(wù)系統(tǒng)或者網(wǎng)絡(luò)或者業(yè)務(wù)系統(tǒng)發(fā)生重大改變時(shí)，需要立刻進(jìn)行局部或者整體的安全評(píng)估。第五章 審計(jì)和執(zhí)行第15條 各部門領(lǐng)導(dǎo)及管理員應(yīng)當(dāng)對(duì)本部門的安全評(píng)估工作進(jìn)行有效的監(jiān)督和管理，對(duì)違反管理規(guī)定的行為要及時(shí)指正，對(duì)嚴(yán)重違反者要立即上報(bào)。第16條 公司安全審計(jì)小組應(yīng)當(dāng)對(duì)定期對(duì)安全評(píng)估執(zhí)行