




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、ISO27001風(fēng) 險 評 估 程 序1目的 為了對公司的信息資產(chǎn)進行風(fēng)險評估和風(fēng)險控制,評估組織信息資產(chǎn)所面臨的風(fēng)險并對 風(fēng)險實施有效控制,以確保風(fēng)險被降低或消除,特制定本程序。2適用范圍 本程序適用于適用于對公司的信息資產(chǎn)進行風(fēng)險評估和風(fēng)險控制。3職 責(zé)與 權(quán) 限3.1信息 安 全委 員會 制定資產(chǎn)評估準則,確定風(fēng)險評估方法; 負責(zé)對控制目標、控制措施的有效性進行監(jiān)督和評審。 確定風(fēng)險評估的范圍; 指導(dǎo)各部門進行風(fēng)險評估; 匯總和分析風(fēng)險評估結(jié)果,作出風(fēng)險評價; 制定風(fēng)險處理計劃,向信息安全委員會提交信息安全風(fēng)險評估報告。3.3各部 門 各部門資產(chǎn)負責(zé)人按規(guī)定維護相關(guān)資產(chǎn)。 識別并列出跟本
2、部門業(yè)務(wù)有關(guān)的資產(chǎn); 對本部門資產(chǎn)進行風(fēng)險評估。4風(fēng)險評估程序和工作流程4.1風(fēng)險 評 估與 管理4.1.1過 程 識 別在ISMS范圍內(nèi),各部門識別本部門涉及的主要業(yè)務(wù)過程及使用的各類信息資產(chǎn)。4.1.2風(fēng) 險 評 估風(fēng)險評估是依據(jù)有關(guān)信息安全技術(shù)與管理標準,對信息系統(tǒng)及由其處理、傳輸和存儲的 信息的保密性、完整性和可用性等安全屬性進行評價的過程。即風(fēng)險分析和風(fēng)險評價的全過 程。4.1.3風(fēng) 險 管理風(fēng)險管理是識別、控制、消除、減小可能影響信息系統(tǒng)資源的不確定事件的過程。指導(dǎo) 和控制一個組織的風(fēng)險的協(xié)調(diào)的活動。4.1.4風(fēng) 險 評估 方法結(jié)合公司在風(fēng)險評估時投入的時間、人力、成本等各方面的因
3、素,公司采用基本風(fēng)險評 估方法?;镜娘L(fēng)險評估方法是指應(yīng)用直接和簡易的方法達到基本的安全水平,就能滿足組 織及其業(yè)務(wù)環(huán)境的所有要求。公司采用這種方法使得組織在識別和評估基本安全需求的基礎(chǔ) 上,通過建立相應(yīng)的信息安全管理體系,獲得對信息資產(chǎn)的基本保護。4.1.5風(fēng)險 評估與風(fēng) 險管理的區(qū)分是一個持續(xù)的周期,通常以一定的間隔重新開始來更新流程中各個地區(qū)階段的數(shù)據(jù) 是一個持續(xù)循環(huán)、不斷上升的過程。風(fēng)險評估是確定組織面臨的風(fēng)險并確定其優(yōu)先級的過程,是風(fēng)險管理流程中最必須、最當(dāng)潛在的與安全相關(guān)的事件在企業(yè)內(nèi)發(fā)生時,如變動業(yè)務(wù)方法、發(fā)現(xiàn)新的漏洞等, 組織都可能會啟動風(fēng)險評估。4.2風(fēng) 險 評估 實施 流程
4、總要求:組織應(yīng)根據(jù)整體業(yè)務(wù)活動和風(fēng)險, 建立、 實施、 運行、 監(jiān)視、 評審、 保持并改進 文件化的ISMS。421風(fēng)險評估準備確定風(fēng)險評估的目標;(滿足我公司業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要及法律法規(guī))確定風(fēng)險評估的范圍;(組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機構(gòu))組建適當(dāng)?shù)脑u估管理與實施團隊;(由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等組成的 風(fēng)險評估小組)選擇與組織相適應(yīng)的具體的風(fēng)險判斷方法;(考慮評估的目的、范圍、時間、效果、 人員素質(zhì)等因素來選擇具體的風(fēng)險判斷方法)獲得最高管理者對風(fēng)險評估工作的支持。(得到組織的最高管理者的支持、批準)4.2.2資產(chǎn)識別列出在信息安全管理體系范圍內(nèi)
5、,與我公司內(nèi)的業(yè)務(wù)環(huán)境、業(yè)務(wù)運營及信息相關(guān)的資產(chǎn)。資產(chǎn)分類;(人員、實體、軟件、文件、數(shù)據(jù)、服務(wù)、無形、服務(wù)及其他資產(chǎn))資產(chǎn)賦值(CIA:對資產(chǎn)在機密性、完整性和可用性上的達成程度進行綜合評定得出); 資產(chǎn)重要性等級確定。4.2.3威 脅 識別 使用與資產(chǎn)相關(guān)的通用威脅列表,檢查并列出資產(chǎn)的威脅。威脅分類;威脅賦值;4.2.4脆 弱 性識 別 使用與資產(chǎn)相關(guān)的通用薄弱點列表,檢查并列出資產(chǎn)的脆弱性。識別方法識別內(nèi)容脆弱性賦值4.2.5對現(xiàn) 有安全控 制的識別 識別并整理所有與資產(chǎn)相關(guān)聯(lián)的、現(xiàn)有的或者已經(jīng)作了計劃的控制措施。4.2.6風(fēng) 險 分析 分析由上述評估產(chǎn)生的有關(guān)資產(chǎn)、威脅和脆弱性的信息
6、,以實用的、簡單的方法進行風(fēng) 險測量,計算出風(fēng)險等級。把識別分析出來的風(fēng)險與風(fēng)險判據(jù)進行比較, 以判斷特定的風(fēng)險是否可接受或需采取其 它措施處置。風(fēng)險分析的結(jié)果為具有不同等級的風(fēng)險列表,并記錄在資產(chǎn)風(fēng)險評估表中。4.2.7風(fēng) 險 處理 對評定后的風(fēng)險等級進行判定,確定是否能接受,如可接受,則按現(xiàn)有控制措施進行控 制,如不可接受,則應(yīng)選擇采取新的安全控制措施,并對需要投入較長時間和較高費用的高 風(fēng)險制定風(fēng)險處理計劃,記錄在資產(chǎn)風(fēng)險評估表中,按風(fēng)險處理計劃進行處理后重新評 價風(fēng)險,直至風(fēng)險降低或可接受為止。確定可接受的殘余風(fēng)險的水平; 持續(xù)地評審?fù){以及薄弱點; 評審現(xiàn)有的安全控制方法; 應(yīng)用IS
7、O/IEC 27001中的其它安全控制方法;資產(chǎn)價值計算方法:資產(chǎn)價值保密性賦值完整性賦值可用性賦值引入方針和程序。4.2.8殘 余 風(fēng) 險 根據(jù)風(fēng)險評價結(jié)果,判斷殘余風(fēng)險是否可接受,是,則實施風(fēng)險控制;否,則制定風(fēng)險 處理計劃。4.2.9風(fēng) 險 控 制 根據(jù)風(fēng)險處理結(jié)果,按照確定的風(fēng)險控制措施和計劃進行落實,必要時形成相關(guān)控制文 件。風(fēng)險控制措施可根據(jù)控制費用與風(fēng)險平衡的原則, 參照以下方式進行選擇, 以降低風(fēng)險:避免風(fēng)險;轉(zhuǎn)移風(fēng)險;減少風(fēng)險;減少薄弱點;減少威脅可能的影響程度; 探測有害事故,對其做出反應(yīng)并恢復(fù)。4.3風(fēng)險 值 的計 算方 法4.3.1風(fēng) 險 計算 原理風(fēng)險值=R( A,T
8、,V)= R(L(T,V),F(Ia,Va)其中,R表示安全風(fēng)險計算函數(shù);A:表示資產(chǎn);T:表示威脅;V:表示脆弱性;Ia:表示安全事件所作用的資產(chǎn)重要程度;Va:表示脆弱性嚴重程度;L:表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性;F:表示安全事件發(fā)生后產(chǎn)生的損失。4.3.2風(fēng) 險 計 算 準 則風(fēng)險值計算方法:風(fēng)險值=資產(chǎn)等級+威脅性賦值+脆弱性賦值資產(chǎn)等級、風(fēng)險等級評定方法:見下表表一:保密性的要求評價準則1刃櫛.嚴目點軟ft陶JMXN加務(wù)胡.誦玄F賓產(chǎn)人旬宜產(chǎn)e.ff訪i-1柑tr-時、活轅及蚪I艱冊/ ,上:也s隹廳罷過辛mLtie +fr-*, ft囂胃抽理館r?肘訪幣扎i晞於
9、對冃詁昶常訪何収賦龜和禮暗JS氓外H匸申-L和|:.卜0卻廿tt常恒中用就佝再W1BI府吋;*-韶邙*上號的i對StM卜部茹是仝幵前1刃上國熾謁申是 的的1巧雖可.艮”對#篷二奸1寸二疋七館常丐弓二業(yè)開的s酎匚司內(nèi)左所肓眉工卡 的時公可-ir.iiiiT拭匸話處號吋3t-n5-nS工WAfl的3訂司円祥吁有吊工好 盟茹的3部門取血可UraarisA醫(yī)m 片千冶=某inri艱能r巧學(xué)千臨目奠屮1吧胛1:丄 追創(chuàng)肋常 q號g 于firiw- ftJ臥眄It可0聲間 的僧息5F用干春荀斗-i郁廠或靶膽町以訪閭的荷厲$“;,:員可以厲更的惜T-l.rTf:門1和手匱人冃可口 訪warssT貝Utt郎門
10、屮特糟宀丹可F訪冋的伯 息門.于刃中秀囂畝冋的肓品7只限于菖荀申足胃理人7tr理人凰或醫(yī)商 少矢笑分人層 h.ifRLJJ.芋云工爲(wèi)圧譽魁人貝致P袋訂小他去-腿匕員岡以諾同9n 用千皆旳硏乏已神人鳳貳吃 F士飛羔掘上昌斗&訪閏的逼息9nrfT2HrBf-亞人舟戲卷FMr崔匱人勻厲臥館同B.;.岸一于養(yǎng)可鬲底芒理人 嵐呢一申哉亀1點即.1忙河聃i=.nB表二:完整性的要求評價準則r.i虺則孰犯隹立賓仇吟嚴冃 e?訥丹 RLt.T 晞巧誦文件頂嚴人協(xié)資產(chǎn)1完劉注扌汴*肉芯 任址兒W 1T帝療塔建 二也列嚴立第呃?IW3StfiS1WM0t就H可L即轄1可積SS可哄可R間jfiSiT.L祁特
11、3r?fls咅詩3輕奮3-MfiX315EiR6FEFB違f-詐一耳務(wù)年冇6時雖77產(chǎn)匚T嚴甲171刖*重11丘嚴肯PIl rg0P表三:可用性的要求評價準則ifE則秋崔覺產(chǎn)兀件甬;件恆嚴羽啟寅廣人貝晦產(chǎn)可n并允許口斷亶時;密示 * 理 誦 帚 幵 一fTfrSrtM*卩稈的亡址威1處直屈幺料嘗先杵時陽威砸ft宴瑩黏花止待關(guān)勺叮間諏卩上愍全彳 工初m中忙J狀1)1上11與豐橋壬匡坤三少一131irf L651S- 1盼或1旳工恬可可亡賄3一共*?T季區(qū)主已吏用至V淡3旬3置破世甲3F吐作日5日-時吐打:工乍ME51&M天$霞飾戛世JH丟H次&少危6-t-xtrnF.1酣Fl 3
12、1M* -11+M7號只昭槌電融1迭7闖叵需莎便用祗少|(zhì)7包牛工作日t林許90-企卜st0可巴!?丑便?|至1 !,.9毎氏都莫靈用瑩小L攻01卡匚昨日9表四:資產(chǎn)等級的評價準則要素標識相對價值范圍等級資產(chǎn)重要程度很高23, 25. 27q重更資產(chǎn)資產(chǎn)等級冋17, 19, 213一般資產(chǎn)一股111, 13.15H 2一般資產(chǎn)低3 5.化 91般資產(chǎn)表五:脆弱性被威脅利用后的嚴重性的評價準則要素標識發(fā)注的頻率威脅利用弱點導(dǎo)孜危害的可能性很高出現(xiàn)的頻率很高或 12V 周),或在大多 數(shù)情況下幾乎不可避 免;咸可以證発至常發(fā) 生過5髙岀現(xiàn)的頻率較高1 次/月);或在大多 數(shù)情況下很有可能會發(fā)生;或可
13、以證實多次發(fā)生過41 股出現(xiàn)的頻率中等或 1次/半年;或在某 種情況下可能會發(fā)生. 或被證實曾經(jīng)發(fā)生過3低出觀的頻率較水;或一般不太可能發(fā)生;或沒有被證實垸生過2很低威脅幾乎不可能發(fā)生$ 個可能在非常罕見和例 外的情況下發(fā)生1表六:脆弱性被威脅利用后的嚴重性的評價準則1_持識嚴重程戻等級脆騎性被 威脅利用 后的產(chǎn)重性很高如果被咸脅利用.特對 笛司車旻廣產(chǎn)造成車大 損害5-高如早被威脅利用,將對 重更資產(chǎn)造威一股按害4一般如果被威脅不Jffl 將對 一般資產(chǎn)造成垂大按害3低如果就威脅利用梓對 一般貴產(chǎn)退:成一般擁害2很低如耒彼威跡刊川,世對誼產(chǎn)造感的掲害可以報 略1表七:脆弱性被威脅利用后的嚴重性的評價準則要素標識風(fēng)險值范圍級別可接受淮則鳳臉覩別高鳳險12144風(fēng)險不可接受,必須立即丟取栓制措施降低風(fēng)瞌牧咼風(fēng)險9113用險可決搖畫但需要采取進一 步措施降低風(fēng)險或在威肺發(fā)生時 釆取處理措施-般鳳險GS2風(fēng)臉可以接爰,可以保掙目前的控制措施低風(fēng)險351按風(fēng)險值的評價準則計算出信息資產(chǎn)風(fēng)險值后,按上記表七對應(yīng)獲得風(fēng)險級別433風(fēng)險結(jié)果判定按風(fēng)險值的評價準則計算出信息資產(chǎn)風(fēng)險值后獲得的風(fēng)險級別,對風(fēng)險進行判定等級標識描述5很高一旦發(fā)生將使系統(tǒng)遭受非常嚴童破壞.組織利益受到 非常嚴電扌員失4高如果發(fā)t將便系統(tǒng)逍邏嚴區(qū)破壞 級織利益空到嚴屯 損失3中發(fā)牛后將便系統(tǒng)受到較童的
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 千圖網(wǎng)特邀設(shè)計師
- 家務(wù)任務(wù):成長必修課
- Ivacaftor-13C6-VX-770-sup-13-sup-C-sub-6-sub-生命科學(xué)試劑-MCE
- 福安經(jīng)濟開發(fā)區(qū)鋰電新能源配套產(chǎn)業(yè)小微園區(qū)項目可行性研究報告
- 2025年航空發(fā)動機維修技術(shù)革新與維修政策法規(guī)解讀報告
- 2025年環(huán)境監(jiān)測物聯(lián)網(wǎng)在環(huán)境監(jiān)測領(lǐng)域的物聯(lián)網(wǎng)技術(shù)應(yīng)用與產(chǎn)業(yè)發(fā)展報告
- 2025年醫(yī)療器械國產(chǎn)化替代的關(guān)鍵技術(shù)與產(chǎn)業(yè)布局報告
- 多式聯(lián)運信息平臺功能優(yōu)化與協(xié)同發(fā)展在物流園區(qū)運營中的應(yīng)用探索報告
- 教育信息化基礎(chǔ)設(shè)施建設(shè)在智能教育評價系統(tǒng)中的應(yīng)用報告
- 2025年紡織服裝行業(yè)智能化生產(chǎn)智能化生產(chǎn)設(shè)備技術(shù)升級項目實施報告
- GB∕T 31564-2015 熱噴涂 熱噴涂沉積效率的測定
- 施工管理人員年度安全培訓(xùn)考核記錄表格
- 小型農(nóng)田水利灌溉工程施工組織設(shè)計(word共114頁)
- 于新華中考專題2018
- 江蘇自考精密加工與特種加工復(fù)習(xí)大全
- 公司發(fā)生火災(zāi)應(yīng)急流程圖
- 通信電源施工方案
- 薊中上元古界剖面研究生地質(zhì)實習(xí)-中國科學(xué)院地質(zhì)與地球物理研究所
- 管式加熱爐溫度控制系統(tǒng)設(shè)計++
- 幀成形及其傳輸實驗報告
- 藥房績效考核表
評論
0/150
提交評論