ISO27001風(fēng)險(xiǎn)評(píng)估程序

1、ISO27001風(fēng) 險(xiǎn) 評(píng) 估 程 序1目的 為了對(duì)公司的信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制，評(píng)估組織信息資產(chǎn)所面臨的風(fēng)險(xiǎn)并對(duì) 風(fēng)險(xiǎn)實(shí)施有效控制，以確保風(fēng)險(xiǎn)被降低或消除，特制定本程序。2適用范圍 本程序適用于適用于對(duì)公司的信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制。3職 責(zé)與 權(quán) 限3.1信息 安 全委 員會(huì) 制定資產(chǎn)評(píng)估準(zhǔn)則，確定風(fēng)險(xiǎn)評(píng)估方法； 負(fù)責(zé)對(duì)控制目標(biāo)、控制措施的有效性進(jìn)行監(jiān)督和評(píng)審。 確定風(fēng)險(xiǎn)評(píng)估的范圍； 指導(dǎo)各部門進(jìn)行風(fēng)險(xiǎn)評(píng)估； 匯總和分析風(fēng)險(xiǎn)評(píng)估結(jié)果，作出風(fēng)險(xiǎn)評(píng)價(jià)； 制定風(fēng)險(xiǎn)處理計(jì)劃，向信息安全委員會(huì)提交信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告。3.3各部 門 各部門資產(chǎn)負(fù)責(zé)人按規(guī)定維護(hù)相關(guān)資產(chǎn)。 識(shí)別并列出跟本

2、部門業(yè)務(wù)有關(guān)的資產(chǎn)； 對(duì)本部門資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估。4風(fēng)險(xiǎn)評(píng)估程序和工作流程4.1風(fēng)險(xiǎn) 評(píng) 估與 管理4.1.1過 程 識(shí) 別在ISMS范圍內(nèi)，各部門識(shí)別本部門涉及的主要業(yè)務(wù)過程及使用的各類信息資產(chǎn)。4.1.2風(fēng) 險(xiǎn) 評(píng) 估風(fēng)險(xiǎn)評(píng)估是依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的 信息的保密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過程。即風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的全過 程。4.1.3風(fēng) 險(xiǎn) 管理風(fēng)險(xiǎn)管理是識(shí)別、控制、消除、減小可能影響信息系統(tǒng)資源的不確定事件的過程。指導(dǎo) 和控制一個(gè)組織的風(fēng)險(xiǎn)的協(xié)調(diào)的活動(dòng)。4.1.4風(fēng) 險(xiǎn) 評(píng)估 方法結(jié)合公司在風(fēng)險(xiǎn)評(píng)估時(shí)投入的時(shí)間、人力、成本等各方面的因

3、素，公司采用基本風(fēng)險(xiǎn)評(píng) 估方法。基本的風(fēng)險(xiǎn)評(píng)估方法是指應(yīng)用直接和簡易的方法達(dá)到基本的安全水平，就能滿足組 織及其業(yè)務(wù)環(huán)境的所有要求。公司采用這種方法使得組織在識(shí)別和評(píng)估基本安全需求的基礎(chǔ) 上，通過建立相應(yīng)的信息安全管理體系，獲得對(duì)信息資產(chǎn)的基本保護(hù)。4.1.5風(fēng)險(xiǎn) 評(píng)估與風(fēng) 險(xiǎn)管理的區(qū)分是一個(gè)持續(xù)的周期，通常以一定的間隔重新開始來更新流程中各個(gè)地區(qū)階段的數(shù)據(jù) 是一個(gè)持續(xù)循環(huán)、不斷上升的過程。風(fēng)險(xiǎn)評(píng)估是確定組織面臨的風(fēng)險(xiǎn)并確定其優(yōu)先級(jí)的過程，是風(fēng)險(xiǎn)管理流程中最必須、最當(dāng)潛在的與安全相關(guān)的事件在企業(yè)內(nèi)發(fā)生時(shí)，如變動(dòng)業(yè)務(wù)方法、發(fā)現(xiàn)新的漏洞等， 組織都可能會(huì)啟動(dòng)風(fēng)險(xiǎn)評(píng)估。4.2風(fēng) 險(xiǎn) 評(píng)估 實(shí)施 流程

4、總要求:組織應(yīng)根據(jù)整體業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)， 建立、 實(shí)施、 運(yùn)行、 監(jiān)視、 評(píng)審、 保持并改進(jìn) 文件化的ISMS。421風(fēng)險(xiǎn)評(píng)估準(zhǔn)備確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)；（滿足我公司業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要及法律法規(guī)）確定風(fēng)險(xiǎn)評(píng)估的范圍；（組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機(jī)構(gòu)）組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)；（由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等組成的 風(fēng)險(xiǎn)評(píng)估小組）選擇與組織相適應(yīng)的具體的風(fēng)險(xiǎn)判斷方法；（考慮評(píng)估的目的、范圍、時(shí)間、效果、 人員素質(zhì)等因素來選擇具體的風(fēng)險(xiǎn)判斷方法）獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持。（得到組織的最高管理者的支持、批準(zhǔn)）4.2.2資產(chǎn)識(shí)別列出在信息安全管理體系范圍內(nèi)

5、，與我公司內(nèi)的業(yè)務(wù)環(huán)境、業(yè)務(wù)運(yùn)營及信息相關(guān)的資產(chǎn)。資產(chǎn)分類；（人員、實(shí)體、軟件、文件、數(shù)據(jù)、服務(wù)、無形、服務(wù)及其他資產(chǎn)）資產(chǎn)賦值（CIA:對(duì)資產(chǎn)在機(jī)密性、完整性和可用性上的達(dá)成程度進(jìn)行綜合評(píng)定得出）； 資產(chǎn)重要性等級(jí)確定。4.2.3威 脅 識(shí)別 使用與資產(chǎn)相關(guān)的通用威脅列表，檢查并列出資產(chǎn)的威脅。威脅分類；威脅賦值；4.2.4脆 弱 性識(shí) 別 使用與資產(chǎn)相關(guān)的通用薄弱點(diǎn)列表，檢查并列出資產(chǎn)的脆弱性。識(shí)別方法識(shí)別內(nèi)容脆弱性賦值4.2.5對(duì)現(xiàn) 有安全控 制的識(shí)別 識(shí)別并整理所有與資產(chǎn)相關(guān)聯(lián)的、現(xiàn)有的或者已經(jīng)作了計(jì)劃的控制措施。4.2.6風(fēng) 險(xiǎn) 分析 分析由上述評(píng)估產(chǎn)生的有關(guān)資產(chǎn)、威脅和脆弱性的信息

6、，以實(shí)用的、簡單的方法進(jìn)行風(fēng) 險(xiǎn)測(cè)量，計(jì)算出風(fēng)險(xiǎn)等級(jí)。把識(shí)別分析出來的風(fēng)險(xiǎn)與風(fēng)險(xiǎn)判據(jù)進(jìn)行比較， 以判斷特定的風(fēng)險(xiǎn)是否可接受或需采取其 它措施處置。風(fēng)險(xiǎn)分析的結(jié)果為具有不同等級(jí)的風(fēng)險(xiǎn)列表，并記錄在資產(chǎn)風(fēng)險(xiǎn)評(píng)估表中。4.2.7風(fēng) 險(xiǎn) 處理 對(duì)評(píng)定后的風(fēng)險(xiǎn)等級(jí)進(jìn)行判定，確定是否能接受，如可接受，則按現(xiàn)有控制措施進(jìn)行控 制，如不可接受，則應(yīng)選擇采取新的安全控制措施，并對(duì)需要投入較長時(shí)間和較高費(fèi)用的高 風(fēng)險(xiǎn)制定風(fēng)險(xiǎn)處理計(jì)劃，記錄在資產(chǎn)風(fēng)險(xiǎn)評(píng)估表中，按風(fēng)險(xiǎn)處理計(jì)劃進(jìn)行處理后重新評(píng) 價(jià)風(fēng)險(xiǎn)，直至風(fēng)險(xiǎn)降低或可接受為止。確定可接受的殘余風(fēng)險(xiǎn)的水平； 持續(xù)地評(píng)審?fù){以及薄弱點(diǎn)； 評(píng)審現(xiàn)有的安全控制方法； 應(yīng)用IS

7、O/IEC 27001中的其它安全控制方法；資產(chǎn)價(jià)值計(jì)算方法:資產(chǎn)價(jià)值保密性賦值完整性賦值可用性賦值引入方針和程序。4.2.8殘 余 風(fēng) 險(xiǎn) 根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果，判斷殘余風(fēng)險(xiǎn)是否可接受，是，則實(shí)施風(fēng)險(xiǎn)控制；否，則制定風(fēng)險(xiǎn) 處理計(jì)劃。4.2.9風(fēng) 險(xiǎn) 控 制 根據(jù)風(fēng)險(xiǎn)處理結(jié)果，按照確定的風(fēng)險(xiǎn)控制措施和計(jì)劃進(jìn)行落實(shí)，必要時(shí)形成相關(guān)控制文 件。風(fēng)險(xiǎn)控制措施可根據(jù)控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則， 參照以下方式進(jìn)行選擇， 以降低風(fēng)險(xiǎn)：避免風(fēng)險(xiǎn)；轉(zhuǎn)移風(fēng)險(xiǎn)；減少風(fēng)險(xiǎn)；減少薄弱點(diǎn)；減少威脅可能的影響程度； 探測(cè)有害事故，對(duì)其做出反應(yīng)并恢復(fù)。4.3風(fēng)險(xiǎn) 值 的計(jì) 算方 法4.3.1風(fēng) 險(xiǎn) 計(jì)算 原理風(fēng)險(xiǎn)值=R( A,T

8、,V)= R(L(T,V),F(Ia,Va)其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A:表示資產(chǎn)；T:表示威脅；V:表示脆弱性；Ia：表示安全事件所作用的資產(chǎn)重要程度；Va：表示脆弱性嚴(yán)重程度；L:表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F:表示安全事件發(fā)生后產(chǎn)生的損失。4.3.2風(fēng) 險(xiǎn) 計(jì) 算 準(zhǔn) 則風(fēng)險(xiǎn)值計(jì)算方法：風(fēng)險(xiǎn)值=資產(chǎn)等級(jí)+威脅性賦值+脆弱性賦值資產(chǎn)等級(jí)、風(fēng)險(xiǎn)等級(jí)評(píng)定方法：見下表表一：保密性的要求評(píng)價(jià)準(zhǔn)則1刃櫛.嚴(yán)目點(diǎn)軟ft陶J(rèn)MXN加務(wù)胡.誦玄F賓產(chǎn)人旬宜產(chǎn)e.ff訪i-1柑tr-時(shí)、活轅及蚪I艱冊(cè)/ ，上:也s隹廳罷過辛mLtie +fr-*, ft囂胃抽理館r?肘訪幣扎i晞於

9、對(duì)冃詁昶常訪何収賦龜和禮暗JS氓外H匸申-L和|：.卜0卻廿tt常恒中用就佝再W1BI府吋；*-韶邙*上號(hào)的i對(duì)StM卜部茹是仝幵前1刃上國熾謁申是 的的1巧雖可.艮”對(duì)#篷二奸1寸二疋七館常丐弓二業(yè)開的s酎匚司內(nèi)左所肓眉工卡 的時(shí)公可-ir.iiiiT拭匸話處號(hào)吋3t-n5-nS工WAfl的3訂司円祥吁有吊工好 盟茹的3部門取血可UraarisA醫(yī)m 片千冶=某inri艱能r巧學(xué)千臨目奠屮1吧胛1：丄 追創(chuàng)肋常 q號(hào)g 于firiw- ftJ臥眄It可0聲間 的僧息5F用干春荀斗-i郁廠或靶膽町以訪閭的荷厲$“；，：員可以厲更的惜T-l.rTf:門1和手匱人冃可口 訪warssT貝Utt郎門

10、屮特糟宀丹可F訪冋的伯 息門.于刃中秀囂畝冋的肓品7只限于菖荀申足胃理人7tr理人凰或醫(yī)商 少矢笑分人層 h.ifRLJJ.芋云工爲(wèi)圧譽(yù)魁人貝致P袋訂小他去-腿匕員岡以諾同9n 用千皆旳硏乏已神人鳳貳吃 F士飛羔掘上昌斗&訪閏的逼息9nrfT2HrBf-亞人舟戲卷FMr崔匱人勻厲臥館同B.；.岸一于養(yǎng)可鬲底芒理人 嵐呢一申哉亀1點(diǎn)即.1忙河聃i=.nB表二:完整性的要求評(píng)價(jià)準(zhǔn)則r.i虺則孰犯隹立賓仇吟嚴(yán)冃 e?訥丹 RLt.T 晞巧誦文件頂嚴(yán)人協(xié)資產(chǎn)1完劉注扌汴*肉芯 任址兒W 1T帝療塔建 二也列嚴(yán)立第呃?IW3StfiS1WM0t就H可L即轄1可積SS可哄可R間jfiSiT.L祁特

11、3r?fls咅詩3輕奮3-MfiX315EiR6FEFB違f-詐一耳務(wù)年冇6時(shí)雖77產(chǎn)匚T嚴(yán)甲171刖*重11丘嚴(yán)肯PIl rg0P表三：可用性的要求評(píng)價(jià)準(zhǔn)則ifE則秋崔覺產(chǎn)兀件甬;件恆嚴(yán)羽啟寅廣人貝晦產(chǎn)可n并允許口斷亶時(shí)；密示 * 理 誦 帚 幵 一fTfrSrtM*卩稈的亡址威1處直屈幺料嘗先杵時(shí)陽威砸ft宴瑩黏花止待關(guān)勺叮間諏卩上愍全彳 工初m中忙J狀1)1上11與豐橋壬匡坤三少一131irf L651S- 1盼或1旳工恬可可亡賄3一共*?T季區(qū)主已吏用至V淡3旬3置破世甲3F吐作日5日-時(shí)吐打：工乍ME51&M天$霞飾戛世JH丟H次&少危6-t-xtrnF.1酣Fl 3

12、1M* -11+M7號(hào)只昭槌電融1迭7闖叵需莎便用祗少|(zhì)7包牛工作日t林許90-企卜st0可巴!?丑便?|至1 !,.9毎氏都莫靈用瑩小L攻01卡匚昨日9表四:資產(chǎn)等級(jí)的評(píng)價(jià)準(zhǔn)則要素標(biāo)識(shí)相對(duì)價(jià)值范圍等級(jí)資產(chǎn)重要程度很高23, 25. 27q重更資產(chǎn)資產(chǎn)等級(jí)冋17, 19, 213一般資產(chǎn)一股111, 13.15H 2一般資產(chǎn)低3 5.化 91般資產(chǎn)表五：脆弱性被威脅利用后的嚴(yán)重性的評(píng)價(jià)準(zhǔn)則要素標(biāo)識(shí)發(fā)注的頻率威脅利用弱點(diǎn)導(dǎo)孜危害的可能性很高出現(xiàn)的頻率很高或 12V 周）,或在大多 數(shù)情況下幾乎不可避 免；咸可以證発至常發(fā) 生過5髙岀現(xiàn)的頻率較高1 次/月）；或在大多 數(shù)情況下很有可能會(huì)發(fā)生；或可

13、以證實(shí)多次發(fā)生過41 股出現(xiàn)的頻率中等或 1次/半年；或在某 種情況下可能會(huì)發(fā)生. 或被證實(shí)曾經(jīng)發(fā)生過3低出觀的頻率較水；或一般不太可能發(fā)生；或沒有被證實(shí)垸生過2很低威脅幾乎不可能發(fā)生$ 個(gè)可能在非常罕見和例 外的情況下發(fā)生1表六：脆弱性被威脅利用后的嚴(yán)重性的評(píng)價(jià)準(zhǔn)則1_持識(shí)嚴(yán)重程戻等級(jí)脆騎性被 威脅利用 后的產(chǎn)重性很高如果被咸脅利用.特對(duì) 笛司車旻廣產(chǎn)造成車大 損害5-高如早被威脅利用，將對(duì) 重更資產(chǎn)造威一股按害4一般如果被威脅不Jffl 將對(duì) 一般資產(chǎn)造成垂大按害3低如果就威脅利用梓對(duì) 一般貴產(chǎn)退:成一般擁害2很低如耒彼威跡刊川，世對(duì)誼產(chǎn)造感的掲害可以報(bào) 略1表七：脆弱性被威脅利用后的嚴(yán)重性的評(píng)價(jià)準(zhǔn)則要素標(biāo)識(shí)風(fēng)險(xiǎn)值范圍級(jí)別可接受淮則鳳臉覩別高鳳險(xiǎn)12144風(fēng)險(xiǎn)不可接受，必須立即丟取栓制措施降低風(fēng)瞌牧咼風(fēng)險(xiǎn)9113用險(xiǎn)可決搖畫但需要采取進(jìn)一 步措施降低風(fēng)險(xiǎn)或在威肺發(fā)生時(shí) 釆取處理措施-般鳳險(xiǎn)GS2風(fēng)臉可以接爰，可以保掙目前的控制措施低風(fēng)險(xiǎn)351按風(fēng)險(xiǎn)值的評(píng)價(jià)準(zhǔn)則計(jì)算出信息資產(chǎn)風(fēng)險(xiǎn)值后，按上記表七對(duì)應(yīng)獲得風(fēng)險(xiǎn)級(jí)別433風(fēng)險(xiǎn)結(jié)果判定按風(fēng)險(xiǎn)值的評(píng)價(jià)準(zhǔn)則計(jì)算出信息資產(chǎn)風(fēng)險(xiǎn)值后獲得的風(fēng)險(xiǎn)級(jí)別，對(duì)風(fēng)險(xiǎn)進(jìn)行判定等級(jí)標(biāo)識(shí)描述5很高一旦發(fā)生將使系統(tǒng)遭受非常嚴(yán)童破壞.組織利益受到 非常嚴(yán)電扌員失4高如果發(fā)t將便系統(tǒng)逍邏嚴(yán)區(qū)破壞 級(jí)織利益空到嚴(yán)屯 損失3中發(fā)牛后將便系統(tǒng)受到較童的