信息安全評估管理程序

1、保密等級內控文檔名稱信息安全評估管理程序文檔編號I/NB-B-06-2015發(fā)布組織MODERN信息安全工作小組發(fā)布日期2015年8月10日執(zhí)行日期2015年8月15日版本號X3信息安全風險評估管理程序批準人簽字審核人簽字制訂人簽字李教授日期：2015/8/5李教授日期：2015/8/5王敏日期：2015/8/5東北財經(jīng)信息有限公司目錄 TOC o 1-5 h z HYPERLINK l bookmark11 o Current Document 目的2 HYPERLINK l bookmark15 o Current Document 專業(yè)術語2 HYPERLINK l bookmark19

2、 o Current Document 范圍3 HYPERLINK l bookmark23 o Current Document 職責3 HYPERLINK l bookmark27 o Current Document 程序內容35.1風險評估前準備35.2信息資產(chǎn)的識別35.3重要信息資產(chǎn)風險等級評估45.4不可接受風險的確定和處理55.5評估時機5 HYPERLINK l bookmark34 o Current Document 記錄5 HYPERLINK l bookmark38 o Current Document 相關/支持性文件6信息安全風險評估流程圖錯誤!未定義書簽。 HY

3、PERLINK l bookmark42 o Current Document 風險評估要點示意圖6目的本程序規(guī)定了公司所采用的信息安全風險評估方法。通過識別信息資產(chǎn)、進行風險等級 評估，認知本公司的信息安全風險。在考慮控制成本與風險平衡的前提下，選擇合適控制目 標和控制方式，將信息安全風險控制在可接受的水平，保持本公司業(yè)務持續(xù)性發(fā)展，以滿足 本公司信息安全管理方針的要求。專業(yè)術語2.1風險管理風險管理是以可接受成本，識別、評估、控制、降低可能影響信息系統(tǒng)風險的過程。通 過風險評估識別風險，通過制定信息安全方針，采取適當?shù)目刂颇繕伺c控制方式對風險進行 控制，使風險被避免、轉移或降低到一個可以被

4、接受的水平，同時考慮控制費用與風險之間 的平衡。風險管理的核心是信息的保護。信息對于組織是一種具有重要價值的資產(chǎn)。建立信息安 全管理體系(ISMS)的目的是在最大范圍內保護信息資產(chǎn)，確保信息的機密性、完整性和可用 性，將風險管理自始至終的貫穿于整個信息安全管理體系中，這種體系并不能完全消除信息 安全的風險，只是盡量減少風險，盡量將攻擊造成的損失降低到最低限度。2.2風險評估風險評估指風險分析和風險評價的整個過程，其中風險分析是指系統(tǒng)化地識別風險來源 和風險類型，風險評價是指按組織制定的風險標準估算風險水平，確定風險嚴重性。風險評估的出發(fā)點是對與風險有關的各因素的確認和分析，與信息安全風險有關的

5、因素 可以包括四大類：資產(chǎn)、威脅、脆弱性、安全控制措施。風險評估是對信息、信息處理設施、關鍵業(yè)務過程的威脅、薄弱點和風險的評估，它包 含以下元素：風險是被特定威脅利用的資產(chǎn)的一種或一組脆弱性，導致信息資產(chǎn)丟失或損害的潛在可 能性，即特定威脅事件發(fā)生的可能性與后果的結合。信息資產(chǎn)是對組織具有價值的信息資源，是安全控制措施保護的對象。威脅是可能對資產(chǎn)或組織造成損害的事故的潛在原因。薄弱點是資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點。安全控制措施是降低風險的措施、程序或機制。范圍本程序適用于本公司信息安全管理體系(ISMS)范圍內信息安全風險評估活動。職責4.1項目管理部負責編制信息安全風險評估計劃，信息安全

6、工作小組負責實施風險評估工作。4.2信息安全工作小組確認評估結果，形成信息安全風險評估報告。4.3各部門負責本部門使用或管理的信息資產(chǎn)的識別和風險評估，并負責本部門所涉及的信 息資產(chǎn)的具體安全管理工作。4.4總經(jīng)理負責對殘余風險的批準。程序內容5.1風險評估前準備5.1.1項目管理部負責制定信息安全風險評估計劃，下發(fā)給信息安全工作小組成員。5.1.2信息安全工作小組負責實施風險評估工作，小組成員至少應該包含：信息安全管理體系 負責部門的成員、信息安全重要責任部門的成員。5.1.3必要時應對工作小組成員進行風險評估相關知識和表格填寫的培訓。5.2 信息資產(chǎn)的識別5.2. 1信息安全工作小組向各小

7、組成員發(fā)放信息資產(chǎn)識別表，同時提出信息資產(chǎn)識別的 要求。5.2.2小組成員參考風險評估原則中信息資產(chǎn)分類參考目錄按照部門識別本部門信 息資產(chǎn)，根據(jù)重要信息資產(chǎn)判斷準則初步判斷其是否是重要信息資產(chǎn)，并填寫信息資 產(chǎn)識別表，經(jīng)本部門負責人審核確認后，在風險評估計劃規(guī)定的時間內提交信息安全 工作小組。5.2.3信息安全工作小組對各部門填寫的信息資產(chǎn)識別表進行審核，確保沒有遺漏重要 信息資產(chǎn)，審核通過后，各部門將修正后的信息資產(chǎn)識別表上傳到VSS指定目錄下。5.3重要信息資產(chǎn)風險等級評估5.3.1應對信息資產(chǎn)識別表中的所有重要信息資產(chǎn)進行風險評估，評估應考慮威脅事件 發(fā)生的可能性和威脅事件發(fā)生后對信息

8、資產(chǎn)造成的影響程度兩方面因素，并應用合并同類項 原則對相同資產(chǎn)合并評估，以減少評估的工作量。5.3.2信息安全工作小組向各評估成員分發(fā)風險評估表、風險評估原則。5.3.3各評估成員按照風險評估原則中的CIAB分級標準對每一項資產(chǎn)的保密性、 可用性、完整性和與業(yè)務的相關性進行賦值，并得出資產(chǎn)賦值。5.3.4根據(jù)資產(chǎn)本身所處的環(huán)境條件，參考風險評估原則中的信息安全威脅參考表 識別每個信息資產(chǎn)所面臨的威脅，針對每個威脅，按照風險評估原則中的威脅分級標 準給威脅賦值；5.3.5參考風險評估原則中的信息安全薄弱點參考表識別可能被該威脅所利用的薄 弱點；在考慮現(xiàn)有的控制措施前提下，按照風險評估原則中的薄弱

9、點分級標準對每 一個脆弱性被威脅利用的難易程度進行賦值；5.3.6按照風險評估模型結合威脅和脆弱性賦值對風險發(fā)生可能性進行評價；5.3.7按照風險評估模型結合資產(chǎn)和脆弱性賦值對風險發(fā)生的損失進行評價；5.3.8按照風險評估模型對風險發(fā)生可能性和風險發(fā)生的損失進行計算得出風險評估賦值， 并按照風險評估原則中的風險等級標準評價出信息安全風險等級，將結果填寫在風 險評估表上；5.3.9對于所有大于等于3級的風險，應描繪清楚現(xiàn)有的控制措施或改善建議。5.3.10在風險評估計劃規(guī)定的時間內，各部門將填寫完整的并經(jīng)本部門負責人審核確認后 的風險評估表提交信息安全工作小組審核匯總。5.3.11信息安全工作小

10、組考慮本公司整體的信息安全要求，對填寫的風險評估表進行 審核，確保風險評估水平的一致性，確保沒有遺漏重要信息安全風險。如果對評估結果進行 修改，應該和資產(chǎn)責任部門進行溝通并獲得該部門的確認。各部門將修正后的風險評估表 上傳到VSS指定目錄下。5.3.12信息安全工作小組對各部門確認后的風險評估表進行匯總，對所有大于等于3 級的風險進行匯總，完成風險評估匯總表，上傳到VSS指定目錄下。5.4不可接受風險的確定和處理5.4. 1信息安全工作小組根據(jù)風險評估原則中的風險等級標準，確定風險的可接受 性；針對不可接受風險編制信息安全不可接受風險處理計劃，該計劃應該規(guī)定風險處理 方式、責任部門和時間進度；編制信息安全風險評估報告，陳述本公司信息安全管理現(xiàn) 狀，分析存在的信息安全風險，提出信息安全管理（控制）的建議與措施，附信息安全不 可接受風險處理計劃提交ISMS管理者代表批準實施。5.4.2各責任部門按照信息安全不可接受風險處理計劃的要求采取有效安全控制措施后， 信息安全工作小組重新評估其風險等級，確保所采取的控制措施是充分的，直到其風險降至 可接受為止。5.4.3針對殘余風險要得到總經(jīng)理的批準。5.5評估時機5.5.1每年重新評估一次，以確定是否存在新的威脅或薄弱點及是否需要增加新的控制措 施，對發(fā)生以下情況需及時進行風險評估：a）當發(fā)生重大信息安全事