信息安全風險管理程序文件

目的為了在考慮控制成本與風險平衡的前提下選擇合適的控制目的和控制方式，將信息安全風險控制在可接受的水平，特制定本程序。圍本程序合用信息安全管理體系(ISMS)圍信息安全風險評估活動的管理。職責研發(fā)中心負責牽頭成立信息安全管理委員會。信息安全管理委員會負責編制《信息安全風險評估計劃》，確認評估成果，形成《風險評估匯報》及《風險處理計劃》。各部門負責本部門使用或管理的資產(chǎn)的識別和風險評估，并負責本部門所波及的資產(chǎn)的詳細安全控制工作。有關(guān)文獻《信息安全管理手冊》《GB-T20984-信息安全風險評估規(guī)》《信息技術(shù)安全技術(shù)信息技術(shù)安全管理指南第3部分：IT安全管理技術(shù)》程序風險評估前準備研發(fā)中心牽頭成立信息安全管理委員會，委員會組員應(yīng)包括信息安全重要責任部門的組員。信息安全管理委員會制定《信息安全風險評估計劃》，下發(fā)各部門。風險評估措施-定性綜合風險評估措施本項目采用的是定性的風險評估措施。定性風險評估并不強求對構(gòu)成風險的各個要素（尤其是資產(chǎn)）進行精確的量化評價，它有賴于評估者的經(jīng)驗判斷、業(yè)界通例以及組織自身定義的原則，來對風險要素進行相對的等級分化，最終得出的風險大小，只需要通過等級差異來分出風險處理的優(yōu)先次序即可。綜合評估是先識別資產(chǎn)并對資產(chǎn)進行賦值評估，得出重要資產(chǎn)，然后對重要資產(chǎn)進行詳細的風險評估。資產(chǎn)賦值各部門信息安全管理委員會組員對本部門資產(chǎn)進行識別，并進行資產(chǎn)賦值。資產(chǎn)價值計算措施：資產(chǎn)價值=性賦值＋完整性賦值＋可用性賦值資產(chǎn)賦值的過程是對資產(chǎn)在信息分類、性、完整性、可用性進行分析評估，并在此基礎(chǔ)上得出綜合成果的過程。確定信息類別信息分類按“5.9資產(chǎn)識別參照（資產(chǎn)類別）”進行，信息分類不合用時，可不填寫。性(C)賦值根據(jù)資產(chǎn)在性上的不一樣規(guī)定，將其分為五個不一樣的等級，分別對應(yīng)資產(chǎn)在性上的應(yīng)到達的不一樣程度或者性缺失時對整個組織的影響。完整性(I)賦值根據(jù)資產(chǎn)在完整性上的不一樣規(guī)定，將其分為五個不一樣的等級，分別對應(yīng)資產(chǎn)在完整性上的到達的不一樣程度或者完整性缺失時對整個組織的影響。可用性(A)賦值根據(jù)資產(chǎn)在可用性上的不一樣規(guī)定，將其分為五個不一樣的等級，分別對應(yīng)資產(chǎn)在可用性上的到達的不一樣程度。資產(chǎn)價值判斷原則要素準則數(shù)據(jù)資產(chǎn)實體/服務(wù)資產(chǎn)文獻/軟件資產(chǎn)無形資產(chǎn)人員資產(chǎn)可用性按資產(chǎn)使用或容許中斷的時間次數(shù)來評估數(shù)據(jù)存儲、傳播及處理設(shè)施在一種工作日容許中斷的次數(shù)或時間比例賦值每次中斷容許時間賦值使用頻次規(guī)定賦值使用頻次賦值容許離崗時間賦值16次以上或所有工作時間中斷13天以上1每年都要使用至少1次1每年都要使用至少1次110個工作日及以上19-15次或1/2工作時間中斷21－3天2每個季度都要使用至少1次2每個季度都要使用至少1次26-9工作日23-8次或1/4工作時間中斷312小時－1天3每月都要使用至少1次3每月都要使用至少1次33-5個工作日31-2次或1/8工作時間中斷43小時－12小時4每周都要使用至少1次4每周都要使用至少1次42個工作日4不容許50－3小時5每天都要使用至少1次5每天都要使用至少1次51個工作日5形成資產(chǎn)清單各部門的《重要資產(chǎn)調(diào)查與風險評估表》經(jīng)本部門負責人審核，報管理者代表確認。鑒定重要資產(chǎn)根據(jù)前面的資產(chǎn)性、完整性、可用性的賦值相加得到資產(chǎn)的價值，資產(chǎn)價值越高表達資產(chǎn)重要性程度越高。要素標識相對價值圍等級資產(chǎn)等級很高15,14,134高12,11,103一般9,8,7,62低5,4,31按資產(chǎn)價值得出重要資產(chǎn)，資產(chǎn)價值為4，3的是重要資產(chǎn)，資產(chǎn)價值為2，1的是非重要資產(chǎn)。信息安全管理委員會對各部門資產(chǎn)識別狀況進行審核，保證沒有遺漏重要資產(chǎn)，形成各部門的《資產(chǎn)識別清單》。各部門的《資產(chǎn)識別清單》經(jīng)本部門負責人審核，報管理者代表確認，并分發(fā)各部門存檔。重要資產(chǎn)風險評估應(yīng)對所有的重要資產(chǎn)進行風險評估，評估應(yīng)考慮威脅、脆弱性、威脅事件發(fā)生的也許性、威脅事件發(fā)生后對資產(chǎn)導致的影響程度、風險的等級、風險與否在可接受圍及已采用的措施等方面原因。識別威脅威脅是對組織及其資產(chǎn)構(gòu)成潛在破壞的也許性原因，導致威脅的原因可分為人為原因和環(huán)境原因。威脅作用形式可以是對信息系統(tǒng)直接或間接的襲擊，例如非授權(quán)的泄露、篡改、刪除等，在性、完整性或可用性等方面導致?lián)p害；也也許是偶發(fā)的、或蓄意的事件。威脅可基于體現(xiàn)形式分類，基于體現(xiàn)形式的威脅分類原則可參照下表：威脅分類表種類描述威脅子類軟硬件故障對業(yè)務(wù)實行或系統(tǒng)運行產(chǎn)生影響的設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)自身或軟件缺陷等問題設(shè)備硬件故障、傳播設(shè)備故障、存儲媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障等物理環(huán)境影響對信息系統(tǒng)正常運行導致影響的物理環(huán)境問題和自然災害斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震等無作為或操作失誤應(yīng)當執(zhí)行而沒有執(zhí)行對應(yīng)的操作，或無意執(zhí)行了錯誤的操作維護錯誤、操作失誤等管理不到位安全管理無法貫徹或不到位，從而破壞信息系統(tǒng)正常有序運行管理制度和方略不完善、管理規(guī)程缺失、職責不明確、監(jiān)督控管機制不健全等惡意代碼故意在計算機系統(tǒng)上執(zhí)行惡意任務(wù)的程序代碼病毒、特洛伊木馬、蠕蟲、陷門、間諜軟件、竊聽軟件等越權(quán)或濫用通過采用某些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的權(quán)限，做出破壞信息系統(tǒng)的行為非授權(quán)訪問網(wǎng)絡(luò)資源、非授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息等網(wǎng)絡(luò)襲擊運用工具和技術(shù)通過網(wǎng)絡(luò)對信息系統(tǒng)進行襲擊和入侵網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探（、口令、權(quán)限等）、顧客身份偽造和欺騙、顧客或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運行的控制和破壞等物理襲擊通過物理的接觸導致對軟件、硬件、數(shù)據(jù)的破壞物理接觸、物理破壞、盜竊等泄密信息泄露給不應(yīng)理解的他人部信息泄露、外部信息泄露等篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性減少或信息不可用篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改顧客身份信息或業(yè)務(wù)數(shù)據(jù)信息等抵賴不承認收到的信息和所作的操作和交易原發(fā)抵賴、接受抵賴、第三方抵賴等各部門根據(jù)資產(chǎn)自身所處的環(huán)境條件，識別每個資產(chǎn)所面臨的威脅。識別脆弱性脆弱性是對一種或多種資產(chǎn)弱點的總稱。脆弱性是資產(chǎn)自身存在的，假如沒有對應(yīng)的威脅發(fā)生，單純的脆弱性自身不會對資產(chǎn)導致?lián)p害。并且假如系統(tǒng)足夠強健，再嚴重的威脅也不會導致安全事件，并導致?lián)p失。即，威脅總是要運用資產(chǎn)的脆弱性才也許導致危害。資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱性識別中最為困難的部分。需要注意的是，不對的的、起不到應(yīng)有作用的或沒有對的實行的安全措施自身就也許是一種脆弱性。脆弱性識別將針對每一項需要保護的資產(chǎn)，找出也許被威脅運用的脆弱性，并對脆弱性的嚴重程度進行評估。脆弱性識別時的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及有關(guān)業(yè)務(wù)領(lǐng)域的專家和軟硬件方面的專業(yè)人員。脆弱性識別重要從技術(shù)和管理兩個方面進行，技術(shù)脆弱性波及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的安全問題。管理脆弱性又可分為技術(shù)管理和組織管理兩方面，前者與詳細技術(shù)活動有關(guān)，后者與管理環(huán)境有關(guān)。常見脆弱性序號類別微弱點威脅1.

環(huán)境和基礎(chǔ)設(shè)施建筑物/門以及窗戶缺乏物理保護例如,也許會被盜竊這一威脅所運用●對建筑物\房間物理進入控制不充足,或松懈也許會被故意損害這一威脅所運用●電網(wǎng)不穩(wěn)定也許會被功率波動這一威脅所運用●所處位置輕易受到洪水襲擊也許會被洪水這一威脅所運用2.

硬件缺乏定期替代計劃也許會被存儲媒體退化這一威脅所運用●輕易受到電壓不穩(wěn)定的侵擾也許會被功率波動這一威脅所運用●輕易受到溫度變化的侵擾也許會溫度的極端變化這一威脅所運用●輕易受到濕度、灰塵和污染的侵擾也許會被灰塵這一威脅所運用●對電磁輻射的敏感性也許會被電磁輻射這一威脅所運用●不充足的維護/存儲媒體的錯誤安裝也許會被維護失誤這一威脅所運用●缺乏有效的配置變化控制也許會被操作職工失誤這一威脅所運用3.

軟件開發(fā)人員的闡明不清晰或不完整也許會被軟件故障這一威脅所運用●沒有軟件測試或軟件測試不充足也許會被未經(jīng)授權(quán)許可的顧客使用軟件這一威脅所運用●復雜的顧客界面也許會被操作職工失誤這一威脅所運用●缺乏識別和鑒定機制，如：顧客鑒定也許會被冒充顧客身份這一威脅所運用●缺乏審核跟蹤也許會被以未經(jīng)授權(quán)許可的方式使用軟件這一威脅所運用●軟件中存在眾所周知的缺陷也許會被軟件未經(jīng)許可的顧客使用軟件這一威脅所運用●口令表沒有受到保護也許會被冒充顧客身份這一威脅所運用●口令管理較差（很輕易被猜測，公開地存儲口令，不常常更改）也許會被冒充顧客身份這一威脅所運用●訪問權(quán)的錯誤分派也許會被以未經(jīng)許可的方式使用軟件這一威脅所運用●對下載和使用軟件不進行控制也許會被惡意軟件這一威脅所運用●離動工作站沒有注銷顧客也許會被未經(jīng)許可的顧客使用軟件這一威脅所運用●缺乏有效的變化控制也許會被軟件故障這一威脅所運用●缺乏文獻編制也許會被操作職工的失誤這一威脅所運用●缺乏備份也許會被惡意軟件或火災這一威脅所運用●沒有合適的擦除而對存儲媒體進行處理或重新使用也許會被未經(jīng)許可的顧客使用軟件這一威脅所運用4.

通訊通訊線路沒有保護也許會被偷聽這一威脅所運用●電纜連接差也許會被通訊滲透這一威脅所運用●對發(fā)件人和收件人缺乏識別和鑒定也許會被冒充顧客身份這一威脅所運用●公開傳送口令也許會被未經(jīng)許可的顧客接入網(wǎng)絡(luò)這一威脅所運用●收發(fā)信息缺乏驗證也許會被否認這一威脅所運用●撥號線路也許會被未經(jīng)許可的顧客接入網(wǎng)絡(luò)這一威脅所運用●對敏感性通信不進行保護也許會被偷聽這一威脅所運用●網(wǎng)絡(luò)管理不充足（路由的彈性）也許會被通信量超載這一威脅所運用●公共網(wǎng)絡(luò)連接沒有保護也許會被未經(jīng)許可的顧客使用軟件這一威脅所運用5.

文獻存儲沒有保護也許會被盜竊這一威脅所運用●進行處理時缺乏關(guān)注也許會被盜竊這一威脅所運用●對拷貝沒有進行控制也許會被盜竊這一威脅所運用6.

人員人員缺席也許會被缺乏員工這一威脅所運用●對外部人員和清理人員的工作不進行監(jiān)督也許會被盜竊這一威脅所運用●不充足的安全培訓也許會被操作職工的失誤這一威脅所運用●缺乏安全意識也許會被顧客錯誤這一威脅所運用●對軟件和硬件不對的的使用也許會被操作職工的失誤這一威脅所運用●缺乏監(jiān)控機制也許會被以未經(jīng)許可的方式使用軟件這一威脅所運用●在對的使用通訊媒體和信息方面缺乏政策也許會被以未經(jīng)許可的方式使用網(wǎng)絡(luò)設(shè)施這一威脅所運用●增員程序不充足也許會被故意損害這一威脅所運用7.

一般都合用的微弱環(huán)節(jié)某一點上的故障也許會被通訊服務(wù)故障這一威脅所運用●服務(wù)維護反應(yīng)局限性也許會被硬件故障這一威脅所運用脆弱性識別容表類型識別對象識別容技術(shù)脆弱性物理環(huán)境從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通信線路的保護、機房區(qū)域防護、機房設(shè)備管理等方面進行識別網(wǎng)絡(luò)構(gòu)造從網(wǎng)絡(luò)構(gòu)造設(shè)計、邊界保護、外部訪問控制方略、部訪問控制方略、網(wǎng)絡(luò)設(shè)備安全配置等方面進行識別系統(tǒng)軟件從補丁安裝、物理保護、顧客、口令方略、資源共享、事件審計、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進行識別應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進行識別應(yīng)用系統(tǒng)從審計機制、審計存儲、訪問控制方略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護等方面進行識別管理脆弱性技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務(wù)持續(xù)性等方面進行識別組織管理從安全方略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進行識別威脅運用脆弱性發(fā)生風險之后的影響后果描述風險描述識別既有控制措施評估威脅發(fā)生的也許性分析威脅運用脆弱性給資產(chǎn)導致?lián)p害的也許性。確定各個威脅運用脆弱性導致?lián)p害的也許性。判斷每項重要資產(chǎn)所面臨威脅發(fā)生的也許性時應(yīng)注意：威脅事件自身發(fā)生的也許性；既有的安全控制措施；現(xiàn)存的安全脆弱性。要素標識發(fā)生的頻率等級威脅運用弱點導致危害的也許性很高出現(xiàn)的頻率很高（或≥1次/周）；或在大多數(shù)狀況下幾乎不可防止；或可以證明常常發(fā)生過5高出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)狀況下很有也許會發(fā)生；或可以證明多次發(fā)生過4一般出現(xiàn)的頻率中等（或>1次/六個月）；或在某種狀況下也許會發(fā)生；或被證明曾經(jīng)發(fā)生過3低出現(xiàn)的頻率較小；或一般不太也許發(fā)生；或沒有被證明發(fā)生過2很低威脅幾乎不也許發(fā)生；僅也許在非常罕見和例外的狀況下發(fā)生1影響程度分析影響程度指一旦威脅事件實際發(fā)生時，將給資產(chǎn)帶來多大程度的損失。在分析時，可以從影響有關(guān)方和影響業(yè)務(wù)持續(xù)性兩個不一樣維度方面來評估打分。假如改風險也許引起法律起訴，則影響程度值為最高5分。要素標識嚴重程度等級威脅被運用后的嚴重性很高假如被威脅運用，將對企業(yè)重要資產(chǎn)導致重大損害5高假如被威脅運用，將對重要資產(chǎn)導致一般損害4一般假如被威脅運用，將對一般資產(chǎn)導致重要損害3低假如被威脅運用，將對一般資產(chǎn)導致一般損害2很低假如被威脅運用，將對資產(chǎn)導致的損害可以忽視1風險的等級風險值由威脅發(fā)生的也許性、影響程度和資產(chǎn)價值這三個原因共同決定。風險值計算措施：風險值=威脅發(fā)生也許性*（威脅發(fā)生對性的影響+威脅發(fā)生對完整性的影響+威脅發(fā)生對可用性的影響）風險等級原則見下表：要素標識風險值圍級別可接受準則風險級別高風險>204風險不可接受，必須立即采用有效的措施減少風險較高風險>15且<=203風險可以接受，但需要采用深入措施減少風險一般風險>10且<=152風險可以接受低風險<=101提議控制措施安全措施可以分為防止性安全措施和保護性安全措施兩種。防止性安全措施可以減少威脅運用脆弱性導致安全事件發(fā)生的也許性，如入侵檢測系統(tǒng)；保護性安全措施可以減少因安全事件發(fā)生對信息系統(tǒng)導致的影響，如業(yè)務(wù)持續(xù)性計劃。提議控制措施確實認與脆弱性識別存在一定的聯(lián)絡(luò)。一般來說，安全措施的使用將減少脆弱性，但安全措施確實認并不需要與脆弱性識別過程那樣詳細到每個資產(chǎn)、組件的脆弱性，而是一類詳細措施的集合。不可接受風險確實定通過預制的風險的可接受準則，進行風險可接受性鑒定（與否高風險），并生成各部門的《重要資產(chǎn)調(diào)查與風險評估表》表單。各部門的《重要資產(chǎn)調(diào)查與風險評估表》經(jīng)本部門負責人審核，報管理者代表同意。風險處理對風險應(yīng)進行處理。對可接受風險，可保持已經(jīng)有的安全措施；假如是不可接受風險（高風險），則需要采用安全措施以減少、控制風險。對不可接受風險，應(yīng)采用新的風險處理的措施，規(guī)定風險處理方式、責任部門和時間進度，高風險應(yīng)得到優(yōu)先的考慮。信息安全管理委員會根據(jù)《重要資產(chǎn)調(diào)查與風險評估表》編制《風險處置計劃》。信息安全管理委員會根據(jù)《重要資產(chǎn)調(diào)查與風險評估表》編制《風險評估匯報》，述信息安全管理現(xiàn)實狀況，分析存在的信息安全風險，提出信息安全管理（控制）的提議與措施。管理者代表考慮成本與風險的關(guān)系，對《風險評估匯報》及《風險處理計劃》的有關(guān)容審核，對認為不合適的控制或風險處理方式等提出闡明，由信息安全管理委員會協(xié)同有關(guān)部門重新考慮管理者代表的意見，選擇其他的控制或風險處理方式，并重新提交管理者代表審核同意實行。各責任部門按照同意后的《風險處理計劃》的規(guī)定采用有效安全控制措施，保證所采用的控制措施是有效的。假如減少風險所付出的成本不小于風險所導致的損失，則選擇接受風險。剩余風險評估對采用安全措施處理后的風險，信息安全管理委員會進行再評估，以判斷實行安全措施后的殘存風險與否已經(jīng)減少到可接受的水平。某些風險也許在選擇了合適的安全措施后仍處在不可接受的風險圍，應(yīng)考慮與否接受此風險或深入增長對應(yīng)的安全措施。剩余風險評估完畢后，剩余風險報管理者代表審核、總經(jīng)理同意。信息安全風險的持續(xù)評估信息安全管理委員會每年