信息安全评估管理程序(共7页).doc

精选优质文档-倾情为你奉上保密等级内控文档名称信息安全评估管理程序文档编号I/NB-B-06-2015发布组织MODERN信息安全工作小组发布日期2015年8月10日 执行日期2015年8月15日版 本 号X3信息安全风险评估管理程序 批准人签字审核人签字制订人签字李教授日期：2015/8/5李教授日期：2015/8/5王敏日期：2015/8/5东北财经信息有限公司目录1.目的本程序规定了公司所采用的信息安全风险评估方法。通过识别信息资产、进行风险等级评估，认知本公司的信息安全风险。在考虑控制成本与风险平衡的前提下，选择合适控制目标和控制方式，将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。2.专业术语2.1风险管理风险管理是以可接受成本，识别、评估、控制、降低可能影响信息系统风险的过程。通过风险评估识别风险，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降低到一个可以被接受的水平，同时考虑控制费用与风险之间的平衡。风险管理的核心是信息的保护。信息对于组织是一种具有重要价值的资产。建立信息安全管理体系(ISMS)的目的是在最大范围内保护信息资产，确保信息的机密性、完整性和可用性，将风险管理自始至终的贯穿于整个信息安全管理体系中，这种体系并不能完全消除信息安全的风险，只是尽量减少风险，尽量将攻击造成的损失降低到最低限度。2.2风险评估风险评估指风险分析和风险评价的整个过程，其中风险分析是指系统化地识别风险来源和风险类型，风险评价是指按组织制定的风险标准估算风险水平，确定风险严重性。风险评估的出发点是对与风险有关的各因素的确认和分析，与信息安全风险有关的因素可以包括四大类：资产、威胁、脆弱性、安全控制措施。风险评估是对信息、信息处理设施、关键业务过程的威胁、薄弱点和风险的评估，它包含以下元素：风险是被特定威胁利用的资产的一种或一组脆弱性，导致信息资产丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。信息资产是对组织具有价值的信息资源，是安全控制措施保护的对象。威胁是可能对资产或组织造成损害的事故的潜在原因。薄弱点是资产或资产组中能被威胁利用的弱点。安全控制措施是降低风险的措施、程序或机制。3.范围本程序适用于本公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。4.职责4.1项目管理部负责编制信息安全风险评估计划，信息安全工作小组负责实施风险评估工作。 4.2 信息安全工作小组确认评估结果，形成信息安全风险评估报告。4.3 各部门负责本部门使用或管理的信息资产的识别和风险评估,并负责本部门所涉及的信息资产的具体安全管理工作。4.4总经理负责对残余风险的批准。5.程序内容5.1 风险评估前准备5.1.1项目管理部负责制定信息安全风险评估计划,下发给信息安全工作小组成员。5.1.2信息安全工作小组负责实施风险评估工作,小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。5.1.3 必要时应对工作小组成员进行风险评估相关知识和表格填写的培训。5.2 信息资产的识别5.2.1 信息安全工作小组向各小组成员发放信息资产识别表，同时提出信息资产识别的要求。5.2.2 小组成员参考风险评估原则中信息资产分类参考目录按照部门识别本部门信息资产，根据重要信息资产判断准则初步判断其是否是重要信息资产，并填写信息资产识别表，经本部门负责人审核确认后，在风险评估计划规定的时间内提交信息安全工作小组。5.2.3 信息安全工作小组对各部门填写的信息资产识别表进行审核，确保没有遗漏重要信息资产，审核通过后，各部门将修正后的信息资产识别表上传到VSS指定目录下。5.3 重要信息资产风险等级评估5.3.1 应对信息资产识别表中的所有重要信息资产进行风险评估, 评估应考虑威胁事件发生的可能性和威胁事件发生后对信息资产造成的影响程度两方面因素，并应用合并同类项原则对相同资产合并评估，以减少评估的工作量。5.3.2 信息安全工作小组向各评估成员分发风险评估表、风险评估原则。5.3.3 各评估成员按照风险评估原则中的CIAB分级标准对每一项资产的保密性、可用性、完整性和与业务的相关性进行赋值，并得出资产赋值。5.3.4根据资产本身所处的环境条件,参考风险评估原则中的信息安全威胁参考表识别每个信息资产所面临的威胁，针对每个威胁,按照风险评估原则中的威胁分级标准给威胁赋值；5.3.5参考风险评估原则中的信息安全薄弱点参考表识别可能被该威胁所利用的薄弱点；在考虑现有的控制措施前提下，按照风险评估原则中的薄弱点分级标准对每一个脆弱性被威胁利用的难易程度进行赋值；5.3.6按照风险评估模型结合威胁和脆弱性赋值对风险发生可能性进行评价；5.3.7按照风险评估模型结合资产和脆弱性赋值对风险发生的损失进行评价；5.3.8按照风险评估模型对风险发生可能性和风险发生的损失进行计算得出风险评估赋值，并按照风险评估原则中的风险等级标准评价出信息安全风险等级，将结果填写在风险评估表上；5.3.9对于所有大于等于3级的风险，应描绘清楚现有的控制措施或改善建议。5.3.10在风险评估计划规定的时间内，各部门将填写完整的并经本部门负责人审核确认后的风险评估表提交信息安全工作小组审核汇总。5.3.11 信息安全工作小组考虑本公司整体的信息安全要求，对填写的风险评估表进行审核，确保风险评估水平的一致性，确保没有遗漏重要信息安全风险。如果对评估结果进行修改，应该和资产责任部门进行沟通并获得该部门的确认。各部门将修正后的风险评估表上传到VSS指定目录下。5.3.12 信息安全工作小组对各部门确认后的风险评估表进行汇总，对所有大于等于3级的风险进行汇总，完成风险评估汇总表，上传到VSS指定目录下。5.4 不可接受风险的确定和处理5.4.1 信息安全工作小组根据风险评估原则中的风险等级标准，确定风险的可接受性；针对不可接受风险编制信息安全不可接受风险处理计划，该计划应该规定风险处理方式、责任部门和时间进度；编制信息安全风险评估报告,陈述本公司信息安全管理现状，分析存在的信息安全风险，提出信息安全管理（控制)的建议与措施，附信息安全不可接受风险处理计划提交ISMS管理者代表批准实施。5.4.2 各责任部门按照信息安全不可接受风险处理计划的要求采取有效安全控制措施后,信息安全工作小组重新评估其风险等级，确保所采取的控制措施是充分的,直到其风险降至可接受为止。5.4.3针对残余风险要得到总经理的批准。5.5 评估时机5.5.1 每年重新评估一次，以确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施，对发生以下情况需及时进行风险评估：a) 当发生重大信息安全事故时；b) 当信息网络系统发生重大更改时；c) 信息安全工作小组确定有必要时。5.5.2 各部门对新增加、转移的或授权销毁的信息资产应及时按照本程序在信息资产识别表和风险评估表上予以添加或变更。6.记录6.1信息资产识别表 6.2风险评估表6.3风险评估汇总表7.相关/支持性文件7.1信息安全适用性声明7.2信息安全手册7.3文件控制程序确定ISMS范围事件发生的影响事件发生的可能性资产识别与重要资产确定威胁识别已有控制措施确认薄弱点识别保持已有的控制措施施施施选择目标及控制措施实 施残余风险评审YESNo是否接受确定风险等级Yes风险评估要点示意图专心-专注-专业