XX公司信息安全风险评估控制程序.docx

XXXX公司版本AISMS密级秘密*3年XX信息安全风险评估控制程序文件编号1SMSP-07-A1目的本程序规定了 XXXX公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级 评估认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和 控制方式将信息安全风险控制在可接受的水平，保持本公司商务持续性发展，以满足本公司 信息安全管理方针的要求。本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险评估活动。3职责1）人力资源部负责牵头成立风险评估小组。2）风险评估小组负责编制信息安全风险评估计划，确认评估结果，形成信息安全风险 评估报告。3）各部门负责本部门信息资产的识别和风险评估,并负责本部门所涉及的信息资产的具 体安全控制工作。4定义附表4信息安全薄弱点参考表（按ISO/IEC17799分类）信息安全组织缺乏有力的领导支持信息安全事务跨部门协调能力不足安全责任不清缺乏专家支持与外部组织缺乏信息安全方案的沟通信息安全评审不可靠对第三方访问的风险缺乏认识和必要控制对外包的信息资产和信息处理过程缺乏有力的控制资产的归类和控制信息资产清单没有记录或者不充分 信息资产没有归类或者归类不科学 信息资产没有清晰的归类标志人员安全没有人员考察或者考察中没有信息安全考虑工作职责中没有信息安全责任没有正式的保密协议缺乏信息安全相关的指导和培训信息安全意识不足缺员没有适当的奖惩规则物理与环境安全对建筑，房屋和办公室实物访问控制的不充分或疏忽对建筑、门、窗的物理保护不充分外来人员进行的无人监督的工作对存储媒体维护不当/安装不当设备定置不合理易受漏水或风雨影响没有隔离或者隔离不充分设备对于电压变化的需要缺乏定期的设备更新计划设备易受温度、湿度，灰尘影响旧设备的处置和再利用缺乏安全控制没有清除桌面和屏幕的制度可以不经授权带离工作场所通信和操作缺乏操作程序对操作的更改缺乏控制事件应对缺乏规划共享账号或共用身份认证卡开发设备和操作设备混杂新系统的引进没有详细的策划和验收对恶意软件和恶意代码缺乏对策或者对策不足移动媒体缺乏控制空闲接入端口个别故障点对外信息或软件交换缺乏风险责任协议电子邮件策略不够缺乏免责声明缺乏验证和授权机制用一般明文传输密码发送和接收信息的身份不能证明或者证明能力和业务要求不称未被保护的敏感交易不充分的网络管理未经授权拨号连接，或拨号连接保护不充分未被控制的备份访问控制缺乏访问控制策略没有规范的用户申请、注册程序缺乏可靠的验证授权机制对特权使用没有限制对访问权限缺乏评审无人值守设备缺乏保护网络服务的访问缺乏策略网络路径失控诊断端口缺乏保护网络连接缺乏控制网络服务程序安全性欠佳离开服务器的时候保护措施不充分缺乏口令管理（轻易便可猜测的密码，密码的存储，更改的频率不够）未被控制的下载和使用软件未被保护的密码表远程工作缺乏足够的保护没有足够的日志记录和相应的管理系统开发和维护开发缺乏安全分析 对处理信息缺乏验证 加密技术使用不当 加密键码保护不当程序源库的访问控制不充分 系统测试数据保护不充分 软件更改没有足够控制 没有或缺乏软件测验 部分开发说明书不清楚 复杂的用户界面业务连续性管理缺乏业务连续性计划缺乏应急响应责任和方法的策划应急响应计划可行性不能保证符合性缺乏知识产权方面的对策法律要求保护的数据和个人信息得不到保护加密密码违反相关的法律规定没有足够的诉讼证据组织的信息安全方针得不到贯穿实施审核工具的使用失控附表5事件发生可能性等级对照表等级说明发生可能性1极低次/三年2低W1次/半年3中等> 1次/半年4高2 1次/月5很高21次/周说明A.威胁事件本身发生的可能性：这可以根据以往的统计数据来判断。B.现有的安全控制措施：本公司已有的控制措施可能降低威胁发生的可能性，例如良好的避雷系 统能够明显降低因为雷击事件发生的可能性。对于不可抗力的自然灾害（地震、恐怖事件），安 全控制措施可以减轻威胁造成的影响程度，但不能改变威胁事件实际发生的可能性。C.现存的安全薄弱点：本公司管理上的缺陷或者信息资产本身的薄弱点越多，被威胁利用的可能 性就越大，威胁发生的可能性越大。附表6事件可能影响程度等级对照表威胁等级保密性（C）完整性（I）可用性（A）1非敏感信息几乎无京川可几乎不影响生产/业务活动2敏感信息轻微影响。对单次合同产生 负面影响对单台设备产生影响对商业形象和信誉的影响轻微3商业秘密一般影响。可能导致一次中 小合同失败对单个区域产生影响对商业形象和信誉的影响一般。4商业机密较重影响。可能导致数次中 小合同或一次大合同失败对多个区域产生影响对商业形象和信誉的影响较重。5国家秘密严重影响。可能导致客户或 合作伙伴的丢失对所有区域产生影响对商业形象和信誉的影响严重附表7信息安全风险矩阵计算表屣(C,I,A) 风险r12345几乎无轻微性一般性严重性非常严重1极低13611132低25914173中等481518224高7121921245很高1016202325附表8信息安全风险接受准则等级划分标准说明A级20-25严重不口接受的风险B级14-19一般不可接受的风险C级8-13有条件接受的风险（需经评估小组评审，判断是 否可以接受的风险）D级1-7不需要评审即可接受的风险5.1 风险评估前的准备人力资源部牵头成立风险评估小组。5. 1. 2风险评估小组制定信息安全风险评估计划，下发给内审员。5. 1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。5.2 信息资产的识别2.1风险评估小组通过电子邮件向内审员发放信息资产分类参考目录、重要信息资产 判断准则、信息资产识别表，同时提出信息资产识别的要求。5. 2.2内审员参考信息资产分类参考目录识别本部门信息资产，根据重要信息资产判 断准则判断其是否是重要信息资产，经本部门负责人审核确认后，在风险评估计划规定的 时间内提交给风险评估小组汇总。5. 2.3风险评估小组对各部门上报的数据形成信息资产识别表，并对其进行审核，确保没 有遗漏重要信息资产，形成重要信息资产清单，由人力资源部存档。5.3 重要信息资产风险等级评估3.1应对重要信息资产清单中的所有资产进行风险评估，评估应考虑威胁事件发生的 可能性和威胁事件发生后对信息资产造成的影响程度两方面因素。5. 3.2风险评估小组向各部门内审员分发重要信息资产风险评估表、信息安全威胁参考 表、信息安全薄弱点参考表、事件发生可能性等级对照表、事件可能影响程度等级对 照表。6. 3. 3各部门内审员根据资产本身所处的环境条件,参考信息安全威胁参考表识别每个信 息资产所面临的威胁，针对每个威胁，识别目前已有的控制；并参考信息安全薄弱点参考表 识别可能被该威胁所利用的薄弱点；在考虑现有控制的前提下，参考事件发生可能性等级 对照表判断每项重要信息资产所面临威胁发生的可能性；参考事件可能影响程度等级对 照表，判断威胁利用薄弱点可能使信息资产的保密性、完整性或可用性丢失所产生的影响程 度等级。将结果提交风险评估小组审核汇总形成重要信息资产风险评估表。7. 3.4风险评估小组考虑本公司整体的信息安全要求，对汇总的重要信息资产风险评估表 进行审核，确保风险评估水平的一致性，确保没有遗漏重要信息安全风险。如果对评估结果进行修改，应该和资产责任部门进行沟通并获得该部门的确认。8. 3. 5风险评估小组根据信息安全风险矩阵计算表计算风险等级,完成重要信息资产风 险评估表，并由人力资源部存档。5.4 不可接受风险的确定和处理. 4. 1风险评估小组根据信息安全风险接受准则，确定风险的可接受性；针对不可接受风 险编制信息安全不可接受风险处理计划，该计划应该规定风险处理方式、责任部门和时间 进度；编制信息安全风险评估报告，陈述本公司信息安全管理现状，分析存在的信息安全 风险，提出信息安全管理（控制）的建议与措施，附信息安全不可接受风险处理计划提 交信息安全管理委员会进行审核，由ISMS管理者代表批准实施。5 .4.2各责任部门按照信息安全不可接受风险处理计划的要求采取有效安全控制措施后, 原评估部门重新评估其风险等级，确保所采取的控制措施是充分的,直到其风险降至可接受为 止。5.5 评估时机每年评估一次，以确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施，对 发生以下情况需及时进行风险评估：a）当发生重大信息安全事故时；b）当信息网络系统发生重大更改时；c）信息安全管理委员会确定有必要时。5.5.1 各部门对新增加、转移的或授权销毁的信息资产应立即按照本程序在信息资产识别 表、重要信息资产清单上予以添加或变更。6相关文件信息安全适用性声明XXXX公司信息安全管理体系手册（XX文件控制程序记录名称保存期限信息资产识别表2年重要信息资产清单2年重要信息资产风险等级评估表2年信息安全风险评估报告2年不可接受风险处理计划2年8本程序文件更改记录表序号条款号更改标记更改内容更改通知单号更改人/日期附加说明：日期:日期:日期:本程序文件编制人:本程序文件审核人:本程序文件批准人:大类详细分类举例文档和数据经营规划中长期规划等经营计划等组织情况组织变更方案等组织机构图等组织变更通知等组织手册等规章制度各项规程、业务手册等人事制度人事方案等人事待遇资料等录用计划等离职资料等中期人员计划等人员构成等人事变动通知等培训计划等培训资料等财务信息预决算（各类投资预决算）等业绩（财务报告）等中期财务状况等资金计划等成本等财务数据的处理方法（成本计算方法和系统，会计管理审查 等经营分析系统，减税的方法、规程）等营业信息市场调查报告（市场动向，顾客需求，其它公司动向及对这 些情况的分析方法和结果）等商谈的内容、合同等报价等客户名单等营业战略（有关和其它公司合作销售、销售途径的确定及变 更，对代理商的政策等情报）等退货和投诉处理（退货的品名、数量、原因及对投诉的处理 方法）等供应商信息（各种制品、设备等生产中必需资财的供应商情 况）等大类详细分类举例文档和数据技术信息试验/分析数据（本公司或者委托其它单位进行的试验/分析）等研究成果（本公司或者和其它单位合作研究开发的技术成果）等科技发明的内容（专利申请书以及有关的资料/试验数据）等开发计划书等新产品开发的体制、组织（新品开发人员的组成，业务分担，技术人员的 配置等）技术协助的有关内容（协作方，协作内容，协作时间等）教育资料等技术备忘录等生产信息各种生产设备的配置（针对产品的最佳配置、特殊配置）等各种制品的工艺流程、检查方法和标准操作方法特种机器的规格（为制造特殊的制品而指定的机器规格）等各种制品等的生产管理、设备运转及控制方法（有关生产设备的使用，提 高设备效率的方法）等各种制品的品质管理方法（制造优质、均一性良好产品的质量管理方法） 等生产实绩等制品及原料、半制品的规格及其检查方法，使用材料及分配比率、处理方 法（制造制品采用什么样的材料，使用什么样的比例）等各种制品的生产计划及生产能力等设备投资计划及设备能力（按企业的规划拟在现有的领域或新领域中投资 的计划及现有设备的能力）等各种制品的制造成本（包括制品的外加工率、外加工费等）等规格书、图纸等生产日报等保全日报等制口口信息新制品开发计划（新制品的开发目标、研发时间、开发对象）等制品测试程序、数据等客户数据等掩膜版数据等设计、制造和测试履历等制品规格（制品的设计规格、可靠性、安全性等信息）等大类详细分类举例文档和数据软件信息生产管理系统等技术解析系统等计划财务系统等设计书等流程等编码、密码系统等源程序表等其他诉讼或其他有争议案件的内容（民事、无形资产、工伤等纠纷内 容）公司基本设施情况（包括动力设施）等董事会资料（新的投资领域、设备投资计划等）公司电话簿等公司安全保卫实施情况及突发事件对策等数据库相关书面类资产的电 子版软件和系 统操作系统Windows Linux 等应用软件/系统Office财务系统等开发工具实用程序硬件和设施网络设备和服务器路由器、网关、交换机、防火墙、入侵检测设备、加密设备、身 份验证设备以及各类服务器等计算机台式计算机、移动计算机等存储设备磁带机等通讯工具电话、手提电话等传输线路光纤、双绞线等存储媒体磁带、光盘、软盘、U盘等制造设备光刻机、离子注入机、刻蚀设备、CVD设备、扩散炉、溅射装置 等测定器套刻精度、寸法测定、膜厚测定、颗粒测定（灰尘）、应力测定、 浓度测定、电阻率测定等搬送设备AGV自动搬送车、天井搬送车、棚架等动力供给设备产品与材料成品、半成品、废品、掩膜版等其他电子设备打印机、复印机、扫描仪、传真机等人力 资源涉密人员市场、财务、人事等特殊人员有特殊技能、知识、工艺的人员等附表2重要信息资产判断准则 所识别的信息资产，当出现以下情况时判为重要信息资产。分类判断准则硬件和设施1、产生或保存的信息属于商业秘密的设备或媒体。2、如果处理方法不当或者设备故障，对本公司的生产及管理 直接产生不良影响。3、本部门认为可以列入重要信息资产的其他资产。软件和系统1、属于商业秘密的应用程序、源程序等。2、如果被篡改或发生失效时，对本公司的生产及管理直接产 生不良影响。3、本部门认为可以列入重要信息资产的其他资产。文档和数据1、此文档或数据属于商业秘密。2、此文档或数据被篡改、不正当使用或缺失会对本公司的生 产及管理或商业信誉、形象直接产生不良影响。3、本部门认为可以列入重要信息资产的其他资产。人力资源1、产生或保存商业秘密信息的人员。2、本部门认为可以列入重要信息资产的其他资产。说明商业秘密的定义和划分办法见XX商业秘密控制程序威胁硬件和设施软件和系统文档和数据人力资源故障恶意软件（电子文件）抵赖（电子商务信息）通信监听通信服务故障操作失误未经授权访问、修改未经授权复制盗窃供电故障恶意破坏电子存储媒体故障违背知识产权相关法律，法规温度、湿度超限静电黑客攻击容量超载雷击系统管理员权限滥用密钥泄露、篡改（加密设施）密钥滥用伤害不公正待遇威逼利诱人员流动火灾、地震、洪水、台风、爆 炸、雷击