风险评估及控制程序.pdf

风险评估及控制程序风险评估及控制程序文件编码文件编码文件层级文件层级编制部门编制部门编制人编制人审核审核审批审批总页数总页数AQ2G-04-S005 一阶二阶 三阶版本版本文件类别文件类别机密等级机密等级文件类别文件类别编制日期编制日期生效日期生效日期分发编号分发编号V1.0体系文件技术文件内文秘密机密绝密通用项目IT 部701文件发布盖章文件发布盖章公司名称文件名称风险评估及控制程序文件编码页次/总页码AQ2G-04-S0051/7文件制文件制/修订记录修订记录页码全部3章节全部5制/修订记录首次制定增加流程图版本修订前V1.0修订后V1.0V1.1修订人修订日期备注公司名称文件名称风险评估及控制程序文件编码页次/总页码AQ2G-04-S0052/71 1 目的和范围目的和范围本程序规定了公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。本标准适用于公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。2 2 适用范围适用范围本制度适用于公司信息安全管理系统覆盖的所有员工和活动行为。3 3 术语术语ISO/IEC 27001:2005信息技术-安全技术-信息安全管理体系要求和ISO/IEC17799:2005信息技术-安全技术-信息安全管理实施细则规定的术语适用于本标准。4 4 职责和权限职责和权限4.1 IT 部：负责牵头成立风险评估小组。4.2 信息安全工作小组：负责编制信息安全风险评估计划，确认评估结果，编写风险评估报告。4.3 各部门：负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制工作。4.4 总经理：负责对残余风险的批准。公司名称文件名称风险评估及控制程序文件编码页次/总页码AQ2G-04-S0053/75 5 风险评估流程风险评估流程5.15.1 风险评估流程图风险评估流程图开始成立风险评估小组主要内容项CIAB赋值制订风险评估计划主要内容项信息资产的认定确定威胁确定薄弱点确定原有控制措施信息资产识别信息资产的分类重要信息资产认定可能性赋值重要信息资产风险评估后果赋值风险等级计算确定风险可接受性参考内容项补充控制措施残余风险提交风险评估报告风险矩阵计算编制风险处理计划确定信息安全等级结束5.25.2 风险评估前准备风险评估前准备5.2.1 信息安全部牵头成立风险评估小组，小组成员主要由核心内审员组成。5.2.2 风险评估小组向各部门发放信息资产识别表，风险评估表及风险评公司名称文件名称风险评估及控制程序文件编码页次/总页码AQ2G-04-S0054/7估原则。同时提出进行资产识别和风险评估的要求。5.35.3 信息资产的识别信息资产的识别5.3.1 信息安全小组向内审员发放风险评估原则、信息资产识别表，同时提出信息资产识别的要求。5.3.2 各个内审员参考风险评估原则识别本部门信息资产，首先识别本部门的业务流程，并根据实际情况，画出业务流程图。然后在每一个业务下，识别该业务流程中涉及到的各类信息资产。根据风险评估原则中的重要信息资产判断准则判断其是否是重要信息资产，并填写信息资产识别表，在风险评估计划规定的时间内提交风险评估小组审核汇总。5.3.3 风险评估小组对各部门填写的信息资产识别表进行审核，确保没有遗漏重要的业务流程及信息资产，并分发各部门存档。5.45.4 重要信息资产风险等级评估重要信息资产风险等级评估5.4.1 应对信息资产识别表中的所有的业务过程进行风险评估,也就是对组成业务过程的各项资产进行风险评估。评估应考虑威胁事件发生的可能性和威胁事件发生后对信息资产造成的影响程度两方面因素。5.4.2 风险评估小组向各部门内审员分发风险评估表、风险评估原则。5.4.3 各部门内审员按照风险评估原则中的CIAB 分级标准对每一项资产的保密性、可用性、完整性和与业务的相关性进行赋值，并得出资产赋值。5.4.4 各部门内审员根据资产本身所处的环境条件,参考风险评估原则中的威胁识别列表、通用威胁参考列表以及在现状调研阶段分析出的风险及威胁等，识别每个信息资产所面临的风险及风险对应的威胁，针对每个威胁,识别目前已有的控制；5.4.5 在考虑现有的控制前提下，参考风险评估原则中的威胁分级标准判断每项重要信息资产所面临威胁发生的可能性，赋 1-5 的值；5.4.6 参考风险评估原则中的脆弱性识别表、脆弱性参考列表识别可能被该威胁所利用的薄弱点；参考脆弱性分级标准，判断薄弱点程度等级，赋 1-5 的公司名称文件名称风险评估及控制程序文件编码页次/总页码AQ2G-04-S0055/7值。5.4.7风险评估表将自动结合资产的价值，威胁值和薄弱点的值，分别计算可能性、后果及风险的等级。5.4.8风险评估表的风险计算结果，应由风险评估小组汇总。5.4.9 风险评估小组考虑本公司整体的信息安全要求，对各部门填写的风险评估表进行审核，确保风险评估水平的一致性，确保没有遗漏重要信息安全风险。如果对评估结果进行修改，应该和资产责任部门进行沟通并获得该部门的确认。5.55.5 不可接受风险的确定和处理不可接受风险的确定和处理5.5.1 针对所有的 3 级以上风险，公司均应采取相应的控制措施，确认实施的部门。风险评估小组编制信息安全风险评估报告,陈述本公司信息安全管理现状，分析存在的信息安全风险，提出信息安全管理（控制)的建议与措施，由各内审员并将控制措施填写到风险评估表中，并填写措施的计划完成日期。以形成不可接受风险处理计划。5.5.2 在实际的控制措施执行后，各部门内审员填写实际的完成日期，由管理者代表进行确认措施的落实情况。5.5.3 各责任部门按照信息安全不可接受风险处理计划的要求采取有效安全控制措施,确保所采取的控制措施是充分的,直到其风险降至可接受为止。5.5.4 在实际的控制措施执行后，各部门内审员根据实际措施的执行效果，重新评估资产的威胁值和脆弱性值，从而计算出资产的残余风险。5.5.5 对于残余风险仍处于 3 级以上的风险，必须经过总经理的审批，才能接受残余风险。5.65.6 评估时机评估时机5.6.1 每年重新评估一次，以确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施，对发生以下情况需及时进行风险评估：1)当发生重大信息安全事故时；公司名称文件名称风险评估及控制程序文件编码页次/总页码AQ2G-04-S0056/72)当信息网络系统发生重大更改时（包括系统升级和变更）；3)信息安全领导小组确定有必要时。5.6.2 各部门对新增加、转移的或授权销毁的资产应及时按照本工作程序在信息资产识别表、风险评估表上予以添加或变更。6 6 实施策略实施策略6.1 各内审员填写信息资产识别表，识别组织内的业务过程及信息资产。6.2 各内审员填写风险评估表，评估组织内的各项风险。6.3 风险评估小组编写信息安全风险评估报告，汇报公司目前的风险情况。6.4 管理者代表填写残余风险批示计划，由总经理批准后，接受残余风险。7 7 报告记录报告记录7.1信息资产识别表7.2风险评估表7.3信息安全风险评估报告7.4残余风险批示计划