残余风险评估报告.docx

上海观安信息技术股份有限公司残余风险评估报告TSC-RA-4-20本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别 注明，版权均属上海观安信息技术股份有限公司所有，受到有关产权及版权法保护。任何个人、 机构未经上海观安信息技术股份有限公司的书面授权许可，不得以任何方式复制或引用本文件 的任何片断。修订历史记录版本号拟制人/修改人拟制/修改日期审批人更改原因主要更改内容（写要点即可）VI. 0陈芳2019-10-26李俊定稿1 .名词解释42 .如何评价残余风险43 .残余风险处置方法44 .残余风险处置流程55 .残余风险处置结果71 .名词解释残余风险：采取了风险控制措施后仍然存在的风险；2 .如何评价残余风险评价残余风险：(-) 通常情况下，风险处置过程中选择实施了风险控制措施之后，需要再次评价对 应的风险等级，判断残余风险是否符合可接受的水平。如在可接受的范围内，各相 关负责人员需填写残余风险接受审批表，完成相应的，审批流程，接受残余风险。 如仍不能接受，则应再次重复风险处置过程(重新制订风险处置计划-实施处置方案 -评价残留风险)，直至残余风险符合风险可接受标准,。止匕外，在风险接受准则的具 体执行方面，允许存在一些特殊情况。(二)对每一项已符合可接受标准的残余风险或符合IS027001标准的特殊情况应在 风险处置计划中给出清晰、全面、具体的说明，便于对残余风险进行持续的闭环控 制。负责汇总风险评估报告和风险处置计划，进行范围内的风险评估和风险处置工作的整体 总结分析，将分析结果作为风险管理决策的依据，使负责人能够清楚地了解面临的信息 安全风险和风险处置措施及实施计划。3.残余风险处置方法通常有四种风险处置的方法：1) .避免风险：在某些情况下，可以决定不继续进行可能产生风险的活动来回避风险。 在某些情况可能是较为稳妥的处理办法，但是在某些情况下可能会因此而丧失机 会。2) .降低风险可能性：在某些情况下，可以决定通过合同、要求、规范、法律、监察、 管理、测试、技术开发、技术控制等措施来减小风险的可能性，来达到减小风险的目的。3) .转移风险：这涉及承担或分担部分风险的另一方。手段包括合同、保险安排、合伙、 资产转移等。4) .接受风险：不管如何处置，一般资产面临的风险总是在一定程度上存在。决策者可 以在继续处置需要的成本和风险之间进行抉择。在适当的情况下，决策者可以选择 接受/承受风险。风险处置的方法选择主要需要参考以下两个方面：1) .风险可能造成的危害性。2) .控制、降低该风险方案的可行性，它需对成本因素、技术实现的难度、技术的成熟度 以及对企业现有业务系统的影响等各方面进行综合考虑。建议风险处理的策略：行性风险等於、低中高低接受接受降低中接受/转移降低降低高转移/避免降低/转移降低4.残余风险处置流程1 .选择控制项在大多数情况下，必须选择控制项来降低风险。在完成风险评估之后，企业需要在每一个目 标信息环境中，对选择的控制项进行实施，以便遵从ISO/IEC27001标准。企业选择能够承受(经 济上)的防护措施来防护面临的威胁。在最终风险处置计划出来前，企业可以接受或拒绝建议的保护方案。2 .风险处置计划风险处置计划包含所有相关信息：管理任务和职责、管理责任人、风险管理的优先等级等等。 对企业来讲，有一些附加控制在标准中没有描述，但也是需要的。一个由外部咨询顾问协助的 风险评估会很有帮助。3 .控制项的实施通过风险处置计划的实施，企业应该尽其所能针对ISO/IEC27001中的标准内容在管理、技 术、逻辑、物理和环境控制方面进行劝止、防护、检测、纠正、恢复和补偿工作。如下表所示。 措施需要在开发阶段说明、补充表：从各个方面采取措施实施控制控制项控制点措施管理策略和流程；人员管 理；安全监督机制及 组织，安全意识培训、 测试安全政策、标准、流程、指南；员工录用、 辞退流程；资产说明、标记、使用、修改、 销毁制度；安全意思培训；技术和逻辑系统访问；网络访问； 加密和协议；控制区 域；审计、验证逻辑访问控制；加密；防病毒软件；智能 卡；回退流程；用户限制界面；防火墙、 路由器、IDS、交换机等安全配置物理网络分段；安全边界、 计算机控制、工作区 域隔离、计算机备份； 缆线线；机房防护门、安全门卫、安全锁、监视系统、 环紧控制、入侵和移动检测、报警、险阱、 身份ID、生物识别等。4 .控制措施及其定义的原则 劝止：降低威胁的可能性; 防止：保护或降低资产的脆弱性; 纠正：降低风险和影响的损失; 检测：检测攻击和安全的脆弱性，针对攻击建立防护和纠正措施； 恢复：恢复资源和能力； 补偿：对控制措施的替代方案。同时应该咨询信息安全专家和法律专家，确保控制措施的选择和实施是正确、有效的。5.残余风险处置结果XX