您的当前位置：首页正文

信息安全风险管理程序

来源：小奈知识网

第 1 页共 16 页

1 目的

为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平，特制定本程序。

2 范围

本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。

3 职责

3.1 研发中心

负责牵头成立信息安全管理委员会。 3.2 信息安全管理委员会

负责编制《信息安全风险评估计划》，确认评估结果，形成《风险评估报告》及《风险处理计划》。 3.3 各部门

负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制工作。

4 相关文件

《信息安全管理手册》

《GB-T20984-2007信息安全风险评估规范》

《信息技术安全技术信息技术安全管理指南第3部分：IT安全管理技术》

5 程序

5.1 风险评估前准备

① 研发中心牵头成立信息安全管理委员会，委员会成员应包含信息安全重要责任部门的成员。 ② 信息安全管理委员会制定《信息安全风险评估计划》，下发各部门。 ③ 风险评估方法-定性综合风险评估方法

本项目采用的是定性的风险评估方法。定性风险评估并不强求对构成风险的各个要素（特别是资产）进行精确的量化评价，它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准，来对风险要素进行相对的等级分化，最终得出的风险大小，只需要通过等级差别来分出风险处理的优先顺序即可。

综合评估是先识别资产并对资产进行赋值评估，得出重要资产，然后对重要资产进行详细的风险评估。

第 2 页共 16 页

5.2 资产赋值

① 各部门信息安全管理委员会成员对本部门资产进行识别，并进行资产赋值。

资产价值计算方法：资产价值 = 保密性赋值＋完整性赋值＋可用性赋值

② 资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估，并在此基础上

得出综合结果的过程。 ③ 确定信息类别

信息分类按“5.9 资产识别参考（资产类别）”进行，信息分类不适用时，可不填写。 ④ 机密性(C)赋值

➢ 根据资产在机密性上的不同要求，将其分为五个不同的等级，分别对应资产在机密性上的

应达成的不同程度或者机密性缺失时对整个组织的影响。

⑤ 完整性(I)赋值

➢ 根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的

达成的不同程度或者完整性缺失时对整个组织的影响。

⑥ 可用性(A)赋值

➢ 根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上的

达成的不同程度。

第 3 页共 16 页

资产价值判断标准

第 4 页共 16 页

要素准则数据资产数据存储、传输及处理设施在一个工作按资产可用性使用或允许中断的时间次数来评估日内允许中断的次数或时间比例 16次以上或全部工作时间中断 9-15次或1/2工作时2 1－3天 2 每个季度都要使用至少12 每个季度都要使用至少1次 2 6-9工作日 2 1 3天以上 1 每年都要使用至少1次 1 每年都要使用至少1次 1 10个工作日及以上 1 赋值每次中断允许时间赋值使用频次要求赋值使用频次赋值允许离岗时间赋值实体/服务资产文件/软件资产无形资产人员资产第 5 页共 16 页

间中断 3-8次或1/4工作时间中断 1-2次或1/8工作时间中断不允许 5 0－3小时 5 3 12小时－1天 3 次每个月都要使用至少1次 3 每个月都要使用至少1次 3 3-5个工作日 3 4 3小时－12小时 4 每周都要使用至少1次每天都要使用至少1次 4 每周都要使用至少1次 5 每天都要使用至少1次 4 2个工作日 4 5 1个工作日 5 第 6 页共 16 页

 形成资产清单

各部门的《重要资产调查与风险评估表》经本部门负责人审核，报管理者代表确认。

5.3 判定重要资产

① 根据前面的资产机密性、完整性、可用性的赋值相加得到资产的价值，资产价值越高表示资产

重要性程度越高。要素标识很高高资产等级一般低

② 按资产价值得出重要资产，资产价值为4，3的是重要资产，资产价值为2，1的是非重要资产。 ③ 信息安全管理委员会对各部门资产识别情况进行审核，确保没有遗漏重要资产，形成各部门的

《资产识别清单》。

④ 各部门的《资产识别清单》经本部门负责人审核，报管理者代表确认，并分发各部门存档。 5.4 重要资产风险评估

① 应对所有的重要资产进行风险评估，评估应考虑威胁、脆弱性、威胁事件发生的可能性、威胁

事件发生后对资产造成的影响程度、风险的等级、风险是否在可接受范围内及已采取的措施等方面因素。 ② 识别威胁

➢ 威胁是对组织及其资产构成潜在破坏的可能性因素，造成威胁的因素可分为人为因素和环

境因素。威胁作用形式可以是对信息系统直接或间接的攻击，例如非授权的泄露、篡改、删除等，在保密性、完整性或可用性等方面造成损害；也可能是偶发的、或蓄意的事件。 ➢ 威胁可基于表现形式分类，基于表现形式的威胁分类标准可参考下表：

相对价值范围 15,14,13 12,11,10 9,8,7,6 5,4,3 等级 4 3 2 1

第 7 页共 16 页

威胁分类表

种类描述对业务实施或系统运行产生影响的设备软硬件故障硬件故障、通讯链路中断、系统本身或软件缺陷等问题对信息系统正常运行造成影响的物理环境问题和自然灾害应该执行而没有执行相应的操作，或无意执行了错误的操作安全管理无法落实或不到位，从而破坏信息系统正常有序运行故意在计算机系统上执行恶意任务的程序代码通过采用一些措施，超越自己的权限访问越权或滥用了本来无权访问的资源，或者滥用自己的权限，做出破坏信息系统的行为威胁子类设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等维护错误、操作失误等管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等网络探测和信息采集、漏洞探测、网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵嗅探（帐号、口令、权限等）、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等物理攻击泄密通过物理的接触造成对软件、硬件、数据的破坏信息泄露给不应了解的他人非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用物理接触、物理破坏、盗窃等内部信息泄露、外部信息泄露等篡改网络配置信息、篡改系统配篡改置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等抵赖不承认收到的信息和所作的操作和交易原发抵赖、接收抵赖、第三方抵赖等物理环境影响无作为或操作失误管理不到位恶意代码第 8 页共 16 页

➢ 各部门根据资产本身所处的环境条件，识别每个资产所面临的威胁。 ③ 识别脆弱性

➢ 脆弱性是对一个或多个资产弱点的总称。脆弱性是资产本身存在的，如果没有相应的威胁

发生，单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健，再严重的威胁也不会导致安全事件，并造成损失。即，威胁总是要利用资产的脆弱性才可能造成危害。 ➢ 资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现，这是脆弱性识

别中最为困难的部分。需要注意的是，不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性。

➢ 脆弱性识别将针对每一项需要保护的资产，找出可能被威胁利用的脆弱性，并对脆弱性的

严重程度进行评估。脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域的专家和软硬件方面的专业人员。

➢ 脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、

应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关。

常见脆弱性序号 1. ● ● ● 2. ● ● ● ● ● ● 3. ● ● 类别环境和基础设施硬件软件薄弱点建筑物/门以及窗户缺少物理保护对建筑物\\房间物理进入控制不充分,或松懈电网不稳定所处位置容易受到洪水袭击缺少定期替换计划容易受到电压不稳定的侵扰容易受到温度变化的侵扰容易受到湿度、灰尘和污染的侵扰对电磁辐射的敏感性不充分的维护/存储媒体的错误安装缺少有效的配置变化控制开发人员的说明不清楚或不完整没有软件测试或软件测试不充分复杂的用户界面威胁例如,可能会被偷窃这一威胁所利用可能会被故意损害这一威胁所利用可能会被功率波动这一威胁所利用可能会被洪水这一威胁所利用可能会被存储媒体退化这一威胁所利用可能会被功率波动这一威胁所利用可能会温度的极端变化这一威胁所利用可能会被灰尘这一威胁所利用可能会被电磁辐射这一威胁所利用可能会被维护失误这一威胁所利用可能会被操作职员失误这一威胁所利用可能会被软件故障这一威胁所利用可能会被未经授权许可的用户使用软件这一威胁所利用可能会被操作职员失误这一威胁所利用第 9 页共 16 页

● ● ● ● ● ● ● ● ● ● ● ● 4. ● ● ● ● ● ● ● ● 5. ● ● 6. ● ● 通讯文件人员缺少识别和鉴定机制，如：用户鉴定缺少审核跟踪软件中存在众所周知的缺陷口令表没有受到保护口令管理较差（很容易被猜测，公开地存储口令，不经常更改）访问权的错误分派对下载和使用软件不进行控制离开工作站没有注销用户缺少有效的变化控制缺少文件编制缺少备份没有适当的擦除而对存储媒体进行处理或重新使用通讯线路没有保护电缆连接差对发件人和收件人缺少识别和鉴定公开传送口令收发信息缺少验证拨号线路对敏感性通信不进行保护网络管理不充分（路由的弹性）公共网络连接没有保护存储没有保护进行处理时缺少关注对拷贝没有进行控制人员缺席对外部人员和清理人员的工作不进行监督不充分的安全培训可能会被冒充用户身份这一威胁所利用可能会被以未经授权许可的方式使用软件这一威胁所利用可能会被软件未经许可的用户使用软件这一威胁所利用可能会被冒充用户身份这一威胁所利用可能会被冒充用户身份这一威胁所利用可能会被以未经许可的方式使用软件这一威胁所利用可能会被恶意软件这一威胁所利用可能会被未经许可的用户使用软件这一威胁所利用可能会被软件故障这一威胁所利用可能会被操作职员的失误这一威胁所利用可能会被恶意软件或火灾这一威胁所利用可能会被未经许可的用户使用软件这一威胁所利用可能会被偷听这一威胁所利用可能会被通讯渗透这一威胁所利用可能会被冒充用户身份这一威胁所利用可能会被未经许可的用户接入网络这一威胁所利用可能会被否认这一威胁所利用可能会被未经许可的用户接入网络这一威胁所利用可能会被偷听这一威胁所利用可能会被通信量超载这一威胁所利用可能会被未经许可的用户使用软件这一威胁所利用可能会被偷窃这一威胁所利用可能会被偷窃这一威胁所利用可能会被偷窃这一威胁所利用可能会被缺少员工这一威胁所利用可能会被偷窃这一威胁所利用可能会被操作职员的失误这一威胁所利用第 10 页共 16 页

● ● ● ● ● 7. ● 一般都适用的薄弱环节缺少安全意识对软件和硬件不正确的使用缺少监控机制在正确使用通讯媒体和信息方面缺乏政策增员程序不充分某一点上的故障服务维护反应不足可能会被用户错误这一威胁所利用可能会被操作职员的失误这一威胁所利用可能会被以未经许可的方式使用软件这一威胁所利用可能会被以未经许可的方式使用网络设施这一威胁所利用可能会被故意损害这一威胁所利用可能会被通讯服务故障这一威胁所利用可能会被硬件故障这一威胁所利用

脆弱性识别内容表类型识别对象识别内容从机房场地、机房防火、机房供配电、物理环境机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别从网络结构设计、边界保护、外部访问网络结构控制策略、内部访问控制策略、网络设备安全配置等方面进行识别技术脆弱性系统软件从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别从审计机制、审计存储、访问控制策略、应用系统数据完整性、通信、鉴别机制、密码保护等方面进行识别从物理和环境安全、通信与操作管理、技术管理管理脆弱性组织管理访问控制、系统开发与维护、业务连续性等方面进行识别从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别

④ 威胁利用脆弱性发生风险之后的影响后果描述 ⑤ 风险描述 ⑥ 识别现有控制措施 ⑦ 评估威胁发生的可能性

第 11 页共 16 页

➢ 分析威胁利用脆弱性给资产造成损害的可能性。 ➢ 确定各个威胁利用脆弱性造成损害的可能性。 ➢ 判断每项重要资产所面临威胁发生的可能性时应注意：

 威胁事件本身发生的可能性；  现有的安全控制措施；  现存的安全脆弱性。要素标识发生的频率出现的频率很高（或≥1 次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过出现的频率较高（或≥ 1 次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过出现的频率中等（或> 1 次/半年）；或在某种情况下可能会发生；或被证实曾经发生过出现的频率较小；或一般不太可能发生；或没有被证实发生过威胁几乎不可能发生；仅可能在非常罕见和例外的情况下发生等级很高 5 高威胁利用弱点导致危害的可能性 4 一般 3 低 2 很低 1

⑧ 影响程度分析

➢ 影响程度指一旦威胁事件实际发生时，将给资产带来多大程度的损失。

➢ 在分析时，可以从影响相关方和影响业务连续性两个不同维度方面来评估打分。 ➢ 如果改风险可能引起法律起诉，则影响程度值为最高5分。

要素威胁被利用后的严重性标识很高严重程度如果被威胁利用，将对公司重要资产造成重大损害等级 5 第 12 页共 16 页

高一般低很低

⑨ 风险的等级

如果被威胁利用，将对重要资产造成一般损害如果被威胁利用，将对一般资产造成重要损害如果被威胁利用，将对一般资产造成一般损害如果被威胁利用，将对资产造成的损害可以忽略 4 3 2 1 ➢ 风险值由威胁发生的可能性、影响程度和资产价值这三个因素共同决定。

➢ 风险值计算方法：风险值 = 威胁发生可能性 * （威胁发生对保密性的影响+威胁

发生对完整性的影响+威胁发生对可用性的影响） ➢ 风险等级标准见下表：要素标识高风险风险值范围 >20 级别 4 可接受准则风险不可接受，必须立即采取有效的措施降低风险风险可以接受，但需要采取进一步措施降低风险风险可以接受风险级别较高风险一般风险低风险

>15 且 <=20 >10 且 <=15 <=10 3 2 1 ⑩ 建议控制措施

➢ 安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁

利用脆弱性导致安全事件发生的可能性，如入侵检测系统；保护性安全措施可以减少因安全事件发生对信息系统造成的影响，如业务持续性计划。

➢ 建议控制措施的确认与脆弱性识别存在一定的联系。一般来说，安全措施的使用将减少脆

弱性，但安全措施的确认并不需要与脆弱性识别过程那样具体到每个资产、组件的脆弱性，而是一类具体措施的集合。

5.5 不可接受风险的确定

① 通过预制的风险的可接受准则，进行风险可接受性判定（是否高风险），并生成各部门的《重

要资产调查与风险评估表》表单。

② 各部门的《重要资产调查与风险评估表》经本部门负责人审核，报管理者代表批准。 5.6 风险处理

① 对风险应进行处理。对可接受风险，可保持已有的安全措施；如果是不可接受风险（高风险），

第 13 页共 16 页

则需要采取安全措施以降低、控制风险。

② 对不可接受风险，应采取新的风险处理的措施，规定风险处理方式、责任部门和时间进度，高

风险应得到优先的考虑。

③ 信息安全管理委员会根据《重要资产调查与风险评估表》编制《风险处置计划》。

④ 信息安全管理委员会根据《重要资产调查与风险评估表》编制《风险评估报告》，陈述信息安

全管理现状，分析存在的信息安全风险，提出信息安全管理（控制）的建议与措施。 ⑤ 管理者代表考虑成本与风险的关系，对《风险评估报告》及《风险处理计划》的相关内容审核，

对认为不合适的控制或风险处理方式等提出说明，由信息安全管理委员会协同相关部门重新考虑管理者代表的意见，选择其他的控制或风险处理方式，并重新提交管理者代表审核批准实施。 ⑥ 各责任部门按照批准后的《风险处理计划》的要求采取有效安全控制措施，确保所采取的控制

措施是有效的。

⑦ 如果降低风险所付出的成本大于风险所造成的损失，则选择接受风险。 5.7 剩余风险评估

① 对采取安全措施处理后的风险，信息安全管理委员会进行再评估，以判断实施安全措施后的残

余风险是否已经降低到可接受的水平。

② 某些风险可能在选择了适当的安全措施后仍处于不可接受的风险范围内，应考虑是否接受此风

险或进一步增加相应的安全措施。

③ 剩余风险评估完成后，剩余风险报管理者代表审核、总经理批准。 5.8 信息安全风险的连续评估

① 信息安全管理委员会每年应组织对信息安全风险重新评估一次，以适应信息资产的变化，确定

是否存在新的威胁或脆弱性及是否需要增加新的控制措施。 ② 当企业发生以下情况时需及时进行风险评估：

➢ 当发生重大信息安全事故时； ➢ 当信息网络系统发生重大更改时； ➢ 信息安全管理委员会确定有必要时。

③ 各部门对新增加、转移的或授权销毁的资产应及时在《重要信息资产识别表》及《风险评估表》

中予以添加或变更。

5.9 资产识别参考

◎ 资产类别

类别人员资产人员资产人员资产人员资产人员资产资产名称总裁/副总裁部门总经理工程师项目经理网管第 14 页共 16 页

人员资产软件资产软件资产软件资产软件资产软件资产软件资产软件资产文件资产文件资产文件资产文件资产文件资产文件资产文件资产数据资产数据资产数据资产数据资产数据资产数据资产数据资产服务资产服务资产服务资产无形资产无形资产无形资产无形资产无形资产无形资产实体资产实体资产实体资产实体资产实体资产实体资产实体资产实体资产实体资产实体资产实体资产职员软件操作系统开发软件服务软件财务软件工具类软件应用软件应用程序合同验收文档资料工程文件财务报告投标书文档资料立项申报书光盘验收资料财务数据设备采购工程文档投标书文档资料电子版员工手册保洁网络支撑平台网络通讯平台公司形象客户关系资质证书荣誉证书软件著作权登记证书公司网站高管/财务/人力资源电脑笔记本传真机打印机服务器（显示器+主机）复印机扫描仪数码相机碎纸机投影仪显示器第 15 页共 16 页

实体资产实体资产主机电话 6 记录

《信息安全风险评估计划》ECP-ISMS-JL-03-01 《风险评估报告》ECP-ISMS-JL-03-02 《资产识别清单》ECP-ISMS-JL-03-03

《重要资产调查与风险评估表》ECP-ISMS-JL-03-04 《风险处置计划》ECP-ISMS-JL-03-05

第 16 页共 16 页

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文