JYYH-PS-20-信息安全风险评估管理程序

四川久远银海软件股份有限公司文档编号 JYYH PS 20JYYH PS 20 文档版本 A0A0 信息安全风险评估管理程序信息安全风险评估管理程序 执行日期 2015 01 082015 01 08 I 文档密级 一般 文档状态 草案 正式发布 正在修订 受控状态 受控 非受控 日期日期 版版 本本 描述描述作者作者审核审核 审批审批 2015 01 08A0 A 版首次发布 质量小组孙佩连春华 信息安全风险评估管理程序Risk Assessment I 目录 1 适用适用 1 2 目的目的 1 3 职责职责 1 4 程序程序 1 4 1 风险评估前准备 1 4 2 信息资产的识别 1 4 3 信息资产风险等级评估 2 4 4 不可接受风险的确定和处理 2 4 5 评估时机 3 5 相关相关 支持性文件支持性文件 3 6 附表附表 3 6 1 信息资产分类参考目录 4 6 2 资产赋值判断准则 6 6 2 1 机密性赋值 6 6 2 2 完整性赋值 7 6 2 3 可用性赋值 7 6 2 4 资产重要性等级 8 6 3 信息安全威胁参考表 8 6 4 信息安全薄弱点参考表 9 6 5 威胁发生可能性等级对照表 11 6 6 当前控制力度等级表 12 6 7 弱点被利用可能性等级表 12 6 8 事件可能影响程度等级对照表 12 6 8 1 对机密性的影响等级 12 6 8 2 对完整性的影响等级赋值 13 6 8 3 对可用性的影响等级 13 6 8 4 事件影响程度等级 13 6 9 信息安全风险矩阵计算表 13 6 10 信息安全风险接受准则 14 信息安全风险评估管理程序Risk Assessment 1 1 适用适用 本程序适用于本公司信息安全管理体系 ISMS 范围内信息安全风险评估活动 2 目的目的 本程序规定了公司所采用的信息安全风险评估方法 通过识别信息资产 风险等级评 估认知本公司的信息安全风险 在考虑控制成本与风险平衡的前提下选择合适控制目标和 控制方式将信息安全风险控制在可接受的水平 保持本公司业务持续性发展 以满足本公 司信息安全管理方针的要求 3 职责职责 1 过程改进委员会会负责牵头成立风险评估小组 2 风险评估小组负责编制信息安全风险评估计划 监督风险评估过程 确认评估结 果 形成 信息安全风险评估报告 3 各部门主管或主管指定人员负责本部门使用或管理的信息资产的识别和风险评估 并负责本部门所涉及的信息资产的具体安全控制工作 4 程序程序 4 1 风险评估前准备 1 过程改进委员会会牵头成立风险评估小组 小组成员至少应该包含 信息安全管理 体系负责部门的成员 信息安全重要责任部门的成员 2 风险评估小组制定信息安全风险评估计划 下发各部门主管或主管指定人员 3 必要时应对风险评估实施人员进行风险评估相关知识和表格填写的培训 4 2 信息资产的识别 1 风险评估小组通过电子邮件向各部门主管或主管指定人员发放 信息资产分类参 信息安全风险评估管理程序Risk Assessment 2 考目录 资产赋值判断准则 信息资产识别表 同时提出信息资产识别的要 求 2 各部门主管或主管指定人员参考 信息资产分类参考目录 识别本部门信息资产 填写 信息资产识别表 并根据 资产赋值判断准则 判断每类资产的赋值 经 本部门主管确认后 在风险评估计划规定的时间内提交风险评估小组审核汇总 3 风险评估小组对各部门填写的 信息资产识别表 进行审核 确保没有遗漏信息 资产 形成公司的 信息资产识别表 并存档 4 3 信息资产风险等级评估 1 应按资产分类对 信息资产识别表 中的所有资产进行风险评估 评估应考虑威 胁发生的可能性和威胁发生后对信息资产造成的影响程度两方面因素 2 风险评估小组向各部门内审员分发 信息资产风险评估表 信息安全威胁参考 表 信息安全薄弱点参考表 威胁发生可能性等级对照表 威胁利用弱点 可能影响程度等级对照表 3 各部门主管或主管指定人员根据资产本身所处的环境条件 参考 信息安全威胁参 考表 识别每个信息资产所面临的威胁 针对每个威胁 识别目前已有的控制 并 参考 信息安全薄弱点参考表 识别可能被该威胁所利用的薄弱点 在考虑现有 的控制前提下 参考 威胁发生可能性等级对照表 判断每项信息资产所面临威 胁发生的可能性 参考 弱点被利用可能性等级表 判断威胁利用弱点的可能性 威胁利用弱点可能影响程度等级对照表 判断威胁利用薄弱点可能使信息资产 保密性 完整性或可用性丢失所产生的影响程度等级 将结果填写在 信息资产 风险评估表 上 提交风险评估小组审核汇总 4 风险评估小组考虑本公司整体的信息安全要求 对各部门填写的 信息资产风险 评估表 进行审核 确保风险评估水平的一致性 确保没有遗漏重要信息安全风 险 如果对评估结果进行修改 应该和资产责任部门进行沟通并获得该部门的确 认 5 风险评估小组根据 信息安全风险矩阵计算表 计算风险等级 完成公司的 信息 资产风险评估表 并存档 信息安全风险评估管理程序Risk Assessment 3 4 4 不可接受风险的确定和处理 1 风险评估小组根据 信息安全风险接受准则 确定风险的可接受性 针对不可接 受风险编制 信息安全风险处置计划 该计划应该规定风险处理方式 责任部门 和时间进度 编制 信息安全风险评估报告 陈述本公司信息安全管理现状 分 析存在的信息安全风险 在 信息安全风险处置计划 中提出信息安全管理 控 制 的建议与措施 提交过程改进委员会会进行审核 由管理者代表批准实施 2 各责任部门按照 信息安全风险处置计划 的要求采取有效安全控制措施后 原评 估部门重新评估其风险等级 确保所采取的控制措施是充分的 直到其风险降至可 接受为止 4 5 评估时机 1 每年重新评估一次 以确定是否存在新的威胁或薄弱点及是否需要增加新的控制 措施 对发生以下情况需及时进行风险评估 当发生重大信息安全事故时 当信息网络系统发生重大更改时 过程改进委员会会确定有必要时 2 风险评估小组对新增加 转移的或授权销毁的信息资产应及时按照本程序在 信 息资产识别表 上予以添加或变更 5 相关相关 支持性文件支持性文件 1 信息安全适用性声明 2 信息安全管理手册 3 文件控制程序 4 信息安全风险评估报告 信息安全风险评估管理程序Risk Assessment 4 6 附表附表 记录名称保存部门保存期限 信息资产识别表 运营管理中心1 年 信息资产风险评估表 运营管理中心1 年 信息安全风险评估报告 运营管理中心2 年 信息安全风险处置计划 运营管理中心2 年 残余风险评审表 运营管理中心2 年 6 1 信息资产分类参考目录 大类详细分类举例 经营规划 中长期规划等 经营计划等 组织情况 组织变更方案等 组织机构图等 组织变更通知等 组织手册等 文档和数据 规章制度 各项规程 业务手册等 人事制度 人事方案等 人事待遇资料等 录用计划等 离职资料等 中期人员计划等 人员构成等 人事变动通知等 培训计划等 培训资料等 信息安全风险评估管理程序Risk Assessment 5 财务信息 预决算 各类投资预决算 等 业绩 财务报告 等 中期财务状况等 资金计划等 成本等 财务数据的处理方法 成本计算方法和系统 会计管理 审查等经营分析系统 减税的方法 规程 等 营业信息 市场调查报告 市场动向 顾客需求 其它公司动向及 对这些情况的分析方法和结果 等 商谈的内容 合同等 报价等 客户名单等 营业战略 有关和其它公司合作销售 销售途径的确定 及变更 对代理商的政策等情报 等 退货和投诉处理 退货的品名 数量 原因及对投诉的 处理方法 等 供应商信息等 技术信息 试验 分析数据 本公司或者委托其它单位进行的试验 分析 等 研究成果 本公司或者和其它单位合作研究开发的技术 成果 等 科技发明的内容 专利申请书以及有关的资料 试验数 据 等 开发计划书等 新产品开发的体制 组织 新品开发人员的组成 业务 分担 技术人员的配置等 技术协助的有关内容 协作方 协作内容 协作时间等 教育资料等 信息安全风险评估管理程序Risk Assessment 6 技术备忘录等 软件信息 生产管理系统等 技术解析系统等 计划财务系统等 设计书等 流程等 编码 密码系统等 源程序表等 其他 诉讼或其他有争议案件的内容 民事 无形资产 工伤 等纠纷内容 公司基本设施情况 包括动力设施 等 董事会资料 新的投资领域 设备投资计划等 公司电话簿等 公司安全保卫实施情况及突发事件对策等 操作系统Windows Linux 等 应用软件 系统开发工具 办公软件 网站平台 财务系统 等软件 数据库MS SQL Server MySQL 等 通讯工具传真等 传输线路光纤 双绞线等 存储媒体磁带 光盘 软盘 U 盘等 存储设备光盘刻录机 磁带机等 文印设备打印机 复印机 扫描仪 服务器PC Server 小型机等 桌面终端PC 工作站等 网络通信设备路由器 交换机 集线器 无线路由器等 网络安全设备防火墙 防水墙 IPS 等 硬件设备 支撑设施UPS 机房空调 发电机等 高层管理人员公司总 副总经理 总监等 人力资源 中层管理人员部门经理 信息安全风险评估管理程序Risk Assessment 7 技术管理人员项目经理 项目组长 安全工程师 普通技术人员软件工程师 程序员 测试工程师 界面工程师等 IT 服务人员系统管理员 网络管理员 维护工程师 其它人事 行政 财务等人员 通信ADSL 光纤等 房租办公房屋租用 托管服务器托管 虚拟主机 邮箱托管 法律外聘律师 法律顾问 供电照明电 动力电 服务 审计财务审计 6 2 资产赋值判断准则 对资产的赋值不仅要考虑资产的经济价值 更重要的是要考虑资产的安全状况对于系 统或组织的重要性 由资产在其三个安全属性上的达成程度决定 资产赋值的过程也就是对资产在机密性 完整性和可用性上的达成程度进行分析 并在 此基础上得出综合结果的过程 达成程度可由安全属性缺失时造成的影响来表示 这种影 响可能造成某些资产的损害以至危及信息系统 还可能导致经济效益 市场份额 组织形 象的损失 6 2 1 机密性赋值机密性赋值 根据资产在机密性上的不同要求 将其分为三个不同的等级 分别对应资产在机密性 上应达成的不同程度或者机密性缺失时对整个组织的影响 赋值赋值标识标识定定 义义 3 高 包含组织最重要的秘密 关系未来发展的前途命运 对根本利益有着决 定性的影响 如果泄露会造成灾难性的损害 例如直接损失超过 100 万 人民币 或重大项目 合同 失败 或失去重要客户 或关键业务中断 3 天 信息安全风险评估管理程序Risk Assessment 8 赋值赋值标识标识定定 义义 2 中 组织的一般性秘密 其泄露会使组织的安全和利益受到损害 例如直接 损失超过 10 万人民币 或项目 合同 失败 或失去客户 或关键业 务中断超过 1 天 1 低 可在社会 组织内部或在组织某一部门内部公开的信息 向外扩散有可 能对组织的利益造成轻微损害或不造成伤害 6 2 2 完整性赋值完整性赋值 根据资产在完整性上的不同要求 将其分为三个不同的等级 分别对应资产在完整性 上缺失时对整个组织的影响 赋值赋值标识标识定定 义义 3 高 完整性价值非常关键 未经授权的修改或破坏会对组织造成重大的或无 法接受的影响 对业务冲击重大 并可能造成严重的业务中断 并且难 以弥补 例如直接损失超过 100 万人民币 或重大项目 合同 失败 或失去重要客户 2 中 完整性价值中等 未经授权的修改或破坏会对组织造成影响 对业务冲 击明显 但可以弥补 例如直接损失超过 10 万人民币 或项目 合同 失败 或失去客户 1 低 完整性价值较低 未经授权的修改或破坏会对组织造成轻微影响 甚至 可以忽略 对业务冲击轻微 容易弥补 6 2 3 可用性赋值可用性赋值 根据资产在可用性上的不同要求 将其分为五个不同的等级 分别对应资产在可用性 上的达成的不同程度 赋值赋值标识标识定定 义义 信息安全风险评估管理程序Risk Assessment 9 赋值赋值标识标识定定 义义 3 高可用性价值非常高 合法使用者对资产的可用度达到年度 90 以上 或 系统不允许中断 2 中可用性价值中等 合法使用者对资产的可用度在正常工作时间达到 50 以上 或系统允许中断时间小于 8 工作时 1 低可用性价值较低或可被忽略 合法使用者对资产的可用度在正常工作时 间达到 50 以下 或系统允许中断时间小于 24 工作时 6 2 4 资产重要性等级资产重要性等级 资产价值 V 机密性价值 C 完整性价值 I 可用性价值 A 资产等级 等级等级价值分类价值分类资产总价值资产总价值 1 低3 4 2 中5 7 3 高8 9 信息安全风险评估管理程序Risk Assessment 1 6 3 信息安全威胁参考表 编号威胁硬件和设施软件和系统文档和数据人力资源服务 1故障 2废弃 3服务失效 中断 4恶意软件 5抵赖 6通信监听 7操作失误 8未经授权更改 9未经授权访问 使用或复制 10被利用传送敏感信息 11盗窃 12供电故障 13恶意破坏 14电子存储媒体故障 信息安全风险评估管理程序Risk Assessment 2 15违背知识产权相关法律 法规 16温度 湿度 灰尘超限 17静电 18黑客攻击 19容量超载 20系统管理员权限滥用 21密钥泄露 篡改 22密钥滥用 23个体伤害 车祸 疾病等 24不公正待遇 25社会工程 26 人为灾难 瘟疫 火灾 爆炸 恐 怖袭击等 27 自然灾难 地震 洪水 台风 雷 击等 28服务供应商泄密 信息安全风险评估管理程序Risk Assessment 1 6 4 信息安全薄弱点参考表 编号大类编号小类及说明 1 1物理保护的缺乏 建筑物 门 窗等 1 2物理访问控制不充分或不仔细 1 3电力供应不稳 1 4处于易受到威胁的场所 例如洪水 地震 1环境和基础设施 1 5缺乏防火 防雷等保护性措施 2 1缺乏周期性的设备更新方案 2 2易受电压变化影响 2 3易受到温度 湿度 灰尘和污垢影响 2 5易受到电磁辐射 2 6媒体介质缺乏维护或错误安装 2 7缺乏有效的配置变更控制 2 8缺乏设施安全控制机制 2 9不当维护 2硬件 2 10不当处置 3 1不清晰 不完整的开发规格说明书 3 2没有 或不完备的软件测试 3 3复杂的用户界面 3 4缺乏标示和授权机制 例如用户授权 3 5缺乏审核踪迹 3 6众所周知的软件缺陷 易受病毒等攻击 3 7密码表未受到保护 3 8密码强度太弱 3 9访问权限的错误配置 3 10未经控制的下载和使用软件 3 11离开工作常所未注销 锁屏 3 12缺乏有效的变更控制 3 13文档缺乏 3 14缺乏备份 3 15处置或重用没有正确的擦除内容的存储介质 3 16缺乏加解密使用策略 3 17缺乏密钥管理 3 18缺乏身份鉴别机制 3 19缺乏补丁管理机制 3 20安装 使用盗版软件 3软件 3 21缺乏使用监控 信息安全风险评估管理程序Risk Assessment 2 3 22未经授权复制或传播软件 许可 3 23缺乏 文件 共享安全策略 3 24缺乏服务 端口安全策略 3 25缺乏病毒库升级管理机制 3 26不受控发布公共信息 4 1通信线路缺乏保护 4 2电缆连接不牢固 4 3对发送和接收方缺乏识别与验证 4 4明文传输口令 4 5发送与接受消息时缺少证据 4 6拨号线路 4 7未保护的敏感信息传输 4 8网络管理不恰当 4 9未受保护的公网连接 4 10缺乏身份鉴别机制 4网络与通信 4 11未配置或错误配置访问权限 5 1存放缺乏保护 5 2不受控访问或复制 5 3随意处置 5文档 5 4缺乏备份机制 6 1员工缺编 6 2安全训练不完备 6 3缺乏安全意识 6 4缺乏控制机制 6 5缺乏员工关怀 申诉政策 6 6不完备的招聘 离职程序 6人员 6 7道德缺失 7 1单点故障 7 2服务故障响应不及时 7 3负载过高 7 4缺乏安全控制机制 7一般应用弱点 7 5缺乏应急机制 6 5 威胁发生可能性等级对照表 等级说 明发生可能性 1低非等级 2 与等级 3 的定义 信息安全风险评估管理程序Risk Assessment 3 2中每半年至少发生一次但不及等级 3 3高每月至少发生两次 说明 判断威胁出现的频率是威胁识别的重要工作 评估者应根据经验和 或 有关的统计 数据来进行判断 在风险评估过程中 还需要综合考虑以下三个方面 以形成在某种评估 环境中各种威胁出现的频率 1 以往安全事件报告中出现过的威胁及其频率的统计 2 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计 3 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计 以及 发布的威胁预警 6 6 当前控制力度等级表 赋值赋值标识标识定定 义义 1 强控制措施充分 有效 适宜 控制措施文档化 运行记录完备 2 中 控制措施充分 或基本充分 有效 或基本有效 适宜 或基本适宜 但控制措施未文档化 以公司习惯驱动 3 弱基本无控制措施 被公司忽视 6 7 弱点被利用可能性等级表 赋值标识定义 1低当前控制等级为 1 且威胁发生等级为 2 以内 包括 2 2中非等级 1 与等级 3 以外的一切情况 3高当前控制等级为 3 且威胁发生等级为 3 说明 每种威胁必须利用相应的资产弱点 才能对资产造成损害 因此威胁利用弱点的几率 也反映了当前公司管理规定的规范程度和执行力度 同时也反映出该威胁发生的频率 信息安全风险评估管理程序Risk Assessment 4 6 8 事