ISO27001风险评估程序

1、ISO27001 风 险 评 估 程 序1目的为了对公司的信息资产进行风险评估和风险控制，评估组织信息资产所面临的风险并对风险实施有效控制，以确保风险被降低或消除，特制定本程序。2适用范围本程序适用于适用于对公司的信息资产进行风险评估和风险控制。3职责与权 限3.1 信 息 安 全 委 员 会制定资产评估准则，确定风险评估方法；负责对控制目标、控制措施的有效性进行监督和评审。确定风险评估的范围；指导各部门进行风险评估；汇总和分析风险评估结果，作出风险评价；制定风险处理计划，向信息安全委员会提交信息安全风险评估报告。3.3 各 部 门各部门资产负责人按规定维护相关资产。识别并列出跟本部门业务有关

2、的资产；对本部门资产进行风险评估。4风险评估程序和工作流程4.1 风 险 评 估 与 管 理4.1.1 过 程 识别在ISMS范围内，各部门识别本部门涉及的主要业务过程及使用的各类信息资产。风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。即风险分析和风险评价的全过程。4.1.3 风 险 管理风险管理是识别、控制、消除、减小可能影响信息系统资源的不确定事件的过程。指导和控制一个组织的风险的协调的活动。4.1.4 风 险 评估方法结合公司在风险评估时投入的时间、人力、成本等各方面的因素，公司采用基本风险评估方法。基本

3、的风险评估方法是指应用直接和简易的方法达到基本的安全水平，就能满足组织及其业务环境的所有要求。 公司采用这种方法使得组织在识别和评估基本安全需求的基础上，通过建立相应的信息安全管理体系，获得对信息资产的基本保护。4.1.5 风 险 评估与风 险管理的 区分是一个持续的周期，通常以一定的间隔重新开始来更新流程中各个地区阶段的数据是一个持续循环、不断上升的过程。风险评估是确定组织面临的风险并确定其优先级的过程，是风险管理流程中最必须、最当潜在的与安全相关的事件在企业内发生时，如变动业务方法、发现新的漏洞等，组织都可能会启动风险评估。4.2 风 险 评 估 实 施 流 程总要求 : 组织应根据整体业

4、务活动和风险，建立、实施、运行、监视、评审、保持并改进文件化的ISMS。4.2.1 风险评估准备确定风险评估的目标；（满足我公司业务持续发展在安全方面的需要及法律法规 ）确定风险评估的范围；（组织全部的信息及与信息处理相关的各类资产、管理机构 ） 组建适当的评估管理与实施团队；（由管理层、相关业务骨干、IT技术人员等组成的 风险评估小组）选择与组织相适应的具体的风险判断方法；（考虑评估的目的、范围、时间、效果、 人员素质等因素来选择具体的风险判断方法）获得最高管理者对风险评估工作的支持。（得到组织的最高管理者的支持、批准）4.2.2 资产识别列出在信息安全管理体系范围内，与我公司内的业务环境、

5、业务运营及信息相关的资产。资产分类；（人员、实体、软件、文件、数据、服务、无形、服务及其他资产）资产赋值（CIA:对资产在机密性、完整性和可用性上的达成程度进行综合评定得出）资产重要性等级确定。4.2.3 威 胁 识 别使用与资产相关的通用威胁列表，检查并列出资产的威胁。威胁分类；威胁赋值；4.2.4 脆 弱 性 识 别使用与资产相关的通用薄弱点列表，检查并列出资产的脆弱性。识别方法识别内容脆弱性赋值4.2.5 对 现 有 安 全控 制 的 识 别识别并整理所有与资产相关联的、现有的或者已经作了计划的控制措施。4.2.6 风 险 分 析分析由上述评估产生的有关资产、威胁和脆弱性的信息，以实用的

6、、简单的方法进行风险测量，计算出风险等级。把识别分析出来的风险与风险判据进行比较， 以判断特定的风险是否可接受或需采取其它措施处置。风险分析的结果为具有不同等级的风险列表，并记录在资产风险评估表中。4.2.7 风 险 处 理对评定后的风险等级进行判定，确定是否能接受，如可接受，则按现有控制措施进行控制，如不可接受，则应选择采取新的安全控制措施，并对需要投入较长时间和较高费用的高风险制定风险处理计划，记录在资产风险评估表中，按风险处理计划进行处理后重新评价风险，直至风险降低或可接受为止。确定可接受的残余风险的水平；持续地评审威胁以及薄弱点；评审现有的安全控制方法；应用 ISO/IEC 27001

7、 中的其它安全控制方法；引入方针和程序。4.2.8 残 余 风 险根据风险评价结果，判断残余风险是否可接受，是，则实施风险控制；否，则制定风险处理计划。4.2.9 风 险 控 制根据风险处理结果，按照确定的风险控制措施和计划进行落实，必要时形成相关控制文件。风险控制措施可根据控制费用与风险平衡的原则， 参照以下方式进行选择， 以降低风险：避免风险；转移风险；减少风险；减少薄弱点；减少威胁可能的影响程度；探测有害事故，对其做出反应并恢复。4.3 风 险 值 的 计 算 方 法4.3.1 风 险 计 算 原理风险值 =R（A， T， V） = R（L（T ， V） ， F（Ia ， Va）其中，R

8、表示安全风险计算函数；A:表示资产；T:表小威胁；V:表示脆弱性；Ia ：表示安全事件所作用的资产重要程度；Va：表示脆弱性严重程度；L:表示威胁利用资产的脆弱性导致安全事件发生的可能性；F:表示安全事件发生后产生的损失。4.3.2 风 险 计 算 准 则保密性赋值完整性赋值可用性赋值资产价值计算方法：资产价值风险值计算方法：风险值=资产等级+威胁性赋值+脆弱性赋值资产等级、风险等级评定方法：见下表表一：保密性的要求评价准则酒叫就竟资产工旅费产自口鼠什不感巧以班文用用文广笠产人更宜产保再比拄唱盘忙访 即FM 科： 后、,翔:及人比学点传 .的一注 了看独平* L-IR刁：平怕周，强她H春脸作拓

9、西处wn的访 同叔限育疗.田济时EWG同茁访后和 R.常后书礼花MF补W 年中广归|三比图合仃佳酎信;胪缶同柠 宙W1B壬弃第1片啜十不&'部却是£的i对£而”外部由是上升的1灯二司及仙闭是 £川的1型因中之工升 的1力二T7士丽所与S二号心开的S的二司因F所营后工？之并 的时金可/由、仙N此工工金阡随3十匚匚门空所亍品 工是fl揩3”公司的孙圻有品工呆 公升晌3只曰R+ 部门取手代可Q 方向转噌.注过但千某iTWl盹职能 可口仿同也苗总:月但千金堂某某职叱以 法H脚信总5R牌于公口而利 ,1：聃鼬可55间 的S*5f用千zzrt-i 都匚或 电能

10、引里访同照信息5心，_”.一 HE人曷虱上或 部门小我三律. 易可以防区的信 也T-l.rTf: 口1轲*世人尸可以T同MWfl由潮人JH 3 部门小希的.一岛可5访问的相 鼻三重于公讯中主管 理'员从二帖"二 “宾关也人房丁明 访河的语同7只限于公F中层官理人 RiKtwwftfe.a7甘强人曷或公H 少母类线人员可 .L 旦只限于工电高区管现人员独» 官R3如主粕L员可a诗同 的信同r .19n尸干令量嗝乏tWA.岛或也F J柒若转工3,日访词的信息9口布丁工丽?二苜 理人岛成也F小数 美法人刍可电请同用3B三民手公司高是E怪人 关晦一审工限眉即"的泛

11、.二表二：完整性的要求评价准则旭则我据资.无仇/严目仃H/着陶犷【，强中.%片文仲躅二人员费11可中 k?f*Fl庄但受烈，而 :i/二母用 止务疗悻R 处好户皆孟 K眠为产生耨取11W3二:嗝优，.河T第喇耽府H工什点理矶®RI 工巧用1-011-11可L V嗡1可”.狎哥fuss可用四甫j省用品工'卦牌品"T.L弟替3开步S3雅声3-MfiX3好B一根6第8一舰B哎才一百度一 H务弊方 UUW=AM6K里7k些7E1产手1呻酬"?H.片中恒塔.田F»1铲重11年产三9Ji ®rg0用层枕*，一 39表三：可用性的要求评价准则里互if

12、E则然招贤声工件服孙宁产五件珏彳件箕产形知、质广人员喷产/ 1-1忤书尸中用 式无讦口断 德时明用S 注中也国充神+愉 NM齐三市T 十工作白内允许 1步用工好血1 PTKF10信屉收中将赤件时闺触血他用燃方基支曜芍懊用常以钻值丸讣得为H同sefi屯以上步.金不 工作帜笥二作 s-作时可中聃 十班y江作副12岫1帘Fl,7工丰 时1后向不it许J1天a上1配回使用星沙1桂1乌丰都耳巴用黄少一 kh将1It卡工作日我以上13Q1-31天$于i手用免书至小】汶期十月H巨更回三1人35田李国带我贷用 至占临 仰十月才 J?¥!月茎 趴浅36上口工作日3午十工作HSE19M* -11+M1-

13、* 卜 st79m月疵住用三小汽可三侬史巾至1 1,1.7»密网帝兑怩用达山1朝芝都更宜用至少1 收792个工作E1个工作日t9表四:资产等级的评价准则妹标识相对价值范围等级资产重要程度很高23. 25, 27q重要资产资产等级向1L 19, 213一般资产一般11,13.152一般资产低3,5,匕91一般资产表五：脆弱性被威胁利用后的严重性的评价准则标识发注的频率等级威胁利用 弟点导致 危害的可 能性很高出现的频率很高c或 1次/周）：式在大多 数情况下几乎小可避 免；或可以证将至常发 用过5高出现的频率较高（或 1次/月）1或在夫第 数情况下很有可能会发 生；或可以证实多次发 生

14、过4出现的频率中等（或） 1次/半年）；或在某 种情况卜司能会发生. 或祓证实曾经发生过3低出现的频率较小；或一 般不太可能发生；或役 有被证实发生过2很低威胁几乎不可能发生1 仅可能在非常罕见和例 外的情况下发生1表六：脆弱性被威胁利用后的严重性的评价准则1 标H严重程院等圾脆弱性被 戚胁利用 后的严重 性很高如果被咸胁利用.将对 公司重要斑产造成重大 损®5-高如军被威胁利用，将对 重更赁产造成一股损害4f如果就威胁利用,将对 一般资产造成重大损舍3偃如果神威胁利用,格对 一般赏产造成一般损害_2_很低如泉被感胁利用，搐对 资产造成的损害可以忽. 喑1表七：脆弱性被威胁利用后的严重性的评价准则要素标识风险值范围级别可接受准则风险策别高风险12144风险不可接受，必立即乘取校 制措施降低风隙较总风险9113同龄可以接受F但需要采取进一 加措施降低风险或在威胁发生时 采取处理措施一般风唆日。2凤髓可以接爰，可以保持自前的 控制措施低风险好51按风险值的评价准则计算出信息资产风险值后，按上记表七对应获得风险级别4.3.3 风险结果判定按风险值的评价准则计算出信息资产风险值后获得的风险级别，对风险进行判定等级标识描述5很高_发生将使系统遭受非常严而破坏，组织利潞爻到 非常严强损失4高如果发生必使系统遭受严老破坏，组织利益受到严电 损失