信息安全风险管理方案计划程序

1目的

为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在

可接受的水平，特制定本程序。

2范围

本程序合用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。

3砥

3.1研发中心

负责牵头成立信息安全管理委员会。

3.2信息安全管理委员会

负责编制《信息安全风险评估计划》，确认评估结果，形成《风险评估I艮告》及《风险处理计划》。

3.3各部门

负责本部门使用或者管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制

工

作。

4相关文件

《信息安全管理手册》

《GB-T20984-2022信息安全风险评估规范》

《信息技术安全技术信息技术安全管理指南第3部份：1T安全管理技术》

5M

5.1风险评估前准备

①研发中心牵头成立信息安全管理委员会，委员会成员应包含信息安全重要责任部门的成员。

②信息安全管理委员会制定《信息安全风险评估计划》，下发各部门。

③风险评估方法-定性综合风险评估方法

本项目采用的是定性的风险评估方法。定性风险评估并不强求对构成风险的各个要素（特殊是

资产）进行精确的量化评价，它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准，来

对风睑要素进行相对的等级分化，最终得出的风睑大小，只需要通过等级差别来分出风险处理的优

先顺序即可。

综合评估是先识别资产并对资产进行赋值评估，得出重要资产，然后对重要资产进行详细的风

险的古。

5.2资产赋值

①各部门信息安全管理委员会成员对本部门资产进行识别，并进行资产赋值。

资产价值计算方法：资产价值=保密性赋值+完整性赋值+可用性赋值

②资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估，并在此基础上

得出综合结果的过程。

③确定信息类别

信息分类按"5.9资产识别参考(资产类别)"进行，信息分类不合用时，可不填写。

④机密性(C)赋值

a根据资产在机密性上的不同要求，将其分为五个不同的等级，分别对应资产在机密性上的

应达成的不同程度或者机密性缺失时对整个组织的影响。

⑤完整性⑴赋值

a根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的

达成的不同程度或者完整性缺失时对整个组织的影响»

⑥可用性(A)赋值

＞根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上的

达成的不同程度。

资产价值判断标准

要

准则数据资产实体/服务资产文件/软件资产无形资产人员资产

素

数据存储、

传输及处

理设施在

一个工作赋每次中断允许赋使用频次要斌赋允许离岗时赋

使用频次

日内允许值时间值求值l'1'l间值

中断的次

数或者时间

按资产岬

使用或16次以上

可

者允或者全部每年都要使每年都要使用10个工作日

用13天以上1111

工厕及以上

许中用至少1次至少1次

性

断的时间中

间次数断每个季度都

每个季度都要

9-15次或21-3天2要使用至少1226-9工作日2

者使用至少1次

次

1/2工作时

每个月都要

间中断每个月都要使

312小时・1天3使用至少1333-5个工作日3

次用至少1次

3-8次

1/4工作时

3小时・12小每周都要使每周都要使用

间中断44442个工作日4

时用至少1次至少1次

间中断

每天都要使每天都要使用

不允许50-3小时5551个工作日5

用至少1次至少1次

形成资产清单

各部门的《重要资产调查与风险评估表》经本部门负责人审核，报管理者代表确认。

53判定重要资产

①根据前面的资产机密性、完整性、可用性的赋值相加得到资产的价值，资产价值越高表示资产

重要性程度越高。

要素相对价值范围等级

很高15,14,134

高12,11,103

资产等级

普通987,62

低5,4,31

②按资产价值得出重要资产，资产价值为4,3的是重要资产，资产价值为2,1的是非重要资

产。

③信息安全管理委员会对各部门资产识别情况进行审核，确保没有遗漏重要资产，形成各部门的

《资产识别清单》。

④各部门的《资产识别清单》经本部门负责人审核，报管理者代表确认，并分发各部门存档。

5.4重要资产风险评估

①应对所有的重要资产进行风险评估，评估应考虑威胁、脆弱性、威胁事件发生的可能性、威胁

事件发生后对资产造成的影响程度、风险的等级、风险是否在可接受范围内及已采取的措施等

方面因素。

②识别威胁

A威胁是对组织及其资产构成潜在破坏的可能性因素，造成威胁的因素可分为人为因素和环

境因素。威胁作用形式可以是对信息系统直接或者i瞬的攻击，例如非授权的泄露、篡改、

删除等，在保密性、完整性或者可用性等方面造成伤害;也可能是偶发的、或者蓄意的事

件。

A威胁可基于表现形式分类，基于表现形式的威胁分类标准可参考下表：

威胁分类表

种类描述威胁子类

设备硬件故障、传输设备故障、

对业务实施或者系统运行产生影响的设备

存储媒体故障、系统软件故障、

软硬件故障硬件故障、通讯链路中断、系统本身或者

软应用软件故障、数据库软件故障、

件缺陷等问题开辟环境故障等

断电、静电、灰尘、潮湿、温度、

物理环境影响对信息系统正常运行造成影响的物理环鼠蚁虫害、电磁干扰、洪灾、火

境问题和自然灾害灾、地震等

无作为或者操作失误应该执行而没有执行相应的操作，或者无维护错误、操作失误等

意

执行了错误的操作管理制度和策稍不完善、管理规

管理不到位程缺失、职责不明确、监督控管

安全管理无法落实或者不到位，从而破坏

信

机制不健全等

息系统正常有序运行

病毒、特洛伊木马、蠕虫、陷门、

恶意代码

间谍软件、窃听软件等

故意在计算机系统上执行恶意任务的程

非授权访问网络资源、非授权访

序代码

问系统资源、滥用权限非正常修

越权或者滥用

通过采用一些措施，超越自己的权限访问

改系统配置或者数据、滥用权限泄

了本来无权访问的资源，或者滥用自己的

露秘密信息等

权限，做出破坏信息系统的行为

网络探测和信息采集、漏洞探测、

嗅探（帐号、口令、权限等）、

网络攻击

用户身份伪造和欺骗、用户或者业

利用工具和技术通过网络对信息系统进

务数据的窃取和破坏、系统运行

行攻击和入侵

的控制和破坏等

通过物理的接触造成对软件、硬件、数据

物理攻击物理接触、物理破坏、盗窃等

的破坏

泄密信息泄露哈不应了解的他人内部信息泄露、外部信息泄露等

篡改网络配置信息、篡改系统配

非法修改信息，破坏信息的完整性使系统置信息、篡改安全配置信息、篡

篡改

的安全性降低或者信息不可用改用户身份信息或者业务数据信

息

____________________________

不承认收到的信息和所作的操作和交易原发抵赖、接收抵赖、第三方抵

A各部门根据资产本身所处的环境条件，识别每一个资产所面临的威胁。

③识别脆弱性

＞脆弱性是对一个或者多个资产弱点的总称。脆弱性是资产本身存在的，如果没有相应的威胁

发生，单纯的脆弱性本身不会对资产造成伤害。而且如果系统足够强健，再严重的威协

也不会导致安全事件，并造成损失。即，威胁总是要利用资产的脆弱性才可能造成危害。

A资产的脆弱性具有隐蔽性，有些脆弱性惟独在一定条件和环境下才干显现，这是脆弱性识

别中最为艰难的部份。需要注意的是，不正确的、起不到应有作用的或者没有正确实施

的安全措施本身就可能是一个脆弱性。

A脆弱性识别将针对每一项需要保护的资产，找出可能被威胁利用的脆弱性，并对脆弱性的

严重程度进行评估。脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业

务领域的专家和软硬件方面的专业人员。

脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、

应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面，前者

与具体技术活动相关，后者与管理环境相关。

常见脆弱性

序号类别薄弱点威胁

环境和基

1.建造物/门以及窗户缺少物理保护例如，可能会被偷窃这一威胁所利用

础设施

对建造物'房间物理进入控制不充分，

■可能会被故意伤害这一威胁所利用

或者松懈

■电网不稳定可能会被功率波动这一威胁所利用

■所处位置容易受到洪水袭击可能会被洪水这一威胁所利用

可能会被存储媒体退化这一威胁所利

2.硬件缺少定期替换计划

用

■容易受到电压不稳定的侵扰可能会被功率波动这一威胁所利用

可能会温度的极端变化这一威胁所利

■容易受到温度变化的侵扰

用

■容易受到湿度、灰尘和污染的侵扰可能会被灰尘这一威胁所利用

■对电磁辐射的敏感性可能会被电磁辐射这一威胁所利用

■不充分的维护/存储媒体的错误安装可能会被维护失误这一威胁所利用

可能会被操作职员失误这一威胁所利

■缺少有效的配置变化控制

用

3.软件开辟人员的说明不清晰或者不完整可能会被软件故障这一威胁所利用

可能会被未经授权许可的用户使用软

■没有软件测试或者软件测试不充分

件这一威胁所利用

可能会被操作职员失误这一威胁所利

■复杂的用户界面

用

可能会被冒充用户身份这一威胁所利

■缺少识别和鉴定机制，如：用户鉴定

用

可能会被以未经授权许可的方式使用

■缺少审核跟踪

软件这一威胁所利用

可能会被软件未经许可的用户使用软

■软件中存在众所周知的缺陷

件这一威胁所利用

可能会被冒充用户身份这一威胁所利

口令表没有受到保沪

用

口令管理较差（很容易被猜测，公开可能会被冒充用户身份这一威胁所利

■

地存储口令，不时常更改）用

可能会被以未经许可的方式使用软件

■访问权的错误分派

这一威胁所利用

■对下载和使用软件不进行控制可能会被恶意软件这一威胁所利用

■离开工作站没有注销用户可能会被未经许可的用户使用软件这

一威胁所利用

■缺少有效的变化控制可能会被软件故障这一威胁所利用

可能会被操作职员的失误这一威胁所

■缺少文件编制

利用

可能会被恶意软件或各火灾这一威胁所

■缺少备份

利用

没有适当的擦除而对存储媒体进行处可能会被未经许可的用户使用软件这

■

理或者重新使用一威胁所利用

4.通讯通讯路线没有保护可能会被偷听这一威胁所利用

■电缆连接差可能会被通讯渗透这一威胁所利用

可能会被冒充用户身份这一威胁所利

■对发件人和收件人缺少识别和鉴定

用

可能会被未经许可的用户接入网络这

■公开传送口令

一威胁所利用

■收发信息缺少验证可能会被否认这一威胁所利用

可能会被未经许可的用户接入网络这

■拨号路线

一威胁所利用

■对敏感性通信不进行保护可能会被偷听这一威胁所利用

■网络管理不充分（路由的弹性）可能会被通信是超载这一威胁所利用

可能会被未经许可的用户使用软件这

■公共网络连接没有保护

一威胁所利用

5.文件存储没有保护可能会被偷窃这一威胁所利用

■进行处理时缺少关注可能会被偷窃这一威胁所利用

■对拷贝没有进行控制可能会被偷窃这一威胁所利用

6.人员缺席可能会被缺少员工这一威胁所利用

对外部人员和清理人员的工作不进行

■可能会被偷窃这一威胁所利用

监督

可能会被操作职员的失误这一威胁所

■不充分的安全培训

利用

■缺少安全意识可能会被用户错误这一威胁所利用

可能会被操作职员的失误这一威胁所

■对软件和硬件不正确的使用

利用

可能会被以未经许可的方式使用软件

■缺少监控机制

这一威胁所利用

在正确使用通讯媒体和信息方面缺乏可能会被以未经许可的方式使用网络

■

政策设施这一威胁所利用

■增员程序不充分可能会被故意伤害这一威胁所利用

普通都适

可能会被通讯服务故障这一威胁所利

7.用的薄弱某一点上的故障

用

环节

■服务维护反应不足可能会被硬件故障这一威胁所利用

脆弱性识别内容表

iRsom语岫容

从机房场地、机房防火、机房供配电、

机房防静电、机房接地与防雷、电磁防

物理环境

护、通信路线的保护、机房区域防护、

机房设备管理等方面进行识别

从网络结构设计、边界保护、外部访问

网络结构控制策略、内部访问控制策略、网络设

备安全配置等方面进行识别

从补丁安装、物理保护、用户帐号、口

技术脆弱性

令策略、资源共享、事件审计、访问控

系统软件

制、新系统配置.注册表加固、网络安

全、系统管理等方面进行识别

从协议安全、交易完整性、数据完整性

应用中间件

等方面进行识别

从审计机制、审计存储、访।帝制策略、

应用系统数据完整性、通信、鉴别机制、密码保

护等方面进行识别

从物理和环境安全、通信与操作管理、

管理脆弱性技术管理访问控制、系统开辟与维护、业务连续

性等方面进行识别

从安全策略、组织安全、资产分类与控

组织管理

制、人员安全、符合性等方面进行识别

④威胁利用脆弱性发生风险之后的影响后果描述

⑤风险描述

⑥识别现有控制措施

⑦评估威胁发生的可能性

＞分析威胁利用脆弱性给资产造成伤害的可能性。

A确定各个威胁利用脆弱性造成伤害的可能性。

＞判断每项重要资产所面临威胁发生的可能性时应注意：

今威胁事件本身发生的可能性；

今现有的安全控制措施；

今现存的安全脆弱性。

要素发生的频率等级

浮现的频率很高（或者

之1

很高次/周）；或者在大多数5

怙

威胁利用弱

况下几乎不可避免；或者

可

点导致危害

以证实时常发生过

的可能性

高浮现的频率较高（或者24

1

次/月）；或者在大多数

楮

浮现的须率中等（或者

>1

普通次/半年）；或者在某种3

情

况项能会发生;或者被

讦

实曾经发生过

低2

浮现的频率较小；或者普

通

不太可能发生；或者没有

被

很低1

证实发生过

GtinhnSEKTTT幺匕七•E

⑧影响程度分析

>影响程度指一旦威胁事件实际发生时，将给资产带来多大程度的损失。

A在分析时，可以从影响相关方和影响业务连续性两个不同维度方面来评估打分。

A如果改风险可能引起法律起诉，则影响程度值为最高5分。

要素严重程度等级

威胁被利用如果被威胁利用，将对公

很高5

后的严重性司重要资产造成重大损

害

如果被威胁利用,将对重

高4

要资产造成普通伤害

如果被威胁利用,将对一

普通3

股绫产造成重要伤害

如果被威胁利用，将对一

低2

股资产造成普通伤害

如果被威胁利用，将对资

很低1

产造成的伤害可以忽略

⑨风险的等级

A风险值由威胁发生的可能性、影响程度和资产价值这三个因素共同决定。

A风险值计算方法：风险值=威胁发生可能性*（威胁发生对保密性的影响+威胁

发生对完整性的影响+威胁发生对可用性的影响）

A风险等级标准见下表：

要素风险值范围级别可接受准则

风险不可接受，必须即将

高风险>204采取有效的措施降低风

风险级别险

风险可以接受，但需要采

较高风险>15且<=203

取进一步措施降低风险

普通风险>10且<=152

风险可以接受

低风险<=101

⑩建议控制措施

A安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降f氐威胁

利用脆弱性导致安全事件发生的可能性，如入侵检测系统；保护性安全措施可以减少因

安全事件发生对信息系统造成的影响，如业务持续性计划。

>建议控制措施的确认与脆弱性识别存在一定的联系。普通来说，安全措施的使用将减少脆

弱性，但安全措施的确认并不需要与脆弱性识别过程那样具体到每一个资产、组件的潴

弱性，而是一类具体措施的集合。

5.5不可接受风险的确定

①通过预制的风险的可接受准则，进行风险可接受性判定（是否高风险），并生成各部门的《重

要资产调直与风险评估表》表单。

②各部门的《重要资产调查与风险评估表》经本部门负责人审核，报管理者代表批准。

5.6风险处理

①对风险应进行处理。对可接受风险，可保持已有的安全措施；如果是不可接受风险（高风险），

则需要采取安全措施以降低、控制风险。

②对不可接受风险，应采取新的风险处理的措施，规定风险处理方式、责任部门和时间进度，高

风险应得到优先的考虑。

③信息安全管理委员会根据《重要资产调有与风险评估表》编制《风险处置计划》。

④信息安全管理委员会根据《重要资产调查与风险评估表》编制《风险评估报告》，陈述信息安

全管理现状，分析存在的信息安全风险，提出信息安全管理（控制）的建议与措施。

⑤管理者代表考虑成本与风险的关系，对《风险评估报告》及《风险处理计划》的相关内容审咳，

对认为不合适的控制或者风险处理方式等提出说明，由信息安全管理委员会协同相关部门重新

考虑管理者代表的意见，选择其他的控制或者风险处理方式，并重新提交管理者代表审核批准

实施。

⑥名责任部门按照批准后的《风险处理计划》的要求采取有效安全控制措施，确保所采取的控制

措施是有效的。

⑦如果降低风险所付出的成本大于风险所造成的损失，则选择接受风险。

5.7剩余风险评估

①对采取安全措施处理后的风险，信息安全管理委员会进行再评估，以判断实施安全措施后的残

余风险是否已经降低到可接受的水平。

②某些风险可能在选择了适当的安全措施后仍处于不可接受的风险范围内，应考虑是否接受此风

险或者进一步增加相应的安全措施。

③剩余风险评估完成后，剩余风险报管理者代表审核、总经理批准。

5.8信息安全风险的连续评估

①信息安全管理委员会每年应组织对信息安全风险重新评估一次，以适应信息资产的变化，确定

是否存在新的威胁或者脆弱性及是否需要增加新的控制措施。

②当企业发生以下情况时需及时进行