返回
信息安全风险识别和评价管理程序

信息安全风险识别和评价管理程序

ID:21501995

大小:151.50 KB

页数:13页

时间:2018-10-22

信息安全风险识别和评价管理程序_第1页
信息安全风险识别和评价管理程序_第2页
信息安全风险识别和评价管理程序_第3页
信息安全风险识别和评价管理程序_第4页
信息安全风险识别和评价管理程序_第5页
资源描述:

《信息安全风险识别和评价管理程序》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、专业技术资料分享题目:信息安全风险识别与评价管理程序编号GM-III-B005版本号00生效日期2015.07.20起草部门信息中心颁发部门总经理办公室一、目的:通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平。二、范围:适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。三、责任:3.1管理者代表信息中心执行信息安全风险的识别与评价;审核并批准重大信息安全风险,并负责编制《信息资产风险评估准则》,执行信息安全风险调查与评价,提出重大信息安全风险报告。3.2各部门协助信息中心的

2、调查,参与讨论重大信息安全风险的管理办法。四、内容:4.1资产识别保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此,应对组织中的资产进行识别。在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数

3、量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。表1列出了一种资产分类方法。表1一种基于表现形式的资产分类方法类别简称解释/示例数据DataWORD文档下载可编辑专业技术资料分享存在电子媒介的各种数据资料,包括源代码、数据库数据,各种数据资料、系统文档、运行管理过程、计划、报告、用户手册等。软件Software应用软件、系统软件、开发工具和资源库等。服务Se

4、rvice软件维护等硬件Hardware计算机硬件、路由器,交换机。硬件防火墙。程控交换机、布线、备份存储文档Document纸质的各种文件、传真、电报、财务报告、发展计划。设备Facility电源、空调、保险柜、文件柜、门禁、消防设施等人员HR各级人员和雇主、合同方雇员其它Other企业形象、客户关系等4.2信息类别4.2.1信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。4.2.2信息分类定义:a)“国家秘密事项”:《中华人民共和国保守国家秘密法》中指定的秘密事;b)“企业秘密事项”:不可对外公开、若泄露

5、或被篡改会对本公司的生产经营造成损害,或者由于业务上的需要仅限有关人员知道的商业秘密事项;c)“敏感信息事项”:为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项;d)“一般事项”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项;e)“公开事项”:其他可以完全公开的事项。4.2.3信息分类不适用时,可不填写。五、风险评估实施:5.1资产赋值5.1.1保密性赋值根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。WORD文档下载

6、可编辑专业技术资料分享表2提供了一种保密性赋值的参考赋值标识定义5很高包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害4高包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害3中等组织的一般性秘密,其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害1很低可对社会公开的信息,公用的信息处理设备和系统资源等5.1.2完整性赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上缺失时对整个组织的影

7、响。表3提供了一种完整性赋值的参考。表3资产完整性赋值表赋值标识定义5很高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补4高完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补3中等完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补2低完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补1较低很低完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击及小5.1.

8、3可用性赋值根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上应达成的不同程度。表4提供了一种可

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。