返回
信息安全风险评估管理程序

信息安全风险评估管理程序

ID:38722369

大小:229.00 KB

页数:13页

时间:2019-06-18

信息安全风险评估管理程序_第1页
信息安全风险评估管理程序_第2页
信息安全风险评估管理程序_第3页
信息安全风险评估管理程序_第4页
信息安全风险评估管理程序_第5页
资源描述:

《信息安全风险评估管理程序》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全风险管理程序编制:XXXXXX20XX年XX月XX日审核:XXXXXXX20XX年XX月XX日批准:XXXXXXX20XX年XX月XX日受控状态:受控版本号:XX分发编号:XX执行日期:20XX年XX月XX日10版本修订记录编号日期版本修订人修订内容1010目录101目的从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地为保障信息安全提供科学依据。2适

2、用范围信息安全管理体系覆盖范围内的所有信息资产。3术语和定义引用ISO/IEC27001:2005(idtGB/T22080-2008)和ISO/IEC27002:2005(idtGB/T22081-2008)的相关术语和定义。4职责和权限4.1信息安全领导办公室l决定实施风险评估的时间和方法l指导风险处理计划的实施与检查l残余风险的批准。4.2部门信息安全主管l负责本部门范围内风险评估相关活动的组织实施l负责本部门范围内风险处理计划的组织实施4.3部门信息安全员l在部门安全主管领导下,负责本部门风险评估相关活动的实施l在部门安全主管领导下,

3、负责本部门风险处理计划的实施5风险评估方法5.1风险各要素的关系风险评估中各要素的关系如图1。10图1风险评估要素关系图图1中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。图1中的风险要素及属性之间存在着以下关系:a)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;b)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价

4、值就越大;c)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成为安全事件;d)资产的脆弱性可能暴露资产的价值,资产具有的脆弱性越多则风险越大;e)脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;f)风险的存在及对风险的认识导出安全需求;g)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;h)安全措施可抵御威胁,降低风险;10i)残余风险有些是安全措施不当或无效,需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后不去控制的风险;j)残余风险应受到密切监视,它可能会在将来诱发新的安全事件。5.2风险分析

5、原理风险分析原理如图2。图2风险分析原理图风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为:对资产进行识别,并对资产的价值进行赋值;对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;根据安全事件发生的可能

6、性以及安全事件出现后的损失,计算安全事件一旦发生对公司的影响,即风险值。5.3风险评估方法描述本公司采用“定性与定量计算”的方法对风险进行描述。主要包括:资产识别、威胁识别、脆弱性识别、影响与可能性(影响与可能性中已考虑到目前控制措施的有效性因素)。风险值通过矩阵方法确定。5.4风险接受原则10风险等级处理的目的是为风险管理过程中对不同风险的直观比较,以确定公司安全策略。公司综合考虑风险控制成本与风险造成的影响,风险等级为“1”和“2”的,公司认为是可以接受的风险等级。其他等级的风险为不可接受的。对于不可接受的风险,应采取措施进行处置。采取的

7、措施包括:采用适当的控制措施;避免风险;风险转移;接受风险;6风险评估过程风险评估的流程如图3所示。确定风险评估范围建立风险评估小组识别风险分析和评价风险编制分析评估报告图3风险评估流程6.1资产识别6.1.1资产分类保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。表1列资产分类方法。106.1.2资产重要度赋值根据资产的保密性、完整性和可用性

8、,综合确定资产的重要度。详细见表2。表1资产分类方法分类示例数据保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。