返回
信息安全制度附件:信息安全风险评估程序

信息安全制度附件:信息安全风险评估程序

ID:70034830

大小:157.50 KB

页数:7页

时间:2021-11-15

信息安全制度附件:信息安全风险评估程序_第1页
信息安全制度附件:信息安全风险评估程序_第2页
信息安全制度附件:信息安全风险评估程序_第3页
信息安全制度附件:信息安全风险评估程序_第4页
信息安全制度附件:信息安全风险评估程序_第5页
信息安全制度附件:信息安全风险评估程序_第6页
信息安全制度附件:信息安全风险评估程序_第7页
资源描述:

《信息安全制度附件:信息安全风险评估程序》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、------------------------------------------作者xxxx------------------------------------------日期xxxx信息安全管理制度附件:信息安全风险评估管理程序【精品文档】本程序,作为《WX-WI-IT-001信息安全管理流程A0版》的附件,随制度发行,并同步生效。信息安全风险评估管理程序目的在ISMS覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施

2、处理风险。适用范围在ISMS覆盖范围内主要信息资产定义(无)职责部门内部资产的识别,确定资产价值。IT部负责风险评估和制订控制措施。财务中心副部负责信息系统运行的批准。流程图同信息安全管理程序的流程6.0内容6.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别,确定资产价值。根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。资产(A)赋值【精品文档】【精品文档】资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选择对资产机密性、完整性和可用性最为重要(分值最高

3、)的一个属性的赋值等级作为资产的最终赋值结果。资产等级划分为五级,分别代表资产重要性的高低。等级数值越大,资产价值越高。1)机密性赋值根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。赋值标识定义5极高包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性影响,如果泄漏会造成灾难性的损害4高包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害3中等包含组织的一般性秘密,其泄露会使组织的安全和利益受到损害2低

4、包含仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成损害1可忽略包含可对社会公开的信息,公用的信息处理设备和系统资源等2)完整性赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。赋值标识定义5极高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补4高完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,比

5、较难以弥补3中等完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补2低完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,可以忍受,对业务冲击轻微,容易弥补1可忽略完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略3)可用性赋值根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。赋值标识定义5极高可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上4高可用性价值较高,合法使用

6、者对信息及信息系统的可用度达到每天90%以上【精品文档】【精品文档】3中等可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上2低可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上1可忽略可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%3分以上为重要资产,重要信息资产由IT部确立清单对重要资产应由ISMS小组识别其面临的威胁。针对威胁来源,根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意

7、代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。(T)赋值评估者应根据经验和(或)有关的统计数据来判断威胁出现的频率。威胁频率等级划分为五级,分别代表威胁出现的频率的高低。等级数值越大,威胁出现的频率越高。威胁赋值见下表。等级标识定义5很高威胁出现的频率很高,在大多数情况下几乎不可避免或者可以证实经常发生过(每天)4高威胁出现的频率较高,在大多数情况下很有可能会发生或者可以证实多次发生过(每周)3中威胁出现的频率中等,在某种情况下可能会发生或被证实曾经发生过(每月、曾经发生过)2低威胁

8、出现的频率较小,一般不太可能发生,也没有被证实发生过(每年)1很低威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生(特殊情况)脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关。(V)严重程度赋值【精品文档】【精品文档】脆弱性严重程度的等级划分为五级,分别代表资产脆弱性严重程度的高

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。