欢迎来到天天文库
浏览记录
ID:28547024
大小:225.63 KB
页数:28页
时间:2018-12-11
《信息安全 风险管理程序》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、北京XXX科技有限公司版本A/0编号XX-QP-43信息安全风险管理程序页码1/28生效日期2018-3-10 制作人XX批准人XXX发布日期2018/3/10批准日期2018/3/10修订记录北京XXX科技有限公司版本A/0信息安全风险管理程序编号XX-QP-43页码26/28生效日期2018-3-10 目录信息安全风险管理程序1第一章目的1第二章范围1第三章名词解释1第四章风险评估方法2第五章风险评估实施5第六章风险管理要求19第七章附则20第八章检查要求20第一章目的第一条目的:指导
2、信息安全组织针对信息系统及其管理开展的信息风险评估工作。本指南定义了风险评估的基本概念、原理及实施流程;对资产、威胁和脆弱性识别要求进行了详细描述。第二章范围第二条范围:适用于风险评估组开展各项信息安全风险评估工作。第三章名词解释北京XXX科技有限公司版本A/0信息安全风险管理程序编号XX-QP-43页码26/28生效日期2018-3-10 第一条资产对组织具有价值的信息或资源,是安全策略保护的对象。第二条资产价值资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。资产价值通过机密性、完整性和可用性三个方面评
3、估计算获得。(一)机密性(Confidentiality):确保只有经过授权的人才能访问信息;(二)完整性(Integrality):保护信息和信息的处理方法准确而完整;(三)可用性(Availability):确保经过授权的用户在需要时可以访问信息并使用相关信息资产。第三条威胁可能导致对系统或组织危害的不希望事故潜在起因。第四条脆弱性可能被威胁所利用的资产或若干资产的弱点。第五条信息安全风险人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。第六条信息安全评估北京XXX科技有限公司版本A/0信息安全风险管理程序编号XX-QP-43页码26/2
4、8生效日期2018-3-10 依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。第一条残余风险采取了安全措施后,信息系统仍然可能存在的风险。第一章风险评估方法第二条风险管理模型图1风险管理模型北京XXX科技有限公司版本A/0信息安全风险管理程序编号XX-QP-43页码26/28生效日期2018-3-10
5、 图1为风险管理的基本模型,椭圆部分的内容是与这些要素相关的属性。风险管理围绕着资产、威胁、脆弱性和安全措施这些基本要素展开。信息安全风险评估在对风险管理要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。图1中的风险管理要素及属性之间存在着以下关系:(一)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;(二)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;(三)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成为安全事件;(四)资产的脆弱性可能暴露资产的价值,资产具有的弱
6、点越多则风险越大;(五)脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;(六)风险的存在及对风险的认识导出安全需求;(七)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;(八)安全措施可抵御威胁,降低风险;(九)残余风险有些是安全措施不当或无效,需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后不去控制的风险;(十)残余风险应受到密切监视,它可能会在将来诱发新的安全事件。第一条风险评估模型北京XXX科技有限公司版本A/0信息安全风险管理程序编号XX-QP-43页码26/28生效日期2018-3-10 图2风险
7、评估原理图风险评估的过程中主要包含信息资产(InformationAsset),脆弱性(Vulnerability)、威胁(Threat)、影响(Impact)和风险(Risk)五个要素。信息资产的基本属性是资产价值(AssetsValue),脆弱性的基本属性是被威胁利用的难易程度(HowEasilyExploitedbyThreats)、威胁的基本属性是威胁的可能性(ThreatLikelihood)、影响度的基本属性是严重性(Severit
此文档下载收益归作者所有
