公司信息安全风险评估管理办法MicrosoftOfficeWord文档

编码：1公司信息安全风险评估管理办法（试行）第一章总则第一条为建立公司信息安全风险评估管理流程和机制，通过识别信息资产、风险等级评估认知信息化系统存在的信息安全风险，选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，满足公司信息安全管理方针的要求，特制定本管理办法。第二条运营改善部作为公司信息化的实际管理部门，负责组织成立风险评估小组。第三条本办法适用于公司信息化系统范围内信息安全风险评估活动。第二章术语及定义第四条保密性：是指网络信息不被泄露给非授权的用户、实体或过程。即信息只为授权用户使用。第五条完整性：保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。第六条可用性：数据或资源的特性，被授权实体按要求能访问和使用数据或资源。第七条信息安全风险：人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。第八条残余风险：采取了安全措施后，仍然可能存在的风险。第九条脆弱性：可能被威胁所利用的资产或若干资产的弱点。第三章风险评估准备第十条风险评估准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑，其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此，在风险评估实施前，应做好以下工作：（一）确定风险评估的目标；（二）确定风险评估的范围；编码：2（三）组建适当的评估管理与实施团队；（四）进行系统调研；（五）确定评估依据和方法；（六）制定风险评估方案；（七）获得最高管理者对风险评估工作的支持。第十一条确定目标：根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容，识别现有信息系统及管理上的不足，以及可能造成的风险大小。第十二条确定范围：风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。第十三条组建团队：风险评估实施团队，由管理层、相关业务骨干、IT技术等人员组成风险评估小组。必要时，可聘请相关专业的技术专家和技术骨干组成专家小组。第十四条系统调研：系统调研是确定被评估对象的过程，风险评估小组应进行充分的系统调研，为风险评估依据和方法的选择、评估内容的实施奠定基础。系统调研可以采取问卷调查、现场面谈相结合的方式进行。调研内容至少应包括：（一）业务战略及管理制度；（二）主要的业务功能和要求；（三）网络结构与网络环境，包括内部和外部连接；（四）系统边界；（五）主要的硬件、软件；（六）数据和信息；（七）系统和数据的敏感性；（八）支持和使用系统的人员。第十五条确定依据：根据系统调研结果，确定评估依据和评估方法。评估依据包括（但不仅限于）：（一）现有国际标准、国家标准、行业标准；（二）行业主管机关的业务系统的要求和制度；（三）系统安全保护等级要求；（四）系统互联单位的安全要求；编码：3（五）系统本身的实时性或性能要求等。第十六条风险评估方案的目的是为后面的风险评估实施活动提供一个总体计划，用于指导实施方开展后续工作。风险评估方案的内容一般包括（但不仅限于）：（一）团队组织：包括评估团队成员、组织结构、角色、责任等内容；（二）工作计划：风险评估各阶段的工作计划，包括工作内容、工作形式、工作成果等内容；（三）时间进度安排：项目实施的时间进度安排。第十七条获得支持：上述所有内容确定后，应形成较为完整的风险评估实施方案，得到组织最高管理者的支持、批准；对管理层和技术人员进行传达，在组织范围就风险评估相关内容进行培训，以明确有关人员在风险评估中的任务。第四章资产识别第十八条资产分类：资产有多种表现形式，同样的两个资产也因属于不同的信息系统而重要性不同，而且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。根据本公司的实际情况，资产分类方法如下：分类示例数据保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等软件系统软件：操作系统、数据库管理系统、语句包、开发系统等应用软件：办公软件、数据库软件、各类工具软件等硬件网络设备：路由器、网关、交换机等计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路：光纤、双绞线等保障设备：UPS、变电设备、空调、文件柜、门禁、消防设施等安全设备：防火墙、入侵检测系统、身份鉴别等其他：打印机、复印机、扫描仪、传真机等服务信息服务：对外依赖该系统开展的各类服务网络服务：各种网络设备、设施提供的网络连接服务办公服务：为提高效率而开发的管理信息系统，包括各种内部配置管理、文件流转管理等服务编码：4人员掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等其他企业形象、客户关系等第十九条保密性赋值：根据资产在保密性上的不同要求，将其分为三个不同的等级，分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个公司的影响。下表为保密性赋值的参考：赋值标识定义3高包含公司的重要秘密，对公司根本利益有着决定性的影响，如果泄露会使公司的安全和利益遭受严重损害，甚至造成灾难性的损害。2中等公司的一般性秘密，其泄露会使公司的安全和利益受到损害1低仅能在公司内部或在公司某一部门内部公开的信息，向外扩散有可能对公司的利益造成轻微损害，也包括可对社会公开的信息，公用的信息处理设备和系统资源等第二十条完整性赋值：根据资产在完整性上的不同要求，将其分为三个不同的等级，分别对应资产在完整性上缺失时对整个公司的影响。下表为完整性赋值的参考：赋值标识定义3高完整性价值高，未经授权的修改或破坏会对公司造成重大影响，对业务冲击严重，较难弥补，可能造成严重的业务中断。2中等完整性价值中等，未经授权的修改或破坏会对公司造成影响，对业务冲击明显，但可以弥补1低完整性价值低，未经授权的修改或破坏会对公司造成轻微影响，对业务冲击轻微或者可以忽略，容易弥补第二十一条可用性赋值：根据资产在可用性上的不同要求，将其分为三个不同的等级，分别对应资产在可用性上应达成的不同程度。下表为可用性赋值的参考：赋值标识定义3高可用性价值高，合法使用者对信息及信息系统的可用度在正常工作时间达到90%以上，或系统允许中断时间小于1小时，也包括系统不允许中断。2中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上，或系统允许中断时间大于1小时且小于2小时1低可用性价值较低或可以忽略，系统允许中断时间大于2小时第二十二条资产重要性等级：资产价值依据资产在保编码：5密性、完整性和可用性上的赋值等级，取最大值得出，下表为资产等级及含义描述：等级（资产价值）标识描述3高非常重要，其安全属性破坏后可能对公司造成严重的损失2中比较重要，其安全属性破坏后可能对公司造成中等程度的损失1低不太重要，其安全属性破坏后可能对公司造成较低的损失或甚至忽略不计第五章威胁和脆弱性识别第二十三条威胁识别分类：威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。在对威胁进行分类前，应考虑威胁的来源。可以根据其表现形式将威胁主要分为以下几类：种类描述威胁子类软硬件故障对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等物理环境影响对信息系统正常运行造成影响的物理环境问题和自然灾害断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等无作为或操作失误应该执行而没有执行相应的操作，或无意执行了错误的操作维护错误、操作失误等管理不到位安全管理无法落实或不到位，从而破坏信息系统正常有序运行管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等恶意代码故意在计算机系统上执行恶意任务的程序代码病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等越权或滥用通过采用一些措施，超越自己的权限访问了本来无权访问的资源，或者滥用自己的权限，做出破坏信息系统的行为非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵网络探测和信息采集、漏洞探测、嗅探（帐号、口令、权限等）、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等编码：6物理攻击通过物理的接触造成对软件、硬件、数据的破坏物理接触、物理破坏、盗窃等泄密信息泄露给不应了解的他人内部信息泄露、外部信息泄露等篡改非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等抵赖不承认收到的信息和所作的操作和交易原发抵赖、接收抵赖、第三方抵赖等第二十四条判断威胁出现的频率是威胁赋值的重要内容，评估者应根据经验和（或）有关的统计数据来进行判断。在评估中，需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率：（一）以往安全事件报告中出现过的威胁及其频率的统计；（二）实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；（三）近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。等级标识定义3高出现的频率较高（或≥1次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过2中出现的频率中等（或1次/半年）；或在某种情况下可能会发生；或被证实曾经发生过1低出现的频率较小；或一般不太可能发生；或没有被证实发生过第二十五条脆弱性识别内容：脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及网络结构、系统软件、应用中间件、应用系统等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和公司管理脆弱性两方面，前者与具体技术活动相关，后者与管理环境相关。下表为脆弱性识别内容的参考。类型识别对象识别内容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别编码：7应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别第二十六条脆弱性赋值：脆弱性严重程度可以进行等级化处理，不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大，脆弱性严重程度越高。下表为脆弱性严重程度的赋值方法。等级标识定义3高如果被威胁利用，将对资产造成重大甚至完全损害2中等如果被威胁利用，将对资产造成一般损害1低如果被威胁利用，将对资产造成较小损害或损害可以忽略第二十七条已有安全措施确认：已有安全措施确认与脆弱性识别存在一定的联系。一般来说，安全措施的使用将减少系统技术或管理上的脆弱性，但安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的脆弱性，而是一类具体措施的集合，为风险处理计划的制定提供依据和参考。第六章风险分析第二十八条在完成了资产识别、威胁识别、脆弱性识别，以及已有安全措施确认后，综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对公司的影响，即安全风险。本公司的风险计算如下：风险值=脆弱性赋值*资产重要性等级*脆弱性赋值*威胁赋值。第二十九条为实现对风险的控制与管理，可以对风险评估的结