。。11。。221目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。2范围本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。3职责3.1研发中心负责牵头成立信息安全管理委员会。3.2信息安全管理委员会负责编制《信息安全风险评估计划》,确认评估结果,形成《风险评估报告》及《风险处理计划》。3.3各部门负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。4相关文件《信息安全管理手册》《GB-T20984-2007信息安全风险评估规范》《信息技术安全技术信息技术安全管理指南第3部分:IT安全管理技术》5程序5.1风险评估前准备①研发中心牵头成立信息安全管理委员会,委员会成员应包含信息安全重要责任部门的成员。②信息安全管理委员会制定《信息安全风险评估计划》,下发各部门。③风险评估方法-定性综合风险评估方法本项目采用的是定性的风险评估方法。定性风险评估并不强求对构成风险的各个要素(特别是资产)进行精确的量化评价,它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准,来对风险要素进行相对的等级分化,最终得出的风险大小,只需要通过等级差别来分出风险处理的优先顺序即可。综合评估是先识别资产并对资产进行赋值评估,得出重要资产,然后对重要资产进行详细的风险评估。。。335.2资产赋值①各部门信息安全管理委员会成员对本部门资产进行识别,并进行资产赋值。资产价值计算方法:资产价值=保密性赋值+完整性赋值+可用性赋值②资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估,并在此基础上得出综合结果的过程。③确定信息类别信息分类按“5.9资产识别参考(资产类别)”进行,信息分类不适用时,可不填写。④机密性(C)赋值根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。⑤完整性(I)赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。⑥可用性(A)赋值根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。。。44资产价值判断标准。。55要素准则数据资产实体/服务资产文件/软件资产无形资产人员资产可用性按资产使用或允许中断的时间次数来评估数据存储、传输及处理设施在一个工作日内允许中断的次数或时间比例赋值每次中断允许时间赋值使用频次要求赋值使用频次赋值允许离岗时间赋值16次以上或全部工作时间中断13天以上1每年都要使用至少1次1每年都要使用至少1次110个工作日及以上19-15次或1/2工作时21-3天2每个季度都要使用至少12每个季度都要使用至少1次26-9工作日2。。66间中断次3-8次或1/4工作时间中断312小时-1天3每个月都要使用至少1次3每个月都要使用至少1次33-5个工作日31-2次或1/8工作时间中断43小时-12小时4每周都要使用至少1次4每周都要使用至少1次42个工作日4不允许50-3小时5每天都要使用至少1次5每天都要使用至少1次51个工作日5。。77形成资产清单各部门的《重要资产调查与风险评估表》经本部门负责人审核,报管理者代表确认。5.3判定重要资产①根据前面的资产机密性、完整性、可用性的赋值相加得到资产的价值,资产价值越高表示资产重要性程度越高。要素标识相对价值范围等级资产等级很高15,14,134高12,11,103一般9,8,7,62低5,4,31②按资产价值得出重要资产,资产价值为4,3的是重要资产,资产价值为2,1的是非重要资产。③信息安全管理委员会对各部门资产识别情况进行审核,确保没有遗漏重要资产,形成各部门的《资产识别清单》。④各部门的《资产识别清单》经本部门负责人审核,报管理者代表确认,并分发各部门存档。5.4重要资产风险评估①应对所有的重要资产进行风险评估,评估应考虑威胁、脆弱性、威胁事件发生的可能性、威胁事件发生后对资产造成的影响程度、风险的等级、风险是否在可接受范围内及已采取的措施等方面因素。②识别威胁威胁是对组织及其资产构成潜在破坏的可能性因素,造成威胁的因素可分为人为因素和环境因素。威胁作用形式可以是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在保密性、完整性或可用性等方面造成损害;也可能是偶发的、或蓄意的事件。威胁可基于表现形式分类,基于表现形式的威胁分类标准可参考下表:。。88威胁分类表种类描述威胁子类软硬件故障对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等物理环境影响对信息系统正常运行造成影响的物理环境问题和自然灾害断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等无作为或操作失误应该执行而没有执行相应的操作,或无意执行了错误的操作维护错误、操作失误等管理不到位安全管理无法落实或不到位,从而破坏信息系统正常有序运行管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等恶意代码故意在计算机系统上执行恶意任务的程序代码病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等越权或滥用通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的权限,做出破坏信息系统的行为非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵网络探测和信息采集、漏洞探测、嗅探(帐号、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等物理攻击通过物理的接触造成对软件、硬件、数据的破坏物理接触、物理破坏、盗窃等泄密信息泄露给不应了解的他人内部信息泄露、外部信息泄露等篡改非法修改信息,破坏信息的完整性使系统的安全性降低或信息不可用篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等抵赖不承认收到的信息和所作的操作和交易原发抵赖、接收抵赖、第三方抵赖等。。99各部门根据资产本身所处的环境条件,识别每个资产所面临的威胁。③识别脆弱性脆弱性是对一个或多个资产弱点的总称。脆弱性是资产本身存在的,如果没有相应的威胁发生,单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健,再严重的威胁也不会导致安全事件,并造成损失。即,威胁总是要利用资产的脆弱性才可能造成危害。资产的脆弱性具有隐蔽性,有些脆弱性只有在一定条件和环境下才能显现,这是脆弱性识别中最为困难的部分。需要注意的是,不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性。脆弱性识别将针对每一项需要保护的资产,找出可能被威胁利用的脆弱性,并对脆弱性的严重程度进行评估。脆弱性识别时的数据应来自于资产的所有者、使用者,以及相关业务领域的专家和软硬件方面的专业人员。脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关。常见脆弱性序号类别薄弱点威胁1.环境和基础设施建筑物/门以及窗户缺少物理保护例如,可能会被偷窃这一威胁所利用●对建筑物\房间物理进入控制不充分,或松懈可能会被故意损害这一威胁所利用●电网不稳定可能会被功率波动这一威胁所利用●所处位置容易受到洪水袭击可能会被洪水这一威胁所利用2.硬件缺少定期替换计划可能会被存储媒体退化这一威胁所利用●容易受到电压不稳定的侵扰可能会被功率波动这一威胁所利用●容易受到温度变化的侵扰可能会温度的极端变化这一威胁所利用●容易受到湿度、灰尘和污染的侵扰可能会被灰尘这一威胁所利用●对电磁辐射的敏感性可能会被电磁辐射这一威胁所利用●不充分的维护/存储媒体的错误安装可能会被维护失误这一威胁所利用●缺少有效的配置变化控制可能会被操作职员失误这一威胁所利用3.软件开发人员的说明不清楚或不完整可能会被软件故障这一威胁所利用●没有软件测试或软件测试不充分可能会被未经授权许可的用户使用软件这一威胁所利用●复杂的用户界面可能会被操作职员失误这一威胁所利用。。1010●缺少识别和鉴定机制,如:用户鉴定可能会被冒充用户身份这一威胁所利用●缺少审核跟踪可能会被以未经授权许可的方式使用软件这一威胁所利用●软件中存在众所周知的缺陷可能会被软件未经许可的用户使用软件这一威胁所利用●口令表没有受到保护可能会被冒充用户身份这一威胁所利用●口令管理较差(很容易被猜测,公开地存储口令,不经常更改)可能会被冒充用户身份这一威胁所利用●访问权的错误分派可能会被以未经许可的方式使用软件这一威胁所利用●对下载和使用软件不进行控制可能会被恶意软件这一威胁所利用●离开工作站没有注销用户可能会被未经许可的用户使用软件这一威胁所利用●缺少有效的变化控制可能会被软件故障这一威胁所利用●缺少文件编制可能会被操作职员的失误这一威胁所利用●缺少备份可能会被恶意软件或火灾这一威胁所利用●没有适当的擦除而对存储媒体进行处理或重新使用可能会被未经许可的用户使用软件这一威胁所利用4.通讯通讯线路没有保护可能会被偷听这一威胁所利用●电缆连接差可能会被通讯渗透这一威胁所利用●对发件人和收件人缺少识别和鉴定可能会被冒充用户身份这一威胁所利用●公开传送口令可能会被未经许可的用户接入网络这一威胁所利用●收发信息缺少验证可能会被否认这一威胁所利用●拨号线路可能会被未经许可的用户接入网络这一威胁所利用●对敏感性通信不进行保护可能会被偷听这一威胁所利用●网络管理不充分(路由的弹性)可能会被通信量超载这一威胁所利用●公共网络连接没有保护可能会被未经许可的用户使用软件这一威胁所利用5.文件存储没有保护可能会被偷窃这一威胁所利用●进行处理时缺少关注可能会被偷窃这一威胁所利用●对拷贝没有进行控制可能会被偷窃这一威胁所利用6.人员人员缺席可能会被缺少员工这一威胁所利用●对外部人员和清理人员的工作不进行监督可能会被偷窃这一威胁所利用●不充分的安全培训可能会被操作职员的失误这一威胁所利用。。1111●缺少安全意识可能会被用户错误这一威胁所利用●对软件和硬件不正确的使用可能会被操作职员的失误这一威胁所利用●缺少监控机制可能会被以未经许可的方式使用软件这一威胁所利用●在正确使用通讯媒体和信息方面缺乏政策可能会被以未经许可的方式使用网络设施这一威胁所利用●增员程序不充分可能会被故意损害这一威胁所利用7.一般都适用的薄弱环节某一点上的故障可能会被通讯服务故障这一威胁所利用●服务维护反应不足可能会被硬件故障这一威胁所利用脆弱性识别内容表类型识别对象识别内容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别④威胁利用脆弱性发生风险之后的影响后果描述⑤风险描述⑥识别现有控制措施⑦评估威胁发生的可能性。。1212分析威胁利用脆弱性给资产造成损害的可能性。确定各个威胁利用脆弱性造成损害的可能性。判断每项重要资产所面临威胁发生的可能性时应注意: