ISO27001-风险评估方法与准则

风险评估方法与准则资产价值等级取值取值标准描述保密性Confidentiality完整性Integrity可用性Availability密级一般资产人员一般资产人员一般资产人员高3机密最高密级。非授权的披露或破坏，会造成严重损害和给竞争对手带来好处，或者会给公司或员工带来严重的财务损失。严格限制使用，只授权给那些预先确定因工作必须知道的员工。可以接触/存取各个级别的信息未经授权的破坏或更改将会对信息系统有非常重大的影响，可能导致严重的业务中断如果该人员未正确执行其职务内容，将造成公司级业务运作效率大大降低或停顿合法使用者对信息系统及信息的存取可用度达到平均每天99.9%以上（7*24）如果要维持业务正常运作，可以容忍该人员所承担职务突然缺席不得超过1天，否则会对公司级业务造成影响中2秘密非授权的披露或破坏，会给公司或员工带来明显危害。限制在公司相应的部门或行政单位的内部使用。可以接触/存取最高到秘密的信息未经授权的破坏或更改会对信息系统有明显影响，而且（或者）也会对业务带来明显冲击如果该人员未正确执行其职务内容，将造成单位/部门之业务运作效率降低或停顿合法使用者对信息系统及信息的存取可用度达到平均每天95%以上（5*8）如果要维持业务正常运作，可以容忍该人员所承担职务突然缺席不得超过3天低1内部非授权的披露或破坏，不会给公司或员工带来明显危害。在公司内部需要使用。可以接触/存取公司内部信息未经授权的破坏或更改不会对信息系统有明显影响，也不会对业务有明显冲击如果该人员未正确执行其职务内容，不会对业务运作造成影响合法使用者对信息系统及信息的存取可用度在正常上班时间至少达到50%以上（5*8）如果要维持业务正常运作，可以容忍该人员所承担职务突然缺席超过10天弱点值威胁值等级弱点值严重性描述（弱点被利用的容易程度）等级威胁值可能性描述（威胁发生的频率）高3a.非常容易被利用b.导致资产完全破坏（保密性、可用性和完整性）高3发生频率为每半年1次中2a.较容易被利用b.导致资产较大破坏（保密性、可用性和完整性）中2发生频率为每年1次低1a.较难被利用b.导致资产部分破坏（保密性、可用性和完整性）低1发生频率为多年1次风险等级风险值＝资产价值×弱点严重性×威胁可能性弱点严重性123威胁可能性123123123资产价值1123246369224648126121833696121891827风险等级风险值318，2726，8，9，1211，2，3，4常见威胁ID威胁威胁方影响资产利用弱点R01篡改恶意人员业务数据系统缺陷，网络缺陷R02传输信息泄漏恶意人员业务数据网络线路R03配置错误维护人员应用系统，业务数据运行管理流程缺陷R04冒名访问恶意人员业务数据运行管理流程缺陷、帐户口令泄漏R05病毒感染维护人员、用户业务数据，应用系统系统缺陷、运行管理缺陷R06业务信息泄漏用户业务数据运行管理流程缺陷R07攻击恶意人员应用系统，业务数据系统缺陷，网络缺陷R08操作抵赖维护人员，用户应用系统，业务数据操作记录R09越权访问用户应用系统，业务数据系统配置缺陷R10设备物理破坏恶意人员应用系统，业务数据设备物理安全漏洞威胁分类表种类描述威胁子类软硬件故障对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等物理环境影响对信息系统正常运行造成影响的物理环境问题和自然灾害断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等无作为或操作失误应该执行而没有执行相应的操作，或无意执行了错误的操作维护错误、操作失误等管理不到位安全管理无法落实或不到位，从而破坏信息系统正常有序运行管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等恶意代码故意在计算机系统上执行恶意任务的程序代码病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等越权或滥用通过采用一些措施，超越自己的权限访问了本来无权访问的资源，或者滥用自己的权限，做出破坏信息系统的行为非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵网络探测和信息采集、漏洞探测、嗅探（帐号、口令、权限等）、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等物理攻击通过物理的接触造成对软件、硬件、数据的破坏物理接触、物理破坏、盗窃等泄密信息泄露给不应了解的他人内部信息泄露、外部信息泄露等篡改非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等抵赖不承认收到的信息和所作的操作和交易原发抵赖、接收抵赖、第三方抵赖等常见脆弱性序号类别薄弱点威胁1硬件缺少定期替换计划可能会被存储媒体退化这一威胁所利用容易受到电压不稳定的侵扰可能会被功率波动这一威胁所利用容易受到温度变化的侵扰可能会温度的极端变化这一威胁所利用容易受到湿度、灰尘和污染的侵扰可能会被灰尘这一威胁所利用对电磁辐射的敏感性可能会被电磁辐射这一威胁所利用不充分的维护/存储媒体的错误安装可能会被维护失误这一威胁所利用缺少有效的配置变化控制可能会被操作职员失误这一威胁所利用2软件开发人员的说明不清楚或不完整可能会被软件故障这一威胁所利用没有软件测试或软件测试不充分可能会被未经授权许可的用户使用软件这一威胁所利用复杂的用户界面可能会被操作职员失误这一威胁所利用缺少识别和鉴定机制，如：用户鉴定可能会被冒充用户身份这一威胁所利用缺少审核跟踪可能会被以未经授权许可的方式使用软件这一威胁所利用软件中存在众所周知的缺陷可能会被软件未经许可的用户使用软件这一威胁所利用口令表没有受到保护可能会被冒充用户身份这一威胁所利用口令管理较差（很容易被猜测，公开地存储口令，不经常更改）可能会被冒充用户身份这一威胁所利用访问权的错误分派可能会被以未经许可的方式使用软件这一威胁所利用对下载和使用软件不进行控制可能会被恶意软件这一威胁所利用离开工作站没有注销用户可能会被未经许可的用户使用软件这一威胁所利用缺少有效的变化控制可能会被软件故障这一威胁所利用缺少文件编制可能会被操作职员的失误这一威胁所利用缺少备份可能会被恶意软件或火灾这一威胁所利用没有适当的擦除而对存储媒体进行处理或重新使用可能会被未经许可的用户使用软件这一威胁所利用3文件/数据存储没有保护可能会被偷窃这一威胁所利用进行处理时缺少关注可能会被偷窃这一威胁所利用对拷贝没有进行控制可能会被偷窃这一威胁所利用系统漏洞或对恶意代码防范不够被攻击操作员误删除数据操作员操作失误缺少安全意识误操作保管不善、没有设置访问密码，访问权限设置不当被人利用缺少备份可能会被恶意软件或火灾这一威胁所利用4人员人员缺席可能会被缺少员工这一威胁所利用对外部人员和清理人员的工作不进行监督可能会被偷窃这一威胁所利用不充分的安全培训可能会被操作职员的失误这一威胁所利用缺少安全意识可能会被用户错误这一威胁所利用对软件和硬件不正确的使用可能会被操作职员的失误这一威胁所利用缺少监控机制可能会被以未经许可的方式使用软件这一威胁所利用5服务第三方服务不到位影响业务或生产未与第三方签订保密协议可能出现信息泄露脆弱性识别内容表类型识别对象识别内容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别风险评估对象：判定为重要信息资产的信息资产（资产价值2以上）风险处置对象：判定为中风险以上的风险（风险等级2级以上）风险评估接受准则：风险等级风险值318，2726，8，9，1211，2，3，4经过风险处置后判定为风险等级1级（风险值1,2,3,4）的风险为可接受风险。