XXX股份有限公司 信息安全风险控制程序
4 5 高 很高 包含组织的重要秘密 其泄露会使组织的安全和利益遭受严重损害 包含组织最重要的秘关系未来发展的前途命运,对组织根本利益有着决密 定性的影响,如果泄露会造成灾难性的损害 6.2.2 完整性(I)赋值
根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。
价值很低赋值为1,价值低赋值为2,价值中等赋值为3,价值高赋值为4,价值很高赋值为5。
完整性(I)赋值的方法 级别 1 2 3 4 5 价值 分级 很低 完整性价值非常低 低 完整性价值较低 描述 未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略 未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补 未经授权的修改或破坏会对组织造成影响,对业务冲击明显 未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补 未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补 中等 完整性价值中等 高 完整性价值较高 很高 完整性价值非常关键 6.2.3 可用性(A)赋值
根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
可用性(A)赋值的方法 级别 1 2 3 4 5 价值 分级 很低 可用性价值可以忽略 低 可用性价值较低 描述 合法使用者对信息及信息系统的可用度在正常工作时间低于25% 合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60min 合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30min 合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10min 合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断 中等 可用性价值中等 高 可用性价值较高 很高 可用性价值非常高 6.2.4 业务影响(I)赋值
根据资产风险对业务的影响度,将其分为五个不同的等级,分别对应不同程度。 级别 1 业务影响(I)赋值的方法 描述 不会造成公司核心业务停顿 第 3 页 共 8页
XXX股份有限公司 信息安全风险控制程序
2 3 4 5 6.3 判定重要资产
公司核心业务停顿0-4小时以上 公司核心业务停顿4-12个小时 公司核心业务停顿12-24个小时 公司核心业务停顿24个小时以上 6.2.5导出资产清单
按照资产赋值的结果,经过相加法得出重要性值,从而得出重要性等级,资产重要性划分为5级,级别越高表示资产重要性程度越高。
重要性等级 1 2 3 4 5 重要性等级为3,4和5的为重要资产。
IT组对资产进行审核,确保没有遗漏重要资产,报管理者代表确认。 6.4 重要资产风险评估 6.4.1 要求
应对所有的重要资产进行风险评估并登记在《信息安全风险评估表》中,评估应考虑威胁、脆弱性、威胁事件发生的可能性和威胁事件发生后对资产造成的影响程度及已经采取的措施等方面因素。 6.4.2 识别威胁
威胁是对组织及其资产构成潜在破坏的可能性因素,造成威胁的因素可分为人为因素和环境因素。威胁作用形式可以是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在保密性、完整性或可用性等方面造成损害;也可能是偶发的、或蓄意的事件。威胁可基于表现形式分类。例如可分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、网络攻击、黑客攻击技术、物理攻击、泄密信息、篡改、抵赖等。各部门根据资产本身所处的环境条件,识别每个资产所面临的威胁。 6.4.3 识别脆弱性
脆弱性是对一个或多个资产弱点的总称。脆弱性是资产本身存在的,如果没有相应的威胁发生,单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健,再严重的威胁也不会导致安全事件,并造成损失。即,威胁总是要利用资产的弱点才可能造成危害。
资产的脆弱性具有隐蔽性,有些弱点只有在一定条件和环境下才能显现,这是脆弱性识别中最为困难的部分。需要注意的是,不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性。
重要性等级说明
重要程度 不重要 不太重要 一般重要 重要 很重要 重要性值 0<=值<=4 4<值<=8 8<值<=12 12<值<=16 16<值<=20 第 4 页 共 8页
XXX股份有限公司 信息安全风险控制程序
脆弱性识别将针对每一项需要保护的资产,找出可能被威胁利用的脆弱性,并对脆弱性的严重程度进行评估。脆弱性识别时的数据应来自于资产的所有者、使用者,以及相关业务领域的专家和软硬件方面的专业人员。
脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关。 6.4.4 识别威胁发生的可能性 等级 标识 分级 1 2 很低 低 几乎不可能 不太可能 定义 出现的频率极小(或<=1次/十年);仅可能在非常罕见和例外的情况下发生 出现的频率较小(或≈1次/两年);或一般不太可能发生;或没有被证实发生过 出现的频率中等(或≈1次/半年);或在某种情况下可能会发生;或被证实曾经发生过 出现的频率较高(或≈1次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过 出现的频率极高(或>=1次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过 分析威胁发生频率
等级 1 2 3 4 5 分析脆弱性被利用率 标识 定义 很低 强度好,如果被威胁利用,造成损害的可能性<=5% 低 强度不好,如果被威胁利用,5%<造成损害的可能性<=30% 3 中 可能 4 高 很可能 5 极高 非常可能 中等 脆弱,如果被威胁利用,30%<造成损害的可能性<=70% 高 很脆弱,如果被威胁利用,70%<造成损害的可能性<=95% 很高 非常脆弱,如果被威胁利用,造成损害的可能性>95% 6.4.5 已有安全措施的确认
应对已采取的安全措施的有效性进行确认,对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对于确认为不适当的安全措施应核实是否应被取消,或者用更合适的安全措施替代。
安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以减少因安全事件发生对信息系统造成的影响,如业务持续性计划。
第 5 页 共 8页
XXX股份有限公司 信息安全风险控制程序
已有安全措施的确认与脆弱性识别存在一定的联系。一般来说,安全措施的使用将减少脆弱性,但安全措施的确认并不需要与脆弱性识别过程那样具体到每个资产、组件的弱点,而是一类具体措施的集合。
已有安全措施一般会通过控制资产的威胁和脆弱性降低资产的固有风险,因此需要对威胁程度和脆弱性进行打分。 6.5 风险计算 6.5.1 计算方法
根据威胁发生频率和脆弱性被利用率及资产重要程度,通过相乘法得出风险值。 6.5.2 风险等级
风险等级根据风险值划分为五级,等级越高,风险越高。 等级 等级划分 标识 描述 一旦发生造成的影响几乎不存在,通过简单的措施就1 1-100 低风险 能弥补。 一旦发生造成的影响程度较低,一般仅限于组织内2 101-200 一般风险 部,通过一定手段很快能解决。 一旦发生会造成一定的经济、社会或生产经营影响,3 201-300 高风险 但影响面和影响程度不大。 一旦发生将产生较大的经济或社会影响,在一定范围4 301-400 高风险 内给组织的经营和组织信誉造成损害。 一旦发生将产生非常严重的经济或社会影响,如组织5 401-500 高风险 信誉严重破坏、严重影响组织的正常经营,经济损失重大、社会影响恶劣。 6.6 不可接受风险的确定
根据风险等级,等级为3,4,5的为高风险,为不可接受的风险。 6.7 风险处理
对风险应进行处理。对可接受风险,可保持已有的安全措施;如果是不可接受风险(高风险),则需要采取安全措施以降低、控制风险。
对不可接受风险,应采取新的风险处理的措施,规定风险处理方式、责任部门和时间进度,高风险应得到优先的考虑。
风险处理方式说明
标识 保持 控制 接受 避免 转移 描述 现有控制措施完全可以应付或防止此风险的发生,控制措施保持不变 现有控制措施不足或没有控制措施,必须制作重新相应的对策防止此风险发生 控制现有风险所花费的成本过高、超出公司随范围且风险发生的可能性极小或没有适当的解决方案,公司决定接受此风险 公司放弃可能涉及此风险的行为,以保证风险不会发生 将风险转嫁至其他公司或第三方人员身上,公司内部不再对此风险作任何控制措施 第 6 页 共 8页
XXX股份有限公司 信息安全风险控制程序
6.7.3 计划导出《风险处理计划》。 6.7.4 报告
IT组导出《信息安全方案》陈述信息安全管理现状,分析存在的信息安全风险,提出信息安全管理(控制)的建议与措施,提交IT组进行审核。 6.7.5 审核
IT组考虑成本与风险的关系,对信息安全方案及《风险处理计划》的相关内容审核,对认为不合适的控制或风险处理方式等提出说明,由IT组协同相关部门重新考虑IT组的意见,选择其他的控制或风险处理方式,并重新提交IT组审核,由信息安全管理员批准实施。 6.7.6 实施
各责任部门按照批准后的《风险处理计划》的要求采取有效安全控制措施,确保所采取的控制措施是有效的。 6.8 剩余风险评估 6.8.1 再评估
对采取安全措施处理后的风险,IT组应进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。 6.8.2 再处理
某些风险可能在选择了适当的安全措施后仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施。 6.8.3 审核批准
剩余风险评估完成后报最高管理者批准。 6.9 信息安全风险的连续评估 6.9.1 定期评估
IT组每年应组织对信息安全风险重新评估一次,以适应信息资产的变化,确定是否存在新的威胁或脆弱性及是否需要增加新的控制措施。 6.9.2 非定期评估
当企业发生以下情况时需及时进行风险评估: 1)当发生重大信息安全事故时; 2)当信息网络系统发生重大更改时; 3)IT组确定有必要时。 6.9.3 更新资产
各部门对新增加、转移的或授权销毁的资产应及时更新资产清单。 6.9.4 调整控制措施
IT组应分析信息资产的风险变化情况,以便根据企业的资金和技术,确定、增加或调整适当的信息安全控制措施。
第 7 页 共 8页