欢迎来到天天文库
浏览记录
ID:34435719
大小:104.39 KB
页数:4页
时间:2019-03-06
《3.08 信息安全风险管理程序new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、信息安全风险管理程序1目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。2范围本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。3职责3.1综合管理部负责牵头成立风险评估小组。3.2风险评估小组负责编制《信息安全风险评估计划》,确认评估结果,形成《信息安全风险评估报告》。3.3各部门负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。4相关文件《信息安全管理手册》《商业秘密管理程序》5程序5.1风险评估前准备5.1.1综合管理部牵头成立风险评估小组
2、,小组成员应包含信息安全重要责任部门的成员。5.1.2风险评估小组制定《信息安全风险评估计划》,下发各部门。5.1.3综合管理部联系协调安装Info-Riskmanager信息安全风险管理软件(以下简称Info-Riskmanager风险管理软件),并对软件的可用性进行确认。5.1.4对Info-Riskmanager信息安全风险管理软件进行初始化设置和验收。5.2资产赋值5.2.1各部门风险评估小组成员利用Info-Riskmanager风险管理软件识别本部门资产,并进行资产赋值。5.2.2资产赋值的过程是对资产在自身价值、信息分类、保密性、完整性、可用性和法规合同上的
3、达成程度进行分析,并在此基础上得出综合结果的过程。5.2.3确定资产自身价值5.2.3.1资产自身价值适用于硬件和软件产品,按资产重置成本确定。5.2.3.2不能确定资产自身价值,或不适用时,可不填写。5.2.4确定信息类别信息分类按《商业秘密管理程序》进行,信息分类不适用时,可不填写。5.2.5保密性(C)赋值5.2.5.1根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。5.2.5.2保密性分类赋值方法见Info-Riskmanager风险管理软件的提示。5.2.6完整性(I)赋值5.2.6
4、.1根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。5.2.6.2完整性(I)赋值的方法见Info-Riskmanager风险管理软件的提示。5.2.7可用性(A)赋值5.2.7.1根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。5.2.7.2可用性赋值的方法见Info-Riskmanager风险管理软件的提示。5.2.8法规合同符合性(L)赋值5.2.8.1根据资产在法律、法规、上级规定、合同协议符合性上的不同要求,将其分为五个不同的等级,分别对应
5、资产符合法律、法规、上级规定、合同协议的不同程度。5.2.8.2法规合同符合性赋值的方法见Info-Riskmanager风险管理软件的提示。5.2.9导出资产清单5.2.9.1通过Info-Riskmanager风险管理软件导出各部门的《资产清单》。5.2.9.2各部门的《资产清单》经本部门负责人审核,报管理者代表确认。5.3判定重要资产5.3.1按照资产赋值的结果,经过Info-Riskmanager风险管理软件处理得出资产的重要性等级,资产重要性划分为5级,级别越高表示资产重要性程度越高。5.3.2经过Info-Riskmanager风险管理软件按资产重要性进行处理
6、得出重要资产。5.3.3风险评估小组对各部门资产识别情况进行审核,确保没有遗漏重要资产,导出各部门的《重要资产清单》。5.3.4各部门的《重要资产清单》经本部门负责人审核,报管理者代表确认,并分发各部门存档。5.4重要资产风险评估5.4.1应对所有的重要资产进行风险评估,评估应考虑威胁、薄弱点、威胁事件发生的可能性和威胁事件发生后对资产造成的影响程度及已经采取的措施等方面因素。5.4.2识别威胁5.4.2.1威胁是对组织及其资产构成潜在破坏的可能性因素,造成威胁的因素可分为人为因素和环境因素。威胁作用形式可以是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在
7、保密性、完整性或可用性等方面造成损害;也可能是偶发的、或蓄意的事件。5.4.2.2威胁可基于表现形式分类,基于表现形式的威胁分类方法见Info-Riskmanager风险管理软件的提示。5.4.2.3各部门根据资产本身所处的环境条件,识别每个资产所面临的威胁。5.4.3识别薄弱点5.4.3.1薄弱点是对一个或多个资产弱点的总称。薄弱点是资产本身存在的,如果没有相应的威胁发生,单纯的薄弱点本身不会对资产造成损害。而且如果系统足够强健,再严重的威胁也不会导致安全事件,并造成损失。即,威胁总是要利用资产的弱点才可能造成危害。5.4.
此文档下载收益归作者所有