返回
信息安全风险管理程序.doc

信息安全风险管理程序.doc

ID:57174596

大小:377.50 KB

页数:16页

时间:2020-08-05

信息安全风险管理程序.doc_第1页
信息安全风险管理程序.doc_第2页
信息安全风险管理程序.doc_第3页
信息安全风险管理程序.doc_第4页
信息安全风险管理程序.doc_第5页
资源描述:

《信息安全风险管理程序.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、.Word文档.1目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。2范围本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。3职责3.1研发中心负责牵头成立信息安全管理委员会。3.2信息安全管理委员会负责编制《信息安全风险评估计划》,确认评估结果,形成《风险评估报告》及《风险处理计划》。3.3各部门负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。4相关文件《信息安全管理手册》《GB-T20984-2007信息安全风险评估规范》《

2、信息技术安全技术信息技术安全管理指南第3部分:IT安全管理技术》5程序5.1风险评估前准备①研发中心牵头成立信息安全管理委员会,委员会成员应包含信息安全重要责任部门的成员。②信息安全管理委员会制定《信息安全风险评估计划》,下发各部门。③风险评估方法-定性综合风险评估方法本项目采用的是定性的风险评估方法。定性风险评估并不强求对构成风险的各个要素(特别是资产)进行精确的量化评价,它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准,来对风险要素进行相对的等级分化,最终得出的风险大小,只需要通过等级差别来分出风险处理的优先顺序即可。综合评估是先识别资产并对资

3、产进行赋值评估,得出重要资产,然后对重要资产进行详细的风险评估。5.2资产赋值Word文档.①各部门信息安全管理委员会成员对本部门资产进行识别,并进行资产赋值。资产价值计算方法:资产价值=保密性赋值+完整性赋值+可用性赋值②资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估,并在此基础上得出综合结果的过程。③确定信息类别信息分类按“5.9资产识别参考(资产类别)”进行,信息分类不适用时,可不填写。④机密性(C)赋值Ø根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影

4、响。⑤完整性(I)赋值Ø根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。⑥可用性(A)赋值Ø根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。资产价值判断标准Word文档.Word文档.要素准则数据资产实体/服务资产 文件/软件资产无形资产人员资产可用性按资产使用或允许中断的时间次数来评估数据存储、传输及处理设施在一个工作日内允许中断的次数或时间比例赋值每次中断允许时间赋值使用频次要求赋值使用频次赋值允许离岗时间赋值16次以上或全部工作

5、时间中断13天以上1每年都要使用至少1次1每年都要使用至少1次110个工作日及以上121-3天22每个季度都要使用至少1次26-9工作日2Word文档.9-15次或1/2工作时间中断每个季度都要使用至少1次3-8次或1/4工作时间中断312小时-1天3每个月都要使用至少1次3每个月都要使用至少1次33-5个工作日31-2次或1/8工作时间中断43小时-12小时4每周都要使用至少1次4每周都要使用至少1次42个工作日4不允许50-3小时5每天都要使用至少1次5每天都要使用至少1次51个工作日5Word文档.形成资产清单各部门的《重要资产调查与风险评估表》经本

6、部门负责人审核,报管理者代表确认。5.1判定重要资产①根据前面的资产机密性、完整性、可用性的赋值相加得到资产的价值,资产价值越高表示资产重要性程度越高。要素标识相对价值范围等级资产等级很高15,14,134高12,11,103一般9,8,7,62低5,4,31②按资产价值得出重要资产,资产价值为4,3的是重要资产,资产价值为2,1的是非重要资产。③信息安全管理委员会对各部门资产识别情况进行审核,确保没有遗漏重要资产,形成各部门的《资产识别清单》。④各部门的《资产识别清单》经本部门负责人审核,报管理者代表确认,并分发各部门存档。5.2重要资产风险评估①应对所

7、有的重要资产进行风险评估,评估应考虑威胁、脆弱性、威胁事件发生的可能性、威胁事件发生后对资产造成的影响程度、风险的等级、风险是否在可接受范围内及已采取的措施等方面因素。②识别威胁Ø威胁是对组织及其资产构成潜在破坏的可能性因素,造成威胁的因素可分为人为因素和环境因素。威胁作用形式可以是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在保密性、完整性或可用性等方面造成损害;也可能是偶发的、或蓄意的事件。Ø威胁可基于表现形式分类,基于表现形式的威胁分类标准可参考下表:Word文档.威胁分类表种类描述威胁子类软硬件故障对业务实施或系统运行产生影响的设备

8、硬件故障、通讯链路中断、系统本身或软件缺陷等问题设备硬件故障、传输

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。