1 適用
本程序適用于本公司信息安全管理體系(ISMS)范圍內(nèi)信息安全風險評估活動。
2 目的
本程序規(guī)定了本公司所采用的信息安全風險評估方法�����。通過識別信息資產(chǎn)�、風險等級評估�����,認知本公司的信息安全風險,在考慮控制成本與風險平衡的前提下選擇合適控制目標和控制方式將信息安全風險控制在可接受的水平�����,保持本公司業(yè)務(wù)持續(xù)性發(fā)展���,以滿足本公司信息安全管理方針的要求�。具體操作步驟�����,參照《信息安全風險評估指南》具體執(zhí)行�����。
3 范圍
本程序適用于第一次完整的風險評估和定期的再評估���。在辨識資產(chǎn)時,本著盡量細化的原則進行��,但在評估時我司又會把資產(chǎn)按照系統(tǒng)進行規(guī)劃�����。辨識與評估的重點是信息資產(chǎn),不區(qū)分物理資產(chǎn)���、軟件和硬件�。
4 職責
4.1 成立風險評估小組
XX部負責牽頭成立風險評估小組��。
4.2 策劃與實施
風險評估小組每年至少一次�����,或當體系�、組織、業(yè)務(wù)�����、技術(shù)�����、環(huán)境等影響企業(yè)的重大事項發(fā)生變更���、重大事故事件發(fā)生后��,負責編制信息安全風險評估計劃�����,確認評估結(jié)果��,形成《信息安全風險評估報告》��。
4.3 信息資產(chǎn)識別與風險評估活動
各部門負責本部門使用或管理的信息資產(chǎn)的識別和風險評估���,并負責本部門所涉及的信息資產(chǎn)的具體安全控制工作�����。
4.3.1 各部門負責人負責本部門的信息資產(chǎn)識別�����。
4.3.2 XX部經(jīng)理負責匯總�、校對全公司的信息資產(chǎn)�。
4.3.3 XX部負責風險評估的策劃。
4.3.4 信息安全委員會負責進行第一次評估與定期的再評估�。
5 程序
5.1 風險評估前準備
5.1.1 XX部牽頭成立風險評估小組�����,小組成員至少應(yīng)該包含:信息安全管理體系負責部門的成員、信息安全重要責任部門的成員�。
5.1.2 風險評估小組制定信息安全風險評估計劃,下發(fā)各部門內(nèi)審員���。
5.1.3 必要時應(yīng)對各部門內(nèi)審員進行風險評估相關(guān)知識和表格填寫的培訓(xùn)�。
5.2 信息資產(chǎn)的識別
5.2.1 本公司的資產(chǎn)范圍包括:
5.2.1.1 信息資產(chǎn)
- 軟件資產(chǎn):應(yīng)用軟件�、系統(tǒng)軟件、開發(fā)工具和適用程序�。
- 物理資產(chǎn):計算機設(shè)備、通訊設(shè)備��、可移動介質(zhì)和其他設(shè)備�。
- 服務(wù):培訓(xùn)服務(wù)、租賃服務(wù)�、公用設(shè)施(能源、電力)�。
- 人員:人員的資格、技能和經(jīng)驗���。
- 無形資產(chǎn):組織的聲譽��、商標��、形象�。
?
5.2.1.2本公司的資產(chǎn)范圍包括:
數(shù)據(jù)庫、數(shù)據(jù)文件�����、數(shù)據(jù)合同���、系統(tǒng)文件���、研究信息、用戶手冊�����、培訓(xùn)教材��、培訓(xùn)操作�、培訓(xùn)軟件、支持性程序��、業(yè)務(wù)連續(xù)性計劃���、應(yīng)變安排��、審核記錄�����、審核的追蹤���、歸檔信息。
?
5.2.1.3 評估程序
本評估應(yīng)考慮:范圍���、目的�、時間���、效果���、組織文化、人員素質(zhì)以及具體開展的程度等因素來確定�,使之能夠與組織的環(huán)境和安全要求相適應(yīng)。
5.2.2 資產(chǎn)屬性賦值
5.2.2.1資產(chǎn)賦值是對資產(chǎn)安全價值的估價��,而不是以資產(chǎn)的賬面價格來衡量的��。在對資產(chǎn)進行估價時�����,不僅要考慮資產(chǎn)的成本價格,更重要的是考慮資產(chǎn)對于組織業(yè)務(wù)的安全重要性�����,即根據(jù)資產(chǎn)損失所引發(fā)的潛在的商務(wù)影響來決定�����。為確保資產(chǎn)估價時的一致性和準確性�,機構(gòu)應(yīng)按照上述原則,建立一個資產(chǎn)價值尺度(資產(chǎn)評估標準)��,以明確如何對資產(chǎn)進行賦值�。
?
5.2.2.2資產(chǎn)估價的過程也就是對資產(chǎn)保密性、完整性和可用性影響分析的過程��。影響就是由人為或突發(fā)性引起的安全事件對資產(chǎn)破壞的后果��。這一后果可能毀滅某些資產(chǎn)�,危及信息系統(tǒng)并使其喪失保密性、完整性和可用性�,最終還會導(dǎo)致財政損失、市場份額或公司形象的損失���。特別重要的是�����,即使每一次影響引起的損失并不大�����,但長期積累的眾多意外事件的影響總和則可造成嚴重損失���。一般情況下,影響主要從以下幾方面來考慮:
(1)違反了有關(guān)法律或(和)規(guī)章制度
(2)影響了業(yè)務(wù)執(zhí)行
(3)造成了信譽��、聲譽損失
(4)侵犯了個人隱私
(5)造成了人身傷害
(6)對法律實施造成了負面影響
(7)侵犯了商業(yè)機密
(8)違反了社會公共準則
(9)造成了經(jīng)濟損失
(10)破壞了業(yè)務(wù)活動
(11)危害了公共安全
資產(chǎn)安全屬性的不同通常也意味著安全控制���、保護功能需求的不同�����。通過考察三種不同安全屬性��,可以能夠基本反映資產(chǎn)的價值�����。
5.2.2.3保密性賦值:
賦值 | 標識 | 定義 |
5 | 極高 | 指組織最重要的機密��,關(guān)系組織未來發(fā)展的前途命運���,對組織根本利益有著決定性影響���,如果泄漏會造成災(zāi)難性的影響 |
4 | 高 | 是指包含組織的重要秘密,其泄露會使組織的安全和利益遭受嚴重損害 |
3 | 中等 | 是指包含組織一般性秘密�����,其泄露會使組織的安全和利益受到損害 |
2 | 低 | 指僅在組織內(nèi)部或在組織某一部門內(nèi)部公開,向外擴散有可能對組織的利益造成損害 |
1 | 可忽略 | 對社會公開的信息��,公用的信息處理設(shè)備和系統(tǒng)資源等信息資產(chǎn) |
?
?
5.2.2.4完整性賦值:
賦值 | 標識 | 定義 |
5 | 極高 ? | 完整性價值非常關(guān)鍵���,未經(jīng)授權(quán)的修改或破壞會對評估體造成重大的或無法接受�����、特別不愿接受的影響���,對業(yè)務(wù)沖擊重大,并可能造成嚴重的業(yè)務(wù)中斷�,難以彌補 |
4 | 高 | 完整性價值較高,未經(jīng)授權(quán)的修改或破壞會對評估體造成重大影響,對業(yè)務(wù)沖擊嚴重��,比較難以彌補 |
3 | 中等 | 完整性價值中等�,未經(jīng)授權(quán)的修改或破壞會對評估體造成影響,對業(yè)務(wù)沖擊明顯�,但可以彌補 |
2 | 低 | 完整性價值較低,未經(jīng)授權(quán)的修改或破壞會對評估體造成輕微影響��,可以忍受�����,對業(yè)務(wù)沖擊輕微�,容易彌補 |
1 | 可忽略 ? | 完整性價值非常低�,未經(jīng)授權(quán)的修改或破壞會對評估體造成的影響可以忽略,對業(yè)務(wù)沖擊可以忽略 |
