信息安全风险管理程序
编制:XXXXXX 20XX 年XX月XX日
审核:XXXXXXX 20XX 年XX月XX日
批准:XXXXXXX 20XX 年XX月XX日
受控状态:受控
版本号: XX
分发编号:XX
执行日期:20XX 年XX月XX日
目 录
1 目的
从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地为保障信息安全提供科学依据。
2 适用范围
信息安全管理体系覆盖范围内的所有信息资产。
3 术语和定义
引用ISO/IEC27001:2005(idt GB/T 220##-2008)和ISO/IEC27002:2005(idt GB/T 220##-2008)的相关术语和定义。
4 职责和权限
4.1 信息安全领导办公室
l 决定实施风险评估的时间和方法
l 指导风险处理计划的实施与检查
l 残余风险的批准。
4.2 部门信息安全主管
l 负责本部门范围内风险评估相关活动的组织实施
l 负责本部门范围内风险处理计划的组织实施
4.3 部门信息安全员
l 在部门安全主管领导下,负责本部门风险评估相关活动的实施
l 在部门安全主管领导下,负责本部门风险处理计划的实施
5 风险评估方法
5.1 风险各要素的关系
风险评估中各要素的关系如图1。
图1 风险评估要素关系图
图1中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。
图1 中的风险要素及属性之间存在着以下关系:
a) 业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;
b) 资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;
c) 风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成为安全事件;
d) 资产的脆弱性可能暴露资产的价值,资产具有的脆弱性越多则风险越大;
e) 脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;
f) 风险的存在及对风险的认识导出安全需求;
g) 安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;
h) 安全措施可抵御威胁,降低风险;
i) 残余风险有些是安全措施不当或无效,需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后不去控制的风险;
j) 残余风险应受到密切监视,它可能会在将来诱发新的安全事件。
5.2 风险分析原理
风险分析原理如图2。
图2 风险分析原理图
风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为:
对资产进行识别,并对资产的价值进行赋值;
对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;
对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;
根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;
根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;
根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对公司的影响,即风险值。
5.3 风险评估方法描述
本公司采用“定性与定量计算”的方法对风险进行描述。主要包括:
资产识别、威胁识别、脆弱性识别、影响与可能性(影响与可能性中已考虑到目前控制措施的有效性因素)。
风险值通过矩阵方法确定。
5.4 风险接受原则
风险等级处理的目的是为风险管理过程中对不同风险的直观比较,以确定公司安全策略。公司综合考虑风险控制成本与风险造成的影响,风险等级为“1”和“2”的,公司认为是可以接受的风险等级。其他等级的风险为不可接受的。对于不可接受的风险,应采取措施进行处置。采取的措施包括:
采用适当的控制措施;
避免风险;
风险转移;
接受风险;
6 风险评估过程
风险评估的流程如图3所示。
6.1 资产识别
6.1.1 资产分类
保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。
根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。表1列资产分类方法。
6.1.2 资产重要度赋值
根据资产的保密性、完整性和可用性,综合确定资产的重要度。详细见表2。
表1资产分类方法
表2 资产重要度赋值表
6.2 威胁识别
威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可以是人为因素,也可以是环境因素,在本评估方法中将根据其表现形式进行分类,详见表3。威胁作用形式可以是对信息系统直接或间接的攻击,在保密性、完整性和可用性等方面造成损害。
6.2.1 威胁分类
针对威胁来源,根据其表现形式将威胁主要分为以下几类。表3为基于表现形式的威胁分类方法。
表3 基于表现形式的威胁分类表
6.2.2 威胁赋值
判断威胁出现的频率是威胁赋值的重要内容,评估者应根据经验和(或)有关的统计数据来进行判断。在评估中,需要综合考虑以下三个方面,形成各种威胁出现的频率:
以往安全事件报告中出现过的威胁及其频率的统计;
实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;
近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。
对威胁出现的频率进行等级化处理,不同等级分别代表威胁出现的频率的高低。等级数值越大,威胁出现的频率越高。表4是威胁出现频率的赋值方法。
表4 威胁赋值表
6.3 脆弱性识别
6.3.1脆弱性识别内容
脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健,严重的威胁也不会导致安全事件发生,并造成损失。即威胁总是要利用资产的脆弱性才可能造成危害。
脆弱性识别以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估;脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。
对脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及网络结构、系统软件、应用中间件、应用系统等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和公司管理脆弱性两方面,前者与具体技术活动相关,后者与管理环境相关。表5为脆弱性识别内容的参考。
表5 脆弱性识别内容表
6.3.2已有安全措施的确认
在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正,或用更合适的安全措施替代。
安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。
已有安全措施确认与脆弱性识别存在一定的联系。一般来说,安全措施的使用将减少系统技术或管理上的脆弱性,但安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的脆弱性,而是一类具体措施的集合,因此,在给予脆弱性赋值时将现有控制措施的有效性一并考虑给予赋值,并为风险处理计划的制订时提供依据和参考。
6.3.3脆弱性赋值
可以根据脆弱性对资产的暴露程度、技术实现的难易程度、流行程度等,采用等级方式对已识别的脆弱性的严重程度进行赋值。由于很多脆弱性反映的是同一方面的问题,或可能造成相似的后果,赋值时应综合考虑这些脆弱性,以确定这一方面脆弱性的严重程度。
对某个资产,其技术脆弱性的严重程度还受到公司管理脆弱性的影响。因此,资产的脆弱性赋值还应参考技术管理和公司管理脆弱性的严重程度。
脆弱性严重程度进行等级化处理,不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。表6为脆弱性严重程度的赋值方法。
表6 脆弱性严重程度赋值表
7 风险分析
7.1风险计算
在完成了资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对公司的影响,即安全风险。以下是风险计算原理的说明。
根据资产的重要程度、面临的威胁出现频率及脆弱性的状况,计算威胁利用脆弱性导致安全事件发生的可能性,以及安全事件发生后造成的影响。本公司确定风险计算方法如下:
风险值 = 资产重要度 X 威胁发生的频率 X 脆弱性
7.2 风险结果判定
为实现对风险的控制与管理,可以对风险评估的结果进行等级化处理。可将风险划分为五级,等级越高,风险越高。表7为风险等级划分方法。
表7 风险等级划分表
8 残余风险的评估
在对于不可接受的风险选择适当安全措施后,为确保安全措施的有效性,可进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。残余风险的评估可以依据本标准提出的风险评估流程实施,也可做适当裁减。一般来说,安全措施的实施是以减少脆弱性或降低安全事件发生可能性为目标的,因此,残余风险的评估可以从脆弱性评估开始,在对照安全措施实施前后的脆弱性状况后,再次计算风险值的大小。
某些风险可能在选择了适当的安全措施后,残余风险的结果仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施。
9 风险评估实施频度和评审
风险评估活动要定期进行,一般情况下每年进行一次风险评估,执行风险评估前要对本程序进行评审。
遇到以下情况,公司也将启动风险评估:
l 增加了大量新的信息资产;
l 业务过程、物理和网络环境发生了重大变化;
l 发生了重大信息安全事件。
10 相关文件和记录
1. 部门资产清单表
2. 风险评估报告(含风险处理计划)
3. 残余风险报告
第二篇:信息安全风险评估管理程序ISO27001
信息安全风险评估管理程序
编号:SIP01 版 本:A 修改码:2
1.目的
在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施处理风险。
2.范围
在ISMS 覆盖范围内主要信息资产
3.职责
3.1各部门负责部门内部资产的识别,确定资产价值。
3.2ISMS小组负责风险评估和制订控制措施和信息系统运行的批准。
4.内容
4.1资产的识别
4.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别,确定资产价值。
4.1.2资产分类
根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。
4.1.3资产赋值
资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值等级作为资产的最终赋值结果。资产等级划分为五级,分别代表资产重要性的高低。等级数值越大,资产价值越高。
1)机密性赋值
根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。
2根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。
上海大昭和有限公司 Page 1 of 6
信息安全风险评估管理程序
编号:SIP01 版 本:A 修改码:2 根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
4.2威胁识别
4.2.1威胁分类
对重要资产应由
ISMS小组识别其面临的威胁。针对威胁来源,根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。
4.2.2威胁赋值
评估者应根据经验和(或)有关的统计数据来判断威胁出现的频率。威胁频率等级划分为五级,分别代表威胁出现的频率的高低。等级数值越大,威胁出现的频率越高。威胁赋值见下表。 上海大昭和有限公司 Page 2 of 6
信息安全风险评估管理程序
编号:SIP01 版 本:A 修改码:2 4.3.1脆弱性识别内容
脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关。 4.3.2脆弱性严重程度赋值
脆弱性严重程度的等级划分为五级,分别代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。脆弱性严重程度赋值见下表
4.4已有安全措施的确认
ISMS小组应对已采取的安全措施的有效性进行确认,对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对于确认为不适当的安全措施应核实是否应被取消,或者用更合适的安全措施替代。 4.5风险分析
完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施确认后,ISMS小组采用相乘法确定威胁利用脆弱性导致安全事件发生的可能性,考虑安全事件一旦发生其所作用的资产的重要性及脆弱性的严重程度判断安全事件造成的损失对组织的影响,即安全风险。 4.5.1安全事件发生的可能性等级P=(T*V)0.5,(四舍五入,V=5时加严)
4.5.2、安全事件发生后的损失等级L=(A*V)0.5, (四舍五入,V=5时加严)
上海大昭和有限公司 Page 3 of 6
信息安全风险评估管理程序
编号:SIP01 版 本:A 修改码:2
完全的消除风险是不可能和不实际的。公司需要有效和经济的运转,因此必须根据安全事件的可能性和对业务的影响来平衡费用、时间、安全尺度几个方面的问题。公司在考虑接受残余风险时的标准为只接受中或低范围内的风险;但是对于必须投入很高的费用才能将残余风险降为中或低的情况,则分阶段实施控制。
风险值越高,安全事件发生的可能性就越高,安全事件对该资产以及业务的影响也就越大,风险管理策略有以下:
? ?
接受风险:接受潜在的风险并继续运行信息系统,不对风险进行处理。
降低风险:通过实现安全措施来降低风险,从而将脆弱性被威胁源利用后可能带来的不利影响最小化(如使用防火墙、漏洞扫描系统等安全产品)。
?
规避风险:不介入风险,通过消除风险的原因和/或后果(如放弃系统某项功能或关闭系统)来规避风险。
?
转移风险:通过使用其它措施来补偿损失,从而转移风险,如购买保险。
风险等级3(含)以上为不可接受风险,3(不含)以下为可接受风险。如果是可接受风险,可保持已有的安全措施;如果是不可接受风险,则需要采取安全措施以降低、控制风险。安全措施的选择应兼顾管理与技术两个方面,可以参照信息安全的相关标准实施。 4.6确定控制目标、控制措施和对策
上海大昭和有限公司 Page 4 of 6
信息安全风险评估管理程序
编号:SIP01 版 本:A 修改码:2
基于在风险评估结果报告中提出的风险级别,ISMS小组对风险处理的工作进行优先级排序。高等级(例如被定义为“非常高”或“高”风险级的风险)的风险项应该最优先处理。
?
?
?
?
? 评估所建议的安全措施 实施成本效益分析 选择安全措施 制定安全措施的实现计划 实现所选择的安全措施
4.7残余风险的监视与处理
风险处理的最后过程中,ISMS小组应列举出信息系统中所有残余风险的清单。在信息系统的运行中,应密切监视这些残余风险的变化,并及时处理。
每年年初评估信息系统安全风险时,对残余风险和已确定的可接受的风险级别进行评审时,应考虑以下方面的变化:
?
?
?
?
?
? 组织结构; 技术; 业务目标和过程; 已识别的威胁; 已实施控制措施的有效性; 外部事件,如法律法规环境的变更、合同义务的变更和社会环境的变更。
4.8信息系统运行的批准
ISMS小组考察风险处理的结果,判断残余风险是否处在可接受的水平之内。基于这一判断,管理层将做出决策,决定是否允许信息系统运行。
如果信息系统的残余风险不可接受,而现实情况又要求系统必须投入运行,且当前没有其它资源能胜任单位的使命。这时可以临时批准信息系统投入运行。
在这种情况下,必须由信息系统的主管者决定临时运行的时间段,制定出在此期间的应急预案以及继续处理风险的措施。在临时运行的时间段结束后,应重新评估残余风险的可接受度。如果残余风险仍然不可接受,则一般不应再批准信息系统临时运行。
5相关文件
信息资产管理程序
上海大昭和有限公司 Page 5 of 6
信息安全风险评估管理程序
编号:SIP01 版 本:A 修改码:2 6记录
信息资产识别表
重要资产清单
威胁/脆弱性因素表
风险评估表
安全措施实施计划
残余风险清单
上海大昭和有限公司 Page 6 of 6