掃一掃,加我微信
15338824582
0755-21380663
1.目的
在ISMS 覆蓋范圍內(nèi)對信息安全現(xiàn)行狀況進行系統(tǒng)風(fēng)險評估,形成評估報告,描述風(fēng)險等級,識別和評價供處理風(fēng)險的可選措施,選擇控制目標和控制措施處理風(fēng)險。
2.范圍
在ISMS 覆蓋范圍內(nèi)主要信息資產(chǎn)
3.職責(zé)
3.1各部門負責(zé)部門內(nèi)部資產(chǎn)的識別,確定資產(chǎn)價值。
3.2ISMS小組負責(zé)風(fēng)險評估和制訂控制措施和信息系統(tǒng)運行的批準。
4.內(nèi)容
4.1資產(chǎn)的識別
4.1.1各部門每年按照管理者代表的要求負責(zé)部門內(nèi)部資產(chǎn)的識別,確定資產(chǎn)價值。
4.1.2資產(chǎn)分類
根據(jù)資產(chǎn)的表現(xiàn)形式,可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類。
4.1.3資產(chǎn)賦值
資產(chǎn)賦值就是對資產(chǎn)在機密性、完整性和可用性上的達成程度進行分析,選擇對資產(chǎn)機密性、完整性和可用性最為重要(分值最高)的一個屬性的賦值等級作為資產(chǎn)的最終賦值結(jié)果。資產(chǎn)等級劃分為五級,分別代表資產(chǎn)重要性的高低。等級數(shù)值越大,資產(chǎn)價值越高。
1)機密性賦值
根據(jù)資產(chǎn)在機密性上的不同要求,將其分為五個不同的等級,分別對應(yīng)資產(chǎn)在機密性上的應(yīng)達成的不同程度或者機密性缺失時對整個組織的影響。
賦值 | 標識 | 定義 |
5 | 極高 | 包含組織最重要的秘密,關(guān)系未來發(fā)展的前途命運,對組織根本利益有著決定性影響,如果泄漏會造成災(zāi)難性的損害 |
4 | 高 | 包含組織的重要秘密,其泄露會使組織的安全和利益遭受嚴重損害 |
3 | 中等 | 包含組織的一般性秘密,其泄露會使組織的安全和利益受到損害 |
2 | 低 | 包含僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息,向外擴散有可能對組織的利益造成損害 |
1 | 可忽略 | 包含可對社會公開的信息,公用的信息處理設(shè)備和系統(tǒng)資源等 |
2)完整性賦值
根據(jù)資產(chǎn)在完整性上的不同要求,將其分為五個不同的等級,分別對應(yīng)資產(chǎn)在完整性上的達成的不同程度或者完整性缺失時對整個組織的影響。
賦值 | 標識 | 定義 |
5 | 極高 | 完整性價值非常關(guān)鍵,未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響,對業(yè)務(wù)沖擊重大,并可能造成嚴重的業(yè)務(wù)中斷,難以彌補 |
4 | 高 | 完整性價值較高,未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響,對業(yè)務(wù)沖擊嚴重,比較難以彌補 |
3 | 中等 | 完整性價值中等,未經(jīng)授權(quán)的修改或破壞會對組織造成影響,對業(yè)務(wù)沖擊明顯,但可以彌補 |
2 | 低 | 完整性價值較低,未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響,可以忍受,對業(yè)務(wù)沖擊輕微,容易彌補 |
1 | 可忽略 | 完整性價值非常低,未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略,對業(yè)務(wù)沖擊可以忽略 |
3)可用性賦值
根據(jù)資產(chǎn)在可用性上的不同要求,將其分為五個不同的等級,分別對應(yīng)資產(chǎn)在可用性上的達成的不同程度。
賦值 | 標識 | 定義 |
5 | 極高 | 可用性價值非常高,合法使用者對信息及信息系統(tǒng)的可用度達到年度99.9%以上 |
4 | 高 | 可用性價值較高,合法使用者對信息及信息系統(tǒng)的可用度達到每天90%以上 |
3 | 中等 | 可用性價值中等,合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到70%以上 |
2 | 低 | 可用性價值較低,合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到25%以上 |
1 | 可忽略 | 可用性價值可以忽略,合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于25% |
3分以上為重要資產(chǎn),重要信息資產(chǎn)由IT 部門確立清單
4.2威脅識別
4.2.1威脅分類
對重要資產(chǎn)應(yīng)由ISMS小組識別其面臨的威脅。針對威脅來源,根據(jù)其表現(xiàn)形式將威脅分為軟硬件故障、物理環(huán)境威脅、無作為或操作失誤、管理不到位、惡意代碼和病毒、越權(quán)或濫用、黑客攻擊技術(shù)、物理攻擊、泄密、篡改和抵賴等。
4.2.2威脅賦值
評估者應(yīng)根據(jù)經(jīng)驗和(或)有關(guān)的統(tǒng)計數(shù)據(jù)來判斷威脅出現(xiàn)的頻率。威脅頻率等級劃分為五級,分別代表威脅出現(xiàn)的頻率的高低。等級數(shù)值越大,威脅出現(xiàn)的頻率越高。威脅賦值見下表。
等級 | 標識 | 定義 |
5 | 很高 | 威脅出現(xiàn)的頻率很高,在大多數(shù)情況下幾乎不可避免或者可以證實經(jīng)常發(fā)生過(每天) |
4 | 高 | 威脅出現(xiàn)的頻率較高,在大多數(shù)情況下很有可能會發(fā)生或者可以證實多次發(fā)生過(每周) |
3 | 中 | 威脅出現(xiàn)的頻率中等,在某種情況下可能會發(fā)生或被證實曾經(jīng)發(fā)生過(每月、曾經(jīng)發(fā)生過) |
2 | 低 | 威脅出現(xiàn)的頻率較小,一般不太可能發(fā)生,也沒有被證實發(fā)生過(每年) |
1 | 很低 | 威脅幾乎不可能發(fā)生,僅可能在非常罕見和例外的情況下發(fā)生(特殊情況) |
4.3脆弱性識別
4.3.1脆弱性識別內(nèi)容
脆弱性識別主要從技術(shù)和管理兩個方面進行,技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的安全問題。管理脆弱性又可分為技術(shù)管理和組織管理兩方面,前者與具體技術(shù)活動相關(guān),后者與管理環(huán)境相關(guān)。
4.3.2脆弱性嚴重程度賦值
脆弱性嚴重程度的等級劃分為五級,分別代表資產(chǎn)脆弱性嚴重程度的高低。等級數(shù)值越大,脆弱性嚴重程度越高。脆弱性嚴重程度賦值見下表
等級 | 標識 | 定義 |
5 | 很高 | 如果被威脅利用,將對資產(chǎn)造成完全損害(90%以上) |
4 | 高 | 如果被威脅利用,將對資產(chǎn)造成重大損害(70%) |
3 | 中 | 如果被威脅利用,將對資產(chǎn)造成一般損害(30%) |
2 | 低 | 如果被威脅利用,將對資產(chǎn)造成較小損害(10%) |
1 | 很低 | 如果被威脅利用,將對資產(chǎn)造成的損害可以忽略(10%以下) |
4.4已有安全措施的確認
ISMS小組應(yīng)對已采取的安全措施的有效性進行確認,對有效的安全措施繼續(xù)保持,以避免不必要的工作和費用,防止安全措施的重復(fù)實施。對于確認為不適當(dāng)?shù)陌踩胧?yīng)核實是否應(yīng)被取消,或者用更合適的安全措施替代。
4.5風(fēng)險分析
完成了資產(chǎn)識別、威脅識別、脆弱性識別,以及對已有安全措施確認后,ISMS小組采用相乘法確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性,考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴重程度判斷安全事件造成的損失對組織的影響,即安全風(fēng)險。
4.5.1安全事件發(fā)生的可能性等級P=(T*V)0.5,(四舍五入,V=5時加嚴)
