风险度判断准则
1、事故发生的可能性L
事故发生的可能性L判断准则
2、事故后果严重性S
事件后果严重性S判别准则
3、风险等级R
风险等级判定准则及控制措施R
4、风险评估表
信息资产管理办法 第一章总则 第一条目的:本管理办法旨在对XX银行(以下简称我行)内部重要的信息资产进行分类分级,以便对信息的分发和流转进行恰当的控制,确保信息资产的保密性、完整性和可用性能够实现。 第二条依据:本管理办法根据《XX银行信息安全管理策略》制订。 第三条范围:本管理办法适用于我行总部及所辖分、支行。 第四条定义 (一)本管理办法所涉及的信息包括各种存储或者存在形式,包括但不限于电子信息、纸质数据文件、语音和图像等。 (二)本管理办法所称信息是指以任何形式存在或传播的对我行具有价值的内容,包括电子信息、纸质数据文件、语音图像等。信息安全关注的是信息的保密性、可用性和完整性。 (三)本管理办法所称信息资产是指任何对我行具有价值的信息的存在形式或者载体,包括计算机硬件、通信设施、IT环境、数据库、软件、文档资料、信息服务和人员等,所有这些资产都需要妥善保护。 第二章组织与管理 第五条我行各部门负责人是本部门信息资产管理的第一责任人,负责组织本管理办法的贯彻落实。 第六条全体员工理解并遵守本管理办法定义的内容。 第七条本管理办法定义以下相关角色,履行相应的信息安全管理、执行和审核职责。 (一)责任人,信息资产的创建者,或者主要用户所在组织、单位或部门的负责人。信息资产责任人对所属信息资产负直接责任。其主要职责包括:
1、理解和各种信息访问活动相关的安全风险; 2、根据我行信息密级划分标准来确定所属信息资产的级别; 3、根据我行相关策略确定并检查信息访问权限; 4、针对所属信息资产提出恰当的保护措施。 (二)保管者,受信息资产责任人委托,对信息资产进行日常的管理,维护已经建立的保护措施。资产保管者通常是我行的IT部门或者代表(例如系统管理员)。其主要职责包括: 1、根据相关策略和信息资产责任人的要求,负责信息资产的维护操作和日常管理事务; 2、负责具体设置信息访问权限; 3、负责所管理的信息资产的安全控制; 4、部署恰当的安全机制,进行备份和恢复操作; 5、按照信息资产责任人的要求实施其他控制。 (三)用户,信息资产的使用者,除了我行内部员工,也可能是因为业务需要而访问我行信息的客户或第三方组织。其主要职责包括: 1、向信息资产责任人申请信息访问; 2、按照我行信息安全策略要求正当访问信息,禁止非授权访问; 3、向相关组织报告隐患、故障或者违规事件。 第三章资产管理要求 第八条信息资产分类 信息资产责任人应该指导进行相关资产的调查,资产调查以业务流程为线索,包括各类输入、中间环节和输出信息,所有这些信息资产都为业务流程的运转提供支持。 信息资产可以分为以下几大类。 (一)数据文件,通常包括各种电子档:业务数据、客户数据、配置文件、记录数据(日志、审计记录)、管理文件(策略、流程文件、操作手册等)、商务文件(合同、协议等)。也包括以实物方式存在的资产:各类电子数据的归档、打印件、书面管理文件、业务报表、包含重要商业成果的文件,还有胶片等。 (二)软件资产,各种系统软件、应用软件(OA、业务软件等)和工具软件(开发系统、网管软件、安全软件等),包括操作系统、数据库应用程序、网络软件、办公应用系
XXXXX公司 信息安全风险评估报告
历史版本编制、审核、批准、发布实施、分发信息记录表
一. 风险项目综述 1.企业名称: XXXXX公司 2.企业概况:XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持与 服务的企业。 3.ISMS方针:预防为主,共筑信息安全;完善管理,赢得顾客信赖。 4.ISMS范围:计算机应用软件开发,网络安全产品设计/开发,系统集成及服务的信息安全管理。 二. 风险评估目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,进行本次风险评估。 三. 风险评估日期: 2017-9-10至2017-9-15 四. 评估小组成员 XXXXXXX。 五. 评估方法综述 1、首先由信息安全管理小组牵头组建风险评估小组; 2、通过咨询公司对风险评估小组进行相关培训; 3、根据我们的信息安全方针、范围制定信息安全风险管理程序,以这个程序作为我们风险评估的依据和方 法; 4、各部门识别所有的业务流程,并根据这些业务流程进行资产识别,对识别的资产进行打分形成重要资产 清单;
5、对每个重要资产进行威胁、脆弱性识别并打分,并以此得到资产的风险等级; 6、根据风险接受准则得出不可接受风险,并根据标准ISO27001:2013的附录A制定相关的风险控制措施; 7、对于可接受的剩余风险向公司领导汇报并得到批准。 六. 风险评估概况 根据第一阶段审核结果,修订了信息安全风险管理程序,根据新修订程序文件,再次进行了风险评估工作从2017年9月10日开始进入风险评估阶段,到2017年9月15日止基本工作告一段落。主要工作过程如下: 1.2017-9-10 ~ 2017-9-10,风险评估培训; 2.2017-9-11 ~ 2017-9-11,公司评估小组制定《信息安全风险管理程序》,制定系统化的风险评估方法; 3.2017-9-12 ~ 2017-9-12,本公司各部门识别本部门信息资产,并对信息资产进行等级评定,其中资产分为 物理资产、软件资产、数据资产、文档资产、无形资产,服务资产等共六大类; 4.2017-9-13 ~ 2017-9-13,本公司各部门编写风险评估表,识别信息资产的脆弱性和面临的威胁,评估潜在 风险,并在ISMS工作组内审核; 5.2017-9-14 ~ 2017-9-14,本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表; 6. 2017-9-15 ~ 2017-9-15,各部门修订风险评估表,识别重大风险,制定控制措施;ISMS工作 组组织审核,并最终汇总形成本报告。 . 七. 风险评估结果统计 本次风险评估情况详见各部门“风险评估表”,其中共识别出资产190个,重要资产115个,信息安全风险115个,不可接受风险42个.
1、风险评估概述 1.1风险评估概念 信息安全风险评估是参照风险评估标准和管理规,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、标准《信息系统安全等级评测准则》等法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等面存在的脆弱性为诱因的信息安全风险评估综合法及操作模型。 1.2风险评估相关 资产,任对组织有价值的事物。 威胁,指可能对资产或组织造成损害的事故的潜在原因。例如,组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。 脆弱点,是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思,使用简短易被猜测的口令、操作系统本身有安全漏洞等。 风险,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害饿潜在可能性,即特定威胁事件发生的可能性与后果的结合。风险评估,对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。
风险评估也称为风险分析,就是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的法,去顶资产风险等级和优先控制顺序。 2、风险评估的发展现状 2.1信息安全风险评估在美国的发展 第一阶段(60-70年代)以计算机为对象的信息保密阶段1067年11月到1970年2月,美国国防科学委员会委托兰德公司、迈特公司(MITIE)及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究,分析。作为第一次比较大规模的风险评估。 特点: 仅重点针对了计算机系统的保密性问题提出要求,对安全的评估只限于保密性,且重点在于安全评估,对风险问题考虑不多。 第二阶段(80-90年代)以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品,很少延拓至系统,婴儿在格意义上扔不是全面的风险评估。 第三阶段(90年代末,21世纪初)以信息系统为对象的信息保障阶段 随着信息保障的研究的深入,保障对象明确为信息和信息系统;保障能力明确来源于技术、管理和人员三个面;逐步形成了风险评估、自评估、认证认可的工作思路。
ISO27001风险评估程序 1目的 为了对公司的信息资产进行风险评估和风险控制,评估组织信息资产所面临的风险并对风险实施有效控制,以确保风险被降低或消除,特制定本程序。 2适用范围 本程序适用于适用于对公司的信息资产进行风险评估和风险控制。 3职责与权限 3.1信息安全委员会 ?制定资产评估准则,确定风险评估方法; ?负责对控制目标、控制措施的有效性进行监督和评审。 ?确定风险评估的范围; ?指导各部门进行风险评估; ?汇总和分析风险评估结果,作出风险评价; ?制定风险处理计划,向信息安全委员会提交信息安全风险评估报告。 3.3各部门 ?各部门资产负责人按规定维护相关资产。 ?识别并列出跟本部门业务有关的资产; ?对本部门资产进行风险评估。 4风险评估程序和工作流程 4.1风险评估与管理 4.1.1过程识别 在ISMS范围内,各部门识别本部门涉及的主要业务过程及使用的各类信息资产。 4.1.2风险评估
风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。即风险分析和风险评价的全过程。 4.1.3风险管理 风险管理是识别、控制、消除、减小可能影响信息系统资源的不确定事件的过程。指导和控制一个组织的风险的协调的活动。 4.1.4风险评估方法 结合公司在风险评估时投入的时间、人力、成本等各方面的因素,公司采用基本风险评估方法。基本的风险评估方法是指应用直接和简易的方法达到基本的安全水平,就能满足组织及其业务环境的所有要求。公司采用这种方法使得组织在识别和评估基本安全需求的基础上,通过建立相应的信息安全管理体系,获得对信息资产的基本保护。 4.1.5风险评估与风险管理的区分 风险管理是把整个组织内的风险降低到可接受水平的整个过程。 ?是一个持续的周期,通常以一定的间隔重新开始来更新流程中各个地区阶段的数据 ?是一个持续循环、不断上升的过程。 风险评估是确定组织面临的风险并确定其优先级的过程,是风险管理流程中最必须、最谨慎的一个过程。 ?当潜在的与安全相关的事件在企业内发生时,如变动业务方法、发现新的漏洞等, 组织都可能会启动风险评估。 4.2 风险评估实施流程 总要求:组织应根据整体业务活动和风险,建立、实施、运行、监视、评审、保持并改进文件化的ISMS。
信息资产赋值定义 1.为什么要进行信息资产的赋值? 在完成信息资产的识别形成完整的信息资产表之后,为了明确对资产的保护,同时为了接下来对风险值的计算,有必要对资产的价值进行评估,其价值大小不仅仅是考虑其自身的价值,还要考虑其业务的相关性和一定条件下的潜在价值。资产价值常常是以安全事件发生时所产生的潜在业务影响来衡量,安全事件会导致资产机密性、完整性和可用性的损失,从而导致企业资金、市场份额、企业形象的损失。为了资产评估的一致性与准确性,我们建立一套资产价值的评估标准,对每一种资产和每一种可能的损失,例如机密性、完整性和可用性的损失,都可以赋予一个价值。但采用精确的方式给资产赋值是较困难的一件事,一般采用定性的方式,按照资产的价值评估标准将资产的价值划分为不同等级。经过资产的识别与估价后,组织应根据资产价值大小,进一步确定要保护的关键资产。 在评估过程,为了保证没有资产被忽略和遗漏,应该先确定信息安全体系范围,建立资产的评审边界。评估资产最简单的方式是列出组织业务过程中、安全管理体系范围内所有具有价值的资产,然后对资产赋予一定的价值,这种价值应该反映资产对组织业务运营的重要性,并以对业务的潜在影响程度表现出来。例如,资产价值越大,由于泄露、修改、损害、不可用等安全事件对组织业务的潜在影响就越大。基于组织业务需要的资产的识别与估价,是建立信息安全体系,确定风险的重要一步。 2.如何进行信息资产赋值? 在对资产赋予价值时,一方面要考虑资产购买成本及维护成本,另一方面主要考虑当这种资产的机密性、完整性、可用性受到损害时,对业务运营的负面影响程度。在信息安全管理中,并不是直接采用资产的账面价值,而是采用以定性分级的方式建立资产的相对价值,以相对价值来作为确定重要资产的依据和为这种资产的保护投入多大资源的依据。 对资产的赋值不仅要考虑资产本身的价值,更重要的是要考虑资产的安全状况对于组织的重要性,即由资产在其CIA三个安全属性上的达成程度决定。依据CIA属性分级的标准对资产在机密性、完整性和可用性上的达成程度进行分析,并在此基础上得出一个综合结果——信息资产的价值。
ISO27001信息安全风险评估控制手册 1 目的 本程序规定了DXC所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估认知DXC的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持DXC持续性发展,以满足DXC信息安全管理方针的要求。 2 范围 本程序适用于信息安全管理体系(ISMS)范围内信息安全风险评估活动。 3 相关文件 无 4 职责 4.1 管理者代表负责组织成立风险评估小组。 4.2 风险评估小组负责编制信息安全风险评估计划,确认评估结果,形成《信息安全风险评估报告》。 5 程序 5.1 风险评估前准备 5.1.1 管理者代表牵头成立风险评估小组,小组成员至少应该包含:负责信息安全管理体系的成员。 5.1.2 风险评估小组制定信息安全风险评估计划,下发各内审员。 5.1.3 必要时应对各内审员进行风险评估相关知识和表格填写的培训。
5.2信息资产的识别 5.2.1风险评估小组通过电子邮件向各内审员发放《信息资产分类参考目录》、《重要信息资产判断准则》、《信息资产识别表》,同时提出信息资产识别的要求。 5.2.2 各内审员参考《信息资产分类参考目录》识别DXC信息资产,并填写《信息资产识别表》,根据《重要信息资产判断准则》判断其是否是重要信息资产,经该区域负责人审核确认后,在风险评估计划规定的时间内提交风险评估小组审核汇总。 5.2.3 风险评估小组对各内审员填写的《信息资产识别表》进行审核,确保没有遗漏重要的信息资产,形成DXC的《重要信息资产清单》,并交由文档管理员处存档。 5.3 重要信息资产风险等级评估 5.3.1 应对《重要信息资产清单》中的所有资产进行风险评估, 评估应考虑威胁事件发生的可能性和威胁事件发生后对信息资产造成的影响程度两方面因素。 5.3.2 风险评估小组向各内审员分发《重要信息资产风险评估表》、《信息安全威胁参考表》、《信息安全薄弱点参考表》、《事件发生可能性等级对照表》、《事件可能影响程度等级对照表》。 5.3.3 各内审员根据资产本身所处的环境条件,参考《信息安全威胁参考表》识别每个信息资产所面临的威胁,针对每个威胁,识别目前已有的控制;并参考《信息安全薄弱点参考表》识别可能被该威胁所利用的薄弱点;在考虑现有的控制前提下,参考《事件发生可能性等级对照表》判断每项重要信息资产所面临威胁发生的可能性;参考《事件可能影响程度等级对照表》,判断威胁利用薄弱点可能使信息资产保密性、完整性或可用性丢失所产生的影响程度等级。将结果填写在《重要信息资产风险评估表》上,提交风险评估小组审核汇总。 5.3.4 风险评估小组考虑DXC整体的信息安全要求,对各内审员填写的《重要信息资产风险评估表》进行审核,确保风险评估水平的一致性,确保没有遗漏重要信息安全风险。如果对评估结果进行修改,应该和负责该资产的内审员进行沟通并获得该区域副总经理的确认。5.3.5 风险评估小组根据《信息安全风险矩阵计算表》计算风险等级,完成各内审员识别的《重要信息资产风险评估表》,并递交给文档管理员进行存档。
信息安全风险评估管理规定 第一章总则 第一条为规范科技发展部信息安全风险评估工作,为风险评估工作提供指导和支持,特制定本规定。 第二条本规定适用于科技发展部范围内的信息安全风险评估工作。 第二章组织与职责 第三条信息安全工作指挥小组负责提出信息安全风险评估需求,审批风险评估计划、风险接受的原则、风险评估报告以及风险处理计划。 第四条科技发展部风险管理组负责确定信息安全风险评估的方法,制定风险评估的工作流程,根据风险评估需求制定风险评估计划;组织并指导各部门开展风险评估工作。 第五条各部门的安全组负责本部门的信息风险评估工作的监督与检查; 第六条各部门负责对本部门的信息资产进行识别,对风险进行评估,执行已批准的风险处理计划。
第三章信息安全风险评估管理规定 第七条科技发展部风险管理组应根据风险评估需求制定风险评估计划,确定风险评估的范围和方法,并组建风险评估团队。 第八条各部门应根据风险评估计划对其职责范围内的信息资产进行识别,根据《信息资产安全管理规定》对信息资产的CIA 属性进行赋值(涉及信息系统的各类信息资产均应按系统等级进行赋值,详见附件二:信息系统等级划分准则)并计算信息资产价值,将重要信息资产列为风险评估对象。 第九条科技发展部风险管理组应组织各部门对被列为风险评估对象的信息资产所面临的威胁、存在的弱点以及现存的安全控制措施进行识别和评估,根据公式计算得出风险值后依照风险分级准则对风险级别进行定义,具体实施方法详见附件三至六。 第十条科技发展部风险管理组应根据风险分级准则对识别出的风险,组织相关部门选择适当的处理方式、制定风险处理计划和实施方案,计划及方案经科技发展部信息安全工作指挥小组审批后执行。 第十一条科技发展部风险管理组应对风险处理的实施情况进行跟踪,确保控制措施能够在计划时间内完成。 第十二条风险处理完成后,科技发展部风险管理组应组织相关部门对残余风险进行再评估,对于不可接受的残余风险采取进一步的控
保密风险评估与管理制度 第一条本制度规定了所采用的风险评估方法。通过识别信息资产、风险等级评估,认知公司的风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将风险控制在可接受的水平,保持公司业务持续性发展,以满足管理方针的要求。 第二条本制度适用于第一次完整的风险评估和定期的再评估。在辨识资产时,本着尽量细化的原则进行,但在评估时我司又会把资产按照系统进行规划。辨识与评估的重点是信息资产,不区分物理资产、软件和硬件。 第三条技术部负责牵头成立风险评估小组。 第四条风险评估小组每半年至少一次,或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后,负责编制风险评估计划,确认评估结果,形成《风险评估报告》。 第五条各部门负责部门使用或管理的信息资产的识别和风险评估,并负责部门所涉及的信息资产的具体安全控制工作。 第六条各部门负责人负责部门的信息资产识别。技术部经理负责汇总、校对全公司的信息资产。 第七条技术部负责风险评估的策划。
第八条技术部牵头成立风险评估小组,小组成员至少应该包含:管理保密部门的成员、重要责任部门的成员。 第九条信息资产 1)软件:应用软件、系统软件和适用程序等。 2)硬件:计算机设备、通讯设备、可移动介质和其他设 备。 3)数据:数据库数据、系统文档、计划、报告、用户手 册、客户配置策略等 4)服务:培训服务、租赁服务、公用设施(能源、电力)。 5)文档:纸质的各种文件、传真、电报、财务报告、发 展计划等 6)人员:人员的资格、技能和经验。 7)其他:组织的声誉、商标、形象。 第十条本公司的资产范围包括: 系统文件、研究信息、用户手册、培训教材、培训操作、培训软件、支持性程序、业务连续性计划、应变安排、审核记录、审核的追踪、归档信息。 第十一条评估程序 本评估应考虑:范围、目的、时间、效果、组织文化、人员素质以及具体开展的程度等因素来确定,使之能够与组织的环境和安全要求相适应。 第十二条资产属性赋值
***软件有限公司 信息安全风险评估指南
变更记录
信息安全风险评估指南 1、本指南在编制过程中主要依据了国家政策法规、技术标准、规范与管理要求、行业标准并得到了 无锡新世纪信息科技有限公司的大力支持。 1.1政策法规: ?《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号) ?《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(国信办[2006]5号) 1.2国际标准: ?ISO/IEC 17799:2005《信息安全管理实施指南》 ?ISO/IEC 27001:2005《信息安全管理体系要求》 ?ISO/IEC TR 13335《信息技术安全管理指南》 1.3国内标准: ?《信息安全风险评估指南》(国信办综[2006]9号) ?《重要信息系统灾难恢复指南》(国务院信息化工作办公室2005年4月) ?GB 17859—1999《计算机信息系统安全保护等级划分准则》 ?GB/T 18336 1-3:2001《信息技术安全性评估准则》 ?GB/T 5271.8--2001 《信息技术词汇第8部分:安全》 ?GB/T 19715.1—2005 《信息技术安全管理指南第1部分:信息技术安全概念和模型》 ?GB/T 19716—2005 《信息安全管理实用规则》 1.4其它 ?《信息安全风险评估方法与应用》(国家863高技术研究发展计划资助项目(2004AA147070)) 2、风险评估 2.1、风险评估要素关系模型 风险评估的出发点是对与风险有关的各因素的确认和分析。下图中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性,也是风险评估要素的一部分。风险评估的工作是围绕其基本要素展开的,在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。如下模型表示了各因素的关系:
XX股份有限公司 信息安全风险评估管理规定 第一节总则 第一条目的 为了尽可能的发现企业中存在的信息安全隐患,降低信息安全事件发生的可能性,特制定本规定。 第二条适用范围 本规定描述了信息安全风险识别、评估过程,适用于信息安全风险识别、评估管理活动。 第三条定义 信息安全风险:指在信息化建设中,各类应用系统及其赖以运行的基础网络、处理的数据和信息,由于其可能存在的软硬件缺陷、系统集成缺陷等,以及信息安全管理中潜在的薄弱环节,而导致的不同程度的安全风险。 第四条角色职责 一、信息部负责组织建立风险评估小组,对信息安全风险进行评估、管理。 二、风险评估小组负责对公司各信息系统进行风险评估工作。 三、其他相关业务部门负责组织对各自分管信息系统的安全风险进行控制。
第二节管理规程细则 第五条管理规定 一、风险评估流程 二、风险评估准备 信息部负责组织各部门做好风险准备工作,包括: (一)确定风险评估方法及接受准则; (二)确定风险评估计划; (三)确定风险评估小组人员。 三、风险识别 信息安全风险识别包括资产识别、威胁识别、脆弱性识别三部分内容。 (一)资产的识别
1. 信息部每年按照要求负责本公司信息资产的识别,确定资产价值。 2.资产分类 根据资产的表现形式,可将资产分为人员、软件、硬件、电子数据、文档、服务、人员、物理区域七类。 3. 资产(A)赋值 资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析。 (1)机密性赋值 根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。
ISO27001信息安全风险评估程序 1.目的 本文件为公司执行信息安全风险评估提供指导和规范。 本程序的运行结果产生《风险评估报告-(加注日期)》。 公司依据风险评估报告编制风险处理计划。 2.适用范围 本程序适用风险评估所涉及的所有部门。 风险评估工作组成员据此执行风险评估活动。 其他相应员工据此理解风险评估的过程,完成自己职责范围内风险评估相关工作。 3.风险评估的实施频率及评审 公司规定风险评估活动要定期进行,常规的风险评估每年执行一次,执行风险评估前应对本程序进行评审。 遇到以下情况,公司也将启动风险评估: 增加了大量新的信息资产; 业务环境发生了重大的变化; 发生了重大信息安全事件。 4.风险评估方法 根据GB/T22080-2008/ISO/IEC27001:2005和ISO/IEC TR 13335-3,公司采用“详细风险分析方法(Detailed Risk Approach)”来实施风险评估,该方法主要包括: 风险分析:识别资产、威胁、脆弱性、影响和可能性 风险评价:风险=影响×可能性 5.风险评估流程 公司风险评估流程如下图所示:
5.1.确定风险评估范围 在执行风险评估前,由信息安全领导小组负责,确定本次风险评估的范围,并明确传达给风险评估工作组。 5.2.建立风险评估工作组 在执行风险评估前,由信息安全领导小组负责,建立风险评估工作组,并明确工作组成员职责。 5.3.识别风险
5.3.2.识别威胁及威胁可利用的脆弱性(依下表)。 5.4.分析和评价风险 5.4.1.分析和评价风险发生后对公司的影响(依下表)。 风险发生后对公司影响的赋值准则 5.4.2.分析和评价风险发生的可能性(依下表)。
风险评估的依据标准 在信息安全产业界,风险评估早已不是陌生话题,几年以来,各安全公司完成的风险评估项目已不在少数,甚至在几乎所有的信息安全服务厂商中,风险评估都是其核心业务。 风险评估的核心不仅仅是理论,更是实践。风险评估的实践工作是很困难的,据国外的统计数字显示,只有60%的风险评估是成功的。国内的风险评估工作面临的挑战更多,需要一定时间的积累和沉淀,就像要成为一个好的中医,要有个学和练的过程一样。 有人认为风险评估只是一个看病的过程,其实,看病就是在治病。因此,笔者就"看病治病"的风险评估过程的几个方面简单谈谈自己的心得与体会。 1. 定义--什么是完整意义的风险评估 何为完整意义的风险评估须从各个角度去观察,既要客观,又要全面。古语云:"横看成岭侧成峰,远近高低各不同。不识庐山真面目,只缘身在此山中。"故所谓信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。在风险评估中,最终要根据对安全事件发生的可能性和负面影响的评估来识别信息系统的安全风险。与信息系统的安全风险密切相关的因素包括: (1)使命:即一个单位通过信息技术手段实现的工作任务。一个单位的使命对信息系统和信息的依赖程度越高,风险评估的任务就越重要。
(2)资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。 (3)资产价值:资产的敏感程度、重要程度和关键程度。 (4)威胁:一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果。 (5)脆弱性:信息资产及其安全措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。 (6)事件:如果威胁主体能够产生威胁,利用资产及其安全措施的脆弱性,那么实际产生危害的情况称之为事件。 (7)风险:由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。 (8)残余风险:采取了安全措施,提高了信息安全保障能力后,仍然可能存在的风险。 (9)安全需求:为保证单位的使命能够正常行使,在信息安全保障措施方面提出的要求。 (10)安全措施:对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。 在这些要素中,尤其需要注意一个概念:残余风险。之所以提出这个概念,原因在于:1)风险不可能完全消除。信息技术在发展,外部环境在变化,信息系统本身也要发生变化,信息安全的动态性致使不可能完全消除未来发生安全事件的风险。2)风险不必要完全消除。资产的价值以及信息安全的投入之间的
各保监局,保监会机关各部门,国有保险公司监事会,中国保险行业协会,中国保险学会,各保险公司、保险资产管理公司,全国金融标准化技术委员会保险分技术委员会:全国金融标准化技术委员会保险分技术委员会(以下简称保标委)制定了《保险信息安全风险评估指标体系规范》(标准编号为JR/T0058-2010),并通过了审查,按照《全国金融标准化技术委员会保险分技术委员会章程》,现予以发布,请遵照执行。 中国保险监督管理委员会 二○一○年七月十三日 ------------------------------------------------------ 保险信息系统安全问题关系保险业发展全局,也关系到社会经济的稳定。目前,在对保险机构的开业审核与常规检查中,由于保险业没有完善的信息安全标准制度体系,仅在《保险公司分支机构开业统计与信息化建设验收指引》中有部分说明。在监管过程中,针对特定信息安全工作发布了如《保险业信息系统灾难恢复管理指引》等规范指引,但尚未形成体系化的要求。因此,保险行业亟需一套科学、合理的信息安全保障能力指标体系,辅助监管部门进行有效监管,引导保险机构合理建设,促进保险行业长期健康地发展。 一、指标体系与保险安全监管 保险监管机关充分认识到保险业信息安全监管的重要性,在对保险公司进行充分调研的基础上,提出以下新思路: ●通过充分调研及科学的指标选取方法选择信息安全能力指标体系的安全要素、指标,使其客观、合理; ●通过科学规范的指引对信息安全能力进行分级、分类,引导保险机构进行合理建设、适度保障; ●通过设定行业关键能力指标,突出信息安全保障能力的重点; ●通过使用信息安全能力指标的组合,即监管基线,突出监管重点、降低在信息安全检查监管工作中的难度。 二、指标体系模型框架设计 根据上述思路,保险监管机关站在全行业信息安全的战略高度,制订信息安全保障能力指标体系(简称指标体系)。本文通过对国内外信息安全理论、标准和方法的研究,结合对保险行业信息系统的网络现状、业务现状、安全现状、组织机构、管理模式、人员素质、信息流转以及发展战略等相关内容的深入调研;确定适合保险业务信息安全目标和内容的准确要求,采用综合评价法构建合理、可用、完善的指标体系。 1.指标体系确立的原则 本文在设计指标体系时遵循以下基本原则: ●符合国家有关信息与信息系统安全的法律和法规。 ●具有导向性。指标体系应能反映保险业信息安全的客观需求以及国家、行业监管部门政策措施的落实。 ●具有科学性。科学性原则是通过该指标体系应当能够客观全面地评测保险业信息安全保障能力的现状、发展水平及发展潜力,并可分析、评测保险机构信息安全建设过程中存在的问题,提高信息安全建设的质量,避免建设与应用过程中的盲目性和任意性,为制订有关政策和规划服务。 2.指标体系框架设计 指标体系框架设计是在遵循上述原则的基础上,参考《信息系统安全保障理论模型和技术框
IT信息安全风险评估控制手册 1 目的 本程序规定了DXC所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估认知DXC的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持DXC持续性发展,以满足DXC信息安全管理方针的要求。 2 范围 本程序适用于信息安全管理体系(ISMS)范围内信息安全风险评估活动。 3 相关文件 无 4 职责 4.1 管理者代表负责组织成立风险评估小组。 4.2 风险评估小组负责编制信息安全风险评估计划,确认评估结果,形成《信息安全风险评估报告》。 5 程序 5.1 风险评估前准备 5.1.1 管理者代表牵头成立风险评估小组,小组成员至少应该包含:负责信息安全管理体系的成员。 5.1.2 风险评估小组制定信息安全风险评估计划,下发各内审员。 5.1.3 必要时应对各内审员进行风险评估相关知识和表格填写的培训。
5.2信息资产的识别 5.2.1风险评估小组通过电子邮件向各内审员发放《信息资产分类参考目录》、《重要信息资产判断准则》、《信息资产识别表》,同时提出信息资产识别的要求。 5.2.2 各内审员参考《信息资产分类参考目录》识别DXC信息资产,并填写《信息资产识别表》,根据《重要信息资产判断准则》判断其是否是重要信息资产,经该区域负责人审核确认后,在风险评估计划规定的时间内提交风险评估小组审核汇总。 5.2.3 风险评估小组对各内审员填写的《信息资产识别表》进行审核,确保没有遗漏重要的信息资产,形成DXC的《重要信息资产清单》,并交由文档管理员处存档。 5.3 重要信息资产风险等级评估 5.3.1 应对《重要信息资产清单》中的所有资产进行风险评估, 评估应考虑威胁事件发生的可能性和威胁事件发生后对信息资产造成的影响程度两方面因素。 5.3.2 风险评估小组向各内审员分发《重要信息资产风险评估表》、《信息安全威胁参考表》、《信息安全薄弱点参考表》、《事件发生可能性等级对照表》、《事件可能影响程度等级对照表》。 5.3.3 各内审员根据资产本身所处的环境条件,参考《信息安全威胁参考表》识别每个信息资产所面临的威胁,针对每个威胁,识别目前已有的控制;并参考《信息安全薄弱点参考表》识别可能被该威胁所利用的薄弱点;在考虑现有的控制前提下,参考《事件发生可能性等级对照表》判断每项重要信息资产所面临威胁发生的可能性;参考《事件可能影响程度等级对照表》,判断威胁利用薄弱点可能使信息资产保密性、完整性或可用性丢失所产生的影响程度等级。将结果填写在《重要信息资产风险评估表》上,提交风险评估小组审核汇总。 5.3.4 风险评估小组考虑DXC整体的信息安全要求,对各内审员填写的《重要信息资产风险评估表》进行审核,确保风险评估水平的一致性,确保没有遗漏重要信息安全风险。如果对评估结果进行修改,应该和负责该资产的内审员进行沟通并获得该区域副总经理的确认。5.3.5 风险评估小组根据《信息安全风险矩阵计算表》计算风险等级,完成各内审员识别的《重要信息资产风险评估表》,并递交给文档管理员进行存档。
信息资产风险评估报告 Revised by Liu Jing on January 12, 2021
【最新资料,Word版,可自由编辑!】 明) 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属××有限公司咨询事业部和××有限公司所有,受到有关产权及版权法保护。任何个人、机构未经××有限公司咨询事业部和××有限公司的书面授权许可,不得复制或引用本文档的任何片断,无论通过电子形式或非电子形式。
目录 文档说明 信息资产风险评估是××信息安全咨询项目的第二阶段的主要工作,××有限公司和××公司信息安全咨询项目相关人员通过信息资产分类分组、信息资产登记、信息资产组威胁和脆弱性识别、风险分析和风险评价等过程,进行了详细的信息资产安全风险评估,评估范围为总部17个部门、山东分公司和广东分公司。 本文档是信息安全风险评估阶段的交付物,目的是描述××的信息资产中存在的风险,并提出了改善建议,为下一阶段具体风险处置措施的实施打好基础。文档结构 第1章文档说明 对本文档的目的,结构,适用范围,术语等进行了定义和说明。 第2章信息安全风险评估过程 描述××信息资产风险评估的内容与步骤。 第3章信息资产风险评估结果综述 对××信息资产风险评估的结果进行分析,对重要风险提出处置建议。 第4章各部门信息资产风险评估结果 说明××总部各部门和山东、广东两个分公司的重要风险评估结果。 适用范围 本文档为内部文档,适用于××的信息安全工作相关部门的管理层以及信息安
风险评估方法 根据ISMS项目组为××所设计的风险评估方法,并结合风险评估量化参数标准,实施了详细了风险评估,具体方法请参见文档: 1)《××信息资产风险评估方法》 2)《××信息资产风险评估量化参数标准》 风险评估范围 本次信息资产风险评估是由各部门在××顾问指导下进行的自评估,风险评估组织由项目组成员和各部门的信息安全管理员和业务骨干组成。 完整的风险管理过程包括风险评估和风险处置两个主要部分,在××信息资产风险评估过程中我们完成了风险评估所涵盖的以下过程: 信息资产识别、分组; 资产和资产资产组赋值;