下载文档原格式
信息安全风险评估实施指南目录1.范围 (1)2.引用标准与规范 (1)3.术语和定义 (1)4.评估内容与实施流程 (4)4.1评估内容 (4)4.1.1资产评估 (4)4.1.2威胁评估 (9)4.1.3脆弱性评估 (10)4.1.4现有安全措施评估 (13)4.2实施流程 (13)5.评估实施方法 (16)5.1评估准备 (16)5.1.1第1步:成立评估工作组 (16)5.1.2第2步:确定评估范围 (16)5.1.3第3步:评估动员会议 (17)5.1.4第4步:信息系统调研 (17)5.1.5第5步:评估工具准备 (17)5.2现场评估 (18)5.2.1第1步:资产评估 (18)5.2.2第2步:网络与业务构架评估 (19)5.2.3第3步:业务系统安全性评估 (20)5.2.4第4步:资产估值 (21)5.2.5第5步:威胁评估 (21)5.2.6第6步:主机安全性评估 (23)5.2.7第7步:现有安全措施审计 (24)5.2.8第8步:信息安全管理评估 (24)5.3风险分析 (25)5.3.1第1步:数据整理 (25)5.3.2第2步:风险计算 (26)5.3.3第3步:风险决策 (29)5.4安全建议 (30)5.5安全整改及二次评估 (31)6.实施的风险控制 (32)附录1:信息安全风险评估工作票(范例) (36)附录2:信息安全风险评估操作票(范例) (37)附录3:典型威胁列表 (38)附录4:现有安全措施审计记录表 (40)附件一信息安全风险评估资料准备说明1.范围本指南提出了XXXX公司信息安全风险评估的评估方法、评估内容、实施流程及其在信息系统生命周期不同阶段的实施要点,适用于电网企业开展的信息安全风险评估工作。
2.引用标准与规范●GB/T 17859-1999 《计算机信息系统安全保护等级划分准则》●GB/T 9361-2000 《计算机场地安全要求》●GB/T 18336-2001 《信息技术信息技术安全性评估准则》●GB/T 19715.1-2005 《信息技术信息技术安全管理指南》●GB/T 19716-2005 《信息技术信息安全管理实用规则》●GB/T XXXX-XXXX 《信息安全风险评估指南(送审稿)》●《XXXX公司网络与信息安全评估规范(试行)》3.术语和定义资产Asset专指信息资产,是在信息化建设过程中积累起来的信息系统、信息数据、生产或服务能力、人员能力和应得的信誉,是安全策略保护的对象。
信息安全风险评估管理办法第一章总则第一条为规范信息安全风险评估(以下简称“风险评估”)及其管理活动,保障信息系统安全,依据国家有关规定,结合本省实际,制定本办法。
第二条本省行政区域内信息系统风险评估及其管理活动,适用本办法。
第三条本办法所称信息系统,是指由计算机、信息网络及其配套的设施、设备构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。
本办法所称重要信息系统,是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统。
本办法所称风险评估,是指依据有关信息安全技术与管理标准,对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完整性和可用性等安全属性进行评价的活动。
第四条县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查.跨省或者全国统一联网运行的重要信息系统的风险评估,可以由其行业管理部门统一组织实施.涉密信息系统的风险评估,由国家保密部门按照有关法律、法规规定实施。
第五条风险评估分为自评估和检查评估两种形式。
自评估由信息系统的建设、运营或者使用单位自主开展。
检查评估由县以上信息化主管部门在本行政区域内依法开展,也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行,双方实行互备案制度。
第二章组织与实施第六条信息化主管部门应当定期发布本行政区域内重要信息系统目录,制定检查评估年度实施计划,并对重要信息系统管理技术人员开展相关培训。
第七条江苏省信息安全测评中心为本省从事信息安全测评的专门机构,受省信息化主管部门委托,具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训,组织开展全省重要信息系统的外部安全测试.第八条信息系统的建设、运营或者使用单位可以依托本单位技术力量,或者委托符合条件的风险评估服务机构进行自评估。
第九条重要信息系统新建、扩建或者改建的,在设计、验收、运行维护阶段,均应当进行自评估。
重要信息系统废弃、发生重大变更或者安全状况发生重大变化的,应当及时进行自评估。
信息安全风险评估管理制度一、引言信息安全是当今社会中非常重要的一个问题,随着信息技术的迅猛发展,人们对于信息的获取、传输和存储越来越依赖于电子设备和网络系统。
然而,信息安全风险也随之而来,给个人、企业和国家带来了巨大的威胁。
为了能够更好地应对信息安全风险,各个组织应当建立一套完善的信息安全风险评估管理制度。
二、背景1. 信息安全风险的定义和重要性信息安全风险是指在信息系统中,由于各种内外因素的存在,导致信息资产遭到破坏、丢失、泄露或未经授权的访问,进而产生不可预见的负面影响的可能性。
信息安全风险不仅会损害组织的信誉,还可能导致金融损失、法律责任等严重问题。
2. 信息安全风险评估的目的和意义信息安全风险评估是指对组织的信息系统进行全面的风险辨识、评估和控制的过程。
通过信息安全风险评估,组织可以及时识别和评估潜在的安全风险,采取相应的风险控制措施,确保信息系统的稳定运行和数据的安全。
三、信息安全风险评估管理制度的要求1. 组织架构信息安全风险评估管理制度应明确相关责任部门和人员,并建立健全的组织架构,以确保信息安全风险评估工作的顺利开展。
2. 风险评估方法制定适用于组织的信息安全风险评估方法,包括但不限于定性评估、定量评估、综合评估等,以确保评估结果客观准确。
3. 风险辨识和评估建立信息安全风险辨识和评估的程序和方法,对组织的信息系统进行全面、系统的风险辨识和评估,识别出潜在的风险点和薄弱环节。
4. 风险控制和监测根据风险评估结果,制定相应的风险控制策略和措施,确保信息系统的安全运行。
同时,建立风险监测和报告机制,及时掌握信息安全风险的动态,做出相应的应对措施。
5. 信息安全培训和宣传加强员工的信息安全意识,通过信息安全培训和宣传,提高员工对信息安全的重视程度,减少信息安全风险的发生。
6. 审计和改进定期对信息安全风险评估管理制度进行审计,及时发现和解决制度中存在的问题和不足,不断改进,提升信息安全风险评估管理水平。
企业信息安全风险评估方案知识域:信息安全风险评估•:•知识子域:风险评估流程和方法■掌握国家对开展风险评估工作的政策要求■理解风险评估、检查评估和等级保护测评之间的关系掌握风险评估的实施流程:风险评估准备、资产识别、威胁评估、脆弱性评估、已有安全措施确认、风险分析、风险评估文档记录-理解走量风险分析和定性风险分析的区别及优缺点理解自评估和检查评估的区别及优缺点■掌握典型风险计算方法:年度损失值(ALE)、矩阵法、相乘法掌握风险评估工具:风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具1、《国家信息化领导小组关于加强信息安全保障工作的意见》仲办发[2003]27号)中明确提出 :”要重视信息安全风险评估工作”对网络与信息系统安全的潜在威胁.薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性.涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理〃国家对开展风险评估工作的政2、《国家网络与信息安全协调小组〈关于开展信息安全风险评估工作的意见〉》(国信办[2006 】5号文)中明确规定了风险评估工作的相关要求:风险评估的基本内容和原则开展风险评估工作的有关安排风险评估工作的基本要求K信息安全风险评估工作应当贯穿信息系统全生命周期。
在信息系统规划设计阶段,通过信息安全风险评估工作,可以明确信息系统的安全需求及其安全目标,有针对性地制定和部署安全措施”从而避免产生欠保护或过保护的情况。
2、在信息系统建设完成验收时,通过风险评估工作可以检验信息系统是否实现了所设计的安全功能, 是否满足了信息系统的安全需求并达到预期的安全目标。
3. 由于信息技术的发展.信息系统业务以及所处安全环境的变化,会不断出现新的信息安全风险,因此,在信息系统的运行阶段,应当定期逬行信息安全风险评估,以检验安全措施的有效性以及对安全环境的适应性。
当安全形势发生重大变化或信息系统使命有重大变更时,应及时逬行信息安全风险评估。
信息安全风险评估管理制度第一章:总则为了保障公司的信息安全,合理评估和管理信息系统中存在的风险,提高信息资产的保护水平,依法合规运营企业,订立本《信息安全风险评估管理制度》。
第二章:评估管理机构第一节:评估管理机构的组织设置1.公司信息技术部门负责评估管理机构的组织设置和日常工作协调。
2.评估管理机构由信息技术部门安全团队负责,成员包含信息技术部门员工和相关职能部门的代表。
第二节:评估管理机构的职责1.组织和协调信息安全风险评估工作。
2.研究、订立和完善信息安全风险评估的流程和方法。
3.监督和检查各部门的信息安全风险评估工作。
4.帮助各部门解决评估工作中的问题和难题。
5.定期向公司领导层报告信息安全风险评估情况。
第三节:评估管理机构的权利和义务1.评估管理机构有权要求各部门供应相关评估料子和数据。
2.评估管理机构有权对各部门的评估工作进行抽查和复核。
3.评估管理机构应当乐观搭配其他部门开展信息安全教育和培训工作。
4.评估管理机构应当保守评估过程中涉及的信息,对评估结果保密。
5.评估管理机构应当定期对评估流程和方法进行总结和改进。
第三章:评估工作流程第一节:评估目标确定1.各部门依照公司确定的评估周期和要求,订立评估目标。
2.评估目标应当明确、具体、可衡量,涵盖系统、网络、应用、设备和数据等方面。
3.评估目标应当与公司的信息安全政策和目标相全都。
第二节:评估范围确定1.各部门依照评估目标,确定评估范围。
2.评估范围应当包含系统、网络、应用、设备和数据等关键要素。
3.评估范围应当掩盖公司内部和外部的信息安全风险。
第三节:评估方法选择1.各部门综合考虑评估范围和目标,选择适合的评估方法。
2.评估方法包含但不限于自查、抽查、外部审核等方式。
3.评估方法应当科学、合理、公正,确保评估结果准确有效。
第四节:评估过程实施1.各部门依照评估方法,组织评估过程的实施。
2.评估过程应当全面、细致、严谨,确保掩盖评估范围的关键要素。
文件制修订记录1、目的本程序规定了本公司信息安全风险管理的内容和过程。
通过识别信息资产、风险等级评估,认知本公司的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持本公司业务持续性发展,以满足本公司信息安全管理方针的要求。
2、范围本指南适用于信息系统风险的初始评估与风险处置、变更评估与变更后的风险处置、定期的风险再评估与风险处置。
3、参考文件3.1ISO/IEC27001:2022《信息安全管理体系要求》3.2ISO/IEC27002:2022《信息技术网络安全与隐私保护信息安全控制》4、定义4.1资产通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。
4.2资产价值资产是有价值的,资产价值可通过资产的敏感程度、重要程度和关键程度来表示。
4.3威胁一个单位的信息资产的安全可能受到的侵害。
威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果。
4.4脆弱性信息资产及其安全措施在安全方面的不足和弱点。
脆弱性也常常被称为漏洞。
4.5事件如果威胁主体能够产生威胁,利用资产及其安全措施的脆弱性,那么实际产生危害的情况称之为事件。
4.6风险由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。
风险由安全事件发生的可能性及其造成的影响这两种指标来衡量。
4.7残余风险采取安全措施对风险进行处理,提高了信息安全保障能力后,仍然可能存在的风险。
4.8安全需求为保证单位的使命能够正常行使,在信息安全保障措施方面提出的要求。
4.9措施对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。
4.10风险评估通过一定的步骤和技术手段来评估信息系统安全风险的过程,并判断风险的优先级,建议处理风险的措施。
风险评估也称为风险分析,是风险管理的一部分。
信息安全管理制度附件信息安全风险评估管理程序信息安全风险评估管理程序第一章概述为了规范信息安全风险评估工作,提高信息安全管理水平,保证信息安全,制定本程序。
第二章工作范围本程序适用于公司内部对信息系统和信息资源进行安全风险评估的全部过程。
第三章责任1. 信息安全管理部门负责本程序的执行和监督。
2. 系统管理员负责信息系统和信息资源的风险评估工作。
3. 相关部门应主动配合信息安全管理部门和系统管理员开展安全风险评估工作。
第四章评估流程1. 评估组成员的确定评估组由系统管理员和信息安全管理部门的专业人员组成。
评估组成员应具有信息安全领域的相关知识和经验。
2. 现场勘察评估组成员在现场勘察时要对系统构架、信息资源进行详细的检查,了解安全管理制度的执行情况,收集相关信息。
3. 风险识别在现场勘察后,评估组要对发现的问题进行分析和评估,并识别可能存在的风险。
4. 风险评估评估组要根据风险的概率、影响程度等因素对风险进行评估,确定风险等级。
5. 风险报告评估组应编写风险评估报告,报告内容包括评估结果、存在风险、建议措施等,并提供详细的技术支持。
6. 风险控制针对风险评估报告提出的存在风险和建议措施,评估组应采取有效措施,控制风险。
7. 风险跟踪评估组应对风险控制措施进行跟踪,确保控制措施的有效性。
第五章评估方法1. 定性分析法通过实地调查,结合公司实际情况,对所有潜在的信息安全风险进行分析,得出相应的意见和建议。
2. 定量分析法建立风险评估模型,根据各种因素的权重,对风险进行定量分析。
第六章安全风险等级根据风险评估结果,将风险划分为高、中、低三个等级。
第七章安全风险评估报告1. 报告开头呈现评估主题、评估组成员、评估时间、评估范围等相关信息。
2. 风险评估结果将评估结果按风险等级进行分类,明确各种风险的范围,描述风险的关键特征。
3. 存在风险和控制建议对于识别和评估出的风险,提供相应的控制建议,包括技术和管理措施,以及建议的优先级。
信息安全风险评估的方法和步骤随着互联网技术的发展,信息技术应用的不断深入,信息安全的重要性越来越受到企业和机构的关注。
为了更好地保护企业和机构的信息资产,评估风险是一项重要的工作。
那么如何进行信息安全风险评估呢?下面将介绍评估风险的方法和步骤。
一、方法1. 定性与定量风险评估定性评估是通过专家意见和分析系统流程等方式来推测风险的可能性和影响程度,具有操作简单和成本较低的特点。
定量评估是通过统计和分析数据来计算风险的可能性和影响程度,具有准确性高和可重复性好的特点。
2. 主动与被动评估主动评估是指通过模拟安全攻击和漏洞扫描等方式来评估系统的漏洞和威胁,具有针对性强的特点。
被动评估是指通过监视和检测网络流量和活动来评估系统的漏洞和威胁,具有被动性和无侵入性的特点。
3. 综合评估综合评估是指将多种评估方法结合起来,综合分析和评估系统的风险。
通常包括识别系统资产和威胁,评估威胁的可能性和影响程度,确定风险等级和建立风险报告等步骤。
二、步骤1. 系统资产识别系统资产是指企业或机构所拥有的信息和技术资源,包括硬件、软件、数据、人员等。
针对每个资产进行识别和分类,确定其重要性和价值,是评估风险的第一步。
2. 威胁识别威胁是指针对系统资产的潜在攻击和破坏,包括网络攻击、恶意软件、内部威胁等。
通过分析系统的漏洞和常见攻击方式等,识别和评估系统所面临的不同类型的威胁。
3. 威胁评估威胁评估是指评估不同威胁对系统的潜在影响程度和可能性。
通常采用定性或定量方法进行评估,包括基于风险度量等级的风险评估和概率分析。
4. 确定风险等级根据威胁的影响程度和可能性,确定系统的风险等级,并将其划分为高、中、低三个等级。
高风险等级的风险需要立即解决和处理,中风险等级的风险需要定期监控和管理,低风险等级的风险可以在管理计划中进行考虑。
5. 风险报告和管理计划最后,根据评估结果,编制风险报告和管理计划。
风险报告应该包含系统资产、威胁识别、威胁评估和风险等级等内容,为决策者提供有效的参考和支持。
信息安全风险评估方案清晨的阳光透过窗帘的缝隙,洒在键盘上,伴随着咖啡机的咕咕声,我开始构思这个信息安全风险评估方案。
十年的经验告诉我,这是一个需要细心和耐心的过程,我要把所有的细节都考虑到。
我们要明确风险评估的目的。
简单来说,就是找出公司信息系统中的漏洞和风险点,然后制定相应的防护措施。
这就像给公司的网络系统做个体检,看看哪里有问题,然后开个方子治疗。
一、风险评估准备阶段1.确定评估范围:这个阶段,我们要确定评估的范围,包括公司的网络架构、硬件设备、软件系统、数据资源等。
这就像医生先要了解病人的病史和症状。
2.收集信息:我们要收集相关资料,包括公司的安全策略、网络拓扑图、系统配置信息等。
这相当于医生要检查病人的身体各项指标。
3.确定评估方法:评估方法有很多种,比如问卷调查、漏洞扫描、渗透测试等。
我们要根据实际情况,选择合适的方法。
这就好比医生根据病人的情况,选择合适的检查手段。
二、风险评估实施阶段1.问卷调查:通过问卷调查,了解员工对信息安全的认识和操作习惯。
这就像医生询问病人的生活习惯,了解病情的起因。
2.漏洞扫描:使用专业工具,对公司网络设备、系统、应用等进行漏洞扫描。
这就像医生用仪器检查病人的身体,找出潜在的问题。
3.渗透测试:模拟黑客攻击,测试公司信息系统的安全性。
这相当于医生让病人做一些特殊的动作,看看身体是否会出现异常。
三、风险评估分析与报告1.分析数据:整理收集到的数据,分析公司信息系统的安全状况。
这就像医生分析病人的检查结果,找出问题所在。
2.编制报告:根据分析结果,编写风险评估报告。
报告要包括风险评估的结论、存在的问题、风险等级等。
这就好比医生给病人出具的诊断报告。
四、风险评估后续工作1.制定整改措施:针对评估报告中指出的问题,制定相应的整改措施。
这就像医生给病人开具的治疗方案。
2.实施整改:根据整改措施,对公司信息系统进行升级和优化。
这就像病人按照医生的建议,进行治疗。
3.跟踪检查:整改完成后,要定期进行跟踪检查,确保信息安全。
**信息安全风险评估管理办法目录总则为确保**网络及信息系统安全、高效、可控的运行,提高业务系统安全运行能力,全面降低信息安全风险,特制定本管理办法。
组织与责任信息安全管理组负责信息安全风险评估的具体实施。
技术支撑部门协助信息安全管理执行组的信息安全风险评估工作,并且实施信息安全管理执行组通过风险评估后提供的解决方案与建议。
其他部门协助信息安全管理执行组开展信息安全风险评估工作。
信息安全风险评估规定弱点分析概述弱点评估是安全风险评估中最主要的内容。
弱点是信息资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害。
弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的弱点。
弱点检查信息安全管理组应定期对集团IT系统进行全面的信息安全弱点检查,了解各IT系统的信息安全现状。
IT系统安全检查的范围包括:主机系统、网络设备、安全设备、数据库系统、应用系统、邮件系统以及其它在用系统。
IT系统安全检查的工具与方法如下:1. 工具检查:针对IT设备建议采用专用的脆弱性评估工具进行检查,如Nessus、BurpSuite等工具,针对应用系统及代码安全检查,建议采用商业专用软件进行检查,如IBM AppScan。
2. 手工检查:由信息安全专员或技术支撑部门相关人员参照相关的指导文档上机进行手工检查。
信息安全检查工作开展前,信息安全管理组需制定安全检查计划,对于部分可用性要求高的业务系统或设备,计划中要明确执行的时间,并且该计划要通知相关部门与系统维护人员,明确相关人员的及部门的职责与注意事项。
信息安全管理组与外服公司针对信息安全检查须制定《安全检查方案》,方案中,针对工具扫描部分需明确扫描策略,同时方案必须提供规避操作风险的措施与方法。
并且该方案必须获得技术支撑部领导批准。
信息安全管理组应对IT系统安全检查的结果进行汇总,并进行详细分析,提供具体的安全解决建议,如安全加固、安全技术引进等。
当发生重大的信息安全事件,信息安全管理组应在事后进行一次全面的安全检查,并通过安全检查结果对重要的安全问题进行及时解决。
常见的弱点种类分为:1. 技术性弱点:系统,程序,设备中存在的漏洞或缺陷,比如结构设计问题或编程漏洞;2. 操作性弱点:软件和系统在配置,操作,使用中的缺陷,包括人员在日常工作中的不良习惯,审计或备份的缺乏;3. 管理性弱点:策略,程序,规章制度,人员意识,组织结构等方面的不足;识别弱点的途径包括审计报告,事件报告,安全复查报告,系统测试及评估报告,还可以利用专业机构发布的列表信息。
当然,许多技术性和操作性弱点,可以借助自动化的漏洞扫描工具和渗透测试等方法来识别和评估。
在对生命周期敏感的资产评估过程中,应注意从创建,使用,传输,存储,销毁等不同的阶段识别弱点。
弱点的发现随着新应用,新技术的出现,需要不断更新完善弱点列表。
弱点赋值信息资产弱点为IT设备自身存在的安全问题。
在**,弱点的严重性以暴露程度进行评价,即弱点被利用的难易程度,而弱点对资产安全影响的严重程度放在资产价值中去考虑,一个弱点可能导致多项不同价值资产的风险上升。
参考业界的最佳实践,采用的等级划分如下:将弱点严重性分为4个等级,分别是非常高(VH)、高(H)、中等(M)、低(L),并且从高到低分别赋值4-1。
赋值标准参照下表。
威胁分析概述安全威胁是一种对系统、组织及其资产构成潜在破坏的可能性因素或者事件。
产生安全威胁的主要因素可以分为人为因素和环境因素。
人为因素包括有意因素和无意因素。
环境因素包括自然界的不可抗力因素和其它物理因素。
威胁来源分析信息系统的安全威胁来源可考虑以下方面:威胁来源表威胁种类分析对安全威胁进行分类的方式有多种多样,针对上表威胁来源,需要考虑下述的安全威胁种类。
表中列举的威胁种类随着新技术新应用的出现,需要不断更新完善。
威胁种类列表威胁赋值威胁发生的可能性是一个动态的,需要综合分析得出,在此可采用如下最佳实践的赋值标准,通过实际经验对威胁的可能性赋值。
赋值标准参照下表:威胁赋值列表风险计算概述风险是一种潜在可能性,是指某个威胁利用弱点引起某项资产或一组资产的损害,从而直接地或间接地引起组织的损害。
因此,风险和具体的资产威胁等级以及相关的弱点直接相关。
风险评估包括风险的计算、风险的处置和风险的安全对策选择。
风险计算采用下面的算术方法来得到信息资产的风险值:风险值=资产值×威胁值×弱点值风险等级与风险值对应关系参考下图:风险级别列表风险等级计算结果如下:根据计算出的风险值,对风险进行排序,并根据组织自身的特点和具体条件、需求,选择相应的风险处置方式。
风险处置概述风险的处置方法依照风险程度,根据风险等级来采取不同的处置方法。
风险程度和遵照的处置方法建议见下表:风险等级列表选择处置措施的原则是权衡利弊:权衡每种选择的成本与其得到的利益。
当风险已经定义后,必须决定如何处置这些风险。
风险处置方法在考虑风险处理前,如果经评估显示,风险较低或处理成本对于组织来说不划算,则风险可被接受。
这些决定应加以记录。
通常有四种风险处置的方法:1.避免风险:在某些情况下,可以决定不继续进行可能产生风险的活动来规避风险。
在某些情况可能是较为稳妥的处理办法,但是在某些情况下可能会因此而丧失机会。
例如,将重要的计算机系统与互联网隔离,使其免遭来自外部网络的攻击。
2.降低风险:实施有效控制,将风险降低到可接受的程度,实际上就是力图减少威胁发生的可能性和带来的影响,包括:●减少威胁:例如,建立并实施恶意软件控制程序,减少信息系统受恶意软件攻击的机会;●减少弱点:例如,通过安全教育和意识培训,强化职员的安全意识与安全操作能力;●降低影响:例如,制定灾难回复计划和业务连续性计划,做好备份。
3.转移风险:这涉及承担或分担部分风险的另一方。
手段包括合同、保险安排、合伙、资产转移等。
4.接受风险:不管如何处置,一般资产面临的风险总是在一定程度上存在。
当组织根据风险评估的方法,完成实施选择的控制措施后,会有残余的风险。
残余风险可能是组织可以接受的风险,也可能是遗漏了某些信息资产,使其未受保护。
为确保组织的信息安全,残余风险应该控制在可以接受的范围之内。
风险接受是对残余风险进行确认和评价的过程。
在实施安全控制措施后,组织应该对安全措施的情况进行评审,即对所选择的控制在多大程度上降低了风险做出判断。
通过成本利益分析、影响分析及风险回顾,即在继续处置需要的成本和风险之间进行抉择。
风险接受要符合风险可接受准则,即风险评估结果中风险值为2及以下,都是可以接受的风险,最终上报给最高领导,待领导批准是否选择接受风险。
风险处置流程选择控制项在大多数情况下,必须选择控制项来降低风险。
在完成风险评估之后,组织需要在每一个目标信息环境中,对选择的控制项进行实施,以便遵从ISO/27001标准。
组织选择能够承受(经济上)的防护措施来防护面临的威胁。
在最终风险处置计划出来前,组织可以接受或拒绝建议的保护方案。
风险处置计划风险处置计划包含所有相关信息:管理任务和职责、管理责任人、风险管理的优先等级等等(详见附录《风险处置计划表》)。
对组织来讲,有一些附加控制在标准中没有描述,但也是需要的。
一个由外部咨询顾问协助的风险评估会很有帮助。
控制项的实施通过风险处置计划的实施,组织应该尽其所能针对等级保护中的标准内容在管理、技术、逻辑、物理和环境控制方面进行劝止、防护、检测、纠正、恢复和补偿工作。
如下表所示。
表中所列举的风险问题及处置措施随着新应用,新技术的出现,需要不断更新完善。
部分风险处置建议表控制措施及其定义的原则1.防护:保护或降低资产的脆弱性;2.纠正:降低风险和影响的损失;3.检测:检测攻击和安全的脆弱性,针对攻击建立防护和纠正措施;4.恢复:恢复资源和能力;5.补偿:对控制措施的替代方案。
同时应该咨询信息安全专家和法律专家,确保控制措施的选择和实施是正确、有效的。
IT需求评估决策流程在评估一个需求(资产)的风险时,应从两个角度分别进行评估。
通常的风险评估是针对该资产本身所面临的风险,采取的处置方式也是出于保护该资产信息安全的目的。
同时还需要考虑随着该资产的应用所引入的新威胁,可能会导致现有的资产风险等级提升。
因此在评估一个需求是否符合安全要求时,应遵循以下步骤:1.全面识别需求中所涉及的IT资产等级,分析这些资产的脆弱性,面临的威胁和问题,评估资产的风险等级,给出相应的处置措施。
2.全面识别需求所引入的新威胁,分析这些威胁对已经经过评估的现有资产所造成的影响,如果这些新威胁导致某项资产的风险等级超过了2级,则必须采取相应的处置措施。
3.对需求进行评估决策,分析自身存在的风险和引入的风险,以及需要采取的处置措施,措施所需要增加的投资,以及业务的重要性。
根据信息安全方针策略中所定义的基本原则策略来决策对需求的处理方式。
奖惩管理规定1. 本办法要求定期执行相关安全评估工作。
相关组织与部门应在信息化管理部信息安全组进行风险评估时提供相关的支持与帮助,积极配合信息安全风险评估工作,如果部门不配合相关的风险评估工作,而发生信息安全事件,综合部门应视情况对该部门进行教育、批评、罚款等处理。
2. 在信息安全风险评估过程中,发现某部门或系统高风险事项较多,信息化管理部信息安全组应视情况对部门或相关维护人进行通报批评。
3. 在风险评估过程中,发现上次风险未进行加固或解决,信息化管理部信息安全组应进行通报批评,如果多次评估发现安全风险未解决,应报告综合部进行相关处罚。
4. 如违反本管理办法,造成公司严重损失,公司视情况终止该员工劳动合同或移交公安机关。
附则1. 本办法发布之日起生效,由信息化管理部信息安全组负责编制。
2. 本办法的解释和修改权属于信息化管理部信息安全组。
3. 本办法中涉及有关人力资源管理相关内容的部分,以公司的综合部人力管理相关文件为准。
定期统一检查和评估本制度,并做出适当更新。
在业务环境和安全需求发生重大变化时,也将对制度进行检查和更新。
附录一:安全检查申请单附录二:安全检查方案模版附录三:风险处置计划表。
