下载文档原格式
7月24日,公安部网站发布四部门联合制定的《信息安全等级保护管理办法》,全文如下:第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
加强网络和信息安全管理工作方案加强网络和信息安全管理工作方案1一、建立健全网络和信息安全管理制度各单位要按照网络与信息安全的有关法律、法规规定和工作要求,制定并组织实施本单位网络与信息安全管理规章制度。
要明确网络与信息安全工作中的各种责任,规范计算机信息网络系统内部控制及管理制度,切实做好本单位网络与信息安全保障工作。
二、切实加强网络和信息安全管理各单位要设立计算机信息网络系统应用管理领导小组,负责对计算机信息网络系统建设及应用、管理、维护等工作进行指导、协调、检查、监督。
要建立本单位计算机信息网络系统应用管理岗位责任制,明确主管领导,落实责任部门,各尽其职,常抓不懈,并按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实履行好信息安全保障职责。
三、严格执行计算机网络使用管理规定各单位要提高计算机网络使用安全意识,严禁涉密计算机连接互联网及其他公共信息网络,严禁在非涉密计算机上存储、处理涉密信息,严禁在涉密与非涉密计算机之间交叉使用移动存储介质。
办公内网必须与互联网及其他公共信息网络实行物理隔离,并强化身份鉴别、问控制、安全审计等技术防护措施,有效监控违规操作,严防违规下载涉密和敏感信息。
通过互联网电子邮箱、即时通信工具等处理、传递、转发涉密和敏感信息。
四、加强、微信公众平台信息发布审查监管各单位通过站、微信公众平台在互联网上公开发布信息,要遵循涉密不公开、公开不涉密的原则,按照信息公开条例和有关规定,建立严格的审查制度。
要对上发布的信息进行审核把关,审核内容包括:上网信息有无涉密问题;上网信息目前对外发布是否适宜;信息中的文字、数据、图表、图像是否准确等。
未经本单位领导许可严禁以单位的名义在网上发布信息,严禁交流传播涉密信息。
坚持先审查、后公开,一事一审、全面审查。
各单位网络信息发布审查工作要有领导分管、部门负责、专人实施。
严肃突发、敏感事(案)件的`新闻报道纪律,对民族、、事、环保、、人权、计划生育、严打活动、案件、自然灾害,涉暴涉恐公捕会、案件审理、非教职人员、留胡须、蒙面罩袍等敏感事(案)件的新闻稿件原则上不进行宣传报道,如确需宣传报道的,经县领导同意,上报地区层层审核,经自治区党宣传部审核同意后,方可按照宣传内容做到统一口径、统一发布,确保信息发布的时效性和严肃性。
信息安全风险评估事例
事例:银行系统被黑客攻击
在这个事例中,银行的信息安全受到了黑客攻击的风险。
黑客使用了一种先进的恶意软件,成功地入侵了银行的网络系统并获得了大量敏感客户信息,包括账户号码、密码和个人身份信息。
这些黑客可以利用这些信息进行各种非法活动,如盗取客户的资金、恶意购物等。
评估该风险的影响和概率是非常重要的。
影响可以包括银行客户的损失、银行声誉的损害以及可能的法律责任。
概率可以根据过去类似事件的发生率、安全措施的强度和黑客的技术能力来进行评估。
为了降低这个风险,银行可以采取一系列的信息安全措施,如加强网络防火墙、使用最新的安全软件、定期进行安全检查和更新员工的信息安全培训。
此外,与第三方的安全专家合作进行安全审计和漏洞扫描也是一个有效的措施。
通过对风险进行评估和采取相应的防范措施,银行可以最大程度地降低信息安全风险,并保护客户的资金和信息安全。
nisp一级练习题及答案一、选择题1. 以下哪项不属于信息安全的基本目标?A. 机密性B. 完整性C. 可用性D. 可靠性答案:D2. 以下哪种加密算法是非对称加密算法?A. DESB. AESC. RSAD. 3DES答案:C3. 以下哪种协议不属于TCP/IP协议族?A. HTTPB. FTPC. SMTPD. ICQ答案:D4. 以下哪种网络攻击方式属于拒绝服务攻击(DoS)?A. SQL注入B. DDoS攻击C. 木马攻击D. 中间人攻击答案:B5. 以下哪个不是我国信息安全等级保护的基本原则?A. 自主保护B. 分类保护C. 分级保护D. 统一保护答案:D二、填空题1. 信息安全的三要素是________、________和________。
答案:机密性、完整性、可用性2. 在信息安全领域,________是保障信息安全的法律依据。
答案:《中华人民共和国网络安全法》3. 常见的网络攻击手段包括________、________、________等。
答案:DDoS攻击、SQL注入、跨站脚本攻击4. 在数字签名技术中,________是公钥和私钥的生成过程。
答案:密钥生成5. 信息安全风险评估的目的是________、________和________。
答案:发现安全隐患、评估风险程度、制定安全策略三、判断题1. 信息安全就是保护信息免受未经授权的访问、使用、泄露、篡改、破坏等威胁。
()答案:正确2. 对称加密算法的加密和解密过程使用相同的密钥。
()答案:正确3. 数字证书是由CA中心颁发的,用于验证公钥合法性的电子证书。
()答案:正确4. 防火墙是一种硬件设备,用于隔离内部网络和外部网络。
()答案:错误(防火墙可以是硬件设备,也可以是软件)5. 信息安全等级保护要求对信息系统进行分类、分级保护,确保信息系统安全。
()答案:正确四、简答题1. 简述信息安全的五要素。
答案:信息安全的五要素包括机密性、完整性、可用性、可控性和不可否认性。
内容前言介绍1.范围2.参考3.定义4.结构5.目标6.背景7.IT安全管理的概念7.1方法7.2目标、策略和原则8.安全原理8.1特性8.2威胁8.3脆弱性8.4影响8.5危险8.6安全保障8.7存留下的危险8.8约束9.IT安全管理进程9.1配置管理9.2管理9.3危险管理9.4危险分析9.5责任9.6安全警告9.7监控9.8偶发事件处理计划和灾难性恢复10.模式11.总结前言ISO(国际标准组织)和IEC(国际电子技术委员会)形成了世界指定标准系统ISO或IEC的成员,各个组织通过加入发展国际组织而建立的技术委员会处理科技活动的特殊领域。
ISO和IEC技术委员会在共同感兴趣的领域合作。
其它的国际组织与ISO和IEC合作,也加入了这项工作,无论是政府还是非政府性。
在信息科技领域,ISO和IEC己建立了一个联合委员会,ISO/IEC JTCI技术委员会,主要的任务就是准备国际标准,但在特殊情况下,技术委员会可能建议公开以下类型的技术报道:——类型1,当公开的一个国际标准不能得到必要的支持时,无论这个标准花费了多少精力。
——类型2,当研究对象滞后于技术发展或由于任何其它原因,它有发展前途但在短时期内不可能与国际标准取得一致时。
——类型3,当技术委员会收到一些不同类型的符合国际标准的数据时。
类型1和类型2的技术报告是否被转化为国际标准取决于将其公开3年后的反馈汇报。
类型3的技术报告只有当提供的资料被认为不再合法或有用才有必要再复查。
ISO/IEC TR13335,属于第3种技术类型,由联合技术委员会准备。
ISO/IEC JTCI,信息技术,subcommittee2T,IT安全技术。
ISO/IEC TR13335包含以下几部分:——第一部分:IT安全性的概念和模式——第二部分:IT安全的管理和计划——第三部分:IT安全性的管理技术附加部分以后将加在技术报告中介绍技术报告的目标为IT安全管理方面提供保障,而不是解决方法,为IT 安全负责的组织中的那些单独的个体应该能在报告中不断调整内容以满足特定的需要,技术报告的主要目的是:定义和描述与IT安全管理相关的概念辨别IT安全管理与IT一般管理的关系提供几个能解释IT安全的模型提供IT安全管理的一般向导ISO/IEC TR 13335有几个组成部分。
一、总则为了加强我院信息安全管理工作,保障患者隐私和医疗信息安全,根据国家有关法律法规和行业标准,结合我院实际情况,特制定本制度。
二、组织机构与职责1. 医院成立信息安全工作领导小组,负责组织、协调和监督全院信息安全管理工作。
2. 信息科负责制定、实施和监督信息安全管理制度,组织信息安全培训,处理信息安全事件。
3. 各科室负责人为本科室信息安全第一责任人,负责本科室信息安全工作的组织实施。
4. 全体职工应遵守本制度,履行信息安全职责。
三、信息安全管理制度1. 信息保密制度(1)任何科室和个人未经医院领导批准,不得在公众场合、公共媒体发布医院信息。
(2)医院各职能部门及业务科室的工作人员,对工作中了解、掌握的保密信息,负有保密义务并承担保密责任。
(3)任何个人不得以个人目的,散布、出卖、交换医院涉密信息。
2. 计算机安全管理制度(1)医院计算机操作人员必须按照计算机正确的使用方法操作计算机系统,严禁暴力使用计算机或蓄意破坏计算机软硬件。
(2)未经许可,不得擅自拆装计算机硬件系统,若须拆装,则通知信息科技术人员进行。
(3)计算机的软件安装和卸载工作必须由信息科技术人员进行。
(4)计算机的使用必须由其合法授权者使用,未经授权不得使用。
(5)医院计算机仅限于医院内部工作使用,原则上不许接入互联网。
因工作需要接入互联网的,需书面向医务科提出申请,经签字批准后交信息科负责接入。
3. 数据安全管理制度(1)医院信息数据必须按照规定流程进行采集、存储、处理、传递、使用和销毁。
(2)涉密医院信息和数据不得在与公用网络联网的计算机信息系统中存储、处理、传递。
(3)涉密信息一律不得在网上发布。
4. 信息安全培训制度(1)医院定期对职工进行信息安全培训,提高职工信息安全意识。
(2)新入职职工必须参加信息安全培训,合格后方可上岗。
四、信息安全事件处理1. 信息安全事件发生后,事发科室应立即向信息科报告,信息科应立即向医院信息安全工作领导小组报告。
1、根据网络拓扑图所示,按照IP地址参数表,对WAF的名称、各接口IP地址进行配置。
(5分)1分截图含主机名称:任意字符串2分截图含模式选择:透明模式2分截图含IP地址:匹配参数表WAF IP地址子网掩码2、根据网络拓扑图所示,按照IP地址参数表,对DCRS的名称、各接口IP地址进行配置。
(5分)截图含以下配置信息:hostname DCRS 0.5分interface Vlan2ip address 192.168.253.28 255.255.255.224(匹配参数表) 0.5分interface Vlan10ip address 192.168.1.254 255.255.255.0(匹配参数表) 1分interface Vlan20ip address 192.168.254.120 255.255.255.128(匹配参数表)1分interface Vlan30ip address 192.168.255.118 255.255.255.128(匹配参数表)1分interface Vlan110ip address 192.168.249.100 255.255.255.128(匹配参数表)1分3、根据网络拓扑图所示,按照IP地址参数表,对DCFW的名称、各接口IP地址进行配置。
(5分)2分截图含主机名称信息;3分截图含除192.168.1.1的2个接口IP地址/前缀长度(匹配参数表)4、根据网络拓扑图所示,按照IP地址参数表,对DCFS的各接口IP地址进行配置。
(5分)截图含除192.168.1.254的1个IP地址/前缀长度(匹配参数表)5、根据网络拓扑图所示,按照IP地址参数表,对NETLOG的名称、各接口IP地址进行配置。
(5分)2分截图含主机名称信息;3分截图含如下信息:IP地址0.0.0.0 子网掩码0.0.0.06、根据网络拓扑图所示,按照IP地址参数表,在DCRS交换机上创建相应的VLAN,并将相应接口划入VLAN。
第1篇一、报告概述一、项目背景随着信息技术的飞速发展,信息安全问题日益凸显,保密工作的重要性不言而喻。
为贯彻落实国家保密法律法规,提高机关保密工作水平,确保国家秘密安全,我单位开展了保密风险评估工作。
本报告旨在全面分析我单位保密工作中存在的风险,提出相应的防范措施,以提升我单位保密工作的整体安全水平。
二、评估目的1. 全面了解我单位保密工作现状,查找保密工作中存在的漏洞和风险。
2. 评估现有保密措施的有效性,为完善保密工作提供依据。
3. 提高全体涉密人员的保密意识和技能,确保国家秘密安全。
三、评估范围本报告评估范围包括我单位内部网络、信息系统、涉密载体、涉密场所、涉密人员、保密制度等方面。
二、评估方法一、文献研究法通过查阅国家保密法律法规、政策文件、行业标准等,了解保密工作相关要求,为评估工作提供理论依据。
二、现场调查法通过实地考察、访谈等方式,了解我单位保密工作实际情况,收集相关数据。
三、专家咨询法邀请保密领域的专家参与评估工作,对评估结果进行审核和指导。
四、数据分析法对收集到的数据进行分析,找出保密工作中存在的风险。
三、评估结果一、内部网络与信息系统1. 风险描述:内部网络存在安全漏洞,信息系统存在安全隐患,可能导致涉密信息泄露。
2. 风险评估:高风险3. 原因分析:部分网络设备安全防护措施不足,信息系统缺乏定期安全检查和漏洞修复。
二、涉密载体1. 风险描述:涉密载体管理不规范,存在丢失、损坏或泄密风险。
2. 风险评估:中风险3. 原因分析:涉密载体存储环境不安全,管理制度不完善,缺乏定期检查和清点。
三、涉密场所1. 风险描述:涉密场所安全防护措施不足,存在被窃听、窃照等风险。
2. 风险评估:中风险3. 原因分析:涉密场所监控设备不完善,安全管理制度不健全。
四、涉密人员1. 风险描述:涉密人员保密意识淡薄,缺乏保密知识培训,可能导致涉密信息泄露。
2. 风险评估:中风险3. 原因分析:保密教育培训不足,缺乏对涉密人员的日常监督和管理。
iec 62788-1标准
IEC 62788-1标准是由国际电工委员会(IEC)制定的一项工业自动化领域的国际标准。
该标准于2009年首次发布,主要涉及工业自动化系统与集成中的工业自动化与控制系统的信息安全。
IEC 62788-1标准的主要内容包括以下几个方面:
1. 对工业自动化与控制系统信息安全的基本要求
2. 信息安全风险评估方法
3. 信息安全防护措施
4. 信息安全事件管理
5. 信息安全保障体系的建立与运行
该标准旨在确保工业自动化与控制系统的信息安全,并提供了相关的指导和方法,以帮助企业和组织识别、评估和管理其信息安全风险。
同时,该标准还强调了建立和维护信息安全保障体系的重要性,以确保工业自动化与控制系统的正常运行和数据安全。
需要注意的是,IEC 62788-1标准并不是唯一针对工业自动化与控制系统的信息安全标准,还有其他相关标准和规范也涉及该领域的信息安全。
因此,在实际应用中,企业和组织需要综合考虑各种标准和规范的要求,并结合自身实际情况制定合适的信息安全策略和措施。
内容前言介绍1.范围2.参考3.定义4.结构5.目标6.背景7.IT安全管理的概念7.1方法7.2目标、策略和原则8.安全原理8.1特性8.2威胁8.3脆弱性8.4影响8.5危险8.6安全保障8.7存留下的危险8.8约束9.IT安全管理进程9.1配置管理9.2管理9.3危险管理9.4危险分析9.5责任9.6安全警告9.7监控9.8偶发事件处理计划和灾难性恢复10.模式11.总结前言ISO(国际标准组织)和IEC(国际电子技术委员会)形成了世界指定标准系统ISO或IEC的成员,各个组织通过加入发展国际组织而建立的技术委员会处理科技活动的特殊领域。
ISO和IEC技术委员会在共同感兴趣的领域合作。
其它的国际组织与ISO和IEC合作,也加入了这项工作,无论是政府还是非政府性。
在信息科技领域,ISO和IEC己建立了一个联合委员会,ISO/IEC JTCI技术委员会,主要的任务就是准备国际标准,但在特殊情况下,技术委员会可能建议公开以下类型的技术报道:——类型1,当公开的一个国际标准不能得到必要的支持时,无论这个标准花费了多少精力。
——类型2,当研究对象滞后于技术发展或由于任何其它原因,它有发展前途但在短时期内不可能与国际标准取得一致时。
——类型3,当技术委员会收到一些不同类型的符合国际标准的数据时。
类型1和类型2的技术报告是否被转化为国际标准取决于将其公开3年后的反馈汇报。
类型3的技术报告只有当提供的资料被认为不再合法或有用才有必要再复查。
ISO/IEC TR13335,属于第3种技术类型,由联合技术委员会准备。
ISO/IEC JTCI,信息技术,subcommittee2T,IT安全技术。
ISO/IEC TR13335包含以下几部分:——第一部分:IT安全性的概念和模式——第二部分:IT安全的管理和计划——第三部分:IT安全性的管理技术附加部分以后将加在技术报告中介绍技术报告的目标为IT安全管理方面提供保障,而不是解决方法,为IT 安全负责的组织中的那些单独的个体应该能在报告中不断调整内容以满足特定的需要,技术报告的主要目的是:定义和描述与IT安全管理相关的概念辨别IT安全管理与IT一般管理的关系提供几个能解释IT安全的模型提供IT安全管理的一般向导ISO/IEC TR 13335有几个组成部分。
LOGO密级:秘密
第1页共9页信息安全风险评估管理程序XXXX网络安全技术有限公司编号:NN-PD17版次:080501程序文件生效日期:2008.05.01
信息安全风险评估管理程序
编制:日期:审核:日期:批准:日期:本版修改记录修改状态日期修改原因及内容提要修改人审核人批准人LOGO密级:秘密
第2页共9页信息安全风险评估管理程序信息安全风险评估管理程序
1.0目的在ISMS覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施处理风险。
2.0适用范围在ISMS覆盖范围内主要信息资产
3.0定义(无)4.0职责4.1各部门负责部门内部资产的识别,确定资产价值。4.2信息安全部负责风险评估和制订控制措施。4.3CEO负责信息系统运行的批准。
5.0流程图LOGO密级:秘密
第3页共9页信息安全风险评估管理程序6.0内容LOGO密级:秘密
第4页共9页信息安全风险评估管理程序6.1资产的识别6.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别,确定资产价值。6.1.2资产分类根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。6.1.3资产(A)赋值资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值等级作为资产的最终赋值结果。资产等级划分为五级,分别代表资产重要性的高低。等级数值越大,资产价值越高。1)机密性赋值根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。赋值标识定义
5极高包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性影响,如果泄漏会造成灾难性的损害
4高包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害
3中等包含组织的一般性秘密,其泄露会使组织的安全和利益受到损害
2低包含仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成损害
1可忽略包含可对社会公开的信息,公用的信息处理设备和系统资源等2)完整性赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。赋值标识定义5极高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补LOGO密级:秘密
第5页共9页信息安全风险评估管理程序4高完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,比较难以弥补
3中等完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补
2低完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,可以忍受,对业务冲击轻微,容易弥补
1可忽略完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略3)可用性赋值根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。赋值标识定义
5极高可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上
4高可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上
3中等可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上
2低可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上
1可忽略可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%3分以上为重要资产,重要信息资产由信息安全部确立清单6.2威胁识别6.2.1威胁分类对重要资产应由ISMS小组识别其面临的威胁。针对威胁来源,根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。6.2.2威胁(T)赋值评估者应根据经验和(或)有关的统计数据来判断威胁出现的频率。威胁频率LOGO密级:秘密
第6页共9页信息安全风险评估管理程序等级划分为五级,分别代表威胁出现的频率的高低。等级数值越大,威胁出现的频率越高。威胁赋值见下表。等级标识定义
5很高威胁出现的频率很高,在大多数情况下几乎不可避免或者可以证实经常发生过(每天)
4高威胁出现的频率较高,在大多数情况下很有可能会发生或者可以证实多次发生过(每周)
3中威胁出现的频率中等,在某种情况下可能会发生或被证实曾经发生过(每月、曾经发生过)
2低威胁出现的频率较小,一般不太可能发生,也没有被证实发生过(每年)
1很低威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生(特殊情况)6.3脆弱性识别6.3.1脆弱性识别内容脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关。6.3.2脆弱性(V)严重程度赋值脆弱性严重程度的等级划分为五级,分别代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。脆弱性严重程度赋值见下表等级标识定义5很高如果被威胁利用,将对资产造成完全损害(90%以上)4高如果被威胁利用,将对资产造成重大损害(70%)3中如果被威胁利用,将对资产造成一般损害(30%)2低如果被威胁利用,将对资产造成较小损害(10%)1很低如果被威胁利用,将对资产造成的损害可以忽略(10%以下)6.4已有安全措施的确认ISMS小组应对已采取的安全措施的有效性进行确认,对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对于确认为不适当的安全措施应核实是否应被取消,或者用更合适的安全措施替代。LOGO密级:秘密
第7页共9页信息安全风险评估管理程序6.5风险分析完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施确认后,ISMS小组采用矩阵法确定威胁利用脆弱性导致安全事件发生的可能性,考虑安全事件一旦发生其所作用的资产的重要性及脆弱性的严重程度判断安全事件造成的损失对组织的影响,即安全风险。6.5.1安全事件发生的可能性等级P=(T*V)0.5,6.5.2安全事件发生后的损失等级L=(A*V)0.5,6.5.3风险值R=(L*P),风险等级风险值1-56-1011-1516-2021-25风险等级123456.5.4风险管理策略6.5.4.1完全的消除风险是不可能和不实际的。公司需要有效和经济的运转,因此必须根据安全事件的可能性和对业务的影响来平衡费用、时间、安全尺度几个方面的问题。公司在考虑接受残余风险时的标准为只接受中或低范围内的风险;但是对于必须投入很高的费用才能将残余风险降为中或低的情况,则分阶段实施控制。6.5.4.2风险值越高,安全事件发生的可能性就越高,安全事件对该资产以及业务的影响也就越大,风险管理策略有以下:接受风险:接受潜在的风险并继续运行信息系统,不对风险进行处理。降低风险:通过实现安全措施来降低风险,从而将脆弱性被威胁源利用后可能带来的不利影响最小化(如使用防火墙、漏洞扫描系统等安全产品)。规避风险:不介入风险,通过消除风险的原因和/或后果(如放弃系统某项功能或关闭系统)来规避风险。转移风险:通过使用其它措施来补偿损失,从而转移风险,如购买保险。6.5.4.3风险等级3(含)以上为不可接受风险,3(不含)以下为可接受风险。如果是可接受风险,可保持已有的安全措施;如果是不可接受风险,则需要采取安全措施以降低、控制风险。安全措施的选择应兼顾管理与技术两个方面,可以参照信息安全的相关标准实施。LOGO密级:秘密
第8页共9页信息安全风险评估管理程序6.6确定控制目标、控制措施和对策基于在风险评估结果报告中提出的风险级别,ISMS小组对风险处理的工作进行优先级排序。高等级(例如被定义为“非常高”或“高”风险级的风险)的风险项应该最优先处理。评估所建议的安全措施实施成本效益分析选择安全措施制定安全措施的实现计划实现所选择的安全措施6.7残余风险的监视与处理风险处理的最后过程中,ISMS小组应列举出信息系统中所有残余风险的清单。在信息系统的运行中,应密切监视这些残余风险的变化,并及时处理。每年年初评估信息系统安全风险时,对残余风险和已确定的可接受的风险级别进行评审时,应考虑以下方面的变化:组织结构;
技术;业务目标和过程;已识别的威胁;已实施控制措施的有效性;外部事件,如法律法规环境的变更、合同义务的变更和社会环境的变更。6.8信息系统运行的批准ISMS小组考察风险处理的结果,判断残余风险是否处在可接受的水平之内。基于这一判断,管理层将做出决策,决定是否允许信息系统运行。如果信息系统的残余风险不可接受,而现实情况又要求系统必须投入运行,且当前没有其它资源能胜任单位的使命。这时可以临时批准信息系统投入运行。在这种情况下,必须由信息系统的主管者决定临时运行的时间段,制定出在此期间的应急预案以及继续处理风险的措施。在临时运行的时间段结束后,应重新评估残余风险的可接受度。如果残余风险仍然不可接受,则一般不应再批准信息系统临时运行。
7.0相关文件
