ISO27001信息安全管理體系全套程序文件 下載本文

买足球彩票技巧 www.lbmkq.icu 東莞市有限公司 ISMS-COP01

東莞市有限公司

信息安全風險評估管理程序

文件編號:ISMS-COP01 編寫:信息安全管理委員會 審核: 批準:陳世勝 發布版次:A/0版 生效日期: 分發:各部門

狀態:受控 2018年05月10日 2018年05月10日 2018年05月12日 2018年05月12日 2018年05月18日 接受部門:各部門

變 更 記 錄

變更日期 版本 A/0 變更說明 初始版本

第1頁 共106頁

編寫 審核 批準 東莞市有限公司 ISMS-COP01

信息安全風險評估管理程序

1 適用

本程序適用于本公司信息安全管理體系(ISMS)范圍內信息安全風險評估活動。

2 目的

本程序規定了本公司所采用的信息安全風險評估方法。通過識別信息資產、風險等級評估,認知本公司的信息安全風險,在考慮控制成本與風險平衡的前提下選擇合適控制目標和控制方式將信息安全風險控制在可接受的水平,保持本公司業務持續性發展,以滿足本公司信息安全管理方針的要求。

3 范圍

本程序適用于第一次完整的風險評估和定期的再評估。在辨識資產時,本著盡量細化的原則進行,但在評估時我司又會把資產按照系統進行規劃。辨識與評估的重點是信息資產,不區分物理資產、軟件和硬件。

4 職責

4.1 成立風險評估小組

辦公室負責牽頭成立風險評估小組。

4.2 策劃與實施

風險評估小組每年至少一次,或當體系、組織、業務、技術、環境等影響企業的重大事項發生變更、重大事故事件發生后,負責編制信息安全風險評估計劃,確認評估結果,形成《信息安全風險評估報告》。

4.3 信息資產識別與風險評估活動

各部門負責本部門使用或管理的信息資產的識別,并負責本部門所涉及的信息資產的具體安全控制工作。

第2頁 共106頁

東莞市有限公司 ISMS-COP01 4.3.1 各部門負責人負責本部門的信息資產識別。 4.3.2 辦公室經理負責匯總、校對全公司的信息資產。 4.3.3 辦公室負責風險評估的策劃。

4.3.4 信息安全小組負責進行第一次評估與定期的再評估。

5 程序

5.1 風險評估前準備

5.1.1 辦公室牽頭成立風險評估小組,小組成員至少應該包含:信息安全管理體系負責部門的成員、信息安全重要責任部門的成員。

5.1.2 風險評估小組制定信息安全風險評估計劃,下發各部門內審員。 5.1.3 必要時應對各部門內審員進行風險評估相關知識和表格填寫的培訓。

5.2 信息資產的識別

5.2.1 本公司的資產范圍包括:

5.2.1.1 信息資產

1) 數據文檔資產:客戶和公司數據,各種介質的信息文件包括紙質文件。 2) 軟件資產:應用軟件、系統軟件、開發工具和適用程序。 3) 硬件資產:計算機設備、通訊設備、可移動介質和其他設備。 4) 服務:培訓服務、租賃服務、公用設施(能源、電力)。 5) 人員:人員的資格、技能和經驗。 6) 無形資產:組織的聲譽、商標、形象。

5.3資產及其重要度

5.3.1識別組織的資產

? 識別在評估范圍內的資產。對于在范圍內的每一項資產都要恰當統計;不在評估范

圍內的資產,也要進行記錄;

? 按一定的標準,將信息資產進行恰當的分類,在此基礎上進行下一步的風險評估工

作。

? 識別組織資產,參考《資產等級分類及重要度(安全等級)劃分》

第3頁 共106頁

東莞市有限公司 ISMS-COP01

5.3.2評估資產的重要度

1. 對資產的等級進行定義,并表示成相對等級的形式。

識別出資產之后,必須對資產的重要度進行評估。評估的依據是資產的保密性、完整性和可用性在遭受損失之后的后果。

不同資產的安全屬性的重要程度是不一樣的,例如:對財物數據來說保密性和可核查性是最重要的安全屬性,而對操作軟件來說更強調可用性。對資產評估的過程本身就是對資產安全屬性損失后果的分析。

在本程序中雖然不按照安全屬性分別賦值,但是評估過程中要充分考慮本節中列出的各種安全屬性。

資產重要度描述如下表。

等級 描 述 對這些資產的保密性、完整性或可用性等安全屬性的影響(即發生3(高) 泄露、損壞、丟失或無法使用等)將對組織造成極嚴重的或災難性的損失,通常其直接或間接的影響范圍波及到公司整體。 對這些資產的保密性、完整性或可用性等安全屬性的影響(即發生2(中) 泄露、損壞、丟失或無法使用等)將對組織造成較重要的損失,通常其直接或間接的影響范圍波及到公司局部。 對這些資產的保密性、完整性或可用性等安全屬性的影響(即發生1(低) 泄露、損壞、丟失或無法使用等)將對組織造成一定的損失,通常其直接或間接的影響范圍僅波及到公司很少部門。 1 3 5 重要度賦值

2. 決定資產重要度時,需要考慮:

? 資產的成本價格,更重要的是考慮資產對于組織業務的安全重要性,即根據資產損失所引發的潛在的影響來決定;

? 為確保資產重要度的一致性和準確性,建立一個統一的尺度,以無歧義的方式對資產的重要度進行賦值;

? 分析和評價資產受到侵害后的保密性、完整性和可用性損失。 ? 決定資產重要度,參考《資產安全等級分類》

第4頁 共106頁

東莞市有限公司 ISMS-COP01

5.4識別資產面臨的威脅

實施風險評估需要對要?;さ拿懇幌罟丶什型駁氖侗?。威脅可以從資產的所有者、使用者、計劃書、信息專家、社團內部及外部負責信息安全的組織等處獲得。通常,一個可能的威脅列表對完成威脅評估有所幫助。當應用威脅目錄(列表)或者以前的威脅評估結果時,必須意識到,威脅總是不斷變化的,尤其是在業務環境與信息發生變化時。

1. 分析本公司的信息系統存在的威脅種類,確定威脅分類的標準。 2. 綜合威脅來源、種類和其他因素后得出威脅列表; 3. 針對每一項需要?;さ男畔⒆什?,找出可能面臨的威脅。

在識別資產所面臨的威脅時,應該考慮下面三個方面的資料和信息來源: ? 通過歷史的安全事件報告或記錄,統計各種發生過的威脅和其發生頻率; ? 在評估對象的實際環境中,通過IDS等系統獲取的威脅發生數據的統計和分析,各種日志中威脅發生的數據的統計和分析;

? 過去一年或兩年來國際公司或機構(例如:微軟公司)、社團內部負責信息安全的組織(例如:CERT應急響應中心)、社團外部負責信息安全的組織(例如:病毒防范產品公司)、業務關聯公司發布的對于整個社會或特定行業安全威脅及其發生頻率的統計數據。

5.5識別威脅可以利用的脆弱性

這一步是評估容易被攻擊者(或威脅源)攻破(或破壞)的薄弱點,包括基礎設施中的弱點、控制中的弱點、員工意識上的弱點、系統中的弱點和設計上的弱點等。包括針對資產所關聯的物理環境、組織、人員、管理、硬件、軟件、程序、代碼、通信設備等多種可能被威脅源所利用并可能導致危害的,由資產自身特性導致的弱點。系統脆弱性往往需要與對應的威脅相結合時才會對系統的安全造成危害。

一個沒有對應威脅的脆弱性一般不會造成實在的風險,可以不采取相應的防護措施,但是有必要密切監視這種潛在的風險。注意,脆弱性不僅是由于最初購置或制造時的原因產生的,資產的應用方法、目的的不同、防護措施的不足都可能造成脆弱性。例如:E2PROM是一種可擦寫的存儲設備,可擦寫是其設計時的一項標準,但可擦寫屬性意味著E2PROM所存儲的信息未經授權的破壞成為可能,這就是一個脆弱性。

5.6評估資產在威脅暴露度

暴露度等級描述資產或資產安全屬性受損害的程度,以下簡稱暴露度。

第5頁 共106頁