公司信息安全风险评估管理办法(试行)
第一章 总则
第一条 为建立公司信息安全风险评估管理流程和机制,通过识别信息资产、风险等级评估认知信息化系统存在的信息安全风险,选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,满足公司信息安全管理方针的要求,特制定本管理办法。
第二条 运营改善部作为公司信息化的实际管理部门,负责组织成立风险评估小组。
第三条 本办法适用于公司信息化系统范围内信息安全风险评估活动。
第二章 术语及定义
第四条 保密性:是指网络信息不被泄露给非授权的用户、实体或过程。即信息只为授权用户使用。
第五条 完整性:保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。
第六条 可用性:数据或资源的特性,被授权实体按要求能访问和使用数据或资源。
第七条 信息安全风险:人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
第八条 残余风险:采取了安全措施后,仍然可能存在的风险。
第九条 脆弱性:可能被威胁所利用的资产或若干资产的弱点。
第三章 风险评估准备
第十条 风险评估准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑,其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此,在风险评估实施前,应做好以下工作:
(一) 确定风险评估的目标; (二) 确定风险评估的范围;
1
编码:
(三) 组建适当的评估管理与实施团队; (四) 进行系统调研;
(五) 确定评估依据和方法; (六) 制定风险评估方案;
(七) 获得最高管理者对风险评估工作的支持。
第十一条 确定目标:根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容,识别现有信息系统及管理上的不足,以及可能造成的风险大小。
第十二条 确定范围:风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。
第十三条 组建团队:风险评估实施团队,由管理层、相关业务骨干、IT技术等人员组成风险评估小组。必要时,可聘请相关专业的技术专家和技术骨干组成专家小组。
第十四条 系统调研:系统调研是确定被评估对象的过程,风险评估小组应进行充分的系统调研,为风险评估依据和方法的选择、评估内容的实施奠定基础。系统调研可以采取问卷调查、现场面谈相结合的方式进行。调研内容至少应包括:
(一) 业务战略及管理制度; (二) 主要的业务功能和要求;
(三) 网络结构与网络环境,包括内部和外部连接; (四) 系统边界;
(五) 主要的硬件、软件; (六) 数据和信息;
(七) 系统和数据的敏感性; (八) 支持和使用系统的人员。
第十五条 确定依据:根据系统调研结果,确定评估依据和评估方法。评估依据包括(但不仅限于):
(一) 现有国际标准、国家标准、行业标准; (二) 行业主管机关的业务系统的要求和制度; (三) 系统安全保护等级要求; (四) 系统互联单位的安全要求;
2
编码:
(五) 系统本身的实时性或性能要求等。
第十六条 风险评估方案的目的是为后面的风险评估实施活动提供一个总体计划,用于指导实施方开展后续工作。风险评估方案的内容一般包括(但不仅限于):
(一) 团队组织:包括评估团队成员、组织结构、角色、责任等内容;
(二) 工作计划:风险评估各阶段的工作计划,包括工作内容、工作形式、工作成果等内容;
(三) 时间进度安排:项目实施的时间进度安排。 第十七条 获得支持:上述所有内容确定后,应形成较为完整的风险评估实施方案,得到组织最高管理者的支持、批准;对管理层和技术人员进行传达,在组织范围就风险评估相关内容进行培训,以明确有关人员在风险评估中的任务。
第四章 资产识别
第十八条 资产分类:资产有多种表现形式,同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。根据本公司的实际情况,资产分类方法如下:
分类 数据 示例 保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等 系统软件:操作系统、数据库管理系统、语句包、开发系统等 应用软件:办公软件、数据库软件、各类工具软件等 网络设备:路由器、网关、交换机等 计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等 存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等 传输线路:光纤、双绞线等 保障设备:UPS、变电设备、空调、文件柜、门禁、消防设施等 安全设备:防火墙、入侵检测系统、身份鉴别等 其他:打印机、复印机、扫描仪、传真机等 信息服务:对外依赖该系统开展的各类服务 网络服务:各种网络设备、设施提供的网络连接服务 办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流转管理等服务 3
软件 硬件 服务 编码:
人员 其他 掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等 企业形象、客户关系等 第十九条 保密性赋值:根据资产在保密性上的不同要求,将其分为三个不同的等级,分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个公司的影响。下表为保密性赋值的参考: 赋值 3 标识 高 定义 包含公司的重要秘密,对公司根本利益有着决定性的影响,如果泄露会使公司的安全和利益遭受严重损害,甚至造成灾难性的损害。 公司的一般性秘密,其泄露会使公司的安全和利益受到损害 仅能在公司内部或在公司某一部门内部公开的信息,向外扩散有可能对公司的利益造成轻微损害,也包括可对社会公开的信息,公用的信息处理设备和系统资源等 2 1 中等 低 第二十条 完整性赋值:根据资产在完整性上的不同要求,将其分为三个不同的等级,分别对应资产在完整性上缺失时对整个公司的影响。下表为完整性赋值的参考:
赋值 3 标识 高 定义 完整性价值高,未经授权的修改或破坏会对公司造成重大影响,对业务冲击严重,较难弥补,可能造成严重的业务中断。 完整性价值中等,未经授权的修改或破坏会对公司造成影响,对业务冲击明显,但可以弥补 完整性价值低,未经授权的修改或破坏会对公司造成轻微影响,对业务冲击轻微或者可以忽略,容易弥补 2 1 中等 低 第二十一条 可用性赋值:根据资产在可用性上的不同要求,将其分为三个不同的等级,分别对应资产在可用性上应达成的不同程度。下表为可用性赋值的参考: 赋值 3 标识 高 定义 可用性价值高,合法使用者对信息及信息系统的可用度在正常工作时间达到90%以上,或系统允许中断时间小于1小时,也包括系统不允许中断。 可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间大于1小时且小于2小时 可用性价值较低或可以忽略,系统允许中断时间大于2小时 4
2 中等 1 低 第二十二条 资产重要性等级:资产价值依据资产在保
编码:
密性、完整性和可用性上的赋值等级,取最大值得出,下表为资产等级及含义描述:
等级 (资产价值) 3 2 1 标识 高 中 低 描述 非常重要,其安全属性破坏后可能对公司造成严重的损失 比较重要,其安全属性破坏后可能对公司造成中等程度的损失 不太重要,其安全属性破坏后可能对公司造成较低的损失或甚至忽略不计 第五章 威胁和脆弱性识别
第二十三条 威胁识别分类:威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。在对威胁进行分类前,应考虑威胁的来源。可以根据其表现形式将威胁主要分为以下几类: 种类 软硬件故障 物理环境影响 无作为或操作失误 管理不到描述 对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题 对信息系统正常运行造成影响的物理环境问题和自然灾害 威胁子类 设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等 应该执行而没有执行相应的操维护错误、操作失误等 作,或无意执行了错误的操作 管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等 病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等 非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等 网络探测和信息采集、漏洞探测、嗅探(帐号、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等 安全管理无法落实或不到位,从而破坏信息系统正常有序运位 行 故意在计算机系统上执行恶意恶意代码 任务的程序代码 通过采用一些措施,超越自己越权或滥的权限访问了本来无权访问的用 资源,或者滥用自己的权限,做出破坏信息系统的行为 网络攻击 利用工具和技术通过网络对信息系统进行攻击和入侵 5
编码:
物理攻击 通过物理的接触造成对软件、硬件、数据的破坏 泄密 信息泄露给不应了解的他人 篡改 非法修改信息,破坏信息的完整性使系统的安全性降低或信息不可用 抵赖 不承认收到的信息和所作的操作和交易 物理接触、物理破坏、盗窃等 内部信息泄露、外部信息泄露等 篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等 原发抵赖、接收抵赖、第三方抵赖等 第二十四条 判断威胁出现的频率是威胁赋值的重要内容,评估者应根据经验和(或)有关的统计数据来进行判断。在评估中,需要综合考虑以下三个方面,以形成在某种评估环境中各种威胁出现的频率:
(一) 以往安全事件报告中出现过的威胁及其频率的统计;
(二) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;
(三) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。 等级 标识 定义 3 高 出现的频率较高(或≥ 1 次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过 2 中 出现的频率中等(或> 1 次/半年);或在某种情况下可能会发生;或被证实曾经发生过 1 低 出现的频率较小;或一般不太可能发生;或没有被证实发生过 第二十五条 脆弱性识别内容:脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及网络结构、系统软件、应用中间件、应用系统等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和公司管理脆弱性两方面,前者与具体技术活动相关,后者与管理环境相关。下表为脆弱性识别内容的参考。 类型 识别对象 物理环境 技术脆弱性 网络结构 系统软件 识别内容 从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别 从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别 6
编码:
应用中间件 从协议安全、交易完整性、数据完整性等方面进行识别 应用系统 管理脆弱性 技术管理 组织管理 从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别 从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别 从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别 第二十六条 脆弱性赋值:脆弱性严重程度可以进行等级化处理,不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。下表为脆弱性严重程度的赋值方法。
等级 3 2 1 标识 高 中等 低 定义 如果被威胁利用,将对资产造成重大甚至完全损害 如果被威胁利用,将对资产造成一般损害 如果被威胁利用,将对资产造成较小损害或损害可以忽略 第二十七条 已有安全措施确认:已有安全措施确认与脆弱性识别存在一定的联系。一般来说,安全措施的使用将减少系统技术或管理上的脆弱性,但安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的脆弱性,而是一类具体措施的集合,为风险处理计划的制定提供依据和参考。
第六章 风险分析
第二十八条 在完成了资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对公司的影响,即安全风险。本公司的风险计算如下:
风险值=资产重要性等级*脆弱性赋值*威胁赋值*脆弱性赋值。 第二十九条 为实现对风险的控制与管理,可以对风险评估的结果进行等级化处理。可将风险划分为三级,等级越高,风险越高。
等级 风险值 标识 描述 高 一旦发生将产生非常严重的经济或社会影响,如公司信3 7-9 誉严重破坏、严重影响公司的正常经营,经济损失重大、社会影响恶劣 中 一旦发生会造成一定的经济、社会或生产经营影响,但2 4-6 影响面和影响程度不大 低 一旦发生造成的影响程度较低,一般仅限于公司内部,1 1-3 通过一定手段很快能解决,或者发生造成的影响几乎不7
编码:
存在,通过简单的措施就能弥补 第三十条 根据公司的安全方针和目标,确定风险等级为1的为可接受的风险,风险等级为2和3的需要进行风险处置。可能的措施包括:采取适当的控制措施、有意识地客观地接受风险、避免风险、风险转移。
第三十一条 对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中应明确采取的弥补脆弱性的安全措施、预期效果、实施条件、进度安排、责任部门等。
第三十二条 在对于不可接受的风险选择适当安全措施后,为确保安全措施的有效性,可进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。某些风险可能在选择了适当的安全措施后,残余风险的结果仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施。
第七章 风险评估周期
第三十三条 风险评估应至少每年评估一次。
第三十四条 当以下方面发生重大变更时,风险评估应即时进行:
(一) 公司组织结构; (二) 技术变化; (三) 业务要求;
(四) 业务目标和过程; (五) 已识别的威胁;
(六) 已实施控制措施的有效性;
(七) 外部事件,如法律法规的变更,合同义务的变更等。
第八章 附则
第三十五条 本管理办法由公司运营改善部负责解释。 第三十六条 本制度的附件有: 附件一:风险评估实施流程,
第三十七条 本办法自发布之日起执行。
8
编码:
公司运营改善部
年 月 日
主题词:信息 风险 评估 办法
公司运营改善部 2015年 月 日印发
共印发2 份 9
编码:
附件一:风险评估实施流程
资产识别威胁识别脆弱性识别风险评估准备已有安全措施确认计算风险评估过程文档可接受风险不可接受风险保持现有安全措施处理风险并评估残余风险不接受残余风险接受残余风险实施风险管理评估结束10
因篇幅问题不能全部显示,请点此查看更多更全内容