掃一掃,加我微信
15338824582
0755-21380663
1.目的
在ISMS 覆蓋范圍內對信息安全現行狀況進行系統風險評估,形成評估報告,描述風險等級,識別和評價供處理風險的可選措施,選擇控制目標和控制措施處理風險。
2.范圍
在ISMS 覆蓋范圍內主要信息資產
3.職責
3.1各部門負責部門內部資產的識別,確定資產價值。
3.2ISMS小組負責風險評估和制訂控制措施和信息系統運行的批準。
4.內容
4.1資產的識別
4.1.1各部門每年按照管理者代表的要求負責部門內部資產的識別,確定資產價值。
4.1.2資產分類
根據資產的表現形式,可將資產分為數據、軟件、硬件、文檔、服務、人員等類。
4.1.3資產賦值
資產賦值就是對資產在機密性、完整性和可用性上的達成程度進行分析,選擇對資產機密性、完整性和可用性最為重要(分值最高)的一個屬性的賦值等級作為資產的最終賦值結果。資產等級劃分為五級,分別代表資產重要性的高低。等級數值越大,資產價值越高。
1)機密性賦值
根據資產在機密性上的不同要求,將其分為五個不同的等級,分別對應資產在機密性上的應達成的不同程度或者機密性缺失時對整個組織的影響。
賦值 | 標識 | 定義 |
5 | 極高 | 包含組織最重要的秘密,關系未來發展的前途命運,對組織根本利益有著決定性影響,如果泄漏會造成災難性的損害 |
4 | 高 | 包含組織的重要秘密,其泄露會使組織的安全和利益遭受嚴重損害 |
3 | 中等 | 包含組織的一般性秘密,其泄露會使組織的安全和利益受到損害 |
2 | 低 | 包含僅能在組織內部或在組織某一部門內部公開的信息,向外擴散有可能對組織的利益造成損害 |
1 | 可忽略 | 包含可對社會公開的信息,公用的信息處理設備和系統資源等 |
2)完整性賦值
根據資產在完整性上的不同要求,將其分為五個不同的等級,分別對應資產在完整性上的達成的不同程度或者完整性缺失時對整個組織的影響。
賦值 | 標識 | 定義 |
5 | 極高 | 完整性價值非常關鍵,未經授權的修改或破壞會對組織造成重大的或無法接受的影響,對業務沖擊重大,并可能造成嚴重的業務中斷,難以彌補 |
4 | 高 | 完整性價值較高,未經授權的修改或破壞會對組織造成重大影響,對業務沖擊嚴重,比較難以彌補 |
3 | 中等 | 完整性價值中等,未經授權的修改或破壞會對組織造成影響,對業務沖擊明顯,但可以彌補 |
2 | 低 | 完整性價值較低,未經授權的修改或破壞會對組織造成輕微影響,可以忍受,對業務沖擊輕微,容易彌補 |
1 | 可忽略 | 完整性價值非常低,未經授權的修改或破壞對組織造成的影響可以忽略,對業務沖擊可以忽略 |
3)可用性賦值
根據資產在可用性上的不同要求,將其分為五個不同的等級,分別對應資產在可用性上的達成的不同程度。
賦值 | 標識 | 定義 |
5 | 極高 | 可用性價值非常高,合法使用者對信息及信息系統的可用度達到年度99.9%以上 |
4 | 高 | 可用性價值較高,合法使用者對信息及信息系統的可用度達到每天90%以上 |
3 | 中等 | 可用性價值中等,合法使用者對信息及信息系統的可用度在正常工作時間達到70%以上 |
2 | 低 | 可用性價值較低,合法使用者對信息及信息系統的可用度在正常工作時間達到25%以上 |
1 | 可忽略 | 可用性價值可以忽略,合法使用者對信息及信息系統的可用度在正常工作時間低于25% |
3分以上為重要資產,重要信息資產由IT 部門確立清單
4.2威脅識別
4.2.1威脅分類
對重要資產應由ISMS小組識別其面臨的威脅。針對威脅來源,根據其表現形式將威脅分為軟硬件故障、物理環境威脅、無作為或操作失誤、管理不到位、惡意代碼和病毒、越權或濫用、黑客攻擊技術、物理攻擊、泄密、篡改和抵賴等。
4.2.2威脅賦值
評估者應根據經驗和(或)有關的統計數據來判斷威脅出現的頻率。威脅頻率等級劃分為五級,分別代表威脅出現的頻率的高低。等級數值越大,威脅出現的頻率越高。威脅賦值見下表。
等級 | 標識 | 定義 |
5 | 很高 | 威脅出現的頻率很高,在大多數情況下幾乎不可避免或者可以證實經常發生過(每天) |
4 | 高 | 威脅出現的頻率較高,在大多數情況下很有可能會發生或者可以證實多次發生過(每周) |
3 | 中 | 威脅出現的頻率中等,在某種情況下可能會發生或被證實曾經發生過(每月、曾經發生過) |
2 | 低 | 威脅出現的頻率較小,一般不太可能發生,也沒有被證實發生過(每年) |
1 | 很低 | 威脅幾乎不可能發生,僅可能在非常罕見和例外的情況下發生(特殊情況) |
4.3脆弱性識別
4.3.1脆弱性識別內容
脆弱性識別主要從技術和管理兩個方面進行,技術脆弱性涉及物理層、網絡層、系統層、應用層等各個層面的安全問題。管理脆弱性又可分為技術管理和組織管理兩方面,前者與具體技術活動相關,后者與管理環境相關。
4.3.2脆弱性嚴重程度賦值
脆弱性嚴重程度的等級劃分為五級,分別代表資產脆弱性嚴重程度的高低。等級數值越大,脆弱性嚴重程度越高。脆弱性嚴重程度賦值見下表
等級 | 標識 | 定義 |
5 | 很高 | 如果被威脅利用,將對資產造成完全損害(90%以上) |
4 | 高 | 如果被威脅利用,將對資產造成重大損害(70%) |
3 | 中 | 如果被威脅利用,將對資產造成一般損害(30%) |
2 | 低 | 如果被威脅利用,將對資產造成較小損害(10%) |
1 | 很低 | 如果被威脅利用,將對資產造成的損害可以忽略(10%以下) |
4.4已有安全措施的確認
ISMS小組應對已采取的安全措施的有效性進行確認,對有效的安全措施繼續保持,以避免不必要的工作和費用,防止安全措施的重復實施。對于確認為不適當的安全措施應核實是否應被取消,或者用更合適的安全措施替代。
4.5風險分析
完成了資產識別、威脅識別、脆弱性識別,以及對已有安全措施確認后,ISMS小組采用相乘法確定威脅利用脆弱性導致安全事件發生的可能性,考慮安全事件一旦發生其所作用的資產的重要性及脆弱性的嚴重程度判斷安全事件造成的損失對組織的影響,即安全風險。
4.5.1安全事件發生的可能性等級P=(T*V)0.5,(四舍五入,V=5時加嚴)
