1风险评估管理程序.docx

风险评估管理程序 (I附录A14.1.2) QAECX/SGAI40—2015 第一章 总则 第一条 根据国家标准GB/T 20984—2007《信息安全技术 信息安全风险评估规范》和有关法律、法规的规定制订本程序，本程序规定了评估公司信息资产所面临的风险并对风险实施有效控制的要求，确保风险被降低或消除。 第二条 本程序适用于本公司技术中心信息资产的风险评估和风险控制。 第二章 职责 第三条 业务部项目及流程管理部负责制定信息资产评估准则，确定风险评估方法，经总经理副总裁批准后实施。 第四条 相关部门负责人是本部门各类信息资产的主要责任人，负责组织建立并维护本部门资产台账，包括：识别并列出跟本部门业务有关的资产、对本部门资产进行风险评估并制定相关风险处理计划。 第五条 项目及流程管理部业务部负责对各部门风险评估过程及结果进行评审，并总结形成风险评估报告，由公司总经理技术中心副总裁对风险评估报告进行审批。 第六条 项目及流程管理部业务部负责监督风险处理计划的实施。 第三章 风险评估 第七条 风险评估框架及流程 （一）风险要素关系　 风险评估中各要素的关系如图1所示： 图1　风险评估要素关系图 图1中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。图1中的风险要素及属性之间存在着以下关系： a） 业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小； b） 资产是有价值的，公司的业务战略对资产的依赖程度越高，资产价值就越大； c） 风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件； d） 资产的脆弱性可能暴露资产的价值，资产具有的脆弱性越多则风险越大； e） 脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产； f） 风险的存在及对风险的认识导出安全需求； g） 安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本； h） 安全措施可抵御威胁，降低风险； i） 残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后不去控制的风险； j） 残余风险应受到密切监视，它可能会在将来诱发新的安全事件。 （二）风险分析原理 风险分析原理如图2所示： 图2 风险分析原理图 风险分析中涉及资产、威胁、脆弱性三个基本要素。风险分析的主要内容为： a） 对资产进行识别，并对资产的价值进行赋值； b） 对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值； c） 对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值； d） 根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性； e） 根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失； f） 根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。 （三）实施流程 风险评估的实施流程如图3所示： 图3 风险评估实施流程图 风险评估实施流程的详细说明如下： 1、风险评估准备 风险评估准备是整个风险评估过程有效性的保证。具体内容包括： a） 确定风险评估的目标：根据满足公司技术中心业务持续发展在安全方面的需要、法律法规的规定等内容，识别现有信息系统及管理上的不足，以及可能造成的风险大小。 b） 确定风险评估的范围：包括公司技术中心全部的信息及与信息处理相关的各类资产、管理机构，或某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。 c） 确定评估管理与实施团队：由项目及流程管理部业务部、相关部门相关业务骨干、IT技术等人员组成风险评估小组。 d） 进行系统调研：是确定被评估对象的过程，风险评估小组应进行充分的系统调研，为风险评估依据和方法的选择、评估内容的实施奠定基础。 e） 确定评估依据和方法：根据系统调研结果，确定评估依据和评估方法，评估依据包括（但不仅限于）：现有国际、国家、行业的标准，系统安全保护等级要求，系统本身的实时性或性能要求等。根据评估依据来选择具体的风险计算方法，使之能够与公司技术中心环境和安全要求相适应。 f） 制定风险评估方案：目的是为后面的风险评估实施活动提供一个总体计划，用于指导实施方开展后续工作。包括：团队组织、工作计划、时间进度安排等内容。 g） 获得支持：在形成完整的风险评估实施方案后，经总经理副总裁批准，对相关人员进行传达，并进行必要的培训，以明确有关人员在风险评估中的任务。 2、资产识别 （1）资产分类 保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此，首先要对公司技术中心的资产进行识别。 根据资产的表现形式，将资产分为数据、软件、硬件、服务、人员等类型，如下表1所列： 表1　资产分类方法 分类 示例 数据 保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等 软件 系统软件：操作系统、数据库管理系统、语句包、开发系统等 应用软件：办公软件、数据库软件、各类工具软件等 源程序：各种共享源代码、自行或合作开发的各种代码等 硬件 网络设备：路由器、网关、交换机等 计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等 存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等 传输线路：光纤、双绞线等 保障设备：UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等 安全设备：防火墙、入侵检测系统、身份鉴别等 其他：打印机、复印机、扫描仪、传真机等 服务 信息服务：对外依赖该系统开展的各类服务 网络服务：各种网络设备、设施提供的网络连接服务 办公服务：为提高效率而开发的管理信息系统，包括各种内部配置管理、文件流转管理等服务 人员 掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等 其它 企业形象、客户关系等 （2）资产赋值 a)保密性赋值 根据资产在保密性上的不同要求，将其分为五个不同的等级，如下表2所列： 表2 资产保密性赋值表 赋值 标识 定义 5 很高 包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害 4 高 包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害 3 中等 组织的一般性秘密，其泄露会使组织的安全和利益受到损害 2 低 仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害 1 很低 可对社会公开的信息，公用的信息处理设备和系统资源等 b)完整性赋值 根据资产在完整性上的不同要求，将其分为五个不同的等级，如下表3所列： 表3 资产完整性赋值表 赋值 标识 定义 5 很高 完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补 4 高 完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补 3 中等 完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补 2 低 完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补 1 很低 完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略 c)可用性赋值 根据资产在可用性上的不同要求，将其分为五个不同的等级，如下表4所列： 表4　资产可用性赋值表 赋值 标识 定义 5 很高 可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上，或系统不允许中断 4 高 可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上，或系统允许中断时间小于10min 3 中等 可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上，或系统允许中断时间小于30min 2 低 可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或系统允许中断时间小于60min 1 很低 可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于25% （3）资产重要性等级 资产价值依据资产在保密性、完整性和可用性上的赋值等级相加得出。根据资产价值将资产划分为五级，如下表5所列： 表5　资产等级及含义描述 资产价值 等级 标识 描述 13~15 5 很高 非常重要，其安全属性破坏后可能对组织造成非常严重的损失 10~12 4 高 重要，其安全属性破坏后可能对组织造成比较严重的损失 7~9 3 中等 比较重要，其安全属性破坏后可能对组织造成中等程度的损失 4~6 2 低 不太重要，其安全属性破坏后可能对组织造成较低的损失 1~3 1 很低 不重要，其安全属性破坏后对组织造成导很小的损失，甚至忽略不计 将资产等级为4~5的信息资产确定为重要信息资产。 3、威胁识别 （1）威胁分类 威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，在保密性、完整性和可用性等方面造成损害；也可能是偶发的、或蓄意的事件。 表6　威胁来源列表 来源 描述 环境因素 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害，以及软件、硬件、数据、通讯线路等方面的故障 人为因素 恶意 人员 不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主或内外勾结的方式盗窃机密信息或进行篡改，获取利益 外部人员利用信息系统的脆弱性，对网络或系统的保密性、完整性和可用性进行破坏，以获取利益或炫耀能力 非恶意人员 内部人员由于缺乏责任心，或者由于不关心或不专注，或者没有遵循规章制度和操作流程而导致故障或信息损坏；内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击 针对上表的威胁来源，根据其表现形式将威胁分类，如下表7所列： 表7　一种基于表现形式的威胁分类表 种类 描述 威胁子类 软硬件故障 对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题 设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等 物理环境影响 对信息系统正常运行造成影响的物理环境问题和自然灾害 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等 无作为或操作失误 应该执行而没有执行相应的操作，或无意执行了错误的操作 维护错误、操作失误等 管理不到位 安全管理无法落实或不到位，从而破坏信息系统正常有序运行 管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等 恶意代码 故意在计算机系统上执行恶意任务的程序代码 病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等 越权或滥用 通过采用一些措施，超越自己的权限访问了本来无权访问的资源，或者滥用自己的权限，做出破坏信息系统的行为 非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等 网络攻击 利用工具和技术通过网络对信息系统进行攻击和入侵 网络探测和信息采集、漏洞探测、嗅探（帐号、口令、权限等）、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等 物理攻击 通过物理的接触造成对软件、硬件、数据的破坏 物理接触、物理破坏、盗窃等 泄密 信息泄露给不应了解的他人 内部信息泄露、外部信息泄露等 篡改 非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用 篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等 抵赖 不承认收到的信息和所作的操作和交易 原发抵赖、接收抵赖、第三方抵赖等 （2）威胁赋值 判断威胁出现的频率是威胁赋值的重要内容，在评估中，综合考虑以下三个方面，来判断各种威胁出现的频率： a） 以往安全事件报告中出现过的威胁及其频率的统计； b） 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计； c） 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。 4、脆弱性识别 （1）脆弱性识别内容 脆弱性是资产本身存在的，威胁总是要利用资产的脆弱性才可能造成危害。 脆弱性识别是风险评估中最重要的一个环节，主要从技术和管理两个方面进行，具体脆弱性识别内容如下表9所列： 表9　脆弱性识别内容表 类型 识别对象 识别内容 技术类 物理环境 从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别 网络结构 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别 系统软件 从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别 应用系统 从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别 服务类 从服务水平协议、业务需求、响应、中断、规范执行、成本等方面进行识别 技术管理 从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别 管理类 组织管理 从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别 人员管理 从人员知识水平、技能、安全意识、敬业精神、职业操守、人员流动、劳动合同、岗位职责、备份机制等方面进行识别 信息类 数据文档 从信息准确性、及时性、传播性、毁损、丢失等方面识别 5、已有安全措施确认 在识别脆弱性的同时，对已采取的安全措施的有效性进行确认，即是否真正地降低了系统的脆弱性，抵御了威胁。对有效的安全措施继续保持，而对确认为不适当的安全措施核实是否应被取消或对其进行修正，或用更合适的安全措施替代。 安全措施可以分为预防性安全措施和保护性安全措施两种。安全措施的使用将减少系统技术或管理上的脆弱性，为风险处理计划的制定提供依据和参考。 6、风险评估实施 （1）风险计算 在完成了资产识别、威胁识别、脆弱性识别，以及已有安全措施确认后，将采用预定义价值矩阵法计算风险数值，具体如下表11所列： 表10　风险数值表 威胁值 1 2 3 4 5 脆弱性 严重度 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 资产 等级 1 1 2 3 4 5 2 3 4 5 6 3 4 5 6 7 4 5 6 7 8 5 6 7 8 9 2 2 3 4 5 6 3 4 5 6 7 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 3 3 4 5 6 7 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 4 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12 5 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12 9 10 11 12 13 （2）风险结果判定 为实现对风险的控制与管理，对风险评估的结果进行等级化处理。根据风险数值，将风险划分为五级，如下表11所列： 表11　风险等级划分表 风险数值 风险等级 标识 描述 12~13 5 很高 一旦发生将产生非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织的正常经营，经济损失重大、社会影响恶劣 9~11 4 高 一旦发生将产生较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成损害 6~8 3 中等 一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大 3~5 2 低 一旦发生造成的影响程度较低，一般仅限于组织内部，通过一定手段很快能解决 1~2 1 很低 一旦发生造成的影响几乎不存在，通过简单的措施就能弥补 第四章 风险控制 1、四五级风险的处置流程 对于评估为四级、五级的风险，责任部门应制订《风险处置计划》，将选择的风险处置方法及具体措施记入《信息资产风险评估表》，并向风险评估小组报告。风险控制措施可以是技术型的也可以是管理型的，选择风险控制措施应满足法律法规要求、合同方要求并考虑公司技术中心成本要求。 对于评估为四级、五级的可能需要采取接受风险处置的风险，责任部门必须提出残余风险申请，报告风险评估小组，并最终由总经理副总裁批准。 2、三级及以下风险的处置流程 评估为三级及以下的风险，直接视为可接受风险，进行登记管理。 3、风险控制处置的跟踪 每年责任部门应跟踪风险处置的结果并进行风险评估，记入《信息资产风险评估表》，并向风险评估小组报告。 对风险评估再次评定为四级、五级的信息资产，可申请为残余风险。 4、可接受风险 4.1可接受风险的准则 符合以下条款的风险可以接受： 1）满足法律法规或者合同方要求； 2）对公司技术中心业务持续性影响较小； 4.2可接受风险的水平 公司可接受风险水平如下： 1）三级及以下风险为可接受风险； 2）在满足公司信息方针、法律法规要求、合同方要求的前提下，对被评估为四级、五级但处置成本太高的风险，可在经残余风险申请后，由总经理副总裁认可并接受风险。 4.3残余风险的申请与批准 信息资产作为残余风险，责任部门必须提出申请，报告风险评估小组，并由总经理副总裁批准。 对被列入风险接受或残余风险的信息资产，责任部门必须采取必要的管理措施以保持并改善目前的风险水平。 5、风险评估结果的运用 信息资产风险评估的登记结果，运用于以下事项： 1、信息安全的目标、管理方案、运行控制及监视测量的实施和运行； 2、ISMS紧急事态对应预案的制订； 3、保证信息资产安全的设备、设施的设定； 4、内外部的审核； 5、风险预防、控制管理规定的设定。 6、变更评估与周期性评审 当输入的信息资产、适用的法律法规要求或合同方要求、公司技术中心的信息方针等发生重大变化时，各部门应重新进行风险评估和制订风险处置计划。风险评估小组每半年一次收集信息各部门变更信息并更新相应表格。 每年年末，各部门应对本部门信息资产的风险评估、风险处置、残余风险、可接受风险水平进行评审。 7、风险评估结果、风险处置的文件管理 1、各部门根据《记录管理程序》要求，管理所属的风险评估结果、风险处置计划、结果跟踪、变更评估及年度评审结果，保存相应表格。 2、风险评估小组对各部门报告的《信息资产风险评估表》进行汇总，形成技术中心公司的《信息资产风险评估表》。根据《记录管理程序》要求，保存相应表格。体系建立初期由于各部门人员对风险评估工作经验的欠缺，以及技术中心公司规模的大小，可考虑由风险评估小组直接进行评估，以后再指导各部门独立进行。 8、当企业发生以下情况时需及时进行风险评估： 1、当发生重大信息安全事故时； 2、当信息网络系统发生重大更改时； 相关记录 《信息安全风险评估计划》 《信息资产风险评估表》 《信息安全风险处置计划》 《信息安全风险处置验收表》 《信息安全风险处置报告》 《信息资产残余风险审批表》 《信息安全风险评估报告》 12