ISMS-02-03-V1.0 信息安全风险评估管理规定
信息安全风险评估管理规定
第一章 总则
第一条 目的
为规范思度安全运营中心信息安全风险评估工作,为风险评估工作提供指导和支持,特制定本规定。
第二条 适用范围
本规定适用于思度安全运营中心范围内的信息安全风险评估工作。
第二章 组织与职责
第三条 信息安全工作指挥小组
信息安全工作指挥小组负责提出信息安全风险评估需求,审批风险评估计划、风险接受的原则、风险评估报告以及风险处理计划。
第四条 思度安全运营中心风险管理组
思度安全运营中心风险管理组负责确定信息安全风险评估的方法,制定风险评估的工作流程,根据风险评估需求制定风险评估计划;组织并指导各部门开展风险评估工作。
第五条 各部门的安全组
各部门的安全组负责本部门的信息风险评估工作的监督与检查;
第六条 各部门负责人
各部门负责对本部门的信息资产进行识别,对风险进行评估,执行已批准的风险处理计划。
第三章 信息安全风险评估管理规定
第七条 总体要求
思度安全运营中心风险管理组应根据风险评估需求制定风险评估计划,确定风险评估的范围和方法,并组建风险评估团队。
第八条 资产识别
各部门应根据风险评估计划对其职责范围内的信息资产进行识别,根据《信息资产安全管理规定》对信息资产的CIA 属性进行赋值(涉及信息系统的各类信息资产均应按系统等级进行赋值,详见附件二:信息系统等级划分准则)并计算信息资产价值,将重要信息资产列为风险评估对象。
第九条 风险识别
思度安全运营中心风险管理组应组织各部门对被列为风险评估对象的信息资产所面临的威胁、存在的弱点以及现存的安全控制措施进行识别和评估,根据公式计算得出风险值后依照风险分级准则对风险级别进行定义,具体实施方法详见附件三至六。
第十条 风险处置
思度安全运营中心风险管理组应根据风险分级准则对识别出的风险,组织相关部门选择适当的处理方式、制定风险处理计划和实施方案,计划及方案经思度安全运营中心信息安全工作指挥小组审批后执行。
第十一条 持续跟踪
思度安全运营中心风险管理组应对风险处理的实施情况进行跟踪,确保控制措施能够在计划时间内完成。
第十二条 残余风险评估
风险处理完成后,思度安全运营中心风险管理组应组织相关部门对残余风险进行再评估,对于不可接受的残余风险采取进一步的控制措施。
第十三条 定期评估
思度安全运营中心全面风险评估应至少每年开展一次,对于核心信息系统应每半年开展一次风险评估。
第十四条 评估报告
风险评估各阶段的工作内容应形成记录,各阶段工作的描述及应形成的记录文件详见附件七。
第四章 附则
本规定由思度安全运营中心制定、修订和解释。 本规定自发布之日起生效。 记录文件 《风险评估计划》 《信息资产清单》 《风险评估记录》 《待处理风险及风险处理计划》 《风险评估报告》
以下内容为表格 格式已经损坏
附件二: 信息系统等级划分准则 思度安全运营中心范围内的信息系统共划分为5个等级,即核心信息系统(5级)、关键信息系统(4级)、重要信息系统(3级)、辅助信息系统(2级)和一般信息系统(1级)。 生产系统参照公安部等级保护测评和连续性管理流程中定义的信息系统等级按取最高等级的原则将等级划分为5级至2级,内部管理系统、办公系统视实际情况定义为2级或1级。 生产系统等级与等级保护测评、连续性管理流程定义系统等级的对照表如下: 业务服务等级(参照) 等级保护测评 定义的安全等级 连续性管理流程 定义的服务系统等级 核心(5级) 四级 核心 关键(4级) 三级 关键 重要(3级) 二级 重要 辅助(2级) 一级 辅助 对于已定级的信息系统应参照下表进行CIA属性赋值: 信息系统级别 保密性 完整性 可用性 核心(5级) 5 5 5 关键(4级) 4 5 5 重要(3级) 4 4 4 辅助(2级) 3 3 4 一般(1级) 3 3 3
附件三: 威胁发生可能性的评估标准 赋值 等级 定义 5 极高
出现的频率很高(或不少于1次/月),或在大多数情况下几乎不可避免,或可以证实经常发生过 4 高 出现的频率较高(或不少于1次/季度),或在大多数情况下很有可能会发生,或可以证实多次发生过 3 中 出现的频率中等(或不少于1次/年),或在某种情况下可能会发生,或被证实曾经发生过 2 低 出现的频率较小,或一般不太可能发生,或没有被证实发生过 1 很低 威胁几乎不可能发生,或仅可能在非常罕见或例外的情况下发生
附件四: 弱点可被利用严重性的评估标准 赋值 等级 定义 5 极高 如果被威胁利用,将对资产造成极大程度的损害,导致存在此弱点的信息资产立即停止为相关业务提供服务,短期内无法恢复或恢复的代价超过可承受的范围;或者完全被威胁源所控制,使该资产完全不可信;或者出现极其严重的大范围的泄密。 4 高 如果被威胁利用,将对资产造成重大的损害,导致存在此弱点的信息资产立即停止为相关业务提供服务,但一定时间内可以恢复;或者被威胁源获得部分控制权,基本上不可信;或者发生比较大范围的或程度比较严重的泄密。 3 中 如果被威胁利用,将对资产造成一般损害,导致存在此弱点的信息资产明显降低为相关业务提供服务的效率,但服务尚可继续;或者基本上可信,只是在许多环节存在问题;或者一定范围内中等程度的泄密。 2 低 如果被威胁利用,将对资产造成较小损害,导致存在此弱点的信息资产一定程度上降低为相关业务提供服务的效率,但服务质量仍基本合格;或者基本上还可信,只是在少量环节存在问题;或者小范围中低程度的泄密。 1 很低 如果被威胁利用,虽然造成一定的影响和后果,但将对资产造成的损害基本上可以忽略。
附件五: 风险值计算公式 风险值=ROUND(资产价值×弱点被利用的严重性×威胁发生可能性)注:ROUND表示向下取整
附件六: 风险分级准则 风险值取值对照表:
风险分级和处理原则表: 等级 风险值 处理原则 处理原则描述 极高风险 大于80 尽快处理 1.对于思度安全运营中心职责范围内具备处理条件的风险,由思度安全运营中心风险管理组和相关部门讨论,制订风险处理措施; 2.对于目前暂不具备实施有效管控措施条件的风险,应制订相应的补偿性措施; 3.对于在思度安全运营中心职责范围内无法实施有效控制的风险,应制订相应的补偿性措施并反馈相关责任部门; 4.根据上述风险处理措施,应形成风险处理方案经思度安全运营中心信息安全工作指挥小组审批后实施。 高风险 大于48小于等于80 尽快处理
中风险 大于32小于等于48 处理
低风险 小于32 接受 由于发生的可能性很低,或发生后对业务的影响较低,可以暂不进行处理
附件七: 风险评估流程 流程描述: 步骤 输入 步骤描述 输出 1.提出风险评估需求 无 a. 思度安全运营中心信息安全工作指挥小组定期提出信息安全风险评估需求; b. 如果出现以下重大变化,会影响到资产的安全或相关风险时,各部门及思度安全运营中心风险管理组应进行局部或全部的风险识别和评估:
有关法律法规更改和增删时; 客户等相关方有要求或提议时; 业务活动出现变更时; 资产发生较大变化时; 出现严重的信息安全事件时; 信息安全方针发生变化时。 风险评估需求 2.组织风险评估活动 风险评估需求 a. 由思度安全运营中心风险管理组组织各部门根据风险评估的需求进行风险评估; b. 风险评估准备阶段完成风险评估计划,评估计划的内容应包括: 确定风险评估范围; 组建适当的评估管理与实施团队; 确定评估依据和方法。 《风险评估计划》 3.资产识别 《风险评估计划》 a. 各部门根据《信息资产安全管理规定》对信息资产的CIA 属性进行赋值并计算信息资产价值(其中涉及信息系统的各类信息资产均应按系统等级进行赋值,详见附件一:信息系统等级划分准则),并将重要信息资产列入风险评估范围。填写信息资产清单过程中须充分考虑各类资产之间的关联性,使风险评估能达到一致性的要求。 b. 每次资产识别工作开展之前,必须对现有信息系统进行一次全面的业务连续性影响评估。 《信息资产清单》 4.风险评估 《信息资产清单》 安全需求 思度安全运营中心风险管理组指导各部门实施以下风险识别、评估工作: 4.1威胁识别 威胁是利用弱点而侵害资产的外在因素。威胁大体可分为环境威胁和人为威胁两方面,每一类里面都会有许多常见的威胁形式。评估者需要从每项识别出的资产出发,找到可能遭受的威胁,并对威胁的可能性进行赋值评估,详见附件二:威胁发生可能性的评估标准; 4.2弱点识别 弱点是资产本身存在的某种缺陷,一旦被外部威胁所利用,就可能使资产受到损害。评估者需要从每项识别出的资产和对应的威胁出发,找到可能被利用的弱点,并对弱点可能被利用的严重性进行赋值评估,详见附件三:弱点可被利用的严重性评估标准; 4.3识别现有安全措施 针对每一项风险,思度安全运营中心风险管理组与相关部门应识别是否已经存在特定的控制措施能够消减此风险,若存在此类控制措施,应对威胁可能性和弱点严重性进行重新评估; 4.4计算风险值 对于识别出来的资产、威胁和弱点,以及评估得出的资产价值、威胁可能性和弱点严重性,最终按照资产种类统一记录在风险评估记录中,并按信息安全风险计算公式计算风险值,详见附件四:风险值计算公式; 4.5风险分级 计算得出的风险值可能属于某个等级的风险,其等级划分标准如附件五:风险分级准则。评估完成后,思度安全运营中心风险管理组及相关部门对评分结果进行综合评估,确认风险的等级。 《风险评估记录》 5.风险处理 《风险评估记录》 风险处理原则 5.1选择处理方式 对于风险评估阶段识别出的风险,根据风险分级准则的相关描述选择适当的处理方式,处理方式包括接受风险或纳入处理计划; 5.2制定风险处理计划 综合考虑风险控制成本和风险造成的影响,确定要实施的安全控制措施,制定风险处理计划和改进计划表,风险处理计划及实施方案须明确实施部门和负责人以及实施时间等事项; 5.3风险处理计划审批 结合风险评估结果和风险处理计划形成《信息安全风险评估报告》报信息安全工作指挥小组进行审批; 5.4风险处理计划执行 相关部门执行通过审批的风险处理计划; 5.5风险处理跟踪 对于风险处理实施情况,由思度安全运营中心风险管理组进行跟踪,并填写《安全改进情况跟踪表》,确保风险控制措施能在计划时间内完成; 5.6残余风险评估 风险处理完毕后必须对残余风险进行评估,若残余风险值仍在风险可接受值之上,应进一步采取风险处理措施。 《风险处理计划》 《改进计划表》 《风险评估报告》 《安全改进情况跟踪表》