风险评估管理程序

1风险评估管理程序历史修订记录序号更改单号更改说明修订人生效日期现行版次2目录1概述........................................................................52术语与定义..................................................................52.1风险管理...................................................................52.1.1风险评估................................................................52.2其他.......................................................................63风险评估框架及流程...........................................................73.1风险要素关系...............................................................733.2风险分析原理...............................................................93.3实施流程...................................................................94风险评估准备过程...........................................................104.1确定范围..................................................................104.2确定目标..................................................................114.3确定组织结构..............................................................114.4确定风险评估方法..........................................................114.5获得最高管理者批准........................................................115风险评估实施过程...........................................................115.1资产赋值..................................................................135.1.1资产分类...............................................................145.1.2资产价值属性...........................................................175.1.3资产价值属性赋值标准....................................................195.2威胁评估..................................................................235.2.1威胁分类...............................................................235.2.2威胁赋值...............................................................265.3脆弱性评估................................................................275.4确定现有控制..............................................................305.5风险评估..................................................................305.5.1风险值计算.............................................................305.5.2风险等级划分...........................................................315.5.3风险评估结果纪录........................................................316风险管理过程...............................................................326.1安全控制的识别与选择......................................................336.2降低风险..................................................................346.3接受风险..................................................................356.4风险管理要求..............................................................357相关文件...................................................................36451概述目前信息安全管理的发展趋势是将风险管理与信息安全管理紧密结合在一起，将风险概念作为信息安全管理实践的对象和出发点，信息安全管理的控制点以风险出现的可能性作为对象而展开的。ISO27001标准对信息安全管理体系(ISMS)的要求即通过对信息资产的风险管理,确定重要信息资产清单以及风险等级,从而采取相应的控制措施来实现信息资产的安全。信息安全管理是风险管理的过程，风险评估是风险管理的基础。风险管理是指导和控制组织风险的过程。风险管理遵循管理的一般循环模式—计划(Plan)、执行(Do)、检查(Check)、行动(Action)的持续改进模式。ISO27001标准要求企业设计、实施、维护信息安全管理体系都要依据PDCA循环模式。2术语与定义2.1风险管理风险管理是以可接受成本识别、评估、控制、降低可能影响信息系统风险的过程，通过风险评估识别风险，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降低到一个可以被接受的水平，同时考虑控制费用与风险之间的平衡。风险管理的核心是信息的保护。信息对于组织是一种具有重要价值的资产。建立信息安全管理体系(ISMS)的目的是在最大范围内保护信息资产，确保信息的机密性、完整性和可用性，将风险管理自始至终的贯穿于整个信息安全管理体系中，这种体系并不能完全消除信息安全的风险，只是尽量减少风险，尽量将攻击造成的损失降低到最低限度。2.1.1风险评估风险评估指风险分析和风险评价的整个过程，其中风险分析是指系统化地识别风险来源和风险类型，风险评价是指按组织制定的风险标准估算风险水平，确定风险严重性。风险评估的出发点是对与风险有关的各因素的确认和分析，与信息安全风险有关的因素可以包括四大类：资产、威胁、脆弱性、安全控制措施。风险评估是对信息和信息处理设施的威胁、脆弱性和风险的评估，它包含以下元素：6风险是被特定威胁利用的资产的一种或一组脆弱性，导致资产丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。资产是对组织具有价值的信息资源，是安全控制措施保护的对象。威胁是可能对资产或组织造成损害的事故的潜在原因。脆弱性是资产或资产组中能被威胁利用的弱点。安全控制措施是降低风险的措施、程序或机制。2.2其他1.资产Asset：对组织具有价值的信息或资源，是安全策略保护的对象。2.资产价值AssetValue：资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。3.机密性confidentiality：数据所具有的特性，即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。4.完整性integrity：保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。5.可用性availability：数据或资源的特性，被授权实体按要求能访问和使用数据或资源。6.数据完整性dataintegrity：数据所具有的特性，即无论数据形式作何变化，数据的准确性和一致性均保持不变。7.系统完整性systemintegrity：在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下，信息系统能履行其操作目的的品质。8.信息安全风险informationsecurityrisk：人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。9.信息安全风险评估informationsecurityriskassessment：依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。10.信息系统informationsystem：由计算机及其相关的和配套的设备、设7施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。典型的信息系统由三部分组成：硬件系统（计算机硬件系统和网络硬件系统）；系统软件（计算机系统软件和网络系统软件）；应用软件（包括由其处理、存储的信息）。11.检查评估inspectionassessment：由被评估组织的上级主管机关或业务主管机关发起的，依据国家有关法规与标准，对信息系统及其管理进行的具有强制性的检查活动。12.组织organization：由作用不同的个体为实施共同的业务目标而建立的结构。组织的特性在于为完成目标而分工、合作；一个单位是一个组织，某个业务部门也可以是一个组织。13.残余风险residualrisk：采取了安全措施后，仍然可能存在的风险。14.自评估self-assessment：由组织自身发起，参照国家有关法规与标准，对信息系统及其管理进行的风险评估活动。15.安全事件securityevent：指系统、服务或网络的一种可识别状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或未预知的不安全状况。16.安全措施securitymeasure：保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制的总称。17.安全需求securityrequirement：为保证组织业务战略的正常运作而在安全措施方面提出的要求。18.威胁threat：可能导致对系统或组织危害的不希望事故潜在原因。19.脆弱性vulnerability：可能被威胁所利用的资产或若干资产的弱点。3风险评估框架及流程本章提出了风险评估的要素关系、分析原理及实施流程。3.1风险要素关系资产所有者应对信息资产进行保护，通过分析信息资产的脆弱性来确定威胁可能利用哪些弱