信息安全风险评估管理办法

年月日信息安全风险评估管理办法目录1总则..................................................32组织与责任............................................33信息安全风险评估规定..................................43.1弱点分析.........................................43.1.1概述.........................................43.1.2弱点检查.....................................43.1.3弱点赋值.....................................63.2威胁分析.........................................73.2.1概述.........................................73.2.2威胁来源分析.................................73.2.3威胁种类分析.................................83.2.4威胁赋值....................................103.3风险计算........................................113.3.1概述........................................113.3.2风险计算....................................113.4风险处置........................................123.4.1概述........................................123.4.2风险处置方法................................133.4.3风险处置流程................................153.5IT需求评估决策流程..............................234奖惩管理规定.........................................245附则.................................................256附录一：安全检查申请单...............................257附录二：安全检查方案模版.............................278附录三：风险处置计划表...............................29信息安全风险评估管理办法1总则为确保网络及信息系统安全、高效、可控的运行，提高业务系统安全运行能力，全面降低信息安全风险，特制定本管理办法。2组织与责任信息安全管理组负责信息安全风险评估的具体实施。技术支撑部门协助信息安全管理执行组的信息安全风险评估工作，并且实施信息安全管理执行组通过风险评估后提供的解决方案与建议。其他部门协助信息安全管理执行组开展信息安全风险评估工作。3信息安全风险评估规定3.1弱点分析3.1.1概述弱点评估是安全风险评估中最主要的内容。弱点是信息资产本身存在的，它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的弱点。3.1.2弱点检查信息安全管理组应定期对集团IT系统进行全面的信息安全弱点检查，了解各IT系统的信息安全现状。IT系统安全检查的范围包括：主机系统、网络设备、安全设备、数据库系统、应用系统、邮件系统以及其它在用系统。IT系统安全检查的工具与方法如下：1.工具检查：针对IT设备建议采用专用的脆弱性评估工具进行检查，如Nessus、BurpSuite等工具，针对应用系统及代码安全检查，建议采用商业专用软件进行检查，如IBMAppScan。2.手工检查：由信息安全专员或技术支撑部门相关人员参照相关的指导文档上机进行手工检查。信息安全检查工作开展前，信息安全管理组需制定安全检查计划，对于部分可用性要求高的业务系统或设备，计划中要明确执行的时间，并且该计划要通知相关部门与系统维护人员，明确相关人员的及部门的职责与注意事项。信息安全管理组与外服公司针对信息安全检查须制定《安全检查方案》，方案中，针对工具扫描部分需明确扫描策略，同时方案必须提供规避操作风险的措施与方法。并且该方案必须获得技术支撑部领导批准。信息安全管理组应对IT系统安全检查的结果进行汇总，并进行详细分析，提供具体的安全解决建议，如安全加固、安全技术引进等。当发生重大的信息安全事件，信息安全管理组应在事后进行一次全面的安全检查，并通过安全检查结果对重要的安全问题进行及时解决。常见的弱点种类分为：1.技术性弱点：系统，程序，设备中存在的漏洞或缺陷，比如结构设计问题或编程漏洞；2.操作性弱点：软件和系统在配置，操作，使用中的缺陷，包括人员在日常工作中的不良习惯，审计或备份的缺乏；3.管理性弱点：策略，程序，规章制度，人员意识，组织结构等方面的不足；识别弱点的途径包括审计报告，事件报告，安全复查报告，系统测试及评估报告，还可以利用专业机构发布的列表信息。当然，许多技术性和操作性弱点，可以借助自动化的漏洞扫描工具和渗透测试等方法来识别和评估。在对生命周期敏感的资产评估过程中，应注意从创建，使用，传输，存储，销毁等不同的阶段识别弱点。弱点的发现随着新应用,新技术的出现,需要不断更新完善弱点列表。3.1.3弱点赋值信息资产弱点为IT设备自身存在的安全问题。在，弱点的严重性以暴露程度进行评价，即弱点被利用的难易程度，而弱点对资产安全影响的严重程度放在资产价值中去考虑，一个弱点可能导致多项不同价值资产的风险上升。参考业界的最佳实践，采用的等级划分如下：将弱点严重性分为4个等级，分别是非常高（VH）、高（H）、中等（M）、低（L），并且从高到低分别赋值4-1。赋值标准参照下表。赋值弱点等级弱点赋值说明（弱点严重程度）4很高弱点很严重，可直接、轻易的被非法者利用，并对信息资产生产破坏3高弱点严重，可利用直接，但需通过一定的攻击手段，可对信息资产生产破坏2中弱点严重一般，利用非常困难或不可利用，但通过与其它弱点进行组合利用，可对信息资产生产破坏1低弱点不严重，弱点不能利用，但会泄露有限的资产信息3.2威胁分析3.2.1概述安全威胁是一种对系统、组织及其资产构成潜在破坏的可能性因素或者事件。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素包括有意因素和无意因素。环境因素包括自然界的不可抗力因素和其它物理因素。3.2.2威胁来源分析信息系统的安全威胁来源可考虑以下方面：威胁来源表威胁来源威胁来源描述环境因素、意外事故或故障由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害；意外事故或由于软件、硬件、数据、通讯线路方面的故障。无恶意内部人内部人员由于缺乏责任心，或者由于不关心和不专员注，或者没有遵循规章制度和操作流程而导致故障或被攻击；内部人员由于缺乏培训，专业技能不足,不具备岗位技能要求而导致信息系统故障或被攻击。恶意内部人员不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主的或内外勾结的方式盗窃机密信息或进行篡改，获取利益。第三方第三方合作伙伴和供应商，包括业务合作伙伴以及软件开发合作伙伴、系统集成商、服务商和产品供应商；包括第三方恶意的和无恶意的行为。外部人员攻击外部人员利用信息系统的弱点，对网络和系统的机密性、完整性和可用性进行破坏，以获取利益或炫耀能力。3.2.3威胁种类分析对安全威胁进行分类的方式有多种多样，针对上表威胁来源，需要考虑下述的安全威胁种类。表中列举的威胁种类随着新技术新应用的出现，需要不断更新完善。威胁种类列表威胁种类威胁描述软硬件故障由于设备硬件故障、通讯链路中断、系统本身或软件Bug导致对业务高效稳定运行的影响。物理环境威胁断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题和自然灾害。无作为或操作失误由于应该执行而没有执行相应的操作，或无意地执行了错误的操作，对系统造成影响。制度不完善相关制度不完善、合理，造成无章可循或无法遵循。管理不到位安全控制无法落实，不到位，造成安全控制不规范，或者管理混乱，从而破坏信息系统正常有序运行。恶意代码和病毒具有自我复制、自我传播能力，对信息系统构成破坏的程序代码。越权或滥用通过采用一些措施，超越自己的权限访问了本来无权访问的资源；或者滥用自己的职权，做出破坏信息系统的行为。黑客攻击技术利用黑客工具和技术，例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵。物理攻击物理接触、物理破坏、盗窃。泄密机密泄漏，机密信息泄漏给他人。篡改非法修改信息，破坏信息的完整性。抵赖不承认收到的信息、所作的操作或交易。3.2.4威胁赋值威胁发生的可能性是一个动态的，需要综合分析得出，在此可采用如下最佳实践的赋值标准，通过实际经验对威胁的可能性赋值。赋值标准参照下表：威胁赋值列表赋值威胁威胁赋值说明（威胁发生的可能性）4很高在大多数情况下，很有可能会发生；或者可以证实发生过（发生可能性在80%以上）3高在多数情况下，可能会发生（发生可能性在50%-80%）2中在某种情况下或某个时间，可能会发生（发生可能性在20%-50%）1低发生的可能性很小，不太可能（发生可能性在20%以下）3.3风险计算3.3.1概述风险是一种潜在可能性，是指某个威胁利用弱点引起某项资产或一组资产的损害，从而直接地或间接地引起组织的损害。因此，风险和具体的资产威胁等级以及相关的弱点直接相关。风险评估包括风险的计算、风险的处置和风险的安全对策选择。3.3.2风险计算采用下面的算术方法来得到信息资产的风险值：风险值＝资产值×威胁值×弱点值风险等级与风险值对应关系参考下图：风险级别列表风险等级风险取值范围4很高48、64一旦发生将产生非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织的正常经营，经济损失重大。3高24、27、32、36一旦发生将产生较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成损害。2中12、16、18一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大，一般仅限于组织内部，通过一定手段就能解决1低≤9一旦发生造成的影响很小或几乎不存在，通过简单的措施就能弥补。风险等级计算结果如下：根据计算出的风险值，对风险进行排序，并根据组织自身的特点和具体条件、需求，选择相应的风险处置方式。3.4风险处置3.4.1概述风险的处置方法依照风险程度，根据风险等级来采取不同的处置方法。风险程度和遵照的处置方法建议见下表：风险等级列表符号含义建议处置方法VH很高风险需要管理层的高度注意：避免？转移？减少？H高风险需要管理层的注意：避免？转移？减小？M中风险必须规定管理责任：避免？接受？转移？减小？L低风险用日常程序处理：避免？接受？转移？减小？选择处置措施的原则是权衡利弊：权衡每种选择的成本与其得到的利益。当风险已经定义后，必须决定如何处置这些风险。3.4.2风险处置方法在考虑风险处理前，如果经评估显示，风险较低或处理成本对于组织来说不划算，则风险可被接受。这些决定应加以记录。通常有四种风险处置的方法：1.避免风险：在某些情况下，可以决定不继续进行可能产生风险的活动来规避风险。在某些情况可能是较为稳妥的处理办法，但是在某些情况下可能会因此而丧失机会。例如，将重要的计算机系统与互联网隔离，使其免遭来自外部网络的攻击。2.降低风险：实施有效控制，将风险降低到可接受的程度，实际上就是力图减少威胁发生的可能性和带来的影响，包括：减少威胁