信息安全风险识别与评价管理程序.doc

1、 有限公司 两化整合管理体系文件（III） 第18页 共18页 题目： 信息安全风险识别与评价管理程序 编号 GM-III-B005 版本号 00 生效日期 2015.07.20 起草部门 信息中心 颁发部门 总经理办公室 一、目的： 通过风险评估，采取有效措施，降低威胁事件发生的可能性，或者减少威胁事件造成的影响，从而将风险消减到可接受的水平。 二、范围： 适用于对信息安全管理体系信息安全风险

2、的识别、评价、控制等管理。 三、责任： 3.1 管理者代表 信息中心执行信息安全风险的识别与评价；审核并批准重大信息安全风险，并负责编制《信息资产风险评估准则》，执行信息安全风险调查与评价，提出重大信息安全风险报告。 3.2 各部门 协助信息中心的调查，参与讨论重大信息安全风险的管理办法。 四、内容： 4.1 资产识别 保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以

3、及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此，应对组织中的资产进行识别。 在一个组织中，资产有多种表现形式；同样的两个资产也因属于不同的信息系统而重要性不同，而且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。在实际工作中，具体的资产分类方法可以根据具体的评估对象和要求，由评估者灵活把握。根据资产的表现形式，可将资产分为数据、软件、硬件、服务、人员等类型。 表1 列出了一种资产分类方法。 表1 一种基于表现形式的资产分类方法 类别 简称 解释/示例 数据 Data

4、存在电子媒介的各种数据资料，包括源代码、数据库数据，各种数据资料、系统文档、运行管理过程、计划、报告、用户手册等。 软件 Software 应用软件、系统软件、开发工具和资源库等。 服务 Service 软件维护等 硬件 Hardware 计算机硬件、路由器，交换机。硬件防火墙。程控交换机、布线、备份存储 文档 Document 纸质的各种文件、传真、电报、财务报告、发展计划。 设备 Facility 电源、空调、保险柜、文件柜、门禁、消防设施等 人员 HR 各级人员和雇主、合同方雇员 其它 Other 企业形象、客户关系等 4.2 信息类别 4.

5、2.1信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。 4.2.2 信息分类定义： a)“国家秘密事项”：《中华人民共和国保守国家秘密法》中指定的秘密事； b)“企业秘密事项”：不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害，或者由于业务上的需要仅限有关人员知道的商业秘密事项； c)“敏感信息事项”：为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项； d)“一般事项”：秘密事项以外，仅用来传递信息、昭示承诺或对外宣传所涉及的事项； e)“公开事项”：其他可以完全公开的事项。 4.2.3 信息分

6、类不适用时，可不填写。 五、风险评估实施: 5.1 资产赋值 5.1.1 保密性赋值 根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。 表2 提供了一种保密性赋值的参考 赋值 标识 定义 5 很高 包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害 4 高 包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害 3 中等 组织的一般性秘密，其泄露会使组织的安全和利益受到损害 2 低 仅能在组织内部或在组织某一部门内部公

7、开的信息，向外扩散有可能对组织的利益造成轻微损害 1 很低 可对社会公开的信息，公用的信息处理设备和系统资源等 5.1.2 完整性赋值 根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上缺失时对整个组织的影响。表3 提供了一种完整性赋值的参考。 表3 资产完整性赋值表 赋值 标识 定义 5 很高 完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补 4 高 完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补 3 中等 完整性价值

8、中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补 2 低 完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补 1 较低 很低完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击及小 5.1.3 可用性赋值 根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上应达成的不同程度。表4 提供了一种可用性赋值的参考。 表4 资产可用性赋值表 赋值 标识 定义 5 很高 可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上，或系统不允许中断 4 高

9、 可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上，或系统允许中断时间小于10min 3 中等 可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上，或系统允许中断时间小于30min 2 低 可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或系统允许中断时间小于60min 1 很低 可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于25% 5.1.4 合规性赋值 根据资产在法律、法规、上级规定、合同协议符合性上的不同要求，将其分为五个不同的等级，分别对应资产在符合法律、法律

10、上级规定、合同协议的不同程度。 表5 资产合规性赋值表 赋值 标识 定义 5 很高 严重不符合信息安全管理休系要求，对组织造成无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补。 4 高 不符合信息安全管理体系要求，对组织造成重大影响，对业务冲击严重，较难弥补。 3 中等 与信息安全管理体系具体要求有冲突，对组织造成影响，对业务冲击明显，但可以弥补。 2 低 与信息安全管理体系具体条款要求存在轻微的不符合，对组织造成轻微影响，对业务冲击轻微，容易弥补。 1 很低 符合信息安全管理体系要求，但需持续改进，对组织造成的影响可以忽略，对业务冲

11、击及小。 5.2 资产重要性等级 资产价值应依据资产在保密性、完整性和可用性上的赋值等级，经过综合评定得出。综合评定方法可以根据自身的特点，选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果；也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。加权方法可根据组织的业务特点确定。 本标准中，为与上述安全属性的赋值相对应，根据最终赋值将资产划分为五级，级别越高表示资产越重要，3级以及3级以上为重要资产，3级以下为非重要资产，并以此形成《信息资产清单》。表6 中的资产等级划分表明了不同等级的重要性的综合描述。评估者可根据

12、资产赋值结果，确定重要资产的范围，并主要围绕重要资产进行下一步的风险评估。 资产价值=C*I*A*H 表6 资产等级及含义描述 等级 标识 描述 5 很高 非常重要，其安全属性破坏后可能对组织造成非常严重的损失 4 高 重要，其安全属性破坏后可能对组织造成比较严重的损失 3 中等 比较重要，其安全属性破坏后可能对组织造成中等程度的损失 2 低 不太重要，其安全属性破坏后可能对组织造成较低的损失 1 很低 不重要，其安全属性破坏后对组织造成导很小的损失，甚至忽略不计 表6.1 资产价值等级划分 资产值 1-25 26-55 56-175 1

13、76-395 396-625 资产等级 1 2 3 4 5 5.3 威胁识别 5.3.1 威胁分类 威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，在保密性、完整性和可用性等方面造成损害；也可能是偶发的、或蓄意的事件。 在对威胁进行分类前，应考虑威胁的来源。表7 提供了一种威胁来源的分类方法。 表7 威胁来源列表 来源 描述 环境因素 断电、静电、灰尘、潮湿、温度、鼠蚁虫

14、害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害，以及软件、硬件、数据、通讯线路等方面的故障 人为因素 恶意人员 不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主或内外勾结的方式盗窃机密信息或进行篡改，获取利益外部人员利用信息系统的脆弱性，对网络或系统的保密性、完整性和可用性进行破坏，以获取利益或炫耀能力 非恶意人员 内部人员由于缺乏责任心，或者由于不关心或不专注，或者没有遵循规章制度和操作流程而导致故障或信息损坏；内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击 对威胁进行分类的方式有多种，针对上表的威胁来源，可以根据其表现

15、形式将威胁主要分为以下几类。表8 提供了一种基于表现形式的威胁分类方法。 表8 一种基于表现形式的威胁分类表 种类 描述 威胁子类 软硬件故障 对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题 设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等 物理环境影响 对信息系统正常运行造成影响的物理环境问题和自然灾害 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等 无作为或操作失误 应该执行而没有执行相应的操作，或无意执行了错误的操作 维护错误、操作失误等 管理不到位

16、 安全管理无法落实或不到位，从而破坏信息系统正常有序运行 管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等 恶意代码 故意在计算机系统上执行恶意任务的程序代码 病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等 越权或滥用 通过采用一些措施，超越自己的权限访问了本来无权访问的资源，或者滥用自己的权限，做出破坏信息系统的行为 非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等 网络攻击 利用工具和技术通过网络对信息系统进行攻击和入侵 网络探测和信息采集、漏洞探测、嗅探（帐号、口令、权限等）、用户身份伪造和欺骗、

17、用户或业务数据的窃取和破坏、系统运行的控制和破坏等 物理攻击 通过物理的接触造成对软件、硬件、数据的破坏 物理接触、物理破坏、盗窃等 泄密 信息泄露给不应了解的他人 内部信息泄露、外部信息泄露等 篡改 非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用 篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等 抵赖 不承认收到的信息和所作的操作和交易 原发抵赖、接收抵赖、第三方抵赖等 5.3.2 威胁赋值 判断威胁出现的频率是威胁赋值的重要内容，评估者应根据经验和（或）有关的统计数据来进行判断。在评估中，需要综合考虑以下三

18、个方面，以形成在某种评估环境中各种威胁出现的频率： a） 以往安全事件报告中出现过的威胁及其频率的统计； b） 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计； c） 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。可以对威胁出现的频率进行等级化处理，不同等级分别代表威胁出现的频率的高低。等级数值越大，威胁出现的频率越高。 表9 提供了威胁出现频率的一种赋值方法。在实际的评估中，威胁频率的判断依据应在评估准备阶段根据历史统计或行业判断予以确定，并得到被评估方的认可。 表9 威胁赋值表 等级 标识 定义 5 很高 出现的频率

19、很高（或≥1 次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过 4 高 出现的频率较高（或≥ 1 次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过 3 中等 出现的频率中等（或> 1 次/半年）；或在某种情况下可能会发生；或被证实曾经发生过 2 低 出现的频率较小；或一般不太可能发生；或没有被证实发生过 1 很低 威胁几乎不可能发生；仅可能在非常罕见和例外的情况下发生 5.4 脆弱性识别 5.4.1 脆弱性识别内容 脆弱性是资产本身存在的，如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健，严重的威胁也

20、不会导致安全事件发生，并造成损失。即，威胁总是要利用资产的脆弱性才可能造成危害。 资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现，这是脆弱性识别中最为困难的部分。不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性。脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以以资产为核心，针对每一项需要保护的资产,识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估；也可以从物理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家安全标准，也可以是行业规范、应用流程的安全要求。对应用在不同环境中的相同的弱点，其脆弱性严

21、重程度是不同的，评估者应从组织安全策略的角度考虑、判断资产的脆弱性及其严重程度。信息系统所采用的协议、应用流程的完备与否、与其他网络的互联等也应考虑在内。脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域和软硬件方面的专业人员等。脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。 脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面，前者与具体技术活动相关，后者与管理环境相关。 表10 脆弱性识别内容表 类型 识别对象 识别内容

22、 技术脆弱性 网络结构 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别 系统软件 从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别 应用中间件 从协议安全、交易完整性、数据完整性等方面进行识别 应用系统 从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别 管理脆弱性 技术管理 从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别 组织管理 从安全策略、组织安全、资产分类与控制、

23、人员安全、符合性等方面进行识别 5.4.2 脆弱性赋值 可以根据脆弱性对资产的暴露程度、技术实现的难易程度、流行程度等，采用等级方式对已识别的脆弱性的严重程度进行赋值。由于很多脆弱性反映的是同一方面的问题，或可能造成相似的后果，赋值时应综合考虑这些脆弱性，以确定这一方面脆弱性的严重程度。 对某个资产，其技术脆弱性的严重程度还受到组织管理脆弱性的影响。因此，资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。 脆弱性严重程度可以进行等级化处理，不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大，脆弱性严重程度越高。表11 提供了脆弱性严重程表 11 脆弱性严重程度赋值表度

24、的一种赋值方法。 等级 标识 定义 5 很高 如果被威胁利用，将对资产造成完全损害 4 高 如果被威胁利用，将对资产造成重大损害 3 中等 如果被威胁利用，将对资产造成一般损害 2 低 如果被威胁利用，将对资产造成较小损害 1 很低 如果被威胁利用，将对资产造成的损害可以忽略 5.5 风险分析 5.5.1 风险计算原理 在完成了资产识别、威胁识别、脆弱性识别，以及已有安全措施确认后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险。以下是给出

25、了风险计算原理，以下面的范式形式化加以说明： 风险值=R（A，T，V）= R(L(T，V)，F(Ia，V ))。 其中，R 表示安全风险计算函数；A 表示资产；T 表示威胁；V 表示脆弱性；H表示合规性； Ia 表示安全事件所作用的资产价值； L 表示威胁利用资产的脆弱性导致安全事件的可能性；F 表示安全事件发生后造成的损失。有以下三个关键计算环节： a） 计算安全事件发生的可能性 根据威胁出现频率及脆弱性的状况，计算威胁利用脆弱性导致安全事件发生的可能性，即： 安全事件的可能性=L(威胁出现频率，脆弱性)＝L(T，V )。 即L=T*V 在具体评估中，应综合攻击者技术能力（专

26、业技术程度、攻击设备等）、脆弱性被利用的难易程度（可访问时间、设计和操作知识公开程度等）、资产吸引力等因素来判断安全事件发生的可能性。 b） 计算安全事件发生后造成的损失（即影响值） 根据资产价值及脆弱性严重程度，计算安全事件一旦发生后造成的损失，即： 安全事件造成的损失=F(资产价值，脆弱性严重程度)＝F(Ia，V )。 即F=la*v。 部分安全事件的发生造成的损失不仅仅是针对该资产本身，还可能影响业务的连续性；不同安全事件的发生对组织的影响也是不一样的。在计算某个安全事件的损失时，应将对组织的影响也考虑在内。 部分安全事件造成的损失的判断还应参照安全事件发生可能性的结果，对

27、发生可能性极小的安全事件，如处于非地震带的地震威胁、在采取完备供电措施状况下的电力故障威胁等，可以不计算其损失。 c） 计算风险值 根据计算出的安全事件的可能性以及安全事件造成的损失，计算风险值，即： 风险值=R(安全事件的可能性，安全事件造成的损失)＝R(L(T，V)，F(Ia，V ))。 本公司规定采取相乘法进行风险值的计算。 R=L*F=Ia*T*V 5.5.2 风险结果判定 为实现对风险的控制与管理，可以对风险评估的结果进行等级化处理。可将风险划分为五级，等级越高，风险越高。风险等级达到四级为不可接受风险，四级以下为可接受风险，不可接受风险由风险评估小组制定风险处理计划，

28、并由各责任部门负责实施。 表12 风险等级划分表 等级 标识 描述 5 很高 一旦发生将产生非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织的正常经营，经济损失重大、社会影响恶劣 4 高 一旦发生将产生较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成损害 3 中等 一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大 2 低 一旦发生造成的影响程度较低，一般仅限于组织内部，通过一定手段很快能解决 1 很低 一旦发生造成的影响几乎不存在，通过简单的措施就能弥补 表12 风险等级划分 风险值 1-5 6-11

29、 12-35 36-79 80-125 风险等级 1 2 3 4 5 六、残余风险评估: 在对于不可接受的风险选择适当安全措施后，为确保安全措施的有效性，需要进行再评估，以判断实施安全措施后的残余风险是否已经降低到可接受的水平。残余风险的评估可以从脆弱性评估开始，在对照安全措施实施前后的脆弱性状况后，再次计算风险值的大小。 某些风险如果在选择了适当的安全措施后，残余风险的结果仍处于不可接受的风险范围内，那么就应该考虑是否接受此风险或进一步增加相应的安全措施。 七、风险实施流程: 风险评估的实施流程如图1所示： 风险评估准备 脆弱性识别 威胁识

30、别 资产识别 已有安全措施的确认 风险评估文档记录 评估过程文档 风险值计算 风险是否接受 保持已有的安全措施 评估过程文档 是 否 制定风险处理计划并评估残余风险 否 是否接受残余风险 实施风险管理 评估过程文档 是 图1 风险评估实施流程图 八、风险评估文档记录: 《信息资产风险评估准则》 《信息资产清单》 《信息资产风险评估准表》 《风险处理计划》

31、 修订历史： 版本号：00 生效日期：2015.07.20 内容：新制订文件。 其中专业理论知识内容包括：保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括：岗位操作指引、勤务技能、消防技能、军事技能。 二．培训的及要求培训目的 安全生产目标责任书 为了进一步落实安全生产责任制，做到“责、权、利”相结合，根据我公司2015年度安全生产目标的内容，现与财务部签订如下安全生产目标： 一、目标值： 1、全年人身死亡事故为零，重伤事故为零，轻伤人数为零。 2、现金安全保管，不发生盗窃事故。 3、每月足

32、额提取安全生产费用，保障安全生产投入资金的到位。 4、安全培训合格率为100%。 二、本单位安全工作上必须做到以下内容： 1、对本单位的安全生产负直接领导责任，必须模范遵守公司的各项安全管理制度，不发布与公司安全管理制度相抵触的指令，严格履行本人的安全职责，确保安全责任制在本单位全面落实，并全力支持安全工作。 2、保证公司各项安全管理制度和管理办法在本单位内全面实施，并自觉接受公司安全部门的监督和管理。 3、在确保安全的前提下组织生产，始终把安全工作放在首位，当“安全与交货期、质量”发生矛盾时，坚持安全第一的原则。 4、参加生产碰头会时，首先汇报本单位的安全生产情况和安全问

33、题落实情况；在安排本单位生产任务时，必须安排安全工作内容，并写入记录。 5、在公司及政府的安全检查中杜绝各类违章现象。 6、组织本部门积极参加安全检查，做到有检查、有整改，记录全。 7、以身作则，不违章指挥、不违章操作。对发现的各类违章现象负有查禁的责任，同时要予以查处。 8、虚心接受员工提出的问题，杜绝不接受或盲目指挥； 9、发生事故，应立即报告主管领导，按照“四不放过”的原则召开事故分析会，提出整改措施和对责任者的处理意见，并填写事故登记表，严禁隐瞒不报或降低对责任者的处罚标准。 10、必须按规定对单位员工进行培训和新员工上岗教育； 11、严格执行公司安全生产十六项禁令，保证本单位所有人员不违章作业。 三、 安全奖惩： 1、对于全年实现安全目标的按照公司生产现场管理规定和工作说明书进行考核奖励；对于未实现安全目标的按照公司规定进行处罚。 2、每月接受主管领导指派人员对安全生产责任状的落