当前位置:文档之家› 信息安全风险评估控制程序

信息安全风险评估控制程序

信息科技部
信息安全风险评估控制程序
A版
2011年6月1日发布 2011年6月1日实施目录
1 目的 3
2 范围 3
3 相关文件 3
4 职责 3
5 程序 3
6 记录 5
附表1 信息资产分类参考目录 6
附表2 重要信息资产判断准则 10
附表3 信息安全威胁参考表 12
附表4 信息安全薄弱点参考表(按ISO/IEC17799分类) 13 附表5 事件发生可能性等级对照表 16
附表6 事件可能影响程度等级对照表 17
附表7 信息安全风险矩阵计算表 18
附表8 信息安全风险接受准则 19
文件修订历史记录
1 目的
本程序规定了信息科技部所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估认知信息科技部的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持信息科技部持续性发展,以满足信息科技部信息安全管理方针的要求。

2 范围
本程序适用于信息科技部信息安全管理体系(ISMS)范围内信息安全风险评估活动。

3 相关文件
4 职责
4.1 管理者代表负责组织成立风险评估小组。

4.2 风险评估小组负责编制信息安全风险评估计划,确认评估结果,形成《信息安全风险评估报告》。

5 程序
5.1 风险评估前准备
5.1.1 管理者代表牵头成立风险评估小组,小组成员至少应该包含:负责信息安全管理体系的成员。

5.1.2 风险评估小组制定信息安全风险评估计划,下发各内审员。

5.1.3 必要时应对各内审员进行风险评估相关知识和表格填写的培训。

5.2信息资产的识别
5.2.1风险评估小组通过电子邮件向各内审员发放《信息资产分类参考目录》、《重要信息资产判断准则》、《信息资产识别表》,同时提出信息资产识别的要求。

5.2.2 各内审员参考《信息资产分类参考目录》识别信息科技部信息资产,并填写《信息资产识别表》,根据《重要信息资产判断准则》判断其是否是重要信息资产,经该区域负责人审核确认后,在风险评估计划规定的时间内提交风险评估小组审核汇总。

5.2.3 风险评估小组对各内审员填写的《信息资产识别表》进行审核,确保没有遗漏重要的信息资产,形成信息科技部的《重要信息资产清单》,并交由文档管理员处存档。

5.3 重要信息资产风险等级评估
5.3.1 应对《重要信息资产清单》中的所有资产进行风险评估, 评估应考虑威胁事件发生的可能性和威胁事件发生后对信息资产造成的影响程度两方面因素。

5.3.2 风险评估小组向各内审员分发《重要信息资产风险评估表》、《信息安全威胁参考表》、《信息安全薄弱点参考表》、《事件发生可能性等级对照表》、《事件可能影响程度等级对照表》。

5.3.3 各内审员根据资产本身所处的环境条件,参考《信息安全威胁参考表》识别每个信息资产所面临的威胁,针对每个威胁,识别目前已有的控制;并参考《信息安全薄弱点参考表》识别可能被该威胁所利用的薄弱点;在考虑现有的控制前提下,参考《事件发生可能性等级对照表》判断每项重要信息资产所面临威胁发生的可能性;参考《事件可能影响程度等级对照表》,判断威胁利用薄弱点可能使信息资产保密性、完整性或可用性丢失所产生的影响程度等级。

将结果填写在《重要信息资产风险评估表》上,提交风险评估小组审核汇总。

5.3.4 风险评估小组考虑信息科技部整体的信息安全要求,对各内审员填写的《重要信息资产风险评估表》进行审核,确保风险评估水平的一致性,确保没有遗漏重要信息安全风险。

如果对评估结果进行修改,应该和负责该资产的内审员进行沟通并获得该区域副总经理的确认。

5.3.5 风险评估小组根据《信息安全风险矩阵计算表》计算风险等级,完成各内审员识别的《重要信息资产风险评估表》,并递交给文档管理员进行存档。

5.4 不可接受风险的确定和处理
5.4.1 风险评估小组根据《信息安全风险接受准则》,确定风险的可接受性;针对不可接受风险编制《信息安全不可接受风险处理计划》,该计划应该规定风险处理方式、责任人和时间进度,并对所选择的风险处理方式在控制上的有效性进行预期评估,根据本文件的评估方法重新进行打分,残余风险应得到管理者的批准;编制《信息安全风险评估报告》,陈述信息科技部信息安全管理现状,分析存
在的信息安全风险,提出信息安全管理(控制)的建议与措施,附《信息安全不可接受风险处理计划》提交信息安全管理委员会进行审核,由ISMS管理者代表批准实施。

5.4.2 风险处理情况应在每月25日报给管理者代表进行汇总,对风险处理过程中所提出的资源上的需求和出现的问题报总经理,确保风险处理计划的有效执行。

5.5 评估时机
5.5.1每年重新评估一次,以确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施,对发生以下情况需及时进行风险评估:
a) 当发生重大信息安全事故时;
b) 当信息网络系统发生重大更改时;
c) 信息安全管理委员会确定有必要时。

5.5.2 各内审员对新增加、转移的或授权销毁的信息资产应及时立即按照本程序在《信息资产识别表》、《重要信息资产清单》上予以添加或变更。

6 记录
《信息资产识别表》
《重要信息资产清单》
《重要信息资产风险等级评估表》
《不可接受风险处理计划》
附表1 信息资产分类参考目录
附表2 重要信息资产判断准则
所识别的信息资产,当出现以下情况时判为重要信息资产。

附表3 信息安全威胁参考表
附表4 信息安全薄弱点参考表(按ISO/IEC17799分类)
附表5 事件发生可能性等级对照表。

相关主题

相关文档推荐: