风险评估管理程序
历史修订记录
序号
更改单号
更改说明
修订人
生效日期
现行版次
TOC \o "1-5" \h \z \o "Current Document" 1概述 5
\o "Current Document" 2术语与定义 5
2.1风险管理 5
2.1.1风险评估 6
2.2其他 6
\o "Current Document" 3风险评估框架及流程 8
3.1 风险要素关系 8
3.2风险分析原理 10
3.3实施流程 11
4风险评估准备过程 11
4.1确定范围 12
4.2确定目标 12
4.3确定组织结构 13
4.4 确定风险评估方法 13
4.5获得最高管理者批准 13
5风险评估实施过程 13
5.1资产赋值 15
5.1.1资产分类 17
5.1.2资产价值属性 21
5.1.3资产价值属性赋值标准 23
5.2威胁评估 28
5.2.1威胁分类 29
5.2.2威胁赋值 32
5.3脆弱性评估 33
5.4确定现有控制 37
5.5风险评估 38
5.5.1风险值计算 38
5.5.2风险等级划分 38
5.5.3风险评估结果纪录 39
6风险管理过程 41
6.1安全控制的识别与选择 41
6.2降低风险 43
6.3接受风险 44
6.4风险管理要求 45
7相关文件 46
1概述
目前信息安全管理的发展趋势是将风险管理与信息安全管理紧密结合在一 起,将风险概念作为信息安全管理实践的对象和出发点,信息安全管理的控制点 以风险出现的可能性作为对象而展开的。ISO27001标准对信息安全管理体系
(ISMS)的要求即通过对信息资产的风险管理,确定重要信息资产活单以及风险等级 从而采取相应的控制措施来实现信息资产的安全。
信息安全管理是风险管理的过程,风险评估是风险管理的基础。风险管理是 指导和控制组织风险的过程。风险管理遵循管理的一般循环模式一计划(Plan)、
执行(Do)、检查(Check)、行动(Action)的持续改进模式。ISO27001标准要求 企业设计、实施、维护信息安全管理体系都要依据PDCA循环模式。
2术语与定义
2.1 风险管理
风险管理是以可接受成本识别、评估、控制、降低可能影响信息系统风险的 过程,通过风险评估识别风险,通过制定信息安全方针,采取适当的控制目标与 控制方式对风险进行控制,使风险被避免、转移或降低到一个可以被接受的水平, 同时考虑控制费用与风险之间的平衡。
风险管理的核心是信息的保护。信息对于组织是一种具有重要价值的资产。
建立信息安全管理体系(ISMS)的目的是在最大范围内保护信息资产,确保信息的 机密性、完整性和可用性,将风险管理自始至终的贯穿于整个信息安全管理体系 中,这种体系并不能完全消除信息安全的风险,只是尽量减少风险,尽量将攻击 造成的损失降低到最低限度。
2.1.1风险评估
风险评估指风险分析和风险评价的整个过程,其中风险分析是指系统化地识 别风险来源和风险类型,风险评价是指按组织制定的风险标准估算风险水平,确 定风险严重性。
风险评估的出发点是对与风险有关的各因素的确认和分析,与信息安全风险 有关的因素可以包括四大类:资产、威胁、脆弱性、安全控制措施。
风险评估是对信息和信息处理设施的威胁、脆弱性和风险的评估,它包含以
风险是被特定威胁利用的资产的一种或一组脆弱性,导致资产丢失或损害的 潜在可能性,即特定威胁事件发生的可能性与后果的结合。
资产是对组织具有价值的信息资源,是安全控制措施保护的对象。
威胁是可能对资产或组织造成损害的事故的潜在原因。
脆弱性是资产或资产组中能被威胁利用的弱点。
安全控制措施是降低风险的措施、程序或机制。
2.2 其他
资产Asset:对组织具有价值的信息或资源,是安全策略保护的对象。
资产价值Asset Value :资产的重要程度或敏感程度的表征。资产价值是 资产的届性,也是进行资产识别的主要内容。
机密性confidentiality :数据所具有的特性,即表示数据所达到的未提供或 未泄露给未授权的个人、过程或其他实体的程度。
完整性integrity :保证信息及信息系统不会被非授权更改或破坏的特性。 包括数据完整性和系统完整性。
可用性availability :数据或资源的特性,被授权实体按要求能访问和使用 数据或资源。
数据完整性data integrity :数据所具有的特性,即无论数据形式作何变 化,数据的准确性和一致性均保持不变。
系统完整性system integrity :在防止非授权用户修改或使用资源和防止 授权用户不正确地修改或使用资源的情况下,信息系统能履行其操作
3137
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
