LOGO密级:秘密第1页共9页信息安全风险评估管理程序XXXX网络安全技术有限公司编号:NN-PD17版次:080501程序文件生效日期:2008.05.01信息安全风险评估管理程序编制:日期:审核:日期:批准:日期:本版修改记录修改状态日期修改原因及内容提要修改人审核人批准人LOGO密级:秘密第2页共9页信息安全风险评估管理程序信息安全风险评估管理程序1.0目的在ISMS覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施处理风险。2.0适用范围在ISMS覆盖范围内主要信息资产3.0定义(无)4.0职责4.1各部门负责部门内部资产的识别,确定资产价值。4.2信息安全部负责风险评估和制订控制措施。4.3CEO负责信息系统运行的批准。5.0流程图LOGO密级:秘密第3页共9页信息安全风险评估管理程序职责相关支持文件和记录行动和流程信息安全部各职能部门信息安全部信息安全部管理层信息安全部风险评估准备脆弱性识别资产识别威胁识别已有安全措施的确认风险计算风险是否接受选择适当的安全措施并评估残余风险是否接受残余风险实施风险管理保持已有的安全措施是否是管理层信息安全部否信息资产识别表威胁/脆弱性因素表重要资产清单安全措施实施计划残余风险清单风险评估表LOGO密级:秘密第4页共9页信息安全风险评估管理程序6.0内容6.1资产的识别6.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别,确定资产价值。6.1.2资产分类根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。6.1.3资产(A)赋值资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值等级作为资产的最终赋值结果。资产等级划分为五级,分别代表资产重要性的高低。等级数值越大,资产价值越高。1)机密性赋值根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。赋值标识定义5极高包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性影响,如果泄漏会造成灾难性的损害4高包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害3中等包含组织的一般性秘密,其泄露会使组织的安全和利益受到损害2低包含仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成损害1可忽略包含可对社会公开的信息,公用的信息处理设备和系统资源等2)完整性赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。赋值标识定义5极高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严LOGO密级:秘密第5页共9页信息安全风险评估管理程序重的业务中断,难以弥补4高完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,比较难以弥补3中等完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补2低完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,可以忍受,对业务冲击轻微,容易弥补1可忽略完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略3)可用性赋值根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。赋值标识定义5极高可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上4高可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上3中等可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上2低可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上1可忽略可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%3分以上为重要资产,重要信息资产由信息安全部确立清单6.2威胁识...
