信息安全风险管理程序VIP专享VIP免费

城云科技（杭州）有限公司信息安全风险管理程序文档编号受控状态受控版本号作者鄂鹏羽审核人李振华批准人夏敏发布日期2014/12/1批准日期2014/12/1目录信息安全风险管理程序.............................................错误!未定义书签。第一章目的..................................................错误!未定义书签。第二章范围..................................................错误!未定义书签。第三章名词解释...............................................错误!未定义书签。第四章风险评估方法...........................................错误!未定义书签。第五章风险评估实施...........................................错误!未定义书签。第六章风险管理要求...........................................错误!未定义书签。第七章附则.................................................错误!未定义书签。第八章检查要求...............................................错误!未定义书签。第一章目的第一条目的：指导信息安全组织针对信息系统及其管理开展的信息风险评估工作。本指南定义了风险评估的基本概念、原理及实施流程；对资产、威胁和脆弱性识别要求进行了详细描述。第二章范围第二条范围：适用于风险评估组开展各项信息安全风险评估工作。第三章名词解释第三条资产对组织具有价值的信息或资源，是安全策略保护的对象。第四条资产价值资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。资产价值通过机密性、完整性和可用性三个方面评估计算获得。（一）机密性（Confidentiality）：确保只有经过授权的人才能访问信息；（二）完整性（Integrality）：保护信息和信息的处理方法准确而完整；（三）可用性（Availability）：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。第五条威胁可能导致对系统或组织危害的不希望事故潜在起因。第六条脆弱性可能被威胁所利用的资产或若干资产的弱点。第七条信息安全风险人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。第八条信息安全评估依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。第九条残余风险采取了安全措施后，信息系统仍然可能存在的风险。第四章风险评估方法第十条风险管理模型脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆图1风险管理模型图1为风险管理的基本模型，椭圆部分的内容是与这些要素相关的属性。风险管理围绕着资产、威胁、脆弱性和安全措施这些基本要素展开。信息安全风险评估在对风险管理要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。图1中的风险管理要素及属性之间存在着以下关系：（一）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（二）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；（三）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件；（四）资产的脆弱性可能暴露资产的价值，资产具有的弱点越多则风险越大；（五）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；（六）风险的存在及对风险的认识导出安全需求；（七）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；（八）安全措施可抵御威胁，降低风险；（九）残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后不去控制的风险；（十）残余风险应受到密切监视，它可能会在将来诱发新的安全事件。第十一条风险评估模型资产所有者威胁来源信息资产价值信息资产脆弱性威胁的可能性影响...