信息安全风险管理程序城云科技(杭州)有限公司信息安全风险管理程序文档编号3.1受控状态受控版本号V2.0作者鄂鹏羽审核人李振华批准人夏敏发布日期2014/12/1批准日期2014/12/1目录信息安全风险管理程序.............................................2第一章目的1第二章范围1第三章名词解释1第四章风险评估方法2第五章风险评估实施5第六章风险管理要求20第七章附则21第八章检查要求21第一章目的第一条目的:指导信息安全组织针对信息系统及其管理开展的信息风险评估工作。本指南定义了风险评估的基本概念、原理及实施流程;对资产、威胁和脆弱性识别要求进行了详细描述。第二章范围第二条范围:适用于风险评估组开展各项信息安全风险评估工作。第三章名词解释第三条资产对组织具有价值的信息或资源,是安全策略保护的对象。第四条资产价值资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。资产价值通过机密性、完整性和可用性三个方面评估计算获得。(一)机密性(Confidentiality):确保只有经过授权的人才能访问信息;(二)完整性(Integrality):保护信息和信息的处理方法准确而完整;(三)可用性(Availability):确保经过授权的用户在需要时可以访问信息并使用相关信息资产。第五条威胁可能导致对系统或组织危害的不希望事故潜在起因。第六条脆弱性可能被威胁所利用的资产或若干资产的弱点。第七条信息安全风险人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。第八条信息安全评估依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。第九条残余风险采取了安全措施后,信息系统仍然可能存在的风险。第四章风险评估方法第十条风险管理模型脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆脆图1风险管理模型图1为风险管理的基本模型,椭圆部分的内容是与这些要素相关的属性。风险管理围绕着资产、威胁、脆弱性和安全措施这些基本要素展开。信息安全风险评估在对风险管理要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。图1中的风险管理要素及属性之间存在着以下关系:(一)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;(二)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;(三)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成为安全事件;(四)资产的脆弱性可能暴露资产的价值,资产具有的弱点越多则风险越大;(五)脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;(六)风险的存在及对风险的认识导出安全需求;(七)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;(八)安全措施可抵御威胁,降低风险;(九)残余风险有些是安全措施不当或无效,需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后不去控制的风险;(十)残余风险应受到密切监视,它可能会在将来诱发新的安全事件。第十一条风险评估模型资产所有者威胁来源信息资产价值信息资产脆弱性威胁的可能性影响度后果可能性风险图2风险评估原理图风险评估的过程中主要包含信息资产(InformationAsset),脆弱性(Vulnerability)、威胁(Threat)、影响(Impact)和风险(Risk)五个要素。信息资产的基本属性是资产价值(AssetsValue),脆弱性的基本属性是被威胁利用的难易程度(HowEasilyExploitedbyThreats)、威胁的基本属性是威胁的可能性(ThreatLikelihood)、影响度的基本属性是严重性(Severity),它们直接影响风险的两个属性,风险的后果(RiskConsequence)和风险的可能性(RiskLikelihood)。其中资产价值和影响的严重...