ISMS安全風(fēng)險(xiǎn)評(píng)估管理程序
評(píng)論: 更新日期:2018年01月10日
?
5.2.2.5可用性賦值:
賦值 | 標(biāo)識(shí) | 定義 |
5 | 極高 | 可用性價(jià)值非常高,合法使用者對(duì)信息系統(tǒng)及資源的可用度達(dá)到年度99.9%以上 |
4 | 高 | 可用性價(jià)值較高,合法使用者對(duì)信息系統(tǒng)及資源的可用度達(dá)到每天99%以上 |
3 | 中等 | 可用性價(jià)值中等,合法使用者對(duì)信息系統(tǒng)及資源的可用度在正常上班時(shí)間達(dá)到90%以上 |
2 | 低 | 可用性價(jià)值較低,合法使用者對(duì)信息系統(tǒng)及資源的可用度在正常上班時(shí)間達(dá)到25%以上 |
1 | 可忽略 | 可用性價(jià)值可以忽略,法使用者對(duì)信息系統(tǒng)及資源的可用度在正常上班時(shí)間低于25% |
?
?
5.2.2.6資產(chǎn)賦值
?
最終資產(chǎn)價(jià)值可以通過違反資產(chǎn)的保密性、完整性和可用性三個(gè)方面的程度綜合確定,資產(chǎn)的賦值采用定性的相對(duì)等級(jí)的方式。與以上安全屬性的等級(jí)相對(duì)應(yīng),資產(chǎn)價(jià)值的等級(jí)可分為五級(jí),從1到5由低到高分別代表五個(gè)級(jí)別的資產(chǎn)相對(duì)價(jià)值,等級(jí)越大,資產(chǎn)越重要。具體每一級(jí)別的資產(chǎn)價(jià)值定義參見下表。
由于資產(chǎn)最終價(jià)值的等級(jí)評(píng)估是依據(jù)資產(chǎn)保密性、完整性、可用性的賦值級(jí)別,經(jīng)過綜合評(píng)定得出的,評(píng)定準(zhǔn)則可以根據(jù)企業(yè)自身的特點(diǎn),選擇以安全三性中要求最高的一性的賦值級(jí)別為綜合資產(chǎn)賦值準(zhǔn)則。
?
等級(jí) | 標(biāo)識(shí) | 資產(chǎn)價(jià)值定義 |
5 | 很高 | 資產(chǎn)的重要程度很高,其安全屬性破壞后可能導(dǎo)致系統(tǒng)受到非常嚴(yán)重的影響 |
4 | 高 | 資產(chǎn)的重要程度較高,其安全屬性破壞后可能導(dǎo)致系統(tǒng)受到比較嚴(yán)重的影響 |
3 | 中 | 資產(chǎn)的重要程度較高,其安全屬性破壞后可能導(dǎo)致系統(tǒng)受到中等程度的影響 |
2 | 低 | 資產(chǎn)的重要程度較低,其安全屬性破壞后可能導(dǎo)致系統(tǒng)受到較低程度的影響 |
1 | 很低 | 資產(chǎn)的重要程度都很低,其安全屬性破壞后可能導(dǎo)致系統(tǒng)受到很低程度的影響,甚至忽略不計(jì) |
?
5.2.3 風(fēng)險(xiǎn)評(píng)估小組向各部門內(nèi)審員發(fā)放《信息資產(chǎn)分類參考目錄》[1]、《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》 、《信息資產(chǎn)識(shí)別評(píng)價(jià)表》,同時(shí)提出信息資產(chǎn)識(shí)別的要求。
5.2.4 各部門內(nèi)審員參考《信息資產(chǎn)分類參考目錄》1識(shí)別本部門信息資產(chǎn),根據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估指南》中的“附錄B資產(chǎn)重要性程度判斷準(zhǔn)則”判斷其是否是重要信息資產(chǎn),并填寫《信息資產(chǎn)識(shí)別評(píng)價(jià)表》,經(jīng)本部門負(fù)責(zé)人審核確認(rèn)后,在風(fēng)險(xiǎn)評(píng)估計(jì)劃規(guī)定的時(shí)間內(nèi)提交風(fēng)險(xiǎn)評(píng)估小組審核匯總。
5.2.5 風(fēng)險(xiǎn)評(píng)估小組對(duì)各部門填寫的《信息資產(chǎn)識(shí)別評(píng)價(jià)表》進(jìn)行審核,確保沒有遺漏信息資產(chǎn),形成各部門的《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》,并分發(fā)各部門存檔。
5.3 信息資產(chǎn)風(fēng)險(xiǎn)等級(jí)評(píng)估
5.3.1 應(yīng)對(duì)《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》中的所有資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估,評(píng)估應(yīng)考慮威脅事件發(fā)生的可能性和威脅事件發(fā)生后對(duì)信息資產(chǎn)造成的影響程度兩方面因素。
5.3.2 風(fēng)險(xiǎn)評(píng)估小組向各部門內(nèi)審員分發(fā)《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》、《信息安全威脅參考表》1、《信息安全薄弱點(diǎn)參考表》1、《事件發(fā)生可能性等級(jí)對(duì)照表》1、《事件可能影響程度等級(jí)對(duì)照表》1。
5.3.3 各部門內(nèi)審員根據(jù)資產(chǎn)本身所處的環(huán)境條件,參考《信息安全威脅參考表》1識(shí)別每個(gè)信息資產(chǎn)所面臨的威脅,針對(duì)每個(gè)威脅,識(shí)別目前已有的控制;并參考《信息安全薄弱點(diǎn)參考表》1識(shí)別可能被該威脅所利用的薄弱點(diǎn);在考慮現(xiàn)有的控制前提下,參考《事件發(fā)生可能性等級(jí)對(duì)照表》1判斷每項(xiàng)信息資產(chǎn)所面臨威脅發(fā)生的可能性;參考《事件可能影響程度等級(jí)對(duì)照表》1,判斷威脅利用薄弱點(diǎn)可能使信息資產(chǎn)保密性、完整性或可用性丟失所產(chǎn)生的影響程度等級(jí)。將結(jié)果填寫在《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》上,提交風(fēng)險(xiǎn)評(píng)估小組審核匯總。
5.3.4 風(fēng)險(xiǎn)評(píng)估小組考慮本公司整體的信息安全要求,對(duì)各部門填寫的《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》進(jìn)行審核,確保風(fēng)險(xiǎn)評(píng)估水平的一致性,確保沒有遺漏信息安全風(fēng)險(xiǎn)。如果對(duì)評(píng)估結(jié)果進(jìn)行修改,應(yīng)該和資產(chǎn)責(zé)任部門進(jìn)行溝通并獲得該部門的確認(rèn)。
5.3.5 風(fēng)險(xiǎn)評(píng)估小組根據(jù)《信息安全風(fēng)險(xiǎn)矩陣計(jì)算表》1計(jì)算風(fēng)險(xiǎn)等級(jí),把風(fēng)險(xiǎn)等級(jí)最高的一級(jí)或者兩級(jí)資產(chǎn)列為《重要信息資產(chǎn)清單》,并存檔。
5.4 不可接受風(fēng)險(xiǎn)的確定和處理
5.4.1 風(fēng)險(xiǎn)評(píng)估小組根據(jù)《信息安全風(fēng)險(xiǎn)接受準(zhǔn)則》1,確定風(fēng)險(xiǎn)的可接受性;針對(duì)不可接受風(fēng)險(xiǎn)編制《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》,該計(jì)劃應(yīng)該規(guī)定風(fēng)險(xiǎn)處理方式、責(zé)任部門和時(shí)間進(jìn)度;編制《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》,陳述本公司信息安全管理現(xiàn)狀,分析存在的信息安全風(fēng)險(xiǎn),提出信息安全管理(控制)的建議與措施,附《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》提交信息安全管理委員會(huì)進(jìn)行審核,由ISMS管理者代表批準(zhǔn)實(shí)施。
5.4.2 各責(zé)任部門按照《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》的要求采取有效安全控制措施后,原評(píng)估部門重新評(píng)估其計(jì)劃效果,降至可接受為止,確保所采取的控制措施是充分的,該措施直到為再次風(fēng)險(xiǎn)評(píng)估的輸入。
5.5 評(píng)估時(shí)機(jī)
5.5.1 每年重新評(píng)估一次,以確定是否存在新的威脅或薄弱點(diǎn)及是否需要增加新的控制措施,對(duì)發(fā)生以下情況需及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估:
a) 當(dāng)發(fā)生重大信息安全事故時(shí);
b) 當(dāng)信息網(wǎng)絡(luò)系統(tǒng)發(fā)生重大更改時(shí);
c) 信息安全管理委員會(huì)確定有必要時(shí)。
5.5.2 各部門對(duì)新增加、轉(zhuǎn)移的或授權(quán)銷毀的信息資產(chǎn)應(yīng)及時(shí)按照本程序在ISMS-4023《信息資產(chǎn)識(shí)別評(píng)價(jià)表》、《重要信息資產(chǎn)清單》上予以添加或變更。
6 相關(guān)/支持性文件
- ISMS-P-2001《信息安全適用性聲明》
- ISMS-1001《信息安全管理手冊(cè)》
- ISMS-P-2005《文件和資料管理程序》
7 記錄
記錄名稱 | 保存部門 | 保存期限 |
《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》 | ? | 3年 |
《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》 | ? | 3年 |
《信息資產(chǎn)識(shí)別評(píng)價(jià)表》 | ? | 3年 |
《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》 | ? | 2年 |
《信息資產(chǎn)威脅、脆弱性評(píng)價(jià)表》 | ? | 3年 |
《重要信息資產(chǎn)清單》 | ? | 3年 |
? | ? | ? |
?
?