信息安全风险识别与评价管理程序CX-ISMS-0101-2015 版本:A/0
1目的
信息安全风险识别与评价管理程序
通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平。 2 范围
适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。 3 职责与权限 3.1 管理者代表
组织信息安全审查小组执行信息安全风险的识别与评价;审核并批准重大信息安全风险。
3.2 风险评估小组
负责编制《信息安全风险评估计划》,执行信息安全风险调查与评价,提出重大信息安全风险报告。 3.3 各部门
协助信息安全风险小组的调查,参与讨论重大信息安全风险的管理办法。 4 作业说明 4.1 资产识别
保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此,应对组织中的资产进行识别。
在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。
表1 列出了一种资产分类方法。
表1 一种基于表现形式的资产分类方法
第0次修改 第 1 页 共 13 页
信息安全风险识别与评价管理程序CX-ISMS-0101-2015 版本:A/0
类别 简称 解释/示例 存在电子媒介的各种数据资料,包括源代码、数据库数数据 Data 据,各种数据资料、系统文档、运行管理过程、计划、报告、用户手册等。 软件 服务 硬件 文档 设备 人员 其它 4.2 信息类别
4.2.1信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。 4.2.2 信息分类定义:
a)“国家秘密事项”:《中华人民共和国保守国家秘密法》中指定的秘密事; b)“企业秘密事项”:不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害,或者由于业务上的需要仅限有关人员知道的商业秘密事项;
c)“敏感信息事项”:为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项;
d)“一般事项”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项;
e)“公开事项”:其他可以完全公开的事项。 4.2.3 信息分类不适用时,可不填写。 5 风险评估实施 5.1 资产赋值 5.1.1 保密性赋值
根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。
Software 应用软件、系统软件、开发工具和资源库等。 Service Hardware 软件维护等 计算机硬件、路由器,交换机。硬件防火墙。程控交换机、布线、备份存储 Document 纸质的各种文件、传真、电报、财务报告、发展计划。 Facility 电源、空调、保险柜、文件柜、门禁、消防设施等 HR Other 各级人员和雇主、合同方雇员 企业形象、客户关系等 第0次修改 第 2 页 共 13 页
信息安全风险识别与评价管理程序CX-ISMS-0101-2015 版本:A/0
表2 提供了一种保密性赋值的参考。
赋值 5 标识 很高 定义 包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害 包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害 组织的一般性秘密,其泄露会使组织的安全和利益受到损害 仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害 可对社会公开的信息,公用的信息处理设备和系统资源等 4 3 2 1 高 中等 低 很低 5.1.2 完整性赋值
根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响。表3 提供了一种完整性赋值的参考。
表3 资产完整性赋值表
赋值 标识 定义 完整性价值非常关键,未经授权的修改或破坏会对组织造成重5 很高 大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补 4 高 完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补 完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补 完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补 很低完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击及小 3 中等 2 低 1 较低 5.1.3 可用性赋值
根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上应达成的不同程度。表4 提供了一种可用性赋值的参考。
第0次修改 第 3 页 共 13 页
信息安全风险识别与评价管理程序CX-ISMS-0101-2015 版本:A/0
表4 资产可用性赋值表
赋值 5 标识 很高 定义 可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断 可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10min 可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30min 可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60min 可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25% 4 高 3 中等 2 低 1 很低 5.1.4 合规性赋值
根据资产在法律、法规、上级规定、合同协议符合性上的不同要求,将其分为五个不同的等级,分别对应资产在符合法律、法律、上级规定、合同协议的不同程度。
表5 资产合规性赋值表
赋值 5 标识 很高 定义 严重不符合信息安全管理休系要求,对组织造成无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补。 不符合信息安全管理体系要求,对组织造成重大影响,对业务冲击严重,较难弥补。 与信息安全管理体系具体要求有冲突,对组织造成影响,对业务冲击明显,但可以弥补。 与信息安全管理体系具体条款要求存在轻微的不符合,对组织造成轻微影响,对业务冲击轻微,容易弥补。 符合信息安全管理体系要求,但需持续改进,对组织造成的影响可以忽略,对业务冲击及小。 4 高 3 中等 2 低 1
很低 5.2 资产重要性等级
资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。综合评定方法可以根据自身的特点,选择对资产保密性、完整性和可用性最为重要的一
第0次修改 第 4 页 共 13 页
信息安全风险识别与评价管理程序CX-ISMS-0101-2015 版本:A/0 个属性的赋值等级作为资产的最终赋值结果;也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。加权方法可根据组织的业务特点确定。
本标准中,为与上述安全属性的赋值相对应,根据最终赋值将资产划分为五级,级别越高表示资产越重要,3级以及3级以上为重要资产,3级以下为非重要资产,并以此形成《重要信息资产清单》。表6 中的资产等级划分表明了不同等级的重要性的综合描述。评估者可根据资产赋值结果,确定重要资产的范围,并主要围绕重要资产进行下一步的风险评估。
资产价值=C*I*A*H
表6 资产等级及含义描述 等级 5 4 3 2 1 标识 很高 高 中等 低 很低 描述 非常重要,其安全属性破坏后可能对组织造成非常严重的损失 重要,其安全属性破坏后可能对组织造成比较严重的损失 比较重要,其安全属性破坏后可能对组织造成中等程度的损失 不太重要,其安全属性破坏后可能对组织造成较低的损失 不重要,其安全属性破坏后对组织造成导很小的损失,甚至忽略不计 表6.1 资产价值等级划分 资产值 资产等级 5.3 威胁识别 5.3.1 威胁分类
威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,在保密性、完整性和可用性等方面造成损害;也可能是偶发的、或蓄意的事件。
在对威胁进行分类前,应考虑威胁的来源。表7 提供了一种威胁来源的分类方法。
表7 威胁来源列表 来源 环境因素 1-25 1 26-55 2 56-175 3 176-395 4 396-625 5 描述 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、第0次修改 第 5 页 共 13 页