B01信息安全-风险管理程序.docx
《B01信息安全-风险管理程序.docx》由会员分享,可在线阅读,更多相关《B01信息安全-风险管理程序.docx(9页珍藏版)》请在第一文库网上搜索。
1、深圳市XXX科技有限公司信息安全风险管理程序编 号:ISMS-B-01版本号:VI. 0编制:日期:2021-8-4审核:日期:2021-8-4批准:日期:2021-8-4受控状态受控文件深圳市XXX科技有限公司信息安全风险管理程序1目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。3职责3. 1信息安全管理小组负责牵头成立风险评估小组。3. 2风险评估小组负责编制信息安全风险评估计划,确认评估结果,形成信息安全风险评估报告。3.3各部门负责本部门使用或管
2、理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。4相关文件信息安全管理手册商业秘密管理程序5程序5.1 风险评估前准备5.1.1 成立风险评估小组信息安全小组牵头成立风险评估小组,小组成员应包含信息安全重要责任部门的成员。5. 1.2制定计划风险评估小组制定信息安全风险评估计划,下发各部门。5.2 资产赋值5.3 . 1部门赋值各部门风险评估小组成员识别本部门资产,并进行资产赋值。5. 2. 2赋值计算资产赋值的过程是对资产在保密性、完整性、可用性的达成程度进行分析,并在此基础上得出综合结果的过程。5.2.3保密性(C)赋值根据资产在保密性上的不同要求,将其分为五个不同的
3、等级,分别对应资产在可用性上的达成的不同程度。可用性(A)赋值的方法级别价a_分级描述1很低可用性价值可以忽略合法使用者对信息及信息系统的可用度在正常工作时间低于25%2低可用性价值较低合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60min3中等可用性价值中等合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30nlin4高可用性价值较高合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于lOminr-很高可用性价值非常高合法使用者对信息及佶息系统的可用度达到年度99. 9%以上,或系统不允许
4、中断5.2.7导出资产清单识别出来的信息资产需要详细登记在信息资产清单中。5. 3判定重要资产根据信息资产的机密性、完整性和可用性赋值的结果相加除以3得出“资产价值”,对于信息资产清单中“资产价值”在大于等于4的资产,作为重要信息资产记录到重要信息资产清单。5.3. 1审核确认风险评估小组对各部门资产识别情况进行审核,确保没有遗漏重要资产,导出重要信息资产清单,报总经理确认。5.4风险识别与分析5.4.1 威胁识别与分析深圳市XXX科技有限公司TC06越权或滥用通过采用一些措施,超越自己的权限访问了本来无权访问的资源;或者滥用自己的职权,做出破坏信息系统的行为TC07黑客攻击利用黑客工具和技术
5、,例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵TC08物理攻击物理接触、物理破坏、盗窃TC09泄密机密泄漏,机密信息泄漏给他人TC10篡改非法修改信息,破坏信息的完整性TC11抵赖不承认收到的信息和所作的操作和交易应根据资产组内的每一项资产,以及每一项资产所处的环境条件、以前曾发生的安全事件等情况来进行威胁识别。一项资产可能面临着多个威胁,同样一个威胁可能对不同的资产造成影响;5.4. 2脆弱性识别与分析脆弱性评估将针对资产组内所有资产,找出该资产组可能被威胁利用的脆弱性,获得脆弱性所采用的方法主要为:问卷调查、访谈、工具扫描、
6、手动检查、文档审查、渗透测试等;类型脆弱性分类脆弱性示例技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。服务器(含操作系统)从物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置(初始化)、注册表加固、网络安全、系统管理等方面进行识别。网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。数据库从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别。应用系统审计机制、审计存储、访问控制策略、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- B01 信息 安全 风险 管理程序