信息安全風險識別與評價管理程序

1、有限公司兩化整合管理體系文件（兩化整合管理體系文件（III）第1頁共14頁編號GMIIIB005版本號00題目：信息安全信息安全風險識別風險識別與評價管理程序價管理程序生效日期2015.07.20起草部門信息中心信息中心頒發(fā)部門總經(jīng)總經(jīng)理辦公室公室一、目的：一、目的：通過風險評過風險評估，采取有效措施，降低威估，采取有效措施，降低威脅事件事件發(fā)生的可能性，或者減少威生的可能性，或者減少威脅事件造成的影事件造成的影響，從而將響，從而將風險

2、風險消減到可接受的水平。消減到可接受的水平。二、范二、范圍：適用于適用于對信息安全管理體系信息安全信息安全管理體系信息安全風險風險的識別識別、評價、控制等管理。價、控制等管理。三、三、責任：任：3.1管理者代表管理者代表信息中心信息中心執(zhí)行信息安全行信息安全風險風險的識別識別與評價；價；審核并批準重大信息安全核并批準重大信息安全風險風險，并，并負責編負責編制《信息信息資產(chǎn)風險評資產(chǎn)風險評估準估準則》，執(zhí)行信息安全行信息安全風險調(diào)查風險調(diào)

3、查與評價，提出重大信息安全價，提出重大信息安全風險報風險報告。告。3.2各部各部門協(xié)助信息中心的助信息中心的調(diào)查調(diào)查，參與，參與討論討論重大信息安全重大信息安全風險風險的管理的管理辦法。法。四、內(nèi)容：四、內(nèi)容：4.1資產(chǎn)識別資產(chǎn)識別保密性、完整性和可用性是保密性、完整性和可用性是評價資產(chǎn)資產(chǎn)的三個安全屬性。的三個安全屬性。風險評風險評估中估中資產(chǎn)資產(chǎn)的價的價值不是以不是以資產(chǎn)資產(chǎn)的經(jīng)濟經(jīng)濟價值來衡量，而是由來衡量，而是由資產(chǎn)資產(chǎn)在這三個

4、安全屬性上的達成程度或者其安全屬性未達成三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使造成的影響程度來決定的。安全屬性達成程度的不同將使資產(chǎn)資產(chǎn)具有不同的價具有不同的價值，而，而資產(chǎn)資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將、存在的脆弱性、以及已采用的安全措施都將對資產(chǎn)對資產(chǎn)安全屬性的達成程度安全屬性的達成程度產(chǎn)生影響。生影響。為此，此，應(yīng)對組織應(yīng)對組織中的中的資產(chǎn)進資產(chǎn)進

5、行識別識別。在一個在一個組織組織中，中，資產(chǎn)資產(chǎn)有多種表有多種表現(xiàn)形式；同形式；同樣的兩個的兩個資產(chǎn)資產(chǎn)也因?qū)儆诓煌男畔⑾狄惨驅(qū)儆诓煌男畔⑾到y(tǒng)而重要性而重要性不同，而且不同，而且對于提供多種于提供多種業(yè)務(wù)業(yè)務(wù)的組織組織，其支持，其支持業(yè)務(wù)業(yè)務(wù)持續(xù)運行的系運行的系統(tǒng)數(shù)量可能更多。數(shù)量可能更多。這時這時首先需首先需要將信息系要將信息系統(tǒng)及相關(guān)的及相關(guān)的資產(chǎn)進資產(chǎn)進行恰當?shù)姆中星‘數(shù)姆诸?，以此，以此為基礎(chǔ)進礎(chǔ)進行下一步的行下一步的風險評風

6、險評估。在估。在實際實際工作工作中，具體的中，具體的資產(chǎn)資產(chǎn)分類方法可以根據(jù)具體的方法可以根據(jù)具體的評估對象和要求，由象和要求，由評估者靈活把握。根據(jù)估者靈活把握。根據(jù)資產(chǎn)資產(chǎn)的表的表現(xiàn)形式，可將形式，可將資產(chǎn)資產(chǎn)分為數(shù)據(jù)、數(shù)據(jù)、軟件、硬件、服件、硬件、服務(wù)、人、人員等類型。型。表1列出了一種列出了一種資產(chǎn)資產(chǎn)分類方法。方法。表1一種基于表一種基于表現(xiàn)形式的形式的資產(chǎn)資產(chǎn)分類方法方法有限公司兩化整合管理體系文件（兩化整合管理體系文件（I

7、II）第3頁共14頁題目：信息安全信息安全風險識別風險識別與評價管理程序價管理程序編號GMIIIB005版本號00生效日期2015.07.205.1.1保密性保密性賦值賦值根據(jù)根據(jù)資產(chǎn)資產(chǎn)在保密性上的不同要求，將其分在保密性上的不同要求，將其分為五個不同的等五個不同的等級，分，分別對應(yīng)資產(chǎn)別對應(yīng)資產(chǎn)在保密性上在保密性上應(yīng)達成達成的不同程度或者保密性缺失的不同程度或者保密性缺失時對時對整個整個組織組織的影響。的影響。表2提供了一種保密性提

8、供了一種保密性賦值賦值的參考的參考賦值標識定義5很高包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運，對組織根本利益有著決定性的影響，如果泄露會造成災難性的損害4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴重損害3中等組織的一般性秘密，其泄露會使組織的安全和利益受到損害2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴散有可能對組織的利益造成輕微損害1很低可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等5.1.2完整性完整

9、性賦值賦值根據(jù)根據(jù)資產(chǎn)資產(chǎn)在完整性上的不同要求，將其分在完整性上的不同要求，將其分為五個不同的等五個不同的等級，分，分別對應(yīng)資產(chǎn)別對應(yīng)資產(chǎn)在完整性上缺失在完整性上缺失時對整個整個組織組織的影響。表的影響。表3提供了一種完整性提供了一種完整性賦值賦值的參考。的參考。表3資產(chǎn)資產(chǎn)完整性完整性賦值賦值表賦值標識定義5很高完整性價值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴重的業(yè)務(wù)中斷，難以彌