0101-信息安全风险识别与评价管理程序
信息安全风险识别与评价管理程序
1目的
通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平。
2 范围
适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。
3 职责与权限
3.1 管理者代表
组织信息安全审查小组执行信息安全风险的识别与评价;审核并批准重大信息安全风险。
3.2 风险评估小组
负责编制《信息安全风险评估计划》,执行信息安全风险调查与评价,提出重大信息安全风险报告。
3.3 各部门
协助信息安全风险小组的调查,参与讨论重大信息安全风险的管理办法。
4 作业说明
4.1 资产识别
保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此,应对组织中的资产进行识别。
在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。
表1 列出了一种资产分类方法。
表1 一种基于表现形式的资产分类方法
类别简称解释/示例
数据Data 存在电子媒介的各种数据资料,包括源代码、数据库数据,各种数据资料、系统文档、运行管理过程、计划、报告、用户手册等。
软件Software 应用软件、系统软件、开发工具和资源库等。服务Service 软件维护等
硬件Hardware 计算机硬件、路由器,交换机。硬件防火墙。程控交换机、布线、备份存储
文档Document 纸质的各种文件、传真、电报、财务报告、发展计划。
设备Facility 电源、空调、保险柜、文件柜、门禁、消防设施等
人员HR 各级人员和雇主、合同方雇员
其它Other 企业形象、客户关系等
4.2 信息类别
4.2.1信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。
4.2.2 信息分类定义:
a)“国家秘密事项”:《中华人民共和国保守国家秘密法》中指定的秘密事;
b)“企业秘密事项”:不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害,或者由于业务上的需要仅限有关人员知道的商业秘密事项;
c)“敏感信息事项”:为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项;
d)“一般事项”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项;
e)“公开事项”:其他可以完全公开的事项。
4.2.3 信息分类不适用时,可不填写。
5 风险评估实施
5.1 资产赋值
5.1.1 保密性赋值
根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。
表2 提供了一种保密性赋值的参考。赋值标识定义
5 很高包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害
4 高包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害
3 中等组织的一般性秘密,其泄露会使组织的安全和利益受到损害
2 低仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害
1 很低可对社会公开的信息,公用的信息处理设备和系统资源等
5.1.2 完整性赋值
根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响。表3 提供了一种完整性赋值的参考。
表3 资产完整性赋值表
赋值标识定义
5 很高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补
4 高完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补
3 中等完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补
2 低完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补
1 较低很低完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击及小
5.1.3 可用性赋值
根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上应达成的不同程度。表4 提供了一种可用性赋值的参考。
表4 资产可用性赋值表赋值标识定义
5 很高可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断
4 高可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10min
3 中等可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30min
2 低可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60min
1 很低可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%
5.1.4 合规性赋值
根据资产在法律、法规、上级规定、合同协议符合性上的不同要求,将其分为五个不同的等级,分别对应资产在符合法律、法律、上级规定、合同协议的不同程度。
表5 资产合规性赋值表
赋值标识定义
5 很高严重不符合信息安全管理休系要求,对组织造成无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补。
4 高不符合信息安全管理体系要求,对组织造成重大影响,对业务冲击严重,较难弥补。
3 中等与信息安全管理体系具体要求有冲突,对组织造成影响,对业务冲击明显,但可以弥补。
2 低与信息安全管理体系具体条款要求存在轻微的不符合,对组织造成轻微影响,对业务冲击轻微,容易弥补。
1 很低符合信息安全管理体系要求,但需持续改进,对组织造成的影响可以忽略,对业务冲击及小。
5.2 资产重要性等级
资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。综合评定方法可以根据自身的特点,选择对资产保密性、完整性和可用性最为重要的一
个属性的赋值等级作为资产的最终赋值结果;也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。加权方法可根据组织的业务特点确定。
本标准中,为与上述安全属性的赋值相对应,根据最终赋值将资产划分为五级,级别越高表示资产越重要,3级以及3级以上为重要资产,3级以下为非重要资产,并以此形成《重要信息资产清单》。表6 中的资产等级划分表明了不同等级的重要性的综合描述。评估者可根据资产赋值结果,确定重要资产的范围,并主要围绕重要资产进行下一步的风险评估。
资产价值=C*I*A*H
表6 资产等级及含义描述
等级标识描述
5 很高非常重要,其安全属性破坏后可能对组织造成非常严重的损失
4 高重要,其安全属性破坏后可能对组织造成比较严重的损失
3 中等比较重要,其安全属性破坏后可能对组织造成中等程度的损失
2 低不太重要,其安全属性破坏后可能对组织造成较低的损失
1 很低不重要,其安全属性破坏后对组织造成导很小的损失,甚至忽略不计
表6.1 资产价值等级划分
资产值1-25 26-55 56-175 176-395 396-625
资产等级 1 2 3 4 5
5.3 威胁识别
5.3.1 威胁分类
威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,在保密性、完整性和可用性等方面造成损害;也可能是偶发的、或蓄意的事件。
在对威胁进行分类前,应考虑威胁的来源。表7 提供了一种威胁来源的分类方法。
表7 威胁来源列表
来源描述
环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、
洪灾、火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障
人为因素
恶意人员
不满的或有预谋的内部人员对信息系统进行恶意破坏;
采用自主或内外勾结的方式盗窃机密信息或进行篡改,
获取利益外部人员利用信息系统的脆弱性,对网络或系
统的保密性、完整性和可用性进行破坏,以获取利益或
炫耀能力
非恶意人员
内部人员由于缺乏责任心,或者由于不关心或不专注,
或者没有遵循规章制度和操作流程而导致故障或信息
损坏;内部人员由于缺乏培训、专业技能不足、不具备
岗位技能要求而导致信息系统故障或被攻击
对威胁进行分类的方式有多种,针对上表的威胁来源,可以根据其表现形式将威胁主要分为以下几类。表8 提供了一种基于表现形式的威胁分类方法。
表8 一种基于表现形式的威胁分类表
种类描述威胁子类
软硬件故障对业务实施或系统运行产生影响的
设备硬件故障、通讯链路中断、系统
本身或软件缺陷等问题
设备硬件故障、传输设备故障、
存储媒体故障、系统软件故障、
应用软件故障、数据库软件故
障、开发环境故障等
物理环境影响对信息系统正常运行造成影响的物
理环境问题和自然灾害
断电、静电、灰尘、潮湿、温度、
鼠蚁虫害、电磁干扰、洪灾、火
灾、地震等
无作为或操作
失误应该执行而没有执行相应的操作,或
无意执行了错误的操作
维护错误、操作失误等
管理不到位安全管理无法落实或不到位,从而破
坏信息系统正常有序运行
管理制度和策略不完善、管理规
程缺失、职责不明确、监督控管
机制不健全等
恶意代码故意在计算机系统上执行恶意任务
的程序代码
病毒、特洛伊木马、蠕虫、陷门、
间谍软件、窃听软件等
越权或滥用通过采用一些措施,超越自己的权限
访问了本来无权访问的资源,或者滥
非授权访问网络资源、非授权访
问系统资源、滥用权限非正常修
用自己的权限,做出破坏信息系统的行为改系统配置或数据、滥用权限泄露秘密信息等
网络攻击利用工具和技术通过网络对信息系
统进行攻击和入侵
网络探测和信息采集、漏洞探
测、嗅探(帐号、口令、权限等)、
用户身份伪造和欺骗、用户或业
务数据的窃取和破坏、系统运行
的控制和破坏等
物理攻击通过物理的接触造成对软件、硬件、
数据的破坏
物理接触、物理破坏、盗窃等
泄密信息泄露给不应了解的他人内部信息泄露、外部信息泄露等
篡改非法修改信息,破坏信息的完整性使
系统的安全性降低或信息不可用
篡改网络配置信息、篡改系统配
置信息、篡改安全配置信息、篡
改用户身份信息或业务数据信
息等
抵赖不承认收到的信息和所作的操作和
交易
原发抵赖、接收抵赖、第三方抵
赖等
5.3.2 威胁赋值
判断威胁出现的频率是威胁赋值的重要内容,评估者应根据经验和(或)有关的统计数据来进行判断。在评估中,需要综合考虑以下三个方面,以形成在某种评估环境中各种威胁出现的频率:
a)以往安全事件报告中出现过的威胁及其频率的统计;
b)实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;
c)近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。可以对威胁出现的频率进行等级化处理,不同等级分别代表威胁出现的频率的高低。等级数值越大,威胁出现的频率越高。
表9 提供了威胁出现频率的一种赋值方法。在实际的评估中,威胁频率的判断依据应在评估准备阶段根据历史统计或行业判断予以确定,并得到被评估方的认可。
表9 威胁赋值表
等级标识定义
5 很高出现的频率很高(或≥1 次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过
4 高出现的频率较高(或≥ 1 次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过
3 中等出现的频率中等(或> 1 次/半年);或在某种情况下可能会发生;或被证实曾经发生过
2 低出现的频率较小;或一般不太可能发生;或没有被证实发生过
1 很低威胁几乎不可能发生;仅可能在非常罕见和例外的情况下发生
5.4 脆弱性识别
5.4.1 脆弱性识别内容
脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健,严重的威胁也不会导致安全事件发生,并造成损失。即,威胁总是要利用资产的脆弱性才可能造成危害。
资产的脆弱性具有隐蔽性,有些脆弱性只有在一定条件和环境下才能显现,这是脆弱性识别中最为困难的部分。不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性。脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估;也可以从物理、网络、系统、应用等层次进行识别,然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家安全标准,也可以是行业规范、应用流程的安全要求。对应用在不同环境中的相同的弱点,其脆弱性严重程度是不同的,评估者应从组织安全策略的角度考虑、判断资产的脆弱性及其严重程度。信息系统所采用的协议、应用流程的完备与否、与其他网络的互联等也应考虑在内。脆弱性识别时的数据应来自于资产的所有者、使用者,以及相关业务领域和软硬件方面的专业人员等。脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。
脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面,前者与具体技术活动相关,后者与管理环境相关。
表10 脆弱性识别内容表类型识别对象识别内容
技术脆弱性网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别
系统软件从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、
网络安全、系统管理等方面进行识别
应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别
管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别
组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别
5.4.2 脆弱性赋值
可以根据脆弱性对资产的暴露程度、技术实现的难易程度、流行程度等,采用等级方式对已识别的脆弱性的严重程度进行赋值。由于很多脆弱性反映的是同一方面的问题,或可能造成相似的后果,赋值时应综合考虑这些脆弱性,以确定这一方面脆弱性的严重程度。
对某个资产,其技术脆弱性的严重程度还受到组织管理脆弱性的影响。因此,资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。
脆弱性严重程度可以进行等级化处理,不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。表11 提供了脆弱性严重程度的一种赋值方法。
表11 脆弱性严重程度赋值表
等级标识定义
5 很高如果被威胁利用,将对资产造成完全损害
4 高如果被威胁利用,将对资产造成重大损害
3 中等如果被威胁利用,将对资产造成一般损害
2 低如果被威胁利用,将对资产造成较小损害
1 很低如果被威胁利用,将对资产造成的损害可以忽略
5.5 风险分析
5.5.1 风险计算原理
在完成了资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险。以下是给出了风险计算原理,以下面的范式形式化加以说明:
风险值=R(A,T,V)= R(L(T,V),F(Ia,V ))。
其中,R 表示安全风险计算函数;A 表示资产;T 表示威胁;V 表示脆弱性;H表示合规性; Ia 表示安全事件所作用的资产价值; L 表示威胁利用资产的脆弱性导致安全事件的可能性;F 表示安全事件发生后造成的损失。有以下三个关键计算环节:a)计算安全事件发生的可能性
根据威胁出现频率及脆弱性的状况,计算威胁利用脆弱性导致安全事件发生的可能性,即:
安全事件的可能性=L(威胁出现频率,脆弱性)=L(T,V )。
即L=T*V
在具体评估中,应综合攻击者技术能力(专业技术程度、攻击设备等)、脆弱性被利用的难易程度(可访问时间、设计和操作知识公开程度等)、资产吸引力等因素来判断安全事件发生的可能性。
b)计算安全事件发生后造成的损失(即影响值)
根据资产价值及脆弱性严重程度,计算安全事件一旦发生后造成的损失,即:
安全事件造成的损失=F(资产价值,脆弱性严重程度)=F(Ia,V )。
即F=la*v。
部分安全事件的发生造成的损失不仅仅是针对该资产本身,还可能影响业务的连续性;不同安全事件的发生对组织的影响也是不一样的。在计算某个安全事件的损失时,应将对组织的影响也考虑在内。
部分安全事件造成的损失的判断还应参照安全事件发生可能性的结果,对发生可能性极小的安全事件,如处于非地震带的地震威胁、在采取完备供电措施状况下的电力故障威胁等,可以不计算其损失。
c)计算风险值
根据计算出的安全事件的可能性以及安全事件造成的损失,计算风险值,即:
风险值=R(安全事件的可能性,安全事件造成的损失)=R(L(T,V),F(Ia,V ))。
本公司规定采取相乘法进行风险值的计算。
R=L*F=Ia*T*V
5.5.2 风险结果判定
为实现对风险的控制与管理,可以对风险评估的结果进行等级化处理。可将风险划分为五级,等级越高,风险越高。风险等级达到三级为不可接受风险,三级以下为可接受风险,不可接受风险由风险评估小组制定风险评估计划,并由各责任部门负责实施。
表12 风险等级划分表
等级标识描述
5 很高一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的正常经营,经济损失重大、社会影响恶劣
4 高一旦发生将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害
3 中等一旦发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大
2 低一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解决
1 很低一旦发生造成的影响几乎不存在,通过简单的措施就能弥补
表12 风险等级划分
风险值1-5 6-11 12-35 36-79 80-125 风险等级 1 2 3 4 5
6 残余风险评估
在对于不可接受的风险选择适当安全措施后,为确保安全措施的有效性,需要进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。残余风险的评估可以从脆弱性评估开始,在对照安全措施实施前后的脆弱性状况后,再次计算风险值的大小。
某些风险如果在选择了适当的安全措施后,残余风险的结果仍处于不可接受的风险范围内,那么就应该考虑是否接受此风险或进一步增加相应的安全措施。
7 风险实施流程
风险评估的实施流程如图1所示:
是
否
否
是
图1 风险评估实施流程图风险评估文档记录
风险评估准备
资产识别脆弱性识别
威胁识别
已有安全措施的确认
风险值计算
风险是否接受
保持已有的安全措施
制定风险处理计划并
评估残余风险
是否接受残余风险
实施风险管理
评估过程文档
评估过程文档评估过程文档
8风险评估文档记录
JL0101-01《信息安全风险评估计划》
JL0101-02《信息安全资产清单》
JL0101-03《重要信息资产清单》
JL0101-04《资产识别评估表》
JL0101-05《风险评估报告》
JL0101-06《风险处理计划》
JL0101-07《风险处理计划检查记录》
JL0101-08《残余风险评估报告》
信息安全风险管理程序69382
1目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。 2范围 本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。 3职责 3.1研发中心 负责牵头成立信息安全管理委员会。 3.2信息安全管理委员会 负责编制《信息安全风险评估计划》,确认评估结果,形成《风险评估报告》及《风险处理计划》。 3.3各部门 负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。 4相关文件 《信息安全管理手册》 《GB-T20984-2007信息安全风险评估规范》 《信息技术安全技术信息技术安全管理指南第3部分:IT安全管理技术》 5程序 5.1风险评估前准备 ①研发中心牵头成立信息安全管理委员会,委员会成员应包含信息安全重要责任部门的成员。 ②信息安全管理委员会制定《信息安全风险评估计划》,下发各部门。 ③风险评估方法-定性综合风险评估方法 本项目采用的是定性的风险评估方法。定性风险评估并不强求对构成风险的各个要素(特别是资产)进行精确的量化评价,它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准,来对风险要素进行相对的等级分化,最终得出的风险大小,只需要通过等级差别来分出风险处理的优先顺序即可。 综合评估是先识别资产并对资产进行赋值评估,得出重要资产,然后对重要资产进行详细的风险评估。
5.2资产赋值 ①各部门信息安全管理委员会成员对本部门资产进行识别,并进行资产赋值。 资产价值计算方法:资产价值= 保密性赋值+完整性赋值+可用性赋值 ②资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估,并在此基础上 得出综合结果的过程。 ③确定信息类别 信息分类按“资产识别参考(资产类别)”进行,信息分类不适用时,可不填写。 ④机密性(C)赋值 根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的 应达成的不同程度或者机密性缺失时对整个组织的影响。 ⑤完整性(I)赋值 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的 达成的不同程度或者完整性缺失时对整个组织的影响。 ⑥可用性(A)赋值 根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的 达成的不同程度。
信息安全管理方案计划经过流程
信息安全管理流程说明书 (S-I)
信息安全管理流程说明书 1 信息安全管理 1.1目的 本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全; 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟 踪组织内任何信息安全授权访问; 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求; 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围 本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。 向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产(Asset):任何对组织有价值的事物。 2) 可用性(Availability):需要时,授权实体可以访问和使用的特性。 3) 保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和流程的 特性。 4) 完整性(Integrity):保护资产的正确和完整的特性。
5) 信息安全(Information security):保护信息的保密性、完整性、可用性及其他属 性,如:真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系(Information security management system ISMS):整体管理 体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改 进信息安全。 7) 注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资 源。 8) 风险分析(Risk analysis):系统地使用信息以识别来源和估计风险。 9) 风险评价(Risk evaluation):将估计的风险与既定的风险准则进行比较以确定重 要风险的流程。 10) 风险评估(Risk assessment):风险分析和风险评价的全流程。 11) 风险处置(Risk treatment):选择和实施措施以改变风险的流程。 12) 风险管理(Risk management):指导和控制一个组织的风险的协调的活动。 13) 残余风险(Residual risk):实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件(document):信息和存储信息的媒体; 注1:本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:文件的例子,如策略声明、计划、程序、服务级别协议和合同; 2) 记录(record):描述完成结果的文件或执行活动的证据; 注1:在本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:记录的例子,如审核报告、变更请求、事故响应、人员培训记录; 3) KPI:Key Performance Indicators 即关键绩绩效指标;也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、 计算、分析,衡量流程绩效的一种目标式量化管理指标,流程绩效管理的基础。
信息安全风险评估方法
从最开始接触风险评估理论到现在,已经有将近5个年头了,从最开始的膜拜捧为必杀技,然后是有一阵子怀疑甚至预弃之不用,到现在重拾之,尊之为做好安全的必备法宝,这么一段起起伏伏的心理历程。对风险的方法在一步步的加深,本文从风险评估工作最突出的问题:如何得到一致的、可比较的、可重复的风险评估结果,来加以分析讨论。 1. 风险评估的现状 风险理论也逐渐被广大信息安全专业人士所熟知,以风险驱动的方法去管理信息安全已经被大部分人所共知和接受,这几年国内等级保护的如火如荼的开展,风险评估工作是水涨船高,加之国内信息安全咨询和服务厂商和机构不遗余力的推动,风险评估实践也在不断的深入。当前的风险评估的方法主要参照两个标准,一个是国际标准《ISO13335信息安全风险管理指南》和国内标准《GB/T 20984-2007信息安全风险评估规范》,其本质上就是以信息资产为对象的定性的风险评估。基本方法是识别并评价组织/企业内部所要关注的信息系统、数据、人员、服务等保护对象,在参照当前流行的国际国内标准如ISO2700 2,COBIT,信息系统等级保护,识别出这些保护对象面临的威胁以及自身所存在的能被威胁利用的弱点,最后从可能性和影响程度这两个方面来评价信息资产的风险,综合后得到企业所面临的信息安全风险。这是大多数组织在做风险评估时使用的方法。当然也有少数的组织/企业开始在资产风险评估的基础上,在实践中摸索和开发出类似与流程风险评估等方法,补充完善了资产风险评估。 2. 风险评估的突出问题 信息安全领域的风险评估甚至风险管理的方法是借鉴了银行业成熟的风险管理方法,银行业业务风险管理的方法已经发展到相当成熟的地步,并且银行业也有非常丰富的基础数据支撑着风险分析方法的运用。但是,风险评估作为信息安全领域的新生事物,或者说舶来之物,尽管信息安全本身在国内开展也不过是10来年,风险评估作为先进思想也存在着类似“马列主义要与中国的实际国情结合走中国特色社会主义道路”的问题。风险评估的定量评估方法缺少必要的土壤,没有基础的、统计数据做支撑,定量风险评估寸步难移;而定性的风险评估其方法的本质是定性,所谓定性,则意味着估计、大概,不准确,其本质的缺陷给实践带来无穷的问题,重要问题之一就是投资回报问题,由于不能从财务的角度去评价一个/组风险所带来的可能损失,因此,也就没有办法得到投资回报率,尽管这是个问题,但是实践当中,一般大的企业都会有个基本的年度预算,IT/安全占企业年度预算的百分之多少,然后就是反正就这么些钱,按照风险从高到低或者再结合其他比如企业现有管理和技术水平,项目实施的难易度等情况综合考虑得到风险处理优先级,从高到低依次排序,钱到哪花完,风险处理今年就处理到哪。这方法到也比较具有实际价值,操作起来也容易,预算多的企业也不怕钱花不完,预算少的企业也有其对付办法,你领导就给这么些钱,哪些不能处理的风险反正我已经告诉你啦,要是万一出了事情你也怪不得我,没有出事情,等明年有钱了再接着处理。
信息安全风险管理程序
城云科技(杭州)有限公司信息安全风险管理程序
目录
第一章目的 第一条目的:指导信息安全组织针对信息系统及其管理开展的信息风险评估工作。本指南定义了风险评估的基本概念、原理及实施流程;对资产、威胁和脆弱性识别要求进行了详细描述。 第二章范围 第二条范围:适用于风险评估组开展各项信息安全风险评估工作。 第三章名词解释 第三条资产 对组织具有价值的信息或资源,是安全策略保护的对象。 第四条资产价值 资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。资产价值通过机密性、完整性和可用性三个方面评估计算获得。 (一)机密性(Confidentiality):确保只有经过授权的人才能访问信息; (二)完整性(Integrality):保护信息和信息的处理方法准确而完整; (三)可用性(Availability):确保经过授权的用户在需要时可以访问信息并使用相关信息资产。 第五条威胁 可能导致对系统或组织危害的不希望事故潜在起因。 第六条脆弱性 可能被威胁所利用的资产或若干资产的弱点。 第七条信息安全风险 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 第八条信息安全评估 依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储
的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 第九条残余风险 采取了安全措施后,信息系统仍然可能存在的风险。 第四章风险评估方法 第十条风险管理模型 图1 风险管理模型 图1为风险管理的基本模型,椭圆部分的内容是与这些要素相关的属性。风险管理围绕着资产、威胁、脆弱性和安全措施这些基本要素展开。信息安全风险评估在对风险管理要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。 图1中的风险管理要素及属性之间存在着以下关系: (一)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小; (二)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价
信息安全事件管理程序.docx
信息安全事件管理程序 1 目的 为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制,减少信息安全事件和故障所造成的损失,采取有效的纠正与预防措施,特制定本程序。 2 范围 本程序适用于XXX业务信息安全事件的管理。 3 职责 3.1 信息安全管理流程负责人 ? 确定信息安全目标和方针; ? 确定信息安全管理组织架构、角色和职责划分; ? 负责信息安全小组之间的协调,内部和外部的沟通; ? 负责信息安全评审的相关事宜; 3.2 信息安全日常管理员 ? 负责制定组织中的安全策略; ? 组织安全管理技术责任人进行风险评估; ? 组织安全管理技术责任人制定信息安全改进建议和控制措施; ? 编写风险改进计划; 3.3 信息安全管理技术责任人 ? 负责信息安全日常监控; ? 信息安全风险评估;
? 确定信息安全控制措施; ? 响应并处理安全事件。 4 工作程序 4.1 信息安全事件定义与分类 信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响(后果)的。 造成下列影响(后果)之一的,均为一般信息安全事件。 a) XXX秘密泄露; b) 导致业务中断两小时以上; c) 造成信息资产损失的火灾; d) 损失在一万元人民币(含)以上的故障/事件。 造成下列影响(后果)之一的,属于重大信息安全事件。 a) 组织机密泄露; b) 导致业务中断十小时以上; c) 造成机房设备毁灭的火灾; d) 损失在十万元人民币(含)以上的故障/事件。 4.2 信息安全事件管理流程 ? 由信息安全管理负责人组织相关的运维技术人员根据XXX对信息安全的要求,确认代码管理相关信息系统的安全需求; ? 对代码管理相关信息系统进行信息安全风险评估,预测风险类型、
信息安全风险评估方案教程文件
信息安全风险评估方 案
第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部
信息管理与信息安全管理程序.docx
. . 1目的 明确公司信息化及信息资源管理要求,对内外部信息及信息系统进行有效管理,以确保各部门( 单位 ) 和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3术语和定义 3.1信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准 化、内部控制、三基等和生产经营管理中所有信息。 3.2企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制 造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应, 其本质是加强企业的“核心竞争力” 。 3.3信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相 关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6LIMS 实验室信息管理系统 3.7IT 信息技术 4职责 4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策, 定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况, 协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3信息中心是公司信息化工作的归口管理部门,主要职责: a) 负责制定并组织实施本程序及配套规章制度,对各部门( 单位 ) 信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施; c) 负责统一规划、组织、整合和管理公司信息资源系统,为各部门( 单位 ) 信息采集、整理、汇总和 发布等环节提供技术支持;对Internet用户、电子邮箱进行设置管理;统一管理分公司互联网出口; d) 负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算
信息安全风险识别与评价管理程序
信息安全风险识别与评 价管理程序 文件编码(GHTU-UITID-GGBKT-POIU-WUUI-8968)
通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平。 二、范围: 适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。 三、责任: 管理者代表 信息中心执行信息安全风险的识别与评价;审核并批准重大信息安全风险,并负责编制《信息资产风险评估准则》,执行信息安全风险调查与评价,提出重大信息安全风险报告。 各部门 协助信息中心的调查,参与讨论重大信息安全风险的管理办法。 四、内容: 资产识别 保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此,应对组织中的资产进行识别。 在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。 表1 列出了一种资产分类方法。
信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。 信息分类定义: a)“国家秘密事项”:《中华人民共和国保守国家秘密法》中指定的秘密事; b)“企业秘密事项”:不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害,或者由于业务上的需要仅限有关人员知道的商业秘密事项; c)“敏感信息事项”:为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项; d)“一般事项”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项; e)“公开事项”:其他可以完全公开的事项。 信息分类不适用时,可不填写。
重大事件期间网络与信息安全管理规定
**集团有限公司 重大事件期间网络与信息安全管理规定(试行) 第一章总则 第一条为切实做好**集团有限公司网络与信息安全防护工作,建立有效的安全防护体系,进一步提高预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保重大事件期间网络与信息安全,制定本管理规定。 第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动,如重大会议、重大体育赛事等。 第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导,落实信息安全责任地;高度重视,强化安全防范措施;周密部署,加强各相关方协作为原则,以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响,确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。 第四条集团公司重大事件期间网络与信息安全管理工作范围包括:集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下,负责本单位网络与信息安全防范和整改工作。
第五条重大事件期间在时间上分为三个阶段,分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段;从重大事件起始日期至结束日期为实施阶段;从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。 第六条本规定适用于集团公司总部和系统各单位。 第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。 第二章准备阶段管理 第八条组织开展网络与信息安全查检工作,网络与信息安全采取自查和现场抽查相结合的方式,先开展各单位内部的网络与信息安全自查,在各单位自查的基础上,由集团公司组织相关人员对部分单位进行现场专项检查。 第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。 第十条对于检查发现的安全陷患,各单位应制定整改
信息安全管理程序
信息安全管理程序 1.目的 为了防止信息和技术的泄密,避免严重灾难的发生,特制定此安全规定。。2.适用范围 包括但不限于电子邮件、音频邮件、电子文件、个人计算机、计算机网络、互联网和其它电子服务等相关设备、设施或资源。 2.1权责 2.1.1人力资源部:负责信息相关政策的规划、制订、推行和监督。 2.2.2 IT部:负责计算机、计算机网络相关设备设施的维护保养以及信息数据的备份相关事务处理。 2.2.3全体员工:按照管理要求进行执行。 3.内容 3.1公司保密资料: 3.1.1公司年度工作总结,财务预算决算报告,缴纳税款、薪资核算、营销报表和各种综合统计报表。 3.1.2公司有关供货商资料,货源情报和供货商调研资料。 3.1.3公司生产、设计数据,技术数据和生产情况。 3.1.4公司所有各部门的公用盘共享数据,按不同权责划分。 3.2公司的信息安全制度 3.2.1 凡涉及公司内部秘密的文件数据的报废处理,必须碎纸后丢弃处理。 3.2.2 公司员工工作所持有的各种文件、数据、电子文件,当本人离开办公室外出时,须存放入文件柜或抽屉,不准随意乱放,更未经批准,不能复制抄录或携带外出。 3.2.3 未经公司领导批准,不得向外界提供公司的任何保密数据和任何客户数据。 3.2.4经理室要运用各种形式经常对所属员工进行信息安全教育,增强保密意识:3.2. 4.1在新员工入职培训中进行信息安全意识的培训,并经人事检测合格后,方可建立其网络账号及使用资格。 3.2. 4.2每年对所有计算机用户至少进行一次计算机安全检查,包括扫病,去除与工作无关的软件等。 3.2.5不要将机密档及可能是受保护档随意存放,文件存放在分类目录下指定位
信息安全风险评估方案
第一章网络安全现状与问题 目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而
信息安全管理制度汇总
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门的相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。
6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全的子网,信息中心对其提供指导,必要时可以中断其与骨干网的连接,待子网恢复正常后再恢复连接。
信息安全管理制度附件:信息安全风险评估管理程序
本程序,作为《WX-WI-IT-001 信息安全管理流程A0版》的附件,随制度发行,并同步生效。 信息安全风险评估管理程序 1.0目的 在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施处理风险。 2.0适用范围 在ISMS 覆盖范围内主要信息资产 3.0定义(无) 4.0职责 4.1各部门负责部门内部资产的识别,确定资产价值。 4.2IT部负责风险评估和制订控制措施。 4.3财务中心副部负责信息系统运行的批准。 5.0流程图 同信息安全管理程序的流程 6.0内容 6.1资产的识别 6.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别,确定资产价值。 6.1.2资产分类 根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员 等类。 6.1.3资产(A)赋值 资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选 择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值 等级作为资产的最终赋值结果。资产等级划分为五级,分别代表资产重要性
的高低。等级数值越大,资产价值越高。 1)机密性赋值 根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产 2)完整性赋值 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产 3)可用性赋值 根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
3分以上为重要资产,重要信息资产由IT 部确立清单 6.2威胁识别 6.2.1威胁分类 对重要资产应由ISMS 小组识别其面临的威胁。针对威胁来源,根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。 6.2.2威胁(T)赋值 评估者应根据经验和(或)有关的统计数据来判断威胁出现的频率。 威胁频率等级划分为五级,分别代表威胁出现的频率的高低。等级数值越大,威胁出现
公司信息安全管理制度
信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。
1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。 2.2文件加密 涉及公司机密或重要的信息文件,所有人员需进行必要加密并妥善保管;若因保管不 善,导致公司信息资料的外泄及其他损失,将由其本人承担一切责任。 2.3文件移动
信息安全管理
一、信息安全管理 1、什么是信息安全管理,为什么需要信息安全管理? 国际标准化组织对信息安全的定义是:“在技术上和管理上维数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。当今的信息系统日益复杂,其中必然存在系统设计、实现、内部控制等方面的弱点。如果不采取适当的措施应对系统运行环境中的安全威胁,信息资产就可能会遭受巨大的损失甚至威胁到国家安全。 2、系统列举常用的信息安全技术? 密码技术、访问控制和鉴权;物理安全技术;网络安全技术;容灾与数据备份。 3、信息安全管理的主要内容有哪些? 信息安全管理从信息系统的安全需求出发,结合组织的信息系统建设情况,引入适当的技术控制措施和管理体系,形成了综合的信息安全管理架构。 4、什么是信息安全保障体系,它包含哪些内容? 5、信息安全法规对信息安全管理工作意义如何? 它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面: 1.为人们从事在信息安全方面从事各种活动提供规范性指导; 2.能够预防信息安全事件的发生; 3.保障信息安全活动参与各方的合法权益,为人们追求合法权益提供了依据和手段。 二、信息安全风险评估 1、什么是信息安全风险评估?它由哪些基本步骤组成? 信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。风险评估可分为四个阶段,第一阶段为风险评估准备;第二阶段为风险识别,第三阶段为风险评价,第四阶段为风险处理。 2、信息资产可以分为哪几类?请分别举出一两个例子说明。 可以分为数据、软件、硬件、文档、人员、服务。例如:软件有系统软件、应用软件、源程序、数据库等。服务有办公服务、网络服务、信息服务等。 3、威胁源有哪些?其常见表现形式分别是什么?
信息安全事件管理程序(正式版)
信息安全事件管理程序 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:___________________ 日期:___________________
信息安全事件管理程序 温馨提示:该文件为本公司员工进行生产和各项管理工作共同的技术依据,通过对具体的工作环节进行规范、约束,以确保生产、管理活动的正常、有序、优质进行。 本文档可根据实际情况进行修改和使用。 1 目的 为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制, 减少信息安全事件和故障所造成的损失, 采取有效的纠正与预防措施, 特制定本程序。 2 范围 本程序适用于XXX业务信息安全事件的管理。 3 职责 3.1 信息安全管理流程负责人 确定信息安全目标和方针; 确定信息安全管理组织架构、角色和职责划分; 负责信息安全小组之间的协调, 内部和外部的沟通; 负责信息安全评审的相关事宜; 3.2 信息安全日常管理员 负责制定组织中的安全策略; 组织安全管理技术责任人进行风险评估;
组织安全管理技术责任人制定信息安全改进建议和控制措施; 编写风险改进计划; 3.3 信息安全管理技术责任人 负责信息安全日常监控; 信息安全风险评估; 确定信息安全控制措施; 响应并处理安全事件。 4 工作程序 4.1 信息安全事件定义与分类 信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响(后果)的。 造成下列影响(后果)之一的, 均为一般信息安全事件。 a) XXX秘密泄露; b) 导致业务中断两小时以上; c) 造成信息资产损失的火灾; d) 损失在一万元人民币(含)以上的故障/事件。 造成下列影响(后果)之一的, 属于重大信息安全事件。 a) 组织机密泄露;
信息安全风险评估报告
XXXXX公司 信息安全风险评估报告 历史版本编制、审核、批准、发布实施、分发信息记录表
一. 风险项目综述 1.企业名称: XXXXX公司 2.企业概况:XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持欢迎下载 2
3.ISMS方针:预防为主,共筑信息安全;完善管理,赢得顾客信赖。 4.ISMS范围:计算机应用软件开发,网络安全产品设计/开发,系统集成及服务的信息安全管理。 二. 风险评估目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,进行本次风险评估。 三. 风险评估日期: 2017-9-10至2017-9-15 四. 评估小组成员 XXXXXXX。 五. 评估方法综述 1、首先由信息安全管理小组牵头组建风险评估小组; 2、通过咨询公司对风险评估小组进行相关培训; 3、根据我们的信息安全方针、范围制定信息安全风险管理程序,以这个程序作为我们风险评估的依据和方 法; 4、各部门识别所有的业务流程,并根据这些业务流程进行资产识别,对识别的资产进行打分形成重要资产 清单; 5、对每个重要资产进行威胁、脆弱性识别并打分,并以此得到资产的风险等级; 6、根据风险接受准则得出不可接受风险,并根据标准ISO27001:2013的附录A制定相关的风险控制措施; 7、对于可接受的剩余风险向公司领导汇报并得到批准。 六. 风险评估概况 欢迎下载 3
欢迎下载 4 如下: 1. 2017-9-10 ~ 2017-9-10,风险评估培训; 2. 2017-9-11 ~ 2017-9-11,公司评估小组制定《信息安全风险管理程序》,制定系统化的风险评估方法; 3. 2017-9-12 ~ 2017-9-12,本公司各部门识别本部门信息资产,并对信息资产进行等级评定,其中资产分为物理资产、软件资产、数据资产、文档资产、无形资产,服务资产等共六大类; 4. 2017-9-13 ~ 2017-9-13,本公司各部门编写风险评估表,识别信息资产的脆弱性和面临的威胁,评估潜在风险,并在ISMS 工作组内审核; 5. 2017-9-14 ~ 2017-9-14,本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表; 6. 2017-9-15 ~ 2017-9-15,各部门修订风险评估表,识别重大风险,制定控制措施;ISMS 工作组组织审核,并最终汇总形成本报告。 . 七. 风险评估结果统计 本次风险评估情况详见各部门“风险评估表”,其中共识别出资产190个,重要资产115个,信息安全风 险115个,不可接受风险42个.
信息管理与信息安全管理程序DOC
金陵石化公司一体化管理体系 信息管理与信息安全管理程序 文件编号JLSH-T20.32.00.027.2011 版本/修改A/0 第 1 页共16页1 目的 明确公司信息化及信息资源管理要求,对内外部信息及信息系统进行有效管理,以确保各部门(单位)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2 适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3 术语和定义 3.1 信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、内部控制、三基等和生产经营管理中所有信息。 3.2 企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应,其本质是加强企业的“核心竞争力”。 3.3 信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6 LIMS 实验室信息管理系统 3.7 IT 信息技术 4 职责 4.1 信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策,定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况,协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3 信息中心是公司信息化工作的归口管理部门,主要职责: a)负责制定并组织实施本程序及配套规章制度,对各部门(单位)信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施;
信息安全风险管理制度
信息安全风险管理办法 北京国都信业科技有限公司 2017年10月
前言 本程序所规定的是北京国都信业科技有限公司企业的信息安全风险管理原则,在具体实施过程中,各部门可结合本部门的实际情况,根据本程序的要求制定相应的文件,以便指导本部门的实施操作。 本制度自实施之日起,立即生效。 本制度由北京国都信业科技有限公司企业信息管理部起草。 本制度由北京国都信业科技有限公司企业信息管理部归口管理。
1目的 为规范北京国都信业科技有限公司企业(以下简称“本公司”)信息安全风险管理体系,建立、健全信息安全管理制度,确定信息安全方针和目标,全面覆盖信息安全风险点,对信息安全风险进行有效管理,并持续改进信息安全体系建设。 2范围 本制度适用于本公司信息管理部信息安全风险管理应用及活动。 3术语和定义 无。 4职责 信息管理部作为本公司信息安全管理的主管部门,负责实施信息安全管理体系必要的程序并维持其有效运行,制定信息安全相关策略、制度、规定,对信息管理活动各环节进行安全监督和检查,信息安全培训、宣传,信息安全事件的响应、处理及报告等工作。 信息安全管理人员负责全行信息安全策略的执行和推动。 5管理规定 5.1信息安全管理内容 信息安全管理内容应覆盖信息管理、信息管理相关的所有风险点,包括用户管理、身份验证、身份管理、用户管理、风险评估、信息资产管理、网络安全、病毒防护、敏感数据交换等内容。 5.2信息管理岗位设置 为保证本公司信息安全管理,设置信息管理部岗位分工及职责时,应全面考虑信息管理工作实际需要及责任划分,制定详细的岗位分工及职责说明,对信息
管理人员权限进行分级管理,信息管理关键岗位有设置AB 角。应配备专职安全管理员,关键区域或部位的安全管理员符合机要人员管理要求,对涉密人员签订了保密协议。 5.3信息安全人员管理 5.3.1人员雇佣安全管理 信息管理人员的雇佣符合如下要求: 信息管理人员的专业知识和业务水平达到本公司要求; 详细审核科技人员工作经历,信息管理人员应无不良记录; 针对正式信息管理人员、临时聘用或合同制信息管理人员及顾问,采取 不同的管理措施。 5.3.2人员入职安全管理 在员工工作职责说明书中除了要说明岗位的一般职责和规范以外,还要加入与此岗位相关的信息安全管理规范,具体内容参看各个安全管理规范中的适用范围部分。人员入职必须签订保密协议,在人员的入职培训内容中应该包括信息安全管理规范的相关内容解释和技术培训。 5.3.3人员安全培训 根据工作岗位对从业者的能力需求、从业者本身的实际能力以及从业者所面临信息安全风险,确定培训内容。考虑不同层次的职责、能力、文化程度以及所面临的风险,信息安全主管部门应该根据培训需求组织培训,制定培训计划,培训计划包括:培训项目、主要内容、主要负责人、培训日程安排、培训方式等,培训前要写好培训方案,并通知相关人员,培训后要进行考核。 5.3.4人员安全考核 人事部门对人员进行的定期考核中应该包括安全管理规范的相关内容。 5.3.5人员离职安全管理 本公司人员离职手续中应该包括如下安全相关的内容: