ISO27001信息安全风险评估管理程序

信息安全风险评估指南1、本指南在编制过程中主要依据了国家政策法规、技术标准、规范与管理要求、行业标准并得到了无锡新世纪信息科技有限公司的大力支持。

1.1政策法规：✧《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）✧《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》（国信办[2006]5号）1.2国际标准：✧ISO/IEC 17799：2005《信息安全管理实施指南》✧ISO/IEC 27001：2005《信息安全管理体系要求》✧ISO/IEC TR 13335《信息技术安全管理指南》1.3国内标准：✧《信息安全风险评估指南》（国信办综[2006]9号）✧《重要信息系统灾难恢复指南》（国务院信息化工作办公室2005年4月）✧GB 17859—1999《计算机信息系统安全保护等级划分准则》✧GB/T 18336 1-3：2001《信息技术安全性评估准则》✧GB/T 5271.8--2001 《信息技术词汇第8部分：安全》✧GB/T 19715.1—2005 《信息技术安全管理指南第1部分：信息技术安全概念和模型》✧GB/T 19716—2005 《信息安全管理实用规则》1.4其它✧《信息安全风险评估方法与应用》（国家863高技术研究发展计划资助项目(2004AA147070)）2、风险评估2.1、风险评估要素关系模型风险评估的出发点是对与风险有关的各因素的确认和分析。

下图中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性，也是风险评估要素的一部分。

风险评估的工作是围绕其基本要素展开的，在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。

如下模型表示了各因素的关系：业务战略资产资产价值安全需求残余风险安全事件脆弱性威胁风险安全措施依赖具有导出降低抵御未控制可能诱发演变利用暴露未被满足增加增加图中这些要素之间存在着以下关系：业务战略依赖于资产去完成；资产拥有价值，单位的业务战略越重要，对资产的依赖度越高，资产的价值则就越大；资产的价值越大则风险越大；风险是由威胁发起的，威胁越大则风险越大，并可能演变成安全事件；威胁都要利用脆弱性，脆弱性越大则风险越大；脆弱性使资产暴露，是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险；资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足，且是有成本的；安全措施可以抗击威胁，降低风险，减弱安全事件的影响；风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险，—部分残余风险来自于安全措施可能不当或无效，在以后需要继续控制这部分风险，另一部分残余风险则是在综合考虑了安全的成本与资产价值后，有意未去控制的风险，这部分风险是可以被接受的；残余风险应受到密切监视，因为它可能会在将来诱发新的安全事件。

文件制修订记录1、适用本程序适用于公司信息安全事故、事件、薄弱点、故障和风险处置的管理。

2、目的为建立一个适当信息安全事故、事件、薄弱点、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效的纠正与预防措施，正确处置已经评价出的风险，特制定本程序。

3、职责各系统归口管理运营部主管相关的安全风险的调查、处理及纠正措施管理。

各系统使用人员负责相关系统安全事故、事件、薄弱点、故障和风险的评价、处置报告。

各系统信息安全归口部门如下：管理运营部：负责火灾、雷击、供电、盗窃、洪水等相关的信息安全风险的整体调查、处理和纠正措施管理。

智慧城市事业部：负责服务器等相关的信息安全风险的整体调查、处理和纠正措施管理。

负责路由器、交换机等网络设备等相关的信息安全风险的整体调查、处理和纠正措施管理。

4、程序4.1信息安全事件定义与分类4.1.1信息安全事件的定义：由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件。

4.1.2信息安全事件分类规范4.1.2.1有害程序事件有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。

有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。

有害程序事件包括计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等7个第二层分类。

4.1.2.2网络攻击事件网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。

网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个第二层分类。

14、信息安全事件管理程序###-ISMS-0108-20231 目的为对公司信息安全的事件管理活动实施控制，特制定本程序。

2 范围适用于对信息安全的事件管理。

3 职责3.1 综合部负责信息安全的事件的收集、响应、处置和调查处理。

3.2 相关部门负责信息安全事件的及时报告，及时落实相关的处理措施。

4 程序4.1信息安全弱点定义信息安全弱点是指被识别的一种系统、服务或网络状态的发生，表明一次可能的信息安全策略违规或某些防护措施失效，或者一种可能与安全相关但以前不为人知的一种情况。

4.2信息安全弱点报告信息安全弱点的发现者（包括使用公司信息系统和服务的员工和合同方）应将任何观察到的或可疑的的系统或服务中的信息安全弱点向信息安全管理小组报告。

4.3信息安全弱点处理流程1信息安全事件5.1信息安全事件定义信息安全事件：一个或一系列意外或不期望的信息安全事态，它/它们极有可能损害业务运行并威胁信息安全。

信息安全事件是指危及公司发展与业务运作，威胁公司信息安全的其他情况，可能与信息安全相关的现象、活动、系统、服务或网络状态等处于异常情况。

对达到一定严重程度，或造成一定损失的信息安全事件，本程序定义为严重事件。

5.2信息安全事态的定义信息安全事态：已识别的一种系统、服务或网络状态的发生，指出可能违反信息安全方针或控制措施失效，或者一种可能与安全相关但以前不为人知的情况。

5.3信息安全事件分级5.4信息安全事件处理流程5.4.1信息安全事件的报告事件的发现者应按照以下要求履行报告任务：a) 各个信息管理系统使用者，在使用过程中如果发现软硬件故障、事件，应该向该系统管理部门和信息安全管理小组报告；如故障、事件会影响或已经影响业务运行，必须立即报告相关部门，采取必要措施，保证对业务的影响降至最低；b) 发生火灾应立即触发火警并向信息安全管理小组报告，启动消防应急预案； c) 涉及组织的秘密、机密及绝密泄露、丢失应向信息安全管理小组报告； d) 发生重大信息安全事件,事件受理部门应向信息安全管理员和有关领导报告。

ISO27001风险评估实施流程（详细版）ISO27001风险评估实施流程第⼀章：风险评估概念名词定义：风险：在信息安全领域，风险（Risk），就是指信息遭受损坏并给企业带来负⾯影响的潜在可能性。

风险评估（Risk Assessment）：包括风险识别、风险分析和风险评价在内的全部过程。

风险管理（Risk Management）：就是以可接受的代价、识别、控制、减少或消除可能影响信息的安全风险的过程。

风险的来源：如下图：风险评估的作⽤如下图：风险管理的原则如下图：第⼆章：风险评估的实施步骤1、风险评估过程根据ISO31000或者ISO27005标准进⾏风险评估实施过程的对标，并通过环境构建、风险识别、风险分析、风险评价、风险处置进⾏整个风险评估的过程，具体如下图：2、风险评估过程-环境构建环境构建：建⽴组织，明确风险评估⽬标、界定风险管理应该考虑的外部和内部参数、并设置风险管理过程的范围和风险准则。

主要任务：①确定风险评估的范围及对象②制定组织的风险接受准则评估⽬标信息资产：任何对组织具有价值的包含信息的东西，包括计算机硬件、通讯设施、数据库、⽂件信息、软件、信息服务和⼈员等、所有这些资产都需要妥善保护风险准则评价风险重要程度的依据：- 体现了组织的风险承受度、反映组织的价值观、⽬标和资源；- 风险准则直接或者间接反映了法律和法规要求或其他需要组织遵循的要求；- 风险准则应当与组织的风险管理⽅针⼀致。

2、风险评估过程-风险识别风险识别：风险源单独或联合具有内在的潜在引起危险的因素风险源数据库:提供风险依据，风险源的标准来源于ISO/IEC 27001中的114个控制措施风险识别表通过访谈、调查问卷、现场检查的⽅式来评估各类资产的管控现状，并将调研得到的信息汇总成为风险识别表3、风险评估过程-风险分析风险分析：系统的运⽤相关信息来确认风险的来源并对风险进⾏估计：说明：风险分析要考虑导致风险的原因和风险源，风险事件的正⾯和负⾯的后果及其发⽣的可能性。

ISO27001-信息安全事件管理程序信息安全事件管理程序（依据ISO27001标准）1. 目的为规范公司信息安全的事件管理，包括事故分类、薄弱点与故障分类、报告的途径、方法与时限要求、响应、事故的调查处理、防止再发生的措施，特制定本程序。

2. 范围本程序适用于公司各部门。

3. 职责与权限3.1 信息安全委员会信息安全委员会是公司信息安全管理最高组织机构，负责公司网络与信息安全重大事项的决策和协调，并对全公司信息安全管理工作全面负责。

3.2 技术部是信息安全事件管理的归口管理部门，负责信息安全事件的接报、汇总、通报和处置工作；必要时，协助相关部门及上级单位做好信息安全事件调查、分析、处理工作。

3.3 各部门各部门人员应遵守本程序的各项要求，及时上报并协助处理相关信息安全事件。

4. 相关文件a)《纠正预防措施程序》b)《技术薄弱点控制程序》c)《信息安全奖惩管理规定》d)《信息分类与处理指南》5. 术语定义无6. 控制程序6.1 信息安全事件的定义信息安全事件是指公司计算机系统、网络设备系统、数据因非法攻击或病毒入侵等原因，造成数据破坏、丢失、信息泄漏、系统不可用及业务不能正常运行等，或已经发现的有可能造成影响的安全隐患。

6.2 信息安全事件级别根据信息安全事件对公司业务及数据造成的影响，将信息安全事件划分为三个级别：重大事故（A级）、较大事故（B级）和一般事故（C 级）。

1) 重大事故：造成公司业务数据全部丢失或绝密信息泄露，或者ERP服务器及其他重要服务器等系统中断一天以上，或者所有业务部工作中断一天以上的信息安全事故。

2) 较大事故：造成公司重要业务数据丢失或机密信息泄露，或者ERP服务器及其他重要服务器等系统中断半天以上一天以内的信息安全事故。

3) 一般事故：造成公司非重要业务数据丢失，或者ERP服务器及其他重要服务器等系统中断半天以内的信息安全事故。

6.3. 事件报告6.3. 1 各部门发生安全事件时，应即时采用电话、电子邮件等方式向技术部报告，并协助处理。

文件制修订记录1、概述1.1目的为确保公司信息安全管理体系持续的适宜性、充分性和有效性，评估公司信息安全管理体系改进和变更的需要，包括信息安全方针、目标，特制定本程序。

1.2.范围适用于对公司信息安全管理体系运行的现状和适应性进行管理评审的活动。

2、职责A、最高管理者主持管理评审活动；批准《管理评审计划》；批准《管理评审报告》。

B、管理者代表负责组织召开管理评审会议；负责管理评审计划的落实和组织协调工作；跟踪验证管理评审问题的处理；审查《管理评审计划》和《管理评审报告》。

C、体系策划、贯彻团队负责制定《管理评审计划》，收集管理评审所需文件和记录；评审过程的组织工作、作好评审会议记录并编写《管理评审报告》；负责组织完成管理评审输入资料准备；保存管理评审相关记录；D、评审团队依据评审计划对管理体系进行评审；E、各相关部门负责准备、提供与本部门工作有关的评审所需材料，并负责实施管理评审中提出的相关纠正、预防措施。

3、内容3.1审核频率公司每年进行一次年度管理评审（管理评审时间间隔不超过12个月），此外，在下列情况下，管理者代表可临时决定进行管理评审。

➢产品、流程、系统、组织机构、人员和资源等有重大调整；信息安全方针、目标等发生变化；➢当业务过程发生重大事故造成重大损失时；发生重大顾客抱怨或投诉；➢管理体系审核发现严重不符合项；➢国家法令、法规、规章制度、标准等有所要求；其他不可预见情况。

3.2管理评审程序3.2.1管理评审策划管理评审计划制定管理评审小组应于每次管理评审前编制《管理评审计划》，上报管理者代表审核并由最高管理者批准，下发各相关人员。

管理评审计划的主要内容包括：➢评审时间及地点；评审目的；➢评审范围及评审重点；参加评审人员；➢评审依据；评审内容。

3.2.2管理评审实施1）管理评审准备管理评审小组应提前一周下发管理评审计划，通知参加评审的有关人员，参加评审人员负责准备与本部门有关的评审资料，并提交给管理评审小组。

信息安全风险评估管理程序一、概述信息安全风险评估是指对系统、网络、数据等信息资产进行全面分析和评估，识别和量化可能存在的风险，为安全管理决策提供科学依据。

信息安全风险评估管理程序是指为了实施信息安全风险评估而制定的相应程序。

二、程序内容1. 确定评估目标和范围在进行信息安全风险评估之前，应明确评估的目标和范围。

评估目标是指评估过程的目的，例如评估系统的安全性、风险管控水平等。

评估范围是指评估的具体对象和范围，例如具体的系统、网络、数据等。

2. 选择评估方法和工具根据评估目标和范围，选择适合的评估方法和工具。

常用的评估方法包括定性评估法、定量评估法、风险矩阵法等。

评估工具可以是专业的风险评估软件，也可以是自主开发的评估工具。

3. 收集必要信息收集必要的信息是进行评估的基础。

可以通过面谈、观察、文档查阅等方式收集相关信息。

需要收集的信息包括系统的功能、架构、权限管理、日志记录等。

4. 风险识别与分析在收集完相关信息后，进行风险识别与分析。

通过对信息进行全面的分析，识别可能存在的风险。

分析风险的因素包括潜在威胁、弱点、潜在损失等。

5. 风险评估与量化对识别出的风险进行评估和量化，确定其危害程度和可能发生的概率。

评估风险可以采用定性评估方法，即根据风险的重要性、严重性、可接受性等级进行评估；也可以采用定量评估方法，即通过数学模型和统计方法对风险进行量化。

6. 制定风险处理措施根据评估结果，制定针对风险的处理措施。

处理措施可以包括风险规避、风险转移、风险减轻和风险接受等策略。

制定措施时还应考虑措施的可行性、成本效益等因素。

7. 实施风险控制根据制定的风险处理措施，进行风险控制工作。

控制风险可以通过技术手段、政策制度、培训教育等方式实施。

8. 监督和评估监督和评估是信息安全风险评估管理程序的重要环节。

监督是指对风险控制措施的执行情况进行监督和检查，以确保措施的有效性。

评估是指定期对信息安全风险进行重新评估，以确定控制措施的有效性和风险状况的变化情况。

风险管理过程文件（版本号：V1.1）更改控制页目录1目的 (1)2范围 (1)3术语定义 (1)4职责 (1)4.1管理者代表 (1)4.2质量管理部 (2)4.3风险管理者 (2)5裁剪指南 (2)5.1风险评估的时机 (2)5.2风险评估的内容 (3)6过程 (3)6.1风险评估处理过程维护 (3)6.2风险评估处理过程 (3)6.2.1过程概要图 (3)6.2.2启动条件 (3)6.2.3输入 (4)6.2.4活动 (4)6.2.4.1确定业务流程 (4)6.2.4.2识别资产、任务 (4)6.2.4.3评价资产、任务 (4)6.2.4.4识别并评价弱点 (5)6.2.4.5识别并评价威胁 (6)6.2.4.6计算风险值 (6)6.2.4.7选择控制目标和措施 (7)6.2.4.8制定风险处理计划 (7)6.2.4.9评价残留风险 (8)6.2.4.10向管理者代表汇报 (8)6.2.4.11风险处理措施的落实与检查 (8)6.2.5输出 (8)6.2.6关闭标准 (9)7审核 (9)8度量 (9)9技能要求 (9)10相关文件 (9)1目的本文件旨在规定风险评估管理相关人员的职责、风险评估管理的方法和流程。

2范围适用于XXX科技股份有限公司体系运行和软件开发过程中的风险管理。

3术语定义RA（Risk Analysis）：风险分析SoA(Statement of Availability)：适用性声明ISMS(Information Security Management System)：信息安全管理体系资产：任何对组织具有价值的东西，包括计算机硬件、通信设施、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。

C.I.A：各类信息资产价值确定等级的三个属性：保密性Confidentiality、完整性Integrity和可用性Availability。

I.E：任务的两个属性：重要性Essentiality、紧急度Instancy威胁：能对资产或组织造成损害的某种安全事件发生的潜在原因。