您的位置:360文档中心› 信息安全风险识别与评价管理程序

信息安全风险识别与评价管理程序

合集下载

信息安全风险管理程序

信息安全风险管理程序

信息安全风险管理程序城云科技(杭州)有限公司信息安全风险管理程序⽬录信息安全风险管理程序 ............................................. 错误!未定义书签。

第⼀章⽬的.................................................. 错误!未定义书签。

第⼆章范围.................................................. 错误!未定义书签。

第三章名词解释 ............................................... 错误!未定义书签。

第四章风险评估⽅法 ........................................... 错误!未定义书签。

第五章风险评估实施 ........................................... 错误!未定义书签。

第六章风险管理要求 ........................................... 错误!未定义书签。

第七章附则................................................. 错误!未定义书签。

第⼋章检查要求 ............................................... 错误!未定义书签。

第⼀章⽬的第⼀条⽬的:指导信息安全组织针对信息系统及其管理开展的信息风险评估⼯作。

本指南定义了风险评估的基本概念、原理及实施流程;对资产、威胁和脆弱性识别要求进⾏了详细描述。

第⼆章范围第⼆条范围:适⽤于风险评估组开展各项信息安全风险评估⼯作。

第三章名词解释第三条资产对组织具有价值的信息或资源,是安全策略保护的对象。

第四条资产价值资产的重要程度或敏感程度的表征。

资产价值是资产的属性,也是进⾏资产识别的主要内容。

信息安全风险管理方案计划程序

信息安全风险管理方案计划程序

为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。

本程序合用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。

负责牵头成立信息安全管理委员会。

负责编制《信息安全风险评估计划》,确认评估结果,形成《风险评估报告》及《风险处理计划》。

负责本部门使用或者管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。

《信息安全管理手册》《GB-T20984-2022 信息安全风险评估规范》《信息技术安全技术信息技术安全管理指南第 3 部份: IT 安全管理技术》① 研发中心牵头成立信息安全管理委员会,委员会成员应包含信息安全重要责任部门的成员。

② 信息安全管理委员会制定《信息安全风险评估计划》,下发各部门。

③ 风险评估方法-定性综合风险评估方法本项目采用的是定性的风险评估方法。

定性风险评估并不强求对构成风险的各个要素(特殊是资产)进行精确的量化评价,它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准,来对风险要素进行相对的等级分化,最终得出的风险大小,只需要通过等级差别来分出风险处理的优先顺序即可。

综合评估是先识别资产并对资产进行赋值评估,得出重要资产,然后对重要资产进行详细的风险评估。

① 各部门信息安全管理委员会成员对本部门资产进行识别,并进行资产赋值。

资产价值计算方法:资产价值 = 保密性赋值+完整性赋值+可用性赋值②资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估,并在此基础上得出综合结果的过程。

③确定信息类别信息分类按“5.9 资产识别参考(资产类别)”进行,信息分类不合用时,可不填写。

④机密性(C)赋值➢根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。

⑤完整性(I)赋值➢根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。

信息安全风险管理

信息安全风险管理

信息安全风险管理信息安全在当今社会中扮演着至关重要的角色。

随着技术的不断发展,人们越来越依赖于计算机和互联网来进行日常工作和生活。

然而,随之而来的是一系列安全风险,如数据泄露、网络攻击和恶意软件等,这些风险可能会对个人、组织和国家带来严重的损害。

因此,信息安全风险管理显得尤为重要。

信息安全风险管理是一种系统化的方法,旨在识别、评估和应对信息系统中存在的各种潜在风险。

以下是一些关键的步骤和措施可以帮助实现信息安全风险管理。

1. 风险评估与识别首先,进行全面的风险评估和识别,包括对组织内部和外部的信息系统进行审查和调查,以确定潜在的风险点。

这可能涉及到对系统架构、应用程序、网络安全和人员安全等方面的分析。

2. 风险评估与分类在识别风险之后,对每个风险进行评估和分类。

这包括对每个风险的可能性和影响程度进行评估,并根据评估结果将风险分为高、中、低等级,以便为后续的风险应对方案制定提供依据。

3. 风险减轻与控制对于识别的高风险,制定相应的风险减轻和控制措施。

这可能包括加强网络安全、加密数据、更新安全策略和流程以及培训员工等。

通过采取这些预防性的措施,可以降低风险发生的概率和损害程度。

4. 风险监控与应对实施风险监控和应对机制,定期对信息安全风险进行评估和跟踪。

这包括监测系统和网络的安全状况,及时发现并应对潜在的风险事件。

同时,制定应急预案和紧急响应措施,以应对可能的安全事件。

5. 持续改进与管理信息安全风险管理是一个持续的过程,需要不断改进和管理。

定期对风险管理措施进行评估和审查,根据实际情况做出调整和改进。

同时,加强与相关利益相关者(如员工、供应商、合作伙伴等)的合作和沟通,建立信息安全文化和意识。

总之,信息安全风险管理是保障信息系统安全和数据保护的重要手段。

通过全面评估、分类、减轻和控制风险,并建立监控和应对机制,可以有效降低信息安全风险的发生概率和损害程度,从而确保组织和个人的信息安全。

同时,持续改进和管理是保持信息系统安全的关键,需要与各方一起努力共同构建一个安全可靠的信息环境。

信息安全风险评估简介

信息安全风险评估简介

信息安全风险评估简介
信息安全风险评估是指对组织或个人的信息系统进行全面评估,确定存在的安全风险,以及评估这些风险对业务运作的影响。

其目的是为了帮助组织或个人识别和理解信息系统中的潜在威胁和漏洞,并采取相应的措施来降低风险。

信息安全风险评估通常包括以下几个步骤:
1. 确定评估目标:明确评估的范围和目标,确定需要评估的信息系统和相关资源。

2. 收集信息:收集与信息系统有关的各种信息,包括系统架构、应用程序、网络拓扑、存储设备等。

3. 识别风险:识别可能存在的安全威胁和漏洞,包括技术性漏洞、人为因素、自然灾害等。

4. 评估风险:对已经识别的风险进行评估,包括风险的概率、影响程度和优先级等。

5. 编制报告:根据评估结果编制风险评估报告,包括风险评估的综合分析、建议的安全措施等。

6. 建议措施:基于评估结果,提出相应的安全改进措施和建议,帮助组织或个人加强信息安全防护能力。

信息安全风险评估是信息安全管理的基础工作之一。

通过定期
进行风险评估,可以帮助组织或个人及时识别和应对潜在的威胁和漏洞,减少信息安全事件的发生,保障信息的机密性、完整性和可用性。

信息安全风险评估内容与实施流程

信息安全风险评估内容与实施流程

信息安全风险评估内容与实施流程安全评估是信息安全风险管理的必要手段,只有有效评估了系统面临的安全风险,才能充分掌握信息系统安全状态,才能确定安全防护的重点与要点,并有针对性地采取控制措施,使信息安全风险处于可控制的范围内。

安全评估适用于XXXX公司信息系统全生命周期,为信息系统的安全建设、稳定运行和改造提供重要依据,并且是信息系统安全等级确定过程中不可或缺的技术手段。

为了规范安全评估工作,XXXX公司2004年颁布了《XXXX公司信息安全风险评估规范(试行)》(以下简称《评估规范》)。

为配合《评估规范》的落实,XXXX公司组织XXXX公司内外的专业机构,参照国家和国际相关标准与规范,在总结XXXX公司以往安全评估实践的基础上,编制本指南以有效指导、规范与帮助XXXX公司进行安全评估工作。

信息系统的评估流程参照国内外的电力行业标准、规范制定,包括项目实施流程和现场工作流程两部分。

项目实施流程是一次评估工作整体的框架结构,现场工作流程是评估的核心部分。

1.1评估内容XXXX公司信息系统安全评估的主要内容包括:资产评估、威胁评估、脆弱性评估和现有安全措施评估。

1.1.1资产评估资产评估是确定资产在信息安全属性(机密性、完整性、可用性等)缺失时,对信息系统造成的影响的过程。

在实际的评估中,资产评估包含信息资产识别、资产赋值等内容。

1)资产识别资产识别是对信息资产分类、标记的过程。

在确定评估抽样范围后,需要对抽样资产进行识别。

资产识别是为了了解资产状况、确定资产价值而进行的风险管理的准备工作。

在一个信息系统中,资产的形式和内容各不相同,将资产进行分类,按照资产类型进行具体的评估是评估的基本方法之一。

参照《信息安全管理实施细则》(即ISO/IEC TR 17799)对信息资产的描述和定义,将行业企业信息资产按照下面的方法分类:表4.1 信息资产分类表资产识别是评估的入口点。

对评估范围内的资产进行分类识别,是进行系统的和结构化风险分析的基础。

信息安全风险评估管理程序

信息安全风险评估管理程序

文件制修订记录1、目的本程序规定了本公司信息安全风险管理的内容和过程。

通过识别信息资产、风险等级评估,认知本公司的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持本公司业务持续性发展,以满足本公司信息安全管理方针的要求。

2、范围本指南适用于信息系统风险的初始评估与风险处置、变更评估与变更后的风险处置、定期的风险再评估与风险处置。

3、参考文件3.1ISO/IEC27001:2022《信息安全管理体系要求》3.2ISO/IEC27002:2022《信息技术网络安全与隐私保护信息安全控制》4、定义4.1资产通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。

4.2资产价值资产是有价值的,资产价值可通过资产的敏感程度、重要程度和关键程度来表示。

4.3威胁一个单位的信息资产的安全可能受到的侵害。

威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果。

4.4脆弱性信息资产及其安全措施在安全方面的不足和弱点。

脆弱性也常常被称为漏洞。

4.5事件如果威胁主体能够产生威胁,利用资产及其安全措施的脆弱性,那么实际产生危害的情况称之为事件。

4.6风险由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。

风险由安全事件发生的可能性及其造成的影响这两种指标来衡量。

4.7残余风险采取安全措施对风险进行处理,提高了信息安全保障能力后,仍然可能存在的风险。

4.8安全需求为保证单位的使命能够正常行使,在信息安全保障措施方面提出的要求。

4.9措施对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。

4.10风险评估通过一定的步骤和技术手段来评估信息系统安全风险的过程,并判断风险的优先级,建议处理风险的措施。

风险评估也称为风险分析,是风险管理的一部分。

信息安全管理制度信息安全风险评估管理程序

信息安全管理制度信息安全风险评估管理程序

信息安全管理制度附件信息安全风险评估管理程序信息安全风险评估管理程序第一章概述为了规范信息安全风险评估工作,提高信息安全管理水平,保证信息安全,制定本程序。

第二章工作范围本程序适用于公司内部对信息系统和信息资源进行安全风险评估的全部过程。

第三章责任1. 信息安全管理部门负责本程序的执行和监督。

2. 系统管理员负责信息系统和信息资源的风险评估工作。

3. 相关部门应主动配合信息安全管理部门和系统管理员开展安全风险评估工作。

第四章评估流程1. 评估组成员的确定评估组由系统管理员和信息安全管理部门的专业人员组成。

评估组成员应具有信息安全领域的相关知识和经验。

2. 现场勘察评估组成员在现场勘察时要对系统构架、信息资源进行详细的检查,了解安全管理制度的执行情况,收集相关信息。

3. 风险识别在现场勘察后,评估组要对发现的问题进行分析和评估,并识别可能存在的风险。

4. 风险评估评估组要根据风险的概率、影响程度等因素对风险进行评估,确定风险等级。

5. 风险报告评估组应编写风险评估报告,报告内容包括评估结果、存在风险、建议措施等,并提供详细的技术支持。

6. 风险控制针对风险评估报告提出的存在风险和建议措施,评估组应采取有效措施,控制风险。

7. 风险跟踪评估组应对风险控制措施进行跟踪,确保控制措施的有效性。

第五章评估方法1. 定性分析法通过实地调查,结合公司实际情况,对所有潜在的信息安全风险进行分析,得出相应的意见和建议。

2. 定量分析法建立风险评估模型,根据各种因素的权重,对风险进行定量分析。

第六章安全风险等级根据风险评估结果,将风险划分为高、中、低三个等级。

第七章安全风险评估报告1. 报告开头呈现评估主题、评估组成员、评估时间、评估范围等相关信息。

2. 风险评估结果将评估结果按风险等级进行分类,明确各种风险的范围,描述风险的关键特征。

3. 存在风险和控制建议对于识别和评估出的风险,提供相应的控制建议,包括技术和管理措施,以及建议的优先级。

XX信息安全风险识别与评价学习管理程序

XX信息安全风险识别与评价学习管理程序

题目:编号信息安全风险辨别与评论管理程序版本号奏效日期GM-III-B00500草拟部门信息中心颁发部门总经理办公室一、目的:经过风险评估,采纳有效举措,降低威迫事件发生的可能性,或许减少威迫事件造成的影响,进而将风险消减到可接受的水平。

二、范围:合用于对信息安全管理系统信息安全风险的辨别、评论、控制等管理。

三、责任:管理者代表信息中心履行信息安全风险的辨别与评论;审查并同意重要信息安全风险,并负责编制《信息财产风险评估准则》,履行信息安全风险检查与评论,提出重要信息安全风险报告。

各部门辅助信息中心的检查,参加议论重要信息安全风险的管理方法。

四、内容:财产辨别保密性、完好性和可用性是评论财产的三个安全属性。

风险评估中财产的价值不是以财产的经济价值来权衡,而是由财产在这三个安全属性上的达成程度或许其安全属性未达成时所造成的影响程度来决定的。

安全属性达成程度的不同将使财产拥有不同的价值,而财产面对的威迫、存在的柔弱性、以及已采纳的安全举措都将对财产安全属性的达成程度产生影响。

为此,应付组织中的财产进行辨别。

在一个组织中,财产有多种表现形式;相同的两个财产也因属于不同的信息系统而重要性不同,并且关于供给多种业务的组织,其支持业务连续运转的系统数目可能更多。

这时第一需要将信息系统及有关的财产进行适合的分类,以此为基础进行下一步的风险评估。

在实质工作中,详细的财产分类方法能够依据详细的评估对象和要求,由评估者灵巧掌握。

依据财产的表现形式,可将财产分为数据、软件、硬件、服务、人员等种类。

表1 列出了一种财产分类方法。

表1 一种鉴于表现形式的财产分类方法类型简称解说 / 示例数据Data 存在电子媒介的各样数据资料,包含源代码、数据库数据,各样数据资料、系统文档、运转管理过程、计划、报告、题目:编号信息安全风险辨别与评论管理程序版本号奏效日期用户手册等。

GM-III-B00500软件Software应用软件、系统软件、开发工具和资源库等。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平。

二、范围:适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。

三、责任:3.1 管理者代表信息中心执行信息安全风险的识别与评价;审核并批准重大信息安全风险,并负责编制《信息资产风险评估准则》,执行信息安全风险调查与评价,提出重大信息安全风险报告。

3.2 各部门协助信息中心的调查,参与讨论重大信息安全风险的管理办法。

四、内容:4.1 资产识别保密性、完整性和可用性是评价资产的三个安全属性。

风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。

安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。

为此,应对组织中的资产进行识别。

在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。

这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。

在实资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。

表1 列出了一种资产分类方法。

表1 一种基于表现形式的资产分类方法4.2.1信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。

4.2.2 信息分类定义:b)“企业秘密事项”:不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害,或者由于业务上的需要仅限有关人员知道的商业秘密事项;c)“敏感信息事项”:为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项;d)“一般事项”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项;e)“公开事项”:其他可以完全公开的事项。

4.2.3 信息分类不适用时,可不填写。

五、风险评估实施:5.1 资产赋值5.1.1 保密性赋值根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。

表2 提供了一种保密性赋值的参考根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响。

表3 提供了一种完整性赋值的参考。

表3 资产完整性赋值表根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上应达成的不同程度。

表4 提供了一种可用性赋值的参考。

根据资产在法律、法规、上级规定、合同协议符合性上的不同要求,将其分为五个不同的等级,分别对应资产在符合法律、法律、上级规定、合同协议的不同程度。

表5 资产合规性赋值表5.2 资产重要性等级资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。

综合评定方法可以根据自身的特点,选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果;也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。

加权方法可根据组织的业务特点确定。

本标准中,为与上述安全属性的赋值相对应,根据最终赋值将资产划分为五级,级别越高表示资产越重要,3级以及3级以上为重要资产,3级以下为非重要资产,并以此形成《信息资产清单》。

表6 中的资产等级划分表明了不同等级的重要性的综合描述。

评估者可根据资产赋值结果,确定重要资产的范围,并主要围绕重要资产进行下一步的风险评估。

资产价值=C*I*A*H表6 资产等级及含义描述表6.1 资产价值等级划分5.3 威胁识别5.3.1 威胁分类威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。

造成威胁的因素可分为人为因素和环境因素。

根据威胁的动机,人为因素又可分为恶意和非恶意两种。

环境因素包括自然界不可抗的因素和其它物理因素。

威胁作用形式可以是对信息系统直接或间接的攻击,在保密性、完整性和可用性等方面造成损害;也可能是偶发的、或蓄意的事件。

在对威胁进行分类前,应考虑威胁的来源。

表7 提供了一种威胁来源的分类方法。

表7 威胁来源列表对威胁进行分类的方式有多种,针对上表的威胁来源,可以根据其表现形式将威胁主要分为以下几类。

表8 提供了一种基于表现形式的威胁分类方法。

表8 一种基于表现形式的威胁分类表5.3.2 威胁赋值判断威胁出现的频率是威胁赋值的重要内容,评估者应根据经验和(或)有关的统计数据来进行判断。

在评估中,需要综合考虑以下三个方面,以形成在某种评估环境中各种威胁出现的频率:a)以往安全事件报告中出现过的威胁及其频率的统计;b)实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;c)近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。

可以对威胁出现的频率进行等级化处理,不同等级分别代表威胁出现的频率的高低。

等级数值越大,威胁出现的频率越高。

表9 提供了威胁出现频率的一种赋值方法。

在实际的评估中,威胁频率的判断依据应在评估准备阶段根据历史统计或行业判断予以确定,并得到被评估方的认可。

表9 威胁赋值表5.4 脆弱性识别5.4.1 脆弱性识别内容脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害。

而且如果系统足够强健,严重的威胁也不会导致安全事件发生,并造成损失。

即,威胁总是要利用资产的脆弱性才可能造成危害。

资产的脆弱性具有隐蔽性,有些脆弱性只有在一定条件和环境下才能显现,这是脆弱性识别中最为困难的部分。

不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性。

脆弱性识别是风险评估中最重要的一个环节。

脆弱性识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估;也可以从物理、网络、系统、应用等层次进行识别,然后与资产、威胁对应起来。

脆弱性识别的依据可以是国际或国家安全标准,也可以是行业规范、应用流程的安全要求。

对应用在不同环境中的相同的弱点,其脆弱性严重程度是不同的,评估者应从组织安全策略的角度考虑、判断资产的脆弱性及其严重程度。

信息系统所采用的协议、应用流程的完备与否、与其他网络的互联等也应考虑在内。

脆弱性识别时的数据应来自于资产的所有者、使用者,以及相关业务领域和软硬件方面的专业人员等。

脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。

脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。

管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面,前者与具体技术活动相关,后者与管理环境相关。

可以根据脆弱性对资产的暴露程度、技术实现的难易程度、流行程度等,采用等级方式对已识别的脆弱性的严重程度进行赋值。

由于很多脆弱性反映的是同一方面的问题,或可能造成相似的后果,赋值时应综合考虑这些脆弱性,以确定这一方面脆弱性的严重程度。

对某个资产,其技术脆弱性的严重程度还受到组织管理脆弱性的影响。

因此,资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。

脆弱性严重程度可以进行等级化处理,不同的等级分别代表资产脆弱性严重程度的高低。

等级数值越大,脆弱性严重程度越高。

表11 提供了脆弱性严重程表11 脆弱性严重程度赋值表度的一种赋值方法。

5.5.1 风险计算原理在完成了资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。

综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险。

以下是给出了风险计算原理,以下面的范式形式化加以说明:风险值=R(A,T,V)= R(L(T,V),F(Ia,V ))。

其中,R 表示安全风险计算函数;A 表示资产;T 表示威胁;V 表示脆弱性;H表示合规性;Ia 表示安全事件所作用的资产价值;L 表示威胁利用资产的脆弱性导致安全事件的可能性;F 表示安全事件发生后造成的损失。

有以下三个关键计算环节:a)计算安全事件发生的可能性根据威胁出现频率及脆弱性的状况,计算威胁利用脆弱性导致安全事件发生的可能性,即:安全事件的可能性=L(威胁出现频率,脆弱性)=L(T,V )。

即L=T*V难易程度(可访问时间、设计和操作知识公开程度等)、资产吸引力等因素来判断安全事件发生的可能性。

b)计算安全事件发生后造成的损失(即影响值)根据资产价值及脆弱性严重程度,计算安全事件一旦发生后造成的损失,即:安全事件造成的损失=F(资产价值,脆弱性严重程度)=F(Ia,V )。

即F=la*v。

部分安全事件的发生造成的损失不仅仅是针对该资产本身,还可能影响业务的连续性;不同安全事件的发生对组织的影响也是不一样的。

在计算某个安全事件的损失时,应将对组织的影响也考虑在内。

部分安全事件造成的损失的判断还应参照安全事件发生可能性的结果,对发生可能性极小的安全事件,如处于非地震带的地震威胁、在采取完备供电措施状况下的电力故障威胁等,可以不计算其损失。

c)计算风险值根据计算出的安全事件的可能性以及安全事件造成的损失,计算风险值,即:风险值=R(安全事件的可能性,安全事件造成的损失)=R(L(T,V),F(Ia,V ))。

本公司规定采取相乘法进行风险值的计算。

R=L*F=Ia*T*V5.5.2 风险结果判定为实现对风险的控制与管理,可以对风险评估的结果进行等级化处理。

可将风险划分为五级,等级越高,风险越高。

风险等级达到四级为不可接受风险,四级以下为可接受风险,表12 风险等级划分表表12 风险等级划分在对于不可接受的风险选择适当安全措施后,为确保安全措施的有效性,需要进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。

残余风险的评估可以从脆弱性评估开始,在对照安全措施实施前后的脆弱性状况后,再次计算风险值的大小。

某些风险如果在选择了适当的安全措施后,残余风险的结果仍处于不可接受的风险范围内,那么就应该考虑是否接受此风险或进一步增加相应的安全措施。

七、风险实施流程:风险评估的实施流程如图1所示:图1 风险评估实施流程图八、风险评估文档记录:《信息资产风险评估准则》《信息资产清单》《信息资产风险评估准表》《风险处理计划》。

相关文档
最新文档