0101-信息安全风险识别与评价管理程序
ISO27001认证注意事项
ISO27001认证注意事项注意事项1.整个ISO27001从发布文件到最终评估最少4个月2.首先修改信息安全手册:公司组织架构:10人以下3.然后修改适应性声明文档;ISO27001标准的附录A很重要,适应性声明是根据附录A制定的,评估时根据适应性声明作为评估范围4.重点是管理评审和内审,至少1次,内审后至少1周之后进行管理评审5.“风险评估”每个部门必须看,重要资产清单、风险识别、评估、缓解措施很重要,针对资产风险制定的安全措施的实施记录要全6.0101-信息安全风险识别与评价管理程序:每个部门必须看,关键是资产、威胁、脆弱性赋值、风险等级评价1.重要的文档a.信息安全手册i.重要的是确定组织架构、总共的人员数量,每个部门的人员数量ii.信息安全角色和职责iii.确定授权的管理者代表b.适应性声明i.与ISO27001标准的附录A条款的对应表,确定哪些条款适用、哪些条款不适用ii.不适用的条款需要写明不适应的理由c.0101-信息安全风险识别与评价管理程序i.信息资产识别与评价ii.对资产价值、威胁、脆弱性的评分d.“风险评估”相关的记录文档2.重要的活动a.内审i.确定至少2个内审员(属于不同的部门),对公司所有部门的ISO27001遵循情况进行内审ii.至少内审1次,正式评估之前一个半月左右进行内审即可b.管理评审i.确定1个管理者代表ii.内审后一周做管理评审3.重要的资产管理a.服务器b.办公区域,门禁管理c.软件是否是正版的,正版软件需要提供正版的证明,不是正版的软件需要提供使用授权书4.文档修改要求a.发布时间为年月日b.修改公司名称、人员姓名、时间5.ISO27001体系建立与实施过程a.年月日ISO27001开始启动b.ISO27001培训(公司所有员工)i.培训签到表c.年月日体系正式发布d.资产识别与风险评估i.资产识别ii.风险评估iii.风险评估报告iv.风险处置计划(处置开始时间、结束时间)v.风险处置计划检查vi.残余风险报告e.实施记录文件f.年月日内审g.年月日管理评审6.现场审核注意事项a.灭火设备要经过检查记录b.个人办公桌面整理整洁3.网线\电线\电缆等理顺4.所有有形资产必须贴上标签5.所有电子文档准备完整,可供评估师审核6.手册,SOA,程序文件打印出来签字7.内审员、管理者代表协助评估师评估(负责提供证据,解答评估师的问题)。
信息安全 风险评估程序
信息安全风险评估程序信息安全风险评估程序是指针对一个组织或企业的信息系统进行安全风险评估的一系列程序和方法。
该程序旨在识别和评估信息系统中的潜在风险,以帮助组织采取适当的措施来降低风险。
以下是一个常见的信息安全风险评估程序的一般步骤:1. 确定评估目标:明确评估的范围和目标。
确定要评估的信息系统、网络或应用程序,并确定所需的评估结果。
2. 收集信息:收集与评估目标相关的信息和数据。
这可能包括组织的安全策略、安全控制和程序、网络架构、系统配置文件等。
3. 识别潜在威胁:分析收集的信息,识别潜在的安全威胁和漏洞。
这可能包括网络攻击、恶意软件、物理安全威胁等。
4. 评估风险:评估每个已识别的威胁的潜在风险程度。
通常使用风险矩阵或定量评估方法来衡量风险的可能性和影响程度。
5. 评估现有控制措施:评估组织已实施的安全控制措施,以确定其有效性和合规性。
这包括网络防火墙、入侵检测系统、访问控制等。
6. 确定风险等级:通过综合考虑威胁的潜在风险和现有安全控制的效果,确定每个威胁的风险等级。
这可以帮助组织确定哪些威胁是最紧迫的。
7. 提供建议和解决方案:根据评估结果,提供相应的建议和解决方案,以降低风险。
这可以包括加强现有控制、实施新的安全措施、培训员工等。
8. 编制报告:将评估结果和建议总结在一份报告中,向组织的决策者和相关人员进行报告。
报告应包括识别的威胁、风险级别和建议的解决方案。
9. 实施改进措施:根据报告中的建议和解决方案,组织应采取行动来改进信息系统的安全性。
这可能包括安全培训、更新安全控制、修补漏洞等。
10. 定期复评估:信息安全风险评估是一个持续的过程。
组织应建立定期复评估的机制,以确保其信息系统的安全性保持有效,及时应对新的安全风险。
0101-信息安全风险识别与评价管理程序
信息安全风险识别与评价管理程序1目的通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平。
2 范围适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。
3 职责与权限3.1 管理者代表组织信息安全审查小组执行信息安全风险的识别与评价;审核并批准重大信息安全风险。
3.2 风险评估小组负责编制《信息安全风险评估计划》,执行信息安全风险调查与评价,提出重大信息安全风险报告。
3.3 各部门协助信息安全风险小组的调查,参与讨论重大信息安全风险的管理办法。
4 作业说明4.1 资产识别保密性、完整性和可用性是评价资产的三个安全属性。
风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。
安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。
为此,应对组织中的资产进行识别。
在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。
这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。
在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。
根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。
表1 列出了一种资产分类方法。
表1 一种基于表现形式的资产分类方法4.2 信息类别4.2.1信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。
4.2.2 信息分类定义:a)“国家秘密事项”:《中华人民共和国保守国家秘密法》中指定的秘密事;b)“企业秘密事项”:不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害,或者由于业务上的需要仅限有关人员知道的商业秘密事项;c)“敏感信息事项”:为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项;d)“一般事项”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项;e)“公开事项”:其他可以完全公开的事项。
信息安全风险评估 一级
信息安全风险评估一级
摘要:
一、信息安全风险评估概述
二、风险评估的基本要素
三、风险评估的基本过程
四、风险评估在信息安全中的作用
正文:
信息安全风险评估是一种评估方法,用于确定信息系统的安全性和潜在威胁。
在进行信息安全风险评估时,需要考虑资产、威胁、脆弱性和风险等基本要素。
首先,资产是指信息系统的各种资源,包括硬件、软件、数据和人员等。
其次,威胁是指可能对信息系统造成损害的外部因素,例如自然灾害、人为破坏和网络攻击等。
脆弱性是指信息系统的安全漏洞或弱点,这些漏洞或弱点可能被威胁利用来攻击信息系统。
最后,风险是指威胁利用脆弱性对资产造成损害的可能性及其后果。
信息安全风险评估的基本过程包括风险评估准备过程、资产识别过程、威胁识别过程、脆弱性识别过程和风险分析过程。
在风险评估准备过程中,需要确定评估的目标、范围和标准。
在资产识别过程中,需要识别信息系统的各种资源。
在威胁识别过程中,需要分析可能对信息系统造成损害的外部因素。
在脆弱性识别过程中,需要检查信息系统的安全漏洞和弱点。
在风险分析过程中,需要评估风险的可能性及其后果,并确定风险的等级。
信息安全风险评估在信息安全中起着重要的作用。
可以帮助组织了解信息系统的安全状况,识别潜在的安全威胁和漏洞,并采取相应的措施来降低风险。
信息安全风险评估与应对作业指导书
信息安全风险评估与应对作业指导书1. 概述信息安全风险评估与应对是保证信息系统安全和数据安全的重要措施。
本文将介绍信息安全风险评估的概念和意义,以及如何进行风险评估和相应的应对措施。
2. 信息安全风险评估2.1 定义信息安全风险评估是指对信息系统及其相关资源面临的潜在威胁和可能导致损失的风险进行评估和分析的过程。
其目的是识别风险并提供决策支持,以制定相应的信息安全策略和措施。
2.2 重要性信息安全风险评估对于组织的信息安全战略至关重要。
它可以帮助组织了解潜在的风险和威胁,并采取相应的措施进行预防和应对,从而减少损失和风险。
2.3 风险评估方法2.3.1 信息收集:收集与信息系统、网络和数据安全相关的信息,包括系统架构、重要数据、网络拓扑等。
2.3.2 风险识别:根据收集到的信息,识别出潜在的风险和威胁,包括人为因素、技术因素和自然因素等。
2.3.3 风险评估:对已识别的风险进行评估,包括风险的概率、影响程度和严重性等。
2.3.4 风险报告:根据风险评估的结果,生成详细的风险报告,包括风险清单、风险级别和建议的应对措施等。
3. 信息安全风险应对措施3.1 风险规避风险规避是指通过采取相应的措施,降低风险的发生概率或避免风险的发生。
例如,加强访问控制、修补漏洞、更新安全补丁等。
3.2 风险转移风险转移是指将风险转移给第三方,通过购买保险或签订合同等方式来管理风险。
例如,购买网络安全保险,以减少组织承担的风险。
3.3 风险缓解风险缓解是指通过采取相应的措施,减少风险的影响和损失。
例如,制定应急响应计划、备份重要数据和建立灾备机制等。
3.4 风险接受风险接受是指组织选择不对风险采取进一步的措施,而是接受风险的存在和可能带来的损失。
这通常是一种权衡成本和效益的决策。
4. 信息安全风险评估与应对实施步骤4.1 制定风险评估计划:明确评估的目标、范围和方法,确定评估团队和时间计划。
4.2 收集信息:收集与风险评估相关的信息,包括系统架构、重要数据、安全政策和流程等。
信息安全风险评估与处理规范
信息安全风险评估与处理规范一、引言随着信息技术的快速发展,信息安全面临着越来越多的威胁与风险。
为了保护信息系统的安全与可靠运行,确保敏感信息的保密性、完整性和可用性,信息安全风险评估与处理成为了至关重要的工作。
本文将介绍信息安全风险评估与处理的规范与方法。
二、信息安全风险评估1. 信息安全风险评估的概念信息安全风险评估是指对信息系统中存在的潜在威胁和可能损害的情况进行量化评估和分析,确定风险等级,为制定安全防护策略和措施提供依据。
2. 信息安全风险评估的步骤(1)确定评估目标:明确评估范围和目标,包括评估的系统、网络、数据等要素。
(2)风险识别:通过调查、访谈、检查等方式,确定可能存在的风险源。
(3)风险分析与评估:对识别出的风险进行分析和评估,包括潜在损失的大小、风险的概率等。
(4)确定风险等级:根据评估结果,对不同风险进行等级划分,为后续的处理提供依据。
(5)编制评估报告:撰写详细的评估报告,包括风险描述、评估结果、风险等级分析等内容。
三、信息安全风险处理1. 信息安全风险处理的原则(1)防范优先:通过采取各种措施,降低风险的产生概率。
(2)综合治理:采取综合的安全防护策略,包括技术、管理和人员方面的措施,全面提高信息系统的安全性。
(3)动态管理:随时关注信息系统的安全状况,及时调整策略和措施。
2. 信息安全风险处理的具体方法(1)风险避免:通过移除潜在风险源或改变系统结构来避免风险的发生。
(2)风险减轻:采取措施减少风险的损害程度,如备份数据、建立灾难恢复机制等。
(3)风险转移:将部分风险转移给他方,如购买保险等方式。
(4)风险控制:通过合理的权限管理、访问控制等措施,控制风险的范围和影响。
四、信息安全风险评估与处理的重要性1. 保护用户隐私:信息安全风险评估与处理能有效保护个人信息和敏感数据的安全,防止用户隐私泄露。
2. 维护企业声誉:及时评估和处理信息安全风险,能够避免信息系统遭受攻击或数据泄露,维护企业声誉和客户信任。
ISMS-B-01信息安全风险管理程序
深圳市ABC有限公司信息安全风险管理程序编号:ISMS-B-01版本号:V1.0编制:AAA 日期:2023-11-01 审核:BBB 日期:2023-11-01 批准:CCC 日期:2023-11-01受控状态1 目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。
2 范围本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。
3 职责3.1 信息安全管理小组负责牵头成立风险评估小组。
3.2 风险评估小组负责编制《信息安全风险评估计划》,确认评估结果,形成《信息安全风险评估报告》。
3.3 各部门负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。
4 相关文件《信息安全管理手册》《商业秘密管理程序》5 程序5.1 风险评估前准备5.1.1 成立风险评估小组信息安全小组牵头成立风险评估小组,小组成员应包含信息安全重要责任部门的成员。
5.1.2 制定计划风险评估小组制定《信息安全风险评估计划》,下发各部门。
5.2 资产赋值5.2.1 部门赋值各部门风险评估小组成员识别本部门资产,并进行资产赋值。
5.2.2 赋值计算资产赋值的过程是对资产在保密性、完整性、可用性的达成程度进行分析,并在此基础上得出综合结果的过程。
5.2.3 保密性(C)赋值根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。
5.2.4 完整性(I)赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。
完整性(I)赋值的方法5.2.5 可用性(A)赋值根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
可用性(A)赋值的方法5.2.7 导出资产清单识别出来的信息资产需要详细登记在《信息资产清单》中。
信息安全评估制度流程图
信息安全评估制度流程图
信息安全评估制度流程图是为了确保组织或企业的信息系统与数据得到有效保护而建立的一套规章制度和流程。
以下是一份简化的信息安全评估制度流程图。
1. 定义评估目标:确定评估的目的和范围,明确需要评估的信息系统和数据。
2. 筹备评估:准备评估所需的资源,包括评估人员、评估工具和评估计划。
3. 收集信息:收集与评估目标相关的信息,包括组织结构、业务流程、信息系统架构等。
4. 分析风险:对收集到的信息进行风险分析,识别可能存在的安全漏洞和威胁。
5. 评估安全控制措施:对组织已有的安全控制措施进行评估,判断其有效性和适用性。
6. 制定改进措施:根据评估结果,制定改进信息安全的措施和建议,并确定优先级。
7. 实施改进措施:根据制定的改进措施,组织实施相应的信息安全措施,包括技术和管理措施。
8. 监控和审计:定期对信息安全控制措施进行监控和审计,确
保其得到有效执行。
9. 重新评估:定期重新进行信息安全评估,以评估组织信息安全措施的有效性和适用性。
10. 报告和沟通:编写评估报告,向组织管理层和相关利益相关方沟通评估结果和改进建议。
11. 学习和改进:根据评估结果和沟通反馈,及时学习和改进信息安全评估制度,提高其有效性和适用性。
以上是一个简化的信息安全评估制度流程图,通过执行这些步骤,组织可以不断提升信息安全水平,保护重要数据和系统资源。
当然,实际的信息安全评估流程可能因组织的规模和需求而有所不同,但核心原则始终是确保信息系统和数据的安全和保护。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全风险识别与评价管理程序1目的通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平。
2 范围适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。
3 职责与权限3.1 管理者代表组织信息安全审查小组执行信息安全风险的识别与评价;审核并批准重大信息安全风险。
3.2 风险评估小组负责编制《信息安全风险评估计划》,执行信息安全风险调查与评价,提出重大信息安全风险报告。
3.3 各部门协助信息安全风险小组的调查,参与讨论重大信息安全风险的管理办法。
4 作业说明4.1 资产识别保密性、完整性和可用性是评价资产的三个安全属性。
风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。
安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。
为此,应对组织中的资产进行识别。
在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。
这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。
在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。
根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。
表1 列出了一种资产分类方法。
表1 一种基于表现形式的资产分类方法类别简称解释/示例数据Data 存在电子媒介的各种数据资料,包括源代码、数据库数据,各种数据资料、系统文档、运行管理过程、计划、报告、用户手册等。
软件Software 应用软件、系统软件、开发工具和资源库等。
服务Service 软件维护等硬件Hardware 计算机硬件、路由器,交换机。
硬件防火墙。
程控交换机、布线、备份存储文档Document 纸质的各种文件、传真、电报、财务报告、发展计划。
设备Facility 电源、空调、保险柜、文件柜、门禁、消防设施等人员HR 各级人员和雇主、合同方雇员其它Other 企业形象、客户关系等4.2 信息类别4.2.1信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。
4.2.2 信息分类定义:a)“国家秘密事项”:《中华人民共和国保守国家秘密法》中指定的秘密事;b)“企业秘密事项”:不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害,或者由于业务上的需要仅限有关人员知道的商业秘密事项;c)“敏感信息事项”:为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项;d)“一般事项”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项;e)“公开事项”:其他可以完全公开的事项。
4.2.3 信息分类不适用时,可不填写。
5 风险评估实施5.1 资产赋值5.1.1 保密性赋值根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。
表2 提供了一种保密性赋值的参考。
赋值标识定义5 很高包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害4 高包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害3 中等组织的一般性秘密,其泄露会使组织的安全和利益受到损害2 低仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害1 很低可对社会公开的信息,公用的信息处理设备和系统资源等5.1.2 完整性赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响。
表3 提供了一种完整性赋值的参考。
表3 资产完整性赋值表赋值标识定义5 很高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补4 高完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补3 中等完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补2 低完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补1 较低很低完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击及小5.1.3 可用性赋值根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上应达成的不同程度。
表4 提供了一种可用性赋值的参考。
表4 资产可用性赋值表赋值标识定义5 很高可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断4 高可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10min3 中等可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30min2 低可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60min1 很低可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%5.1.4 合规性赋值根据资产在法律、法规、上级规定、合同协议符合性上的不同要求,将其分为五个不同的等级,分别对应资产在符合法律、法律、上级规定、合同协议的不同程度。
表5 资产合规性赋值表赋值标识定义5 很高严重不符合信息安全管理休系要求,对组织造成无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补。
4 高不符合信息安全管理体系要求,对组织造成重大影响,对业务冲击严重,较难弥补。
3 中等与信息安全管理体系具体要求有冲突,对组织造成影响,对业务冲击明显,但可以弥补。
2 低与信息安全管理体系具体条款要求存在轻微的不符合,对组织造成轻微影响,对业务冲击轻微,容易弥补。
1 很低符合信息安全管理体系要求,但需持续改进,对组织造成的影响可以忽略,对业务冲击及小。
5.2 资产重要性等级资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。
综合评定方法可以根据自身的特点,选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果;也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。
加权方法可根据组织的业务特点确定。
本标准中,为与上述安全属性的赋值相对应,根据最终赋值将资产划分为五级,级别越高表示资产越重要,3级以及3级以上为重要资产,3级以下为非重要资产,并以此形成《重要信息资产清单》。
表6 中的资产等级划分表明了不同等级的重要性的综合描述。
评估者可根据资产赋值结果,确定重要资产的范围,并主要围绕重要资产进行下一步的风险评估。
资产价值=C*I*A*H表6 资产等级及含义描述等级标识描述5 很高非常重要,其安全属性破坏后可能对组织造成非常严重的损失4 高重要,其安全属性破坏后可能对组织造成比较严重的损失3 中等比较重要,其安全属性破坏后可能对组织造成中等程度的损失2 低不太重要,其安全属性破坏后可能对组织造成较低的损失1 很低不重要,其安全属性破坏后对组织造成导很小的损失,甚至忽略不计表6.1 资产价值等级划分资产值1-25 26-55 56-175 176-395 396-625资产等级 1 2 3 4 55.3 威胁识别5.3.1 威胁分类威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。
造成威胁的因素可分为人为因素和环境因素。
根据威胁的动机,人为因素又可分为恶意和非恶意两种。
环境因素包括自然界不可抗的因素和其它物理因素。
威胁作用形式可以是对信息系统直接或间接的攻击,在保密性、完整性和可用性等方面造成损害;也可能是偶发的、或蓄意的事件。
在对威胁进行分类前,应考虑威胁的来源。
表7 提供了一种威胁来源的分类方法。
表7 威胁来源列表来源描述环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益外部人员利用信息系统的脆弱性,对网络或系统的保密性、完整性和可用性进行破坏,以获取利益或炫耀能力非恶意人员内部人员由于缺乏责任心,或者由于不关心或不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击对威胁进行分类的方式有多种,针对上表的威胁来源,可以根据其表现形式将威胁主要分为以下几类。
表8 提供了一种基于表现形式的威胁分类方法。
表8 一种基于表现形式的威胁分类表种类描述威胁子类软硬件故障对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等物理环境影响对信息系统正常运行造成影响的物理环境问题和自然灾害断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等无作为或操作失误应该执行而没有执行相应的操作,或无意执行了错误的操作维护错误、操作失误等管理不到位安全管理无法落实或不到位,从而破坏信息系统正常有序运行管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等恶意代码故意在计算机系统上执行恶意任务的程序代码病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等越权或滥用通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥非授权访问网络资源、非授权访问系统资源、滥用权限非正常修用自己的权限,做出破坏信息系统的行为改系统配置或数据、滥用权限泄露秘密信息等网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵网络探测和信息采集、漏洞探测、嗅探(帐号、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等物理攻击通过物理的接触造成对软件、硬件、数据的破坏物理接触、物理破坏、盗窃等泄密信息泄露给不应了解的他人内部信息泄露、外部信息泄露等篡改非法修改信息,破坏信息的完整性使系统的安全性降低或信息不可用篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等抵赖不承认收到的信息和所作的操作和交易原发抵赖、接收抵赖、第三方抵赖等5.3.2 威胁赋值判断威胁出现的频率是威胁赋值的重要内容,评估者应根据经验和(或)有关的统计数据来进行判断。