篇一:信息安全风险评估检查报告
信息安全风险评估检查报告
篇二:信息安全风险评估管理程序
第 1 页 共 9 页 信息安全风险评估管理程序
信息安全风险评估管理程序
1.0目的
在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施处理风险。
2.0适用范围
在ISMS 覆盖范围内主要信息资产
3.0定义(无) 4.0职责
4.1各部门负责部门内部资产的识别,确定资产价值。 4.2信息安全部负责风险评估和制订控制措施。 4.3CEO负责信息系统运行的批准。
5.0流程图
第 2 页 共 9 页 信息安全风险评估管理程序
第 3 页 共 9 页 信息安全风险评估管理程序
6.0内容
6.1资产的识别
6.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别,确定资产价值。 6.1.2资产分类
根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。 6.1.3资产(A)赋值
资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值等级作为资产的最终赋值结果。资产等级划分为五级,分别代表资产重要性的高低。等级数值越大,资产价值越高。 1)机密性赋值
根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产
2)完整性赋值
根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产第 4 页 共 9 页 信息安全风险评估管理程序
3)可用性赋值
根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产
3分以上为重要资产,重要信息资产由信息安全部确立清单
6.2威胁识别 6.2.1威胁分类
对重要资产应由ISMS小组识别其面临的威胁。针对威胁来源,根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。 6.2.2威胁(T)赋值
第 5 页 共 9 页 信息安全风险评估管理程序
篇三:公司信息安全风险评估管理办法 Microsoft Office Word 文档
公司信息安全风险评估管理办法(试行)
第一章 总则
第一条 为建立公司信息安全风险评估管理流程和机制,通过识别信息资产、风险等级评估认知信息化系统存在的信息安全风险,选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,满足公司信息安全管理方针的要求,特制定本管理办法。
第二条 运营改善部作为公司信息化的实际管理部门,负责组织成立风险评估小组。
第三条 本办法适用于公司信息化系统范围内信息安全风险评估活动。
第二章 术语及定义
第四条 保密性:是指网络信息不被泄露给非授权的用户、实体或过程。即信息只为授权用户使用。
第五条 完整性:保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。
第六条 可用性:数据或资源的特性,被授权实体按要求能访问和使用数据或资源。
第七条 信息安全风险:人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
第八条 残余风险:采取了安全措施后,仍然可能存在的风险。
第九条 脆弱性:可能被威胁所利用的资产或若干资产的弱点。
第三章 风险评估准备
第十条 风险评估准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑,其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此,在风险评估实施前,应做好以下工作:
(一) 确定风险评估的目标;
(二) 确定风险评估的范围;
(三) 组建适当的评估管理与实施团队;
(四) 进行系统调研;
(五) 确定评估依据和方法;
(六) 制定风险评估方案;
(七) 获得最高管理者对风险评估工作的支持。
第十一条 确定目标:根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容,识别现有信息系统及管理上的不足,以及可能造成的风险大小。
第十二条 确定范围:风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。
第十三条 组建团队:风险评估实施团队,由管理层、相关业务骨干、IT技术等人员组成风险评估小组。必要时,可聘请相关专业的技术专家和技术骨干组成专家小组。
第十四条 系统调研:系统调研是确定被评估对象的过程,风险评估小组应进行充分的系统调研,为风险评估依据和方法的选择、评估内容的实施奠定基础。系统调研可以采
取问卷调查、现场面谈相结合的方式进行。调研内容至少应包括:
(一) 业务战略及管理制度;
(二) 主要的业务功能和要求;
(三) 网络结构与网络环境,包括内部和外部连接;
(四) 系统边界;
(五) 主要的硬件、软件;
(六) 数据和信息;
(七) 系统和数据的敏感性;
(八) 支持和使用系统的人员。
第十五条 确定依据:根据系统调研结果,确定评估依据和评估方法。评估依据包括(但不仅限于):
(一) 现有国际标准、国家标准、行业标准;
(二) 行业主管机关的业务系统的要求和制度;
(三) 系统安全保护等级要求;
(四) 系统互联单位的安全要求;
(五) 系统本身的实时性或性能要求等。
第十六条 风险评估方案的目的是为后面的风险评估实施活动提供一个总体计划,用于指导实施方开展后续工作。风险评估方案的内容一般包括(但不仅限于):
(一) 团队组织:包括评估团队成员、组织结构、角色、责任等内容;
(二) 工作计划:风险评估各阶段的工作计划,包括工作内容、工作形式、工作成果等内容;
(三) 时间进度安排:项目实施的时间进度安排。
第十七条 获得支持:上述所有内容确定后,应形成较为完整的风险评估实施方案,得到组织最高管理者的支持、批准;对管理层和技术人员进行传达,在组织范围就风险评估相关内容进行培训,以明确有关人员在风险评估中的任务。
第四章 资产识别
第十八条 资产分类:资产有多种表现形式,同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。根据本公司的实际情况,资产分类方法如下:
第十九条 保密性赋值:根据资产在保密性上的不同要求,将其分为三个不同的等级,分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个公司的影响。下表为保密性赋值的参考:
第二十条 完整性赋值:根据资产在完整性上的不同要求,将其分为三个不同的等级,分别对应资产在完整性上缺
《信息安全风险评估》
由:免费论文网互联网用户整理提供,链接地址:
http://m.csmayi.cn/meiwen/37064.html
转载请保留,谢谢!
- 上一篇:励志积极向上演讲稿
- 下一篇:农业普查先进个人