信息安全風(fēng)險評估控制程序

1、編 制 部 門審 核 部 門批準(zhǔn)生效日期修訂記錄Chan ges Record版本/修訂Rev./edit內(nèi)容Descripti on4 HV. 參考Refere nee生效日期Effective DateAO首次發(fā)行1、信息安全評估的作用和目的匚明確企業(yè)信息系統(tǒng)的安全現(xiàn)狀。進行信息安全評估后，可以讓企業(yè)準(zhǔn)確地了解自身的網(wǎng)絡(luò)、各種應(yīng)用系統(tǒng)以及管理制度規(guī)范的安全現(xiàn)狀，從而明晰企業(yè)的安全需求。確定企業(yè)信息系統(tǒng)的主要安全風(fēng)險。在對網(wǎng)絡(luò)和應(yīng)用系統(tǒng)進行信息安全評估并進行風(fēng)險分級后，可以確定企業(yè)信息系統(tǒng)的主要安全風(fēng)險，并讓企業(yè)選擇避免、降低、接受等風(fēng)險處置 措施。指導(dǎo)企業(yè)信息系統(tǒng)安全技術(shù)體系與管理體系的建

2、設(shè)。對企業(yè)進行信息安全評估后，可以制定企業(yè)網(wǎng)絡(luò)和系統(tǒng)的安全策略及安全解決方案，從而指導(dǎo)企業(yè)信息系統(tǒng)安全技術(shù)體系（如部署防火墻、入侵檢測與漏洞掃描系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、建立公鑰基礎(chǔ)設(shè)施PKI等）與管理體系（安全組織保證、安全管理制度及安全培訓(xùn)機制等）的建設(shè)2、適用范圍2.1、本制度適用于廣州市拓璞電器發(fā)展有限公司3、信息安全風(fēng)險評估的基本要素使命：一個組織機構(gòu)通過信息化形成的能力要來進行的工作任務(wù)。使命是信息化的目 的，一個信息系統(tǒng)如果不能實現(xiàn)具體的工作任務(wù)是沒有意義的。對企業(yè)來說，信息系統(tǒng)的使命是 業(yè)務(wù)戰(zhàn)略。依賴度：一個組織機構(gòu)的使命對信息系統(tǒng)和信息的依靠程度。依賴度越高，風(fēng)險評估

3、的任務(wù)就越重要。資產(chǎn)：通過信息化建設(shè)積累起來的信息系統(tǒng)、信息以及業(yè)務(wù)流程改造實現(xiàn)的應(yīng)用服務(wù) 的成果、人員能力和贏得的信譽。價值：資產(chǎn)的重要程度。威脅：對一個組織機構(gòu)信息資產(chǎn)安全的侵害。脆弱性：信息資產(chǎn)及其防護措施在安全方面的不足和弱點。脆弱性也常常被稱為弱點 或漏洞。威脅是外因，脆弱性是內(nèi)因，威脅只有通過利用脆弱性才能造成安全事件。風(fēng)險：某種威脅利用暴露的系統(tǒng)對組織機構(gòu)的資產(chǎn)造成損失的潛在可能性。風(fēng)險由意 外事件發(fā)生的概率及發(fā)生后可能產(chǎn)生的影響兩種指標(biāo)來衡量。安全事件的后果和它發(fā)生的概率同時決定信息安全的投入和安全措施的強度。殘余風(fēng)險：采取了安全保障措施，提高了防護能力后，仍然可能存在的風(fēng)險。

4、安全需求：為保證組織機構(gòu)的使命正常行使，在信息安全保障措施方面提出的要求。安全保障措施：對付威脅，減少脆弱性，保護資產(chǎn)而采取的預(yù)防和限制意外事件的影響，檢測、響應(yīng)意外事件，促進災(zāi)難恢復(fù)和打擊信息犯罪而實施的各種實踐、規(guī)程和機制的總稱。4、信息系統(tǒng)的全過程的安全評估信息系統(tǒng)的/侖周期>系統(tǒng)棄系統(tǒng)變更4.1啟動階段階段特征：確定信息系統(tǒng)的需求，信息系統(tǒng)的目的和范圍并形成文檔。風(fēng)險評估的作用：通過風(fēng)險評估對系統(tǒng)需求的開發(fā)提供支持，包括安全需求和安全戰(zhàn)略。主要工作：挖掘并評估需求，進行可行性分析和項目預(yù)算，對數(shù)據(jù)敏感性進行評估可形成的文檔：系統(tǒng)安全需求分析、數(shù)據(jù)分類安全4.2設(shè)計階段 匚階段特征

5、：確定信息系統(tǒng)項目計劃，系統(tǒng)分析設(shè)計和詳細設(shè)計。風(fēng)險評估的作用：通過風(fēng)險評估對信息系統(tǒng)的安全分析和設(shè)計提供支持，這些安全分析可作 為信息系統(tǒng)的結(jié)構(gòu)和設(shè)計的參考。主要工作：進行系統(tǒng)功能評估、技術(shù)特性需求評估，設(shè)計特定的安全控制，對人員背景的調(diào)查，編制測試計劃和測試環(huán)境?？尚纬傻奈臋n：系統(tǒng)設(shè)計階段安全風(fēng)險分析報告、系統(tǒng)安全體系設(shè)計方案、系統(tǒng)安全域劃分方案、系統(tǒng)安全功能分配方案、系統(tǒng)信息流程安全性設(shè)計方案、系統(tǒng)等級保障建設(shè)方案等。4.3開發(fā)階段階段特征：信息系統(tǒng)通過購買、開發(fā)或其它形式建設(shè)完成。風(fēng)險評估的作用：通過風(fēng)險評估對系統(tǒng)開發(fā)過程提供支持，保證系統(tǒng)開發(fā)進度、質(zhì)量和安全 控制。主要工作：進行開發(fā)

6、平臺風(fēng)險評估、編程風(fēng)險評估、配置變更風(fēng)險評估、項目進度風(fēng)險評估、人員權(quán)限評估可形成的文檔：系統(tǒng)開發(fā)階段安全風(fēng)險分析報告 、系統(tǒng)開發(fā)平臺安全建議書、系統(tǒng)安全 編程指南、系統(tǒng)程序分發(fā)和管理建議書、系統(tǒng)安全功能測試方案4.4實施階段|階段特征三信息系統(tǒng)的安全特性在此階段被配置、衛(wèi)能、測試并核實。風(fēng)險評估的作用：風(fēng)險評估可以為針對安全需求進行的信息系統(tǒng)實施的評估提供支持，該階 段發(fā)現(xiàn)的安全風(fēng)險應(yīng)該如何處理，必須在系統(tǒng)運行之前作出決定。匚主要工作：物理環(huán)境設(shè)施安全，實施人員崗位、職責(zé)和工作接口，實施操作程序，外部或內(nèi)部資源協(xié)調(diào)，業(yè)務(wù)連續(xù)性計劃，災(zāi)難恢復(fù)計劃，文件與程序的設(shè)置與權(quán)限設(shè)定，測試與鑒定（包括測

7、試 數(shù)據(jù)、單元測試、系統(tǒng)測試），備份、恢復(fù)與重啟程序和手冊，備份實施可形成的文檔：系統(tǒng)實施階段安全風(fēng)險分析報告、系統(tǒng)安全集成方案、系統(tǒng)安全集成質(zhì) 量保證大綱、系統(tǒng)實施安全監(jiān)理報告、系統(tǒng)業(yè)務(wù)連續(xù)性計劃4.5運維階段階段特征：信息系統(tǒng)開始執(zhí)行其功能，在此階段信息系統(tǒng)往往不斷得到修改，例如添加新的 硬件和軟件，改變組織的策略和程序等。風(fēng)險評估的支持能力：在本階段風(fēng)險評估應(yīng)定期進行，對信息系統(tǒng)的安全風(fēng)險進行的評估可以 幫助信息安全負責(zé)人跟蹤系統(tǒng)安全狀況，決定采用何種控制措施處理安全風(fēng)險，將安全風(fēng)險維持在一個 可以接受的水平。當(dāng)信息系統(tǒng)的運行環(huán)境做重大調(diào)整后，也必須重新執(zhí)行安全評估。主要工作：備份與恢復(fù)

8、參數(shù)，執(zhí)行備份計劃，安全培訓(xùn)內(nèi)容，加密秘鑰管理，用戶管理與訪 問權(quán)限，日志審計，安全事件處理，物理安全保護，離線存儲保護，輸出分發(fā)控制，注冊與銷戶，軟硬 件維保，運維安全控制措施（包括檢查工作時間運行、檢查技術(shù)控制、驗證訪問權(quán)限文檔、檢查系統(tǒng)互 操作性、確認文檔及時更新、確認正確的銷戶、確認文檔控制）可形成的文檔：運維階段安全風(fēng)險分析報告、系統(tǒng)安全運維規(guī)范評估、系統(tǒng)安全控制措 施評估、系統(tǒng)安全事故處理流程、系統(tǒng)安全監(jiān)控流程L4.6廢棄階段階段特征：該階段包括信息、硬件和軟件的銷毀。也包括信息的移動、備份和丟棄以及硬件和軟件的清除等活動。風(fēng)險評估的支持能力：該階段對將被丟棄和替換的系統(tǒng)組件（硬件

9、、軟件）的風(fēng)險評估可以 確保這些組件被合理地丟棄和替換，它們所包含的殘余數(shù)據(jù)經(jīng)過了正確的處理，不會增加信息系統(tǒng)的安 全風(fēng)險。風(fēng)險評估還可以保證信息系統(tǒng)的移植在可控的安全情況下執(zhí)行。主要工作：加密密鑰存儲，記錄保存時間（法律法規(guī)要求），信息歸檔，介質(zhì)處理可形成的文檔：信息記錄處理規(guī)范、介質(zhì)安全處理規(guī)范4.7 信息系統(tǒng)主要階段評估要點階段設(shè)計階段.開發(fā)階段實超階段運繳鍛評估項用戶數(shù)據(jù)保護 標(biāo)識與鑒別 信息逋信 功能保護 系統(tǒng)詞可 安全審計 安全管理 可信路徑通道 巒礎(chǔ)支持生命周期支持 開發(fā)配置管理測試 交忖指導(dǎo)性文檔 腕弱性評估速只 人員場地軟件管理設(shè)備管理 廚絡(luò)和通信 設(shè)備運行和維護 事件防范和

10、處理鳳險管理 安全擔(dān)制核查生命周期認證（授權(quán)利證書） 系銃安全討劃人員安全物理和壞境安全 輸入輸出握制意外計劃軟硬件維護數(shù)據(jù)完整性文檔安全意識*教育和培ill事杵響應(yīng)能力身粉識別和驗證 邏輯訪問控制畝計跟蹤5、信息系統(tǒng)安全風(fēng)險評估形式分為：5.1 自我評估自我評估：是指由集團指定信息系統(tǒng)安全管理人員在信息系統(tǒng)運行維護中使用相應(yīng)的安全風(fēng) 險評估工具按照一定的規(guī)范進行的評估活動。從信息系統(tǒng)擁有者的角度來看是完全主動的行為。優(yōu)點：可方便地進行經(jīng)常性的評估，及時采取對策降低安全風(fēng)險，是一種“自查自糾”的方式。這 種方式因為是在一個機構(gòu)內(nèi)部進行，因此一般不會引入評估帶來的新的風(fēng)險。缺點：是專業(yè)性和客觀性稍較差。5.2 委托評估委托評估：是信息系統(tǒng)擁有者選擇委托具有相應(yīng)資質(zhì)的評估單位按照一定的規(guī)范對信息系統(tǒng) 進行的獨立的評估活動。從信息系統(tǒng)擁有者的角度來看是完全自愿的，并具有一定的選擇性。優(yōu)點：是專業(yè)性、公證性和客觀性較強。缺點：是對于評估可能引入新的風(fēng)險，要加強控制。5.3 檢查評估檢查評估：是信息系統(tǒng)擁有者的上級機關(guān)或國家賦予信息安全管理職能的機關(guān)授權(quán)的評估單 位根據(jù)一定的管理權(quán)限和程序，按照一定的規(guī)范對信息系統(tǒng)進行的獨立