信息安全风险评估管理规定

XX股份有限公司信息安全风险评估管理规定第一节总则第一条目的为了尽可能的发现企业中存在的信息安全隐患，降低信息安全事件发生的可能性，特制定本规定第二条适用范围本规定描述了信息安全风险识别、评估过程，适用于信息安全风险识别、评估管理活动第三条定义信息安全风险指在信息化建设中，各类应用系统及其赖以运行的基础网络、处理的数据和信息，由于其可能存在的软硬件缺陷、系统集成缺陷等，以及信息安全管理中潜在的薄弱环节，而导致的不同程度的安全风险

一、信息部负责组织建立风险评估小组，对信息安全风险进行评估、管理

二、风险评估小组负责对公司各信息系统进行风险评估工作

三、其他相关业务部门负责组织对各自分管信息系统的安全风险进行控制第二节管理规程细则第五条管理规定

一、风险评估流程风险评估准备+一资产识别►威胁识别►脆弱性识别II[►对现有安全控制确认＜风险评价I、保持己有的丫人口，田Mr安全措施一应接X一N制J定风险处理计戈I」并评估残余风险＜、「N.”余风险是否接堂？——Y►实施风险控制

二、风险评估准备信息部负责组织各部门做好风险准备工作，包括

（一）确定风险评估方法及接受准则；

（二）确定风险评估计划；

（三）确定风险评估小组人员

三、风险识别信息安全风险识别包括资产识别、威胁识别、脆弱性识别三部分内容

（一）资产的识别.信息部每年按照要求负责本公司信息资产的识别，确定资产价值.资产分类根据资产的表现形式，可将资产分为人员、软件、硬件、电子数据、文档、服务、人员、物理区域七类.资产A赋值资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析1机密性赋值根据资产在机密性上的不同要求，将其分为五个不同的等级，分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响2完整性赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响3可用性赋值根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上的达成的不同程度.资产赋值结果计算根据以上赋值结果，选择对资产机密性、完整性和可用性最为重要（分值最高）的一个属性的赋值等级作为资产的最终赋值结果根据资产最终赋值结果判定资产等级，资产等级划分为五级，分别代表资产重要性的高低等级数值越大，资产价值越高3分以上为重要资产，重要信息资产由信息部确立清单

（二）威胁识别.威胁分类对重要资产应由风险评估小组识别其面临的威胁针对威胁来源根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等.威胁（T）赋值评估人员应根据经验和（或）有关的统计数据来判断威胁出现的频率威胁频率等级划分为五级，分别代表威胁出现的频率的高低等级数值越大，威胁出现的频率越高威胁赋值见下表

（三）脆弱性识别.脆弱性识别内容脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关.脆弱性（V）严重程度赋值脆弱性严重程度的等级划分为五级，分别代表资产脆弱性严重程度的高低等级数值越大，脆弱性严重程度越高脆弱性严重程度赋值见下表

（四）已有安全措施的确认风险评估小组应对已采取的安全措施的有效性进行确认，对有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施对于确认为不适当的安全措施应核实是否应被取消，或者用更合适的安全措施替代

（五）风险分析完成了资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，风险评估小组采用确定的计算方法确定风险值.风险值（F）计算风险值（F）=资产重要性（A）+威胁性（T）+脆弱性（V）.风险等级确认根据计算的风险值，参照以下风险等级表确认相应的风险等级完成了资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，风险评估小组采用确定的计算方法确定风险值

（六）风险处置.风险处理的方式包括

（1）回避风险；

（2）降低风险（降低发生的可能性或减小后果）；

（3）转移风险；

（4）接受风险.风险等级3（含）以上为不可接受风险，3（不含）以下为可接受风险如果是可接受风险，可保持已有的安全措施；如果是不可接受风险，则需要采取安全措施以降低、控制风险.在对风险等级进行划分后，考虑法律法规的要求、企业自身的发展要求、风险评估的结果确定安全水平，对不可接受的风险选择适当的处理方式及控制措施.信息部负责跟踪应对措施的控制效果对于没有达到控制效果的风险事项，需重新制定应对措施

（七）风险控制.各业务部门根据《信息安全风险评估报告》的要求，执行风险管控.针对发生可能性低但是发生后产生重大影响的信息安全事件，由责任部门组织制定应急预案，并定期组织测试应急预案，具体执行《业务连续性管理规程》

（八）风险再评估时机

1.正常情况下每年由信息部组织风险评估小组进行一次再评估，对风险评估结果尤其是采取的控制措施进行适当的评审在以下情况发生变化时，应考虑及时对组织风险进行重新评估

（1）组织结构发生重大变化；

（2）当发生重大信息安全事故；

（3）业务目标和过程发生重大更改；

（4）信息网络系统发生重大更改；

（5）外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化

（九）风险评估报告根据评估过程及结果形成《信息安全风险评估报告》，报告至少包括以下几部分内容.风险评估准备工作.对各类风险的识别结果.对识别出的风险的分析结果.风险处置及风险控制措施.安全加固建议第三节附录第五条附录附录一资产分类表附录二信息安全威胁列表管理不到位安全管理无法落实或不到位，从而破坏信息系统正常有序运行管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等恶意代码故意在计算机系统上执行恶意任务的程序代码病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等越权或滥用通过采用一些措施，超越自己的权限访问了本来无权访问的资源，或者滥用自己的职权，做出破坏信息系统的行为非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵网络探测和信息采集、漏洞探测、嗅探（账户、口令、权限等）、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等物理攻击通过物理的接触造成对软件、硬件、数据的破坏物理接触、物理破坏、盗窃等泄密信息泄露给不应了解的他人内部信息泄露、外部信息泄露等篡改非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等抵赖不承认收到的信息和所作的操作和交易原发抵赖、接收抵赖、第三方抵赖等序号项目描述1人员高层管理人员，中层管理人员，各类管理人员，研发人员，销售人员等与公司签订合同的人员2硬件系指网络设备、主机设备、通讯设备、环境设备等相关硬件设施例如服务器主机、个人计算机、支持性设备等3软件系指自行开发或委托外界开发的应用系统程序、外购的软件系统及软件包等例如应用系统、操作系统、软件包、工具程序等4电子数据系指以电子形式存在之信息数据例如项目研发数据等5文档系指以纸本形式存在之文书数据、报表等相关信息例如合同，纸质的规范、系统文件、用户手册等6服务系指向客户提供的相关服务活动，包括签署的合同/协议等7物理区域在公司内从事重要业务，或是业务关键步骤及流程所属的区域范围赋值标识定义5极高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性影响，如果泄漏会造成灾难性的损害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等包含组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低包含仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成损害1可忽略包含可对社会公开的信息，公用的信息处理设备和系统资源等赋值标识定义5极高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，比较难以弥补3中等完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补2低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，可以忍受，对业务冲击轻微，容易弥补1可忽略完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略赋值标识定义5极高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度

99.9%以上4高可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上3中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上2低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上1可忽略可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于25%等级标识定义5很高威胁出现的频率很高，在大多数情况下几乎不可避免或者可以证实经常发生过（每天）4高威胁出现的频率较高，在大多数情况下很有可能会发生或者可以证实多次发生过（每周）3中威胁出现的频率中等，在某种情况下可能会发生或被证实曾经发生过（每月、曾经发生过）2低威胁出现的频率较小，一般不太可能发生，也没有被证实发生过（每年）1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生（特殊情况）等级标识定义5很高如果被威胁利用，将对资产造成完全损害（90%以上）4高如果被威胁利用，将对资产造成重大损害（70%）3中如果被威胁利用，将对资产造成一般损害（30%）2低如果被威胁利用，将对资产造成较小损害（10%）1很低如果被威胁利用，将对资产造成的损害可以忽略（10%以下）风险值1-45-89-1213-15风险等级1234分类资产项目数据保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等软件系统软件操作系统、数据库管理系统、语句包、开发系统等应用软件办公软件、数据库软件、各类工具软件等源程序各种共享源代码、自行或合作开发的各种代码等硬件网络设备路由器、网关、交换机等计算机设备大型机、小型机、服务器、工作站、台式计算机、便携计算机等存储设备磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路光纤、双绞线等保障设备UPS、变电设备等、空调、保险柜、文件柜、门禁、消防设施等安全保障设备防火墙、入侵检测系统、身份鉴别等其他打印机、复印机、扫描仪、传真机等服务信息服务对外依赖该系统开展的各类服务网络服务各种网络设备、设施提供的网络连接服务办公服务为提高效率而开发的管理信息系统，包括各种内部配置管理、文件流转管理等服务环境和基础设施包括电源、空调、接地、避雷、门禁、监控（包括视频、红外）、消防设施、办公设备、门窗及防盗设施等人员掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等其它如组织形象、声誉、信用，客户关系、第三方服务等威胁种类威胁描述.威胁子类软硬件故障对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷造等问题设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障物理环境影响对信息系统正常运行造成影响的物理环境问题和自然灾害断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等无作为或操作失误应该执行而没有执行相应的操作，或无意地执行了错误的操作维护错误、操作失误等。