还剩5页未读,继续阅读
文本内容:
上海观安信息技术股份有限公司残余风险评估报告TSC-RA-4-20[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属上海观安信息技术股份有限公司所有,受到有关产权及版权法保护任何个人、机构未经上海观安信息技术股份有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断]修订历史记录拟制人/修改主要更改内容(写要点版本号拟制/修改日期审批人更改原因人即可)VI.0陈芳2019-10-26李俊定稿
1.名词解释
42.如何评价残余风险
43.残余风险处置方法
44.残余风险处置流程
55.残余风险处置结果7名词解释
1.残余风险采取了风险控制措施后仍然存在的风险;如何评价残余风险
2.•评价残余风险-通常情况下,风险处置过程中选择实施了风险控制措施之后,需要再次评价对应的风险等级,判断残余风险是否符合可接受的水平如在可接受的范围内,各相关负责人员需填写《残余风险接受审批表》,完成相应的,审批流程,接受残余风险如仍不能接受,则应再次重复风险处置过程重新制订风险处置计划-实施处置方案-评价残留风险,直至残余风险符合风险可接受标准,止匕外,在风险接受准则的具体执行方面,允许存在一些特殊情况二对每一项已符合可接受标准的残余风险或符合IS027001标准的特殊情况应在风险处置计划中给出清晰、全面、具体的说明,便于对残余风险进行持续的闭环控制•负责汇总风险评估报告和风险处置计划,进行范围内的风险评估和风险处置工作的整体总结分析,将分析结果作为风险管理决策的依据,使负责人能够清楚地了解面临的信息安全风险和风险处置措施及实施计划残余风险处置方法
3.•通常有四种风险处置的方法
1.避免风险在某些情况下,可以决定不继续进行可能产生风险的活动来回避风险在某些情况可能是较为稳妥的处理办法,但是在某些情况下可能会因此而丧失机会
2.降低风险可能性在某些情况下,可以决定通过合同、要求、规范、法律、监察、管理、测试、技术开发、技术控制等措施来减小风险的可能性,来达到减小风险的目的
3.转移风险这涉及承担或分担部分风险的另一方手段包括合同、保险安排、合伙、资产转移等
4.接受风险不管如何处置,一般资产面临的风险总是在一定程度上存在决策者可以在继续处置需要的成本和风险之间进行抉择在适当的情况下,决策者可以选择接受/承受风险•风险处置的方法选择主要需要参考以下两个方面
1.风险可能造成的危害性
2.控制、降低该风险方案的可行性,它需对成本因素、技术实现的难度、技术的成熟度以及对企业现有业务系统的影响等各方面进行综合考虑•建议风险处理的策略低中高行性风险等於、低接受接受降低中接受/转移降低降低高转移/避免降低/转移降低残余风险处置流程
4.
1.选择控制项在大多数情况下,必须选择控制项来降低风险在完成风险评估之后,企业需要在每一个目标信息环境中,对选择的控制项进行实施,以便遵从ISO/IEC27001标准企业选择能够承受经济上的防护措施来防护面临的威胁在最终风险处置计划出来前,企业可以接受或拒绝建议的保护方案
2.风险处置计划风险处置计划包含所有相关信息管理任务和职责、管理责任人、风险管理的优先等级等等对企业来讲,有一些附加控制在标准中没有描述,但也是需要的一个由外部咨询顾问协助的风险评估会很有帮助
3.控制项的实施通过风险处置计划的实施,企业应该尽其所能针对ISO/IEC27001中的标准内容在管理、技术、逻辑、物理和环境控制方面进行劝止、防护、检测、纠正、恢复和补偿工作如下表所示〈措施需要在开发阶段说明、补充〉表从各个方面采取措施实施控制控制项控制点措施安全政策、标准、流程、指南;员工录用、辞管理策略和流程;人员管理;退流程;资产说明、标记、使用、修改、销安全监督机制及组织,毁制度;安全意思培训;安全意识培训、测试技术和逻辑系统访问;网络访问;加逻辑访问控制;加密;防病毒软件;智能卡;密和协议;控制区域;回退流程;用户限制界面;防火墙、路由器、审计、验证IDS、交换机等安全配置防护门、安全门卫、安全锁、监视系统、环物理网络分段;安全边界、计紧控制、入侵和移动检测、报警、险阱、身算机控制、工作区域隔份ID、生物识别等离、计算机备份;缆线线;机房
4.控制措施及其定义的原则劝止降低威胁的可能性;♦防止保护或降低资产的脆弱性;♦纠正降低风险和影响的损失;♦检测检测攻击和安全的脆弱性,针对攻击建立防护和纠正措施;♦恢复恢复资源和能力;♦补偿对控制措施的替代方案♦同时应该咨询信息安全专家和法律专家,确保控制措施的选择和实施是正确、有效的残余风险处置结果
5.XX。