GBT22080信息安全风险评估管理程序.doc

ISMS信息安全风险评估管理程序1目的从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施；为防范和化解信息安全风险，将风险控制在可接受的水平，从而最大限度地为保障信息安全提供科学依据。2适用范围信息安全管理体系覆盖范围内的所有信息资产。3术语和定义引用ISO/IEC27001:2005(idt GB/T 22080-2008)和ISO/IEC27002:2005(idt GB/T 22081-2008)的相关术语和定义。4职责和权限4.1信息安全领导办公室l 决定实施风险评估的时间和方法l 指导风险处理计划的实施与检查l 残余风险的批准。4.2部门信息安全主管l 负责本部门范围内风险评估相关活动的组织实施l 负责本部门范围内风险处理计划的组织实施4.3部门信息安全员l 在部门安全主管领导下，负责本部门风险评估相关活动的实施l 在部门安全主管领导下，负责本部门风险处理计划的实施5风险评估方法5.1风险各要素的关系风险评估中各要素的关系如图1。图1 风险评估要素关系图图1中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。图1 中的风险要素及属性之间存在着以下关系：a） 业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；b） 资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；c） 风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件；d） 资产的脆弱性可能暴露资产的价值，资产具有的脆弱性越多则风险越大；e） 脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；f） 风险的存在及对风险的认识导出安全需求；g） 安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；h） 安全措施可抵御威胁，降低风险；i） 残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后不去控制的风险；j） 残余风险应受到密切监视，它可能会在将来诱发新的安全事件。5.2风险分析原理风险分析原理如图2。图2 风险分析原理图风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为：l 对资产进行识别，并对资产的价值进行赋值；l 对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；l 对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；l 根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性；l 根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失；l 根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对公司的影响，即风险值。5.3风险评估方法描述本公司采用“定性与定量计算”的方法对风险进行描述。主要包括：资产识别、威胁识别、脆弱性识别、影响与可能性(影响与可能性中已考虑到目前控制措施的有效性因素)。风险值通过矩阵方法确定。5.4风险接受原则风险等级处理的目的是为风险管理过程中对不同风险的直观比较，以确定公司安全策略。公司综合考虑风险控制成本与风险造成的影响，风险等级为“1”和“2”的，公司认为是可以接受的风险等级。其他等级的风险为不可接受的。对于不可接受的风险，应采取措施进行处置。采取的措施包括：采用适当的控制措施；避免风险；风险转移；接受风险；6风险评估过程风险评估的流程如图3所示。确定风险评估范围建立风险评估小组识别风险分析和评价风险编制分析评估报告图3风险评估流程6.1资产识别6.1.1 资产分类保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。根据资产的表现形式，可将资产分为数据、软件、硬件、服务、人员等类型。表1列资产分类方法。6.1.2 资产重要度赋值根据资产的保密性、完整性和可用性，综合确定资产的重要度。详细见表2。表1资产分类方法分类示 例数据保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等软件系统软件：操作系统、数据库管理系统、语句包、开发系统等应用软件：办公软件、数据库软件、各类工具软件等源程序：各种共享源代码、自行或合作开发的各种代码等硬件网络设备：路由器、网关、交换机等计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路：光纤、双绞线等保障设备：UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等安全设备：防火墙、入侵检测系统、身份鉴别等其他：打印机、复印机、扫描仪、传真机等服务信息服务：对外依赖该系统开展的各类服务网络服务：各种网络设备、设施提供的网络连接服务办公服务：为提高效率而开发的管理信息系统，包括各种内部配置管理、文件流转管理等服务人员掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等其他企业形象、客户关系等表2 资产重要度赋值表等级标识描述5很高(A级)非常重要，其安全属性破坏后可能对公司造成非常严重的损失4高 (A级)重要，其安全属性破坏后可能对公司造成比较严重的损失3中等(B级)比较重要，其安全属性破坏后可能对公司造成中等程度的损失2低 (B级)不太重要，其安全属性破坏后可能对公司造成较低的损失1很低(C级)不重要，其安全属性破坏后对公司造成导很小的损失，甚至忽略不计6.2威胁识别威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可以是人为因素，也可以是环境因素，在本评估方法中将根据其表现形式进行分类，详见表3。威胁作用形式可以是对信息系统直接或间接的攻击，在保密性、完整性和可用性等方面造成损害。6.2.1 威胁分类针对威胁来源，根据其表现形式将威胁主要分为以下几类。表3为基于表现形式的威胁分类方法。表3基于表现形式的威胁分类表种类描述威胁子类软硬件故障对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等物理环境影响对信息系统正常运行造成影响的物理环境问题和自然灾害断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等无作为或操作失误应该执行而没有执行相应的操作，或无意执行了错误的操作维护错误、操作失误等管理不到位安全管理无法落实或不到位，从而破坏信息系统正常有序运行管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等恶意代码故意在计算机系统上执行恶意任务的程序代码病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等越权或滥用通过采用一些措施，超越自己的权限访问了本来无权访问的资源，或者滥用自己的权限，做出破坏信息系统的行为非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵网络探测和信息采集、漏洞探测、嗅探（帐号、口令、权限等）、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等物理攻击通过物理的接触造成对软件、硬件、数据的破坏物理接触、物理破坏、盗窃等泄密信息泄露给不应了解的他人内部信息泄露、外部信息泄露等篡改非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等抵赖不承认收到的信息和所作的操作和交易原发抵赖、接收抵赖、第三方抵赖等6.2.2 威胁赋值判断威胁出现的频率是威胁赋值的重要内容，评估者应根据经验和（或）有关的统计数据来进行判断。在评估中，需要综合考虑以下三个方面，形成各种威胁出现的频率：以往安全事件报告中出现过的威胁及其频率的统计；实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。对威胁出现的频率进行等级化处理，不同等级分别代表威胁出现的频率的高低。等级数值越大，威胁出现的频率越高。表4是威胁出现频率的赋值方法。表4威胁赋值表等级标识定 义5很高出现的频率很高（或1 次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过4高出现的频率较高（或 1 次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过3中等出现的频率中等（或 1 次/半年）；或在某种情况下可能会发生；或被证实曾经发生过2低出现的频率较小；或一般不太可能发生；或没有被证实发生过1很低威胁几乎不可能发生；仅可能在非常罕见和例外的情况下发生6.3 脆弱性识别6.3.1脆弱性识别内容脆弱性是资产本身存在的，如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健，严重的威胁也不会导致安全事件发生，并造成损失。即威胁总是要利用资产的脆弱性才可能造成危害。脆弱性识别以资产为核心，针对每一项需要保护的资产,识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估；脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。对脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及网络结构、系统软件、应用中间件、应用系统等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和公司管理脆弱性两方面，前者与具体技术活动相关，后者与管理环境相关。表5为脆弱性识别内容的参考。表5脆弱性识别内容表类型识别对象识别内容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别技术脆弱性网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别6.3.2已有安全措施的确认在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。对有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正，或用更合适的安全措施替代。安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统；保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。已有安全措施确认与脆弱性识别存在一定的联系。一般来说，安全措施的使用将减少系统技术或管理上的脆弱性，但安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的脆弱性，而是一类具体措施的集合，因此，在给予脆弱性赋值时将现有控制措施的有效性一并考虑给予赋值，并为风险处理计划的制订时提供依据和参考。6.3.3脆弱性赋值可以根据脆弱性对资产的暴露程度、技术实现的难易程度、流行程度等，采用等级方式对已识别的脆弱性的严重程度进行赋值。由于很多脆弱性反映的是同一方面的问题，或可能造成相似的后果，赋值时应综合考虑这些脆弱性，以确定这一方面脆弱性的严重程度。对某个资产，其技术脆弱性的严重程度还受到公司管理脆弱性的影响。因此，资产的脆弱性赋值还应参考技术管理和公司管理脆弱性的严重程度。脆弱性严重程度进行等级化处理，不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大，脆弱性严重程度越高。表6为脆弱性严重程度的赋值方法。表6脆弱性严重程度赋值表等级标识定义3高如果被威胁利用，将对资产造成重大或完全损害2中如果被威胁利用，将对资产造成一般损害1很低如果被威胁利用，将对资产造成较小损害或损害可以忽略7风险分析7.1风险计算在完成了资产识别、威胁识别、脆弱性识别，以及已有安全措施确认后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对公司的影响，即安全风险。以下是风险计算原理的说明。根据资产的重要程度、面临的威胁出现频率及脆弱性的状况，计算威胁利用脆弱性导致安全事件发生的可能性，以及安全事件发生后造成的影响。本公司确定风险计算方法如下：风险值 = 资产重要度 X 威胁发生的频率 X 脆弱性7.2风险结果判定为实现对风险的控制与管理，可以对风险评估的结果进行等级化处理。可将风险划分为五级，等级越高，风险越高。表7为风险等级划分方法。表7风险等级划分表等级风险值标识描述561-75很高一旦发生将产生非常严重的经济或社会影响，如公司信誉严重破坏、严重影响公司的正常经营，经济损失重大、社会影响恶劣446-60高一旦发生将产生较大的经济或社会影响，在一定范围内给公司的经营和公司信誉造成损害331-45中等一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大216-30低一旦发生造成的影响程度较低，一般仅限于公司内部，通过一定手段很快能解决11-15很低一旦发生造成的影响几乎不存在，通过简单的措施就能弥补8残余风险的评估在对于不可接受的风险选择适当安全措施后，为确保安全措施的有效性，可进行再评估，以判断实施安全措施后的残余风险是否已经降低到可接受的水平。残余风险的评估可以依据本标准提出的风险评估流程实施，也可做适当裁减。一般来说，安全措施的实施是以减少脆弱性或降低安全事件发生可能性为目标的，因此，残余风险的评估可以从脆弱性评估开始，在对照安全措施实施前后的脆弱性状况后，再次计算风险值的大小。某些风险可能在选择了适当的安全措施后，残余风险的结果仍处于不可接受的风险范围内，应考虑是否接受此风险或进一步增加相应的安全措施。9风险评估实施频度和评审风险评估活动要定期进行，一般情况下每年进行一次风险评估，执行风险评估前要对本程序进行评审。遇到以下情况，公司也将启动风险评估：l 增加了大量新的信息资产；l 业务过程、物理和网络环境发生了重大变化；l 发生了重大信息安全事件。10相关文件和记录1.部门资产清单表2.风险评估报告(含风险处理计划)3.残余风险报告