信息安全风险评估

信息安全风险评估管理程序

编号：SIP01版本：A修改码：2

上海大昭和有限公司Page1of6

1。目的

在ISMS覆盖范围内对信息安全现行状况进行系统风险评估，形成评估报告，描述风险等级,识别

和评价供处理风险的可选措施，选择控制目标和控制措施处理风险.

2.范围

在ISMS覆盖范围内主要信息资产

3。职责

3.1各部门负责部门内部资产的识别，确定资产价值。

3.2ISMS小组负责风险评估和制订控制措施和信息系统运行的批准。

4.内容

4.1资产的识别

4.1。1各部门每年按照管理者代表的要求负责部门内部资产的识别，确定资产价值。

4.1。2资产分类

根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类。

4。1.3资产赋值

资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析，选择对资产机密性、完

整性和可用性最为重要（分值最高）的一个属性的赋值等级作为资产的最终赋值结果。资产等级

划分为五级，分别代表资产重要性的高低。等级数值越大,资产价值越高。

1）机密性赋值

根据资产在机密性上的不同要求，将其分为五个不同的等级，分别对应资产在机密性上的应达成的不同

程度或者机密性缺失时对整个组织的影响。

赋值标识定义

5极高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性

影响，如果泄漏会造成灾难性的损害

4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害

3中等包含组织的一般性秘密，其泄露会使组织的安全和利益受到损害

2低包含仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织

的利益造成损害

1可忽略包含可对社会公开的信息,公用的信息处理设备和系统资源等

2）完整性赋值

根据资产在完整性上的不同要求,将其分为五个不同的等级，分别对应资产在完整性上的达成的不同程度

或者完整性缺失时对整个组织的影响。

信息安全风险评估管理程序

编号：SIP01版本：A修改码：2

上海大昭和有限公司Page2of6

赋值标识定义

5极高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影

响,对业务冲击重大，并可能造成严重的业务中断，难以弥补

4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重，

比较难以弥补

3中等完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显，但可以

弥补

2低完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响，可以忍受，对业务

冲击轻微,容易弥补

1可忽略完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击

可以忽略

3）可用性赋值

根据资产在可用性上的不同要求,将其分为五个不同的等级，分别对应资产在可用性上的达成的不同程

度。

赋值标识定义

5极高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99。9%以上

4高可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上

3中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上

2低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上

1可忽略可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%

3分以上为重要资产,重要信息资产由IT部门确立清单

4.2威胁识别

4.2。1威胁分类

对重要资产应由ISMS小组识别其面临的威胁。针对威胁来源，根据其表现形式将威胁分为软硬

件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客

攻击技术、物理攻击、泄密、篡改和抵赖等。

4。2.2威胁赋值

评估者应根据经验和（或）有关的统计数据来判断威胁出现的频率。威胁频率等级划分为五级，

分别代表威胁出现的频率的高低.等级数值越大,威胁出现的频率越高。威胁赋值见下表。

等级标识定义

5很高威胁出现的频率很高,在大多数情况下几乎不可避免或者可以证实经常发生过（每天)

4高威胁出现的频率较高,在大多数情况下很有可能会发生或者可以证实多次发生过（每周）

3中威胁出现的频率中等，在某种情况下可能会发生或被证实曾经发生过（每月、曾经发生过）

2低威胁出现的频率较小，一般不太可能发生,也没有被证实发生过（每年）

1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生(特殊情况)

4。3脆弱性识别

信息安全风险评估管理程序

编号：SIP01版本：A修改码：2

上海大昭和有限公司Page3of6

4.3.1脆弱性识别内容

脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层

等各个层面的安全问题.管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动

相关，后者与管理环境相关.

4。3.2脆弱性严重程度赋值

脆弱性严重程度的等级划分为五级，分别代表资产脆弱性严重程度的高低。等级数值越大，

脆弱性严重程度越高。脆弱性严重程度赋值见下表

等级标识定义

5很高如果被威胁利用，将对资产造成完全损害（90％以上）

4高如果被威胁利用,将对资产造成重大损害（70％）

3中如果被威胁利用，将对资产造成一般损害(30％）

2低如果被威胁利用，将对资产造成较小损害（10％）

1很低如果被威胁利用，将对资产造成的损害可以忽略（10%以下）

4.4已有安全措施的确认

ISMS小组应对已采取的安全措施的有效性进行确认,对有效的安全措施继续保持，以避免不

必要的工作和费用，防止安全措施的重复实施。对于确认为不适当的安全措施应核实是否应被取

消,或者用更合适的安全措施替代。

4。5风险分析

完成了资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，ISMS小组采用相乘法

确定威胁利用脆弱性导致安全事件发生的可能性,考虑安全事件一旦发生其所作用的资产的重要

性及脆弱性的严重程度判断安全事件造成的损失对组织的影响，即安全风险。

4。5。1安全事件发生的可能性等级P=(T*V）0。5,（四舍五入,V=5时加严）

脆弱性严重程度V12345

威胁发生

频率T

111223

212234

312334

422345

523445

4。5.2、安全事件发生后的损失等级L＝(A*V）0.5，(四舍五入,V=5时加严）

信息安全风险评估管理程序

编号：SIP01版本：A修改码：2

上海大昭和有限公司Page4of6

脆弱性严重程度V

12345

资产价值

A

111223

211234

312334

422345

523455

4。5。3、风险等级R＝(L*P）0.5，(四舍五入，P=5时加严）

可能性P12345

损失L

112223

212233

312334

422344

523445

4。5。4风险管理策略

完全的消除风险是不可能和不实际的.公司需要有效和经济的运转,因此必须根据安全事件

的可能性和对业务的影响来平衡费用、时间、安全尺度几个方面的问题。公司在考虑接受残余风

险时的标准为只接受中或低范围内的风险;但是对于必须投入很高的费用才能将残余风险降为中

或低的情况，则分阶段实施控制。

风险值越高,安全事件发生的可能性就越高，安全事件对该资产以及业务的影响也就越大，风险

管理策略有以下：

接受风险：接受潜在的风险并继续运行信息系统，不对风险进行处理。

降低风险：通过实现安全措施来降低风险,从而将脆弱性被威胁源利用后可能带来的不利

影响最小化（如使用防火墙、漏洞扫描系统等安全产品)。

规避风险:不介入风险，通过消除风险的原因和/或后果（如放弃系统某项功能或关闭系

统)来规避风险。

转移风险：通过使用其它措施来补偿损失，从而转移风险，如购买保险。

风险等级3（含）以上为不可接受风险,3（不含）以下为可接受风险。如果是可接受风险，

可保持已有的安全措施；如果是不可接受风险，则需要采取安全措施以降低、控制风险.安全措

施的选择应兼顾管理与技术两个方面,可以参照信息安全的相关标准实施.

4。6确定控制目标、控制措施和对策

信息安全风险评估管理程序

编号：SIP01版本：A修改码：2

上海大昭和有限公司Page5of6

基于在风险评估结果报告中提出的风险级别,ISMS小组对风险处理的工作进行优先级排序。

高等级(例如被定义为“非常高"或“高”风险级的风险）的风险项应该最优先处理。

评估所建议的安全措施

实施成本效益分析

选择安全措施

制定安全措施的实现计划

实现所选择的安全措施

4.7残余风险的监视与处理

风险处理的最后过程中,ISMS小组应列举出信息系统中所有残余风险的清单。在信息系统的

运行中，应密切监视这些残余风险的变化，并及时处理.

每年年初评估信息系统安全风险时，对残余风险和已确定的可接受的风险级别进行评审时，

应考虑以下方面的变化：

组织结构；

技术;

业务目标和过程;

已识别的威胁；

已实施控制措施的有效性;

外部事件,如法律法规环境的变更、合同义务的变更和社会环境的变更。

4。8信息系统运行的批准

ISMS小组考察风险处理的结果,判断残余风险是否处在可接受的水平之内。基于这一判断，

管理层将做出决策，决定是否允许信息系统运行。

如果信息系统的残余风险不可接受，而现实情况又要求系统必须投入运行，且当前没有其它

资源能胜任单位的使命。这时可以临时批准信息系统投入运行。

在这种情况下，必须由信息系统的主管者决定临时运行的时间段，制定出在此期间的应急预

案以及继续处理风险的措施。在临时运行的时间段结束后，应重新评估残余风险的可接受度。如

果残余风险仍然不可接受，则一般不应再批准信息系统临时运行。

5相关文件

信息资产管理程序

信息安全风险评估管理程序

编号：SIP01版本：A修改码：2

上海大昭和有限公司Page6of6

6记录

信息资产识别表

重要资产清单

威胁/脆弱性因素表

风险评估表

安全措施实施计划

残余风险清单