信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序

1、有限公司兩化整合管理體系文件（兩化整合管理體系文件（III）第1頁(yè)共14頁(yè)編號(hào)GMIIIB005版本號(hào)00題目：信息安全信息安全風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序價(jià)管理程序生效日期2015.07.20起草部門信息中心信息中心頒發(fā)部門總經(jīng)總經(jīng)理辦公室公室一、目的：一、目的：通過(guò)風(fēng)險(xiǎn)評(píng)過(guò)風(fēng)險(xiǎn)評(píng)估，采取有效措施，降低威估，采取有效措施，降低威脅事件事件發(fā)生的可能性，或者減少威生的可能性，或者減少威脅事件造成的影事件造成的影響，從而將響，從而將風(fēng)險(xiǎn)

2、風(fēng)險(xiǎn)消減到可接受的水平。消減到可接受的水平。二、范二、范圍：適用于適用于對(duì)信息安全管理體系信息安全信息安全管理體系信息安全風(fēng)險(xiǎn)風(fēng)險(xiǎn)的識(shí)別識(shí)別、評(píng)價(jià)、控制等管理。價(jià)、控制等管理。三、三、責(zé)任：任：3.1管理者代表管理者代表信息中心信息中心執(zhí)行信息安全行信息安全風(fēng)險(xiǎn)風(fēng)險(xiǎn)的識(shí)別識(shí)別與評(píng)價(jià)；價(jià)；審核并批準(zhǔn)重大信息安全核并批準(zhǔn)重大信息安全風(fēng)險(xiǎn)風(fēng)險(xiǎn)，并，并負(fù)責(zé)編負(fù)責(zé)編制《信息信息資產(chǎn)風(fēng)險(xiǎn)評(píng)資產(chǎn)風(fēng)險(xiǎn)評(píng)估準(zhǔn)估準(zhǔn)則》，執(zhí)行信息安全行信息安全風(fēng)險(xiǎn)調(diào)查風(fēng)險(xiǎn)調(diào)

3、查與評(píng)價(jià)，提出重大信息安全價(jià)，提出重大信息安全風(fēng)險(xiǎn)報(bào)風(fēng)險(xiǎn)報(bào)告。告。3.2各部各部門協(xié)助信息中心的助信息中心的調(diào)查調(diào)查，參與，參與討論討論重大信息安全重大信息安全風(fēng)險(xiǎn)風(fēng)險(xiǎn)的管理的管理辦法。法。四、內(nèi)容：四、內(nèi)容：4.1資產(chǎn)識(shí)別資產(chǎn)識(shí)別保密性、完整性和可用性是保密性、完整性和可用性是評(píng)價(jià)資產(chǎn)資產(chǎn)的三個(gè)安全屬性。的三個(gè)安全屬性。風(fēng)險(xiǎn)評(píng)風(fēng)險(xiǎn)評(píng)估中估中資產(chǎn)資產(chǎn)的價(jià)的價(jià)值不是以不是以資產(chǎn)資產(chǎn)的經(jīng)濟(jì)經(jīng)濟(jì)價(jià)值來(lái)衡量，而是由來(lái)衡量，而是由資產(chǎn)資產(chǎn)在這三個(gè)

4、安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。安全屬性達(dá)成程度的不同將使造成的影響程度來(lái)決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)資產(chǎn)具有不同的價(jià)具有不同的價(jià)值，而，而資產(chǎn)資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將、存在的脆弱性、以及已采用的安全措施都將對(duì)資產(chǎn)對(duì)資產(chǎn)安全屬性的達(dá)成程度安全屬性的達(dá)成程度產(chǎn)生影響。生影響。為此，此，應(yīng)對(duì)組織應(yīng)對(duì)組織中的中的資產(chǎn)進(jìn)資產(chǎn)進(jìn)

5、行識(shí)別識(shí)別。在一個(gè)在一個(gè)組織組織中，中，資產(chǎn)資產(chǎn)有多種表有多種表現(xiàn)形式；同形式；同樣的兩個(gè)的兩個(gè)資產(chǎn)資產(chǎn)也因?qū)儆诓煌男畔⑾狄惨驅(qū)儆诓煌男畔⑾到y(tǒng)而重要性而重要性不同，而且不同，而且對(duì)于提供多種于提供多種業(yè)務(wù)業(yè)務(wù)的組織組織，其支持，其支持業(yè)務(wù)業(yè)務(wù)持續(xù)運(yùn)行的系運(yùn)行的系統(tǒng)數(shù)量可能更多。數(shù)量可能更多。這時(shí)這時(shí)首先需首先需要將信息系要將信息系統(tǒng)及相關(guān)的及相關(guān)的資產(chǎn)進(jìn)資產(chǎn)進(jìn)行恰當(dāng)?shù)姆中星‘?dāng)?shù)姆诸?，以此，以此為基礎(chǔ)進(jìn)礎(chǔ)進(jìn)行下一步的行下一步的風(fēng)險(xiǎn)評(píng)風(fēng)

6、險(xiǎn)評(píng)估。在估。在實(shí)際實(shí)際工作工作中，具體的中，具體的資產(chǎn)資產(chǎn)分類方法可以根據(jù)具體的方法可以根據(jù)具體的評(píng)估對(duì)象和要求，由象和要求，由評(píng)估者靈活把握。根據(jù)估者靈活把握。根據(jù)資產(chǎn)資產(chǎn)的表的表現(xiàn)形式，可將形式，可將資產(chǎn)資產(chǎn)分為數(shù)據(jù)、數(shù)據(jù)、軟件、硬件、服件、硬件、服務(wù)、人、人員等類型。型。表1列出了一種列出了一種資產(chǎn)資產(chǎn)分類方法。方法。表1一種基于表一種基于表現(xiàn)形式的形式的資產(chǎn)資產(chǎn)分類方法方法有限公司兩化整合管理體系文件（兩化整合管理體系文件（I

7、II）第3頁(yè)共14頁(yè)題目：信息安全信息安全風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序價(jià)管理程序編號(hào)GMIIIB005版本號(hào)00生效日期2015.07.205.1.1保密性保密性賦值賦值根據(jù)根據(jù)資產(chǎn)資產(chǎn)在保密性上的不同要求，將其分在保密性上的不同要求，將其分為五個(gè)不同的等五個(gè)不同的等級(jí)，分，分別對(duì)應(yīng)資產(chǎn)別對(duì)應(yīng)資產(chǎn)在保密性上在保密性上應(yīng)達(dá)成達(dá)成的不同程度或者保密性缺失的不同程度或者保密性缺失時(shí)對(duì)時(shí)對(duì)整個(gè)整個(gè)組織組織的影響。的影響。表2提供了一種保密性提

8、供了一種保密性賦值賦值的參考的參考賦值標(biāo)識(shí)定義5很高包含組織最重要的秘密，關(guān)系未來(lái)發(fā)展的前途命運(yùn)，對(duì)組織根本利益有著決定性的影響，如果泄露會(huì)造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受嚴(yán)重?fù)p害3中等組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到損害2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴(kuò)散有可能對(duì)組織的利益造成輕微損害1很低可對(duì)社會(huì)公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等5.1.2完整性完整

9、性賦值賦值根據(jù)根據(jù)資產(chǎn)資產(chǎn)在完整性上的不同要求，將其分在完整性上的不同要求，將其分為五個(gè)不同的等五個(gè)不同的等級(jí)，分，分別對(duì)應(yīng)資產(chǎn)別對(duì)應(yīng)資產(chǎn)在完整性上缺失在完整性上缺失時(shí)對(duì)整個(gè)整個(gè)組織組織的影響。表的影響。表3提供了一種完整性提供了一種完整性賦值賦值的參考。的參考。表3資產(chǎn)資產(chǎn)完整性完整性賦值賦值表賦值標(biāo)識(shí)定義5很高完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無(wú)法接受的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌