文本描述
ISO27001信息安全风险评估程序
目的
本文件为公司执行信息安全风险评估提供指导和规范。
本程序的运行结果产生《风险评估报告-(加注日期)》。
公司依据风险评估报告编制风险处理计划。
适用范围
本程序适用风险评估所涉及的所有部门。
风险评估工作组成员据此执行风险评估活动。
其他相应员工据此理解风险评估的过程,完成自己职责范围内风险评估相关工作。
风险评估的实施频率及评审
公司规定风险评估活动要定期进行,常规的风险评估每年执行一次,执行风险评估前应对本程序进行评审。
遇到以下情况,公司也将启动风险评估:
增加了大量新的信息资产;
业务环境发生了重大的变化;
发生了重大信息安全事件。
风险评估方法
根据GB/T22080-2008/ISO/IEC27001:2005和ISO/IEC TR 13335-3,公司采用“详细风险分析方法(Detailed Risk Approach)”来实施风险评估,该方法主要包括:
风险分析:识别资产、威胁、脆弱性、影响和可能性
风险评价:风险=影响×可能性
风险评估流程
公司风险评估流程如下图所示:
欣博友风险评估流程
确定风险评估范围
在执行风险评估前,由信息安全领导小组负责,确定本次风险评估的范围,并明确传达给风险评估工作组。
建立风险评估工作组
在执行风险评估前,由信息安全领导小组负责,建立风险评估工作组,并明确工作组成员职责。
识别风险
识别资产及其责任人,建立信息资产清单(依下表)。
序号
资产名称
责任人
位置
相关说明识别威胁及威胁可利用的脆弱性(依下表)。
序号
资产名称
威胁
脆弱性
风险
分析和评价风险
分析和评价风险发生后对公司的影响(依下表)。
序号
资产名称
风险
影响风险发生后对公司影响的赋值准则
影响的值
描 述
3(高)
风险对该资产的保密性、完整性或可用性等的影响(即发生泄露、损坏、丢失或无法使用等),将对公司造成极严重的或灾难性的损失,通常其直接或间接的影响范围波及到公司整体。
2(中)
风险对该资产的保密性、完整性或可用性等安全属性的影响(即发生泄露、损坏、丢失或无法使用等),将对公司造成较重要的损失,通常其直接或间接的影响范围波及到公司局部。
1(低)
风险对该资产的保密性、完整性或可用性等安全属性的影响(即发生泄露、损坏、丢失或无法使用等),将对公司造成一定的损失,通常其直接或间接的影响范围仅波及到公司很少部门。
分析和评价风险发生的可能性(依下表)。
序号
资产名称
风险
影响
可能性风险发生可能性的赋值准则
可能性的值
描 述
3(高)
考虑公司以往发生的信息安全事件,以及社会上和其它组织的经验,该风险频繁发生。
2(中)
考虑公司以往发生的信息安全事件,以及社会上和其它组织的经验,该风险经常发生。
1(低)
考虑公司以往发生的信息安全事件,以及社会上和其它组织的经验,该风险偶尔发生。
计算风险的大小并排序(依下表)。
风险计算公式:风险值=影响值×可能性值
序号
资产名称
风险
风险值
编制风险评估报告
由风险评估工作组负责编制风险评估报告,风险评估报告内容应包括:
风险评估起止日期
风险评估工作组组成
风险评估范围
资产、风险和风险值排序表
相关文件
《风险评估报告-(加日期)》
《风险处理计划-(加日期)》