?一、目的
本程序旨在建立一套科学、有效的信息安全风险识别与评价机制,全面识别组织信息系统所面临的各类风险,准确评估风险的可能性和影响程度,为制定合理的风险应对策略提供依据,确保组织信息资产的保密性、完整性和可用性,保障组织业务的正常运行。
二、范围
本程序适用于组织内所有信息系统、信息资产以及相关业务流程所涉及的信息安全风险识别与评价活动。
三、职责
1.信息安全管理部门
-负责制定和完善信息安全风险识别与评价管理程序。
-组织开展信息安全风险识别与评价工作,协调相关部门提供支持。
-汇总、分析风险识别与评价结果,编写风险评估报告。
-跟踪风险应对措施的执行情况,对风险状态进行监控和更新。
2.各业务部门
-负责本部门信息资产的识别和梳理,配合信息安全管理部门开展风险识别与评价工作。
-根据风险评估结果,制定和实施本部门的风险应对措施。
3.信息技术部门
-提供信息系统架构、技术环境等方面的专业支持,协助识别技术层面的信息安全风险。
-负责对信息系统的安全漏洞进行检测和修复,配合实施风险应对措施。
4.高级管理层
-审批信息安全风险评估报告和风险应对策略。
-为信息安全风险识别与评价工作提供必要的资源支持。
四、程序内容
1.信息资产识别
-各业务部门按照信息资产分类标准,对本部门所拥有或使用的信息资产进行全面识别,包括但不限于硬件设备、软件系统、数据、文档、人员等。
-填写信息资产清单,详细记录信息资产的名称、类型、描述、所有者、使用部门、存放位置等信息。
-信息资产清单应定期更新,确保其准确性和完整性。
2.风险识别方法
-问卷调查:设计信息安全风险调查问卷,涵盖信息资产保护、网络安全、访问控制、数据备份与恢复等方面的内容,向各业务部门和相关人员发放,收集风险信息。
-访谈:与业务部门负责人、信息技术人员、信息安全管理人员等进行面对面访谈,了解业务流程、信息系统运行情况以及可能存在的信息安全风险。
-文档审查:审查各类信息安全相关文档,如信息系统设计文档、安全策略、操作手册、审计报告等,查找潜在的风险点。
-现场检查:对信息系统运行环境、设备设施等进行实地检查,观察实际操作过程,发现可能存在的安全隐患。
-技术工具检测:运用漏洞扫描工具、入侵检测系统、安全审计系统等技术手段,对信息系统进行检测,发现技术层面的风险。
3.风险识别内容
-物理安全风险:包括火灾、水灾、地震等自然灾害对信息资产存放场所的破坏;电力故障、设备故障导致信息系统中断运行;未经授权的人员进入机房、办公区域等造成信息资产丢失或损坏。
-网络安全风险:网络攻击(如黑客攻击、恶意软件感染、分布式拒绝服务攻击等)导致网络瘫痪、数据泄露;网络边界防护薄弱,存在非法外联风险;内部网络存在安全漏洞,被内部人员利用进行违规操作。
-数据安全风险:数据泄露风险,如数据在传输、存储过程中被窃取;数据完整性受到破坏,导致数据错误或不可用;数据备份不及时、不完整,无法在数据丢失或损坏时进行有效恢复。
-应用系统安全风险:应用系统存在安全漏洞,被攻击者利用进行业务逻辑破坏、数据篡改;应用系统访问控制不当,导致未经授权的访问;应用系统与其他系统接口存在安全隐患,引发数据交互风险。
-人员安全风险:人员安全意识不足,如随意泄露密码、点击不明链接等,导致信息安全事件发生;人员操作失误,如误删除数据、错误配置系统参数等,影响信息系统正常运行;人员离职未及时进行权限交接,存在信息泄露风险。
-管理安全风险:信息安全管理制度不完善,存在制度空白或执行不力的情况;安全策略制定不合理,无法有效防范信息安全风险;安全管理流程不规范,如变更管理、应急管理等环节存在漏洞。
4.风险评价准则
-可能性等级:根据风险发生的概率,将可能性等级划分为高、中、低三个级别。
-高:风险发生的概率很高,在可预见的未来很可能发生。
-中:风险发生的概率中等,有可能在一定时间内发生。
-低:风险发生的概率很低,不太可能发生。
-影响程度等级:根据风险对信息资产保密性、完整性和可用性的影响程度,将影响程度等级划分为严重、较大、一般、轻微四个级别。
-严重:风险发生将导致信息资产