信息安全风险管理方法研究
信息安全风险管理方法研究
李焱
(工业和信息化部计算机与微电子发展研究中心,北京100048)
摘要:信息安全风险管理的目标就是平衡"安全成本"和"安全级别",将风险控制在可接受程度,保护信息及相关资产。本文主要阐述如
何适度和有效地进行信息安全的风险的管理和控制方法。
关键词:风险控制;风险评估;漏洞扫描;系统加固;渗透测试
中图分类号:TP309 文献标识码:A
Research on method of information security
risk management
Li Yan
(Research Center for Computer and Microelectronics Industry Development MIIT,Beijing 100048,China)Abstract
Information security risk management objective is to balance "security costs" and "security level" will be controlled at an acceptable level of risk, protection of information and related assets. This article focuses on how to appropriately and effectively manage and control information security risks.
Keywords
Risk control;Risk Assessment;Vulnerability scanning;System Reinforcement;Penetration Testing
一、引言
风险管理(Risk Management)旨在对企业潜在的机会和风险进行识别、估测、分析、评价,及时采取有效的措施进行防范和控制Prevention and control。有效地对各种风险进行管理,对企业各环节相关的风险进行识别(Identification)、估测(Estimation)、分析(Analysis)、评价(Evaluation)、防范(Prevention)、控制(Control)及信息交流(Information exchange),可以将企业的损失减小到最低程度而使商机达到最大程度。风险管理既是为了发现商业机会,同样也是为了避免或减轻损失。风险管理过程(Risk Management Process)是指系统地将管理方针、程序和实施应用于风险的环境建立、识别、估测、分析、评价、防范、控制及信息交流等任务。
风险管理(Risk management)的理念和方法论同样适用于信息安全(Information security)的领域。信息安全是保障现代企业信息系统顺利运行的关键安全保障因素。企业普遍对信息安全缺乏有效的控制(Control)和管理(management),过度的风险管理,不但花费大量不必要的人力、物力和金钱的、而且会严重降低工作效率(work efficiency)。如何对信息安全的风险进行适度有效的管理和控制,是企业迫切面临的首要任务。
图1:开销和安全提升关系对应图
安全水平(level of security)的提升(或安全风险Safety risk的降低)与相对应的开销的关系,如上图所示。安全水平在较高层面,需要巨大的开销才能得到细小的提高,开销甚至超过了所保护资产的价值。通过对的资产和风险的精细评估,企业就可以在投资提升安全风险降低(risk reduction)、风险承受( risk tolerance)、风险转移(risk transfer)等做出准确的选择。
本文中描述的风险的评估过程主要包括风险管理过程中的识别、估测、分析、评价、处理等任务,它是一个非常复杂的工作过程,风险出现的概率、风险的表现形式(Form)、风险造成的后果(Consequence)以及风险的来源(Source)等千差万别,需要缜密的思考和科学的分析模型。本文描述即是阐明风险评估过程的理念和方法论,以作为安全服务的标准方法论和理论基础,指导和规范安全风险安全服务工作。
二、信息安全风险管理方法
1.参考标准与方法
在《信息安全评估指南》评估模型[1]如下图所示:特点是以风险为核心。
图2:《信息安全评估指南》评估模型
在ISO/IEC27001中,安全评估模型[2]如下图所示:特点是以风险为核心。
图3:ISO/IEC27001信息安全评估模型
在国际标准ISO13335中,安全评估模型[3]如下图所示,特点是以风险为核心。
图4:ISO13335安全模型
在国际标准ISO15408中,安全模型[4]如下图所示,其特点是强调了模型的
对抗性和动态性。
图5:ISO15408安全模型
2.风险分析方法的选择
定性分析(qualitative analysis)、定量分析(quantitative analysis)和半定量分析(semi quantitativeanalysis)是几种常见的风险分析方法,或者是将这几种分析方法的进行组合应用分析。如果将这几种分析方法按其复杂性(Complexity)和成本按递减的顺序进行排列:定量分析、半定量分析、定性分析。实际具体应用中,为了得到风险程度的总提示,一般首先采用定性分析。
鉴于企业实际评估效果(Effect evaluation)、工作量、成本效益(Cost effectiveness)、技术复杂度(Technical complexity)和数据收集困难等方面的考虑,选择半定量分析方法作为安全风险评估的标准方法。
3.风险评估模型
在安全评估服务中,参照上述三个安全模型,根据工程实践,建立了自己的风险评估模型,描述如下:
图6:CSTC安全风险评估模型
在该风险评估模型中,主要包含信息资产(Information Asset),弱点(Vulnerability)、威胁(Threat)和风险(Risk)四个要素。每个要素各自有一个或两个属性,信息资产的属性资产价值(Assets Value),弱点的属性被威胁利用的难易程度(How Easily Exploited by Threats)、威胁的两个属性威胁的可能性(Threat Likelihood)、威胁的严重性(Threat Severity,又名影响的严重性),风险的两个属性风险的后果(Risk Consequence)和风险的可能性(Risk Likelihood)。其中资产价值和威胁的严重性构成风险的后果,威胁弱点的可能性和难易程度构成风险的可能性,风险的后果(Risk Consequence)和风险的可能性(Risk Likelihood)构成风险。
4.信息资产调查
信息资产(Information assets)的识别可以确定评估的对象,是整个安全服务工作的基础。并且,本阶段可以帮助企业实现信息资产识别和整理,完成一份完整和最新的信息资产清单(Information assets list),对企业的信息资产管理工作会有所帮助。
5.漏洞工具扫描
为了充分了解企业当前网络存在的安全隐患(Hidden danger),采用漏洞扫描(Vulnerability scanning)工具对企业的网络进行全面扫描,搜索企业数据库(Database)、工作服务器(Job server)以及交换机(Switch)等网络设备的缺陷,寻找挖掘企业网络的漏洞防止入侵者非法闯入。
6.人工评估
人工评估(artificial evaluation)为安全加固(Security reinforcement)工作提高依据。同时让管理层能够明显的看到存在的问题。通过人工评估发现应用服务在配置、补丁和日常维护和管理上存在的安全问题。
通过安全技术专家的经验对主机、系统和网络设备进行安全检查,发现其潜在的安全隐患(Hidden danger),是作为网络扫描发现弱点方式的补充。
7.渗透测试
渗透测试(Penetration testing)是在企业的允许下和可控的范围内,采取可控的、不造成不可弥补损失的黑客入侵(Hackers)手法,对网络和系统发起真正
攻击。目的是侵入系统并获取机密信息,将入侵的过程和细节产生报告。
渗透测试没有标准的定义,国际通用说法:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种。[EB/OL]这个方法在对被测试业务系统正常运行没有影响,模拟攻击者(Simulation of the attacker)对被测试业务系统进行攻击测试。渗透测试作为网络安全防范的一种新技术,对于网络安全组织具有实际应用价值。
工具扫描(Tool scanning)和渗透测试相补相成。工具扫描速度快和效率高,但误报率也高,对发现深层次、复杂的安全问题发现不了。渗透测试模拟真正的黑客入侵攻击方法,以人工渗透(Artificial infiltration)为主,辅助以攻击工具的使用,是对工具扫描以很好的互相补充。渗透测试人力需要较大、对专业技能测试人员的要求高(渗透测试报告的含金量直接取决于测试人员的业务素质),相对准确性较高,可以发现更深层次、逻辑性更强的漏洞。下图为渗透测试的工作流程。
图7:渗透测试工作流程图
8.网络构架评估
网络架构评估(Network architecture evaluation)的目的是为了发现网络结构(Network structure)存在的安全性、协议配置(Protocol configuration)合理性问题,网络设备存在的安全性,抗攻击的问题。
对网络结构(Network structure)、逻辑网络结构(Logical network structure)及网络的关键设备(key equipment)进行评估,发现存在的安全性(Safety)等方面的问题。对逻辑网络(系统体系、业务体系)结构的检查,网络的安全性
取决于网络物理组成(The network physical composition)、网络管理、关键硬件设备(例如:路由器,交换机等)的地理安装(Geographic installation)分布方式和设置[5]。
具体工作为:
1.网络拓朴评估。
2.路由协议评估。
3.接入方式评估。
4.协议选择评估。
5.流量分析。
6.安全事件紧急响应措施评估。
7.安全审计制度和实施情况调查。
8.密码和身份认证手段调查和评估。
9.访问控制情况调查评估。
10.漏洞评估和入侵检测机制评估。
11.安全策略和安全制度分析评估。
12.安全配置均衡性分析。
13.接入/连接方式的安全性评估。
14.信任网络之间的安全性评估。
15.网络节点的安全性评估。
16.网络架构管理评估。
17.网络设备认证管理评估。
18.网络的高可用性和可靠性评估。
9.评估总结与系统加固
评估总结(Summary of evaluation)与系统加固(System of reinforcement)主要目的是为了全面分析企业的安全风险(Safety risk),并制定风险的应对方案、并开展实施工作。具体实施步骤如下:
1.对安全评估工作进行总结,全面分析企业的漏洞(Vulnerability)、威胁(threat)和风险risk,评估风险可能带来的影响,并生成《XX企业信息系统安全现状报告》。
2、根据风险评估的结果,制定《XX企业信息安全规划》、《XX企业信息安全系统升级方案》、《XX企业信息安全规划设计书(代可研)》、《XX 企业信息安全系统建设设计方案》。
10.信息安全管理体系制度建设
根据风险评估及相关前期工作成果,按照ISO 27001标准要求编制安全方针和制度,建立完善的信息安全管理制度体系。具体工作为:
1、根据相关报告,编写《信息安全管理体系》。
2、体系完善,编写《信息安全体系试运行总结报告》。
3、开展分层次全方位的信息安全培训。
图8.信息安全文件体系图
三、信息安全的风险控制
信息安全风险管理方法可能出现的主要风险是在安全评估(Safety assessment)时可能会对企业的业务系统产生一定的影响。使风险影响(Risk effect)降至最低,需在评估前及评估过程中采取如下的规避措施:
1.系统备份与恢复(System backup and recovery)
关闭被评估系统正在运行的操作程序,进行完整的系统数据备份(system data backup),便于在渗透测试(Penetration testing)过程中出现异常后及时恢复系统(Recovery system)。
操作系统(operating system):对System information,registry,sam文件,/etc
中的configuration files以及其他含有重要SystemConfiguration information和
User information的相关目录和文件进行备份,同时注意备份文件的安全性和完整性。
?数据库(Database):对database system进行数据转储,确保备份数据安全完
整。对Database system的Configuration information和User information息同时进行备份。
?网络应用系统(Network application system):对网Network application system
及其configure、User information、Database等进行同步备份。
?网络设备(Network equipment):对Network equipment的configuration files
进行同步备份。
2.扫描风险应对措施(the risk response measures of scanning)
?扫描时尽量避免使用含有Denial of service类型的Scanning mode,建议采用
Manual inspection的方法来发现System存在的Denial of service漏洞。
?扫描工作尽量安排晚上或在业务不繁忙的时段。
?扫描模式(Scanning mode)基于对各种扫描器的Analysis of performance
and risk选取原则:采用天镜扫描器(Day mirror scanner)扫描,主要占用网络系统(Network system)带宽资源(通过线程Thread、并发数number of concurrent限制,控制在百分之五以内)和评价系统(evaluated system)的小部分(控制在百分之五以内)的资源。对采用Day mirror scanner的扫描会对database system造成大范围和长时间的负载,对Database的Performance会产生一定影响。Day mirror scanner所使用的扫描代理(Proxy scanner)可能与目标系统(The target system)不匹配是其存在的风险,对系统的稳定性有一定
的影响。
扫描过程中出现被评估系统(evaluated system)没有响应的情况发生,扫描工作必须立即停止,分析情况,在查找到问题以后,恢复系统,调整扫描策(Scanning strategy)略等措施后,继续进行扫描。
四、结束语
伴随着计算机和网络技术的发展,信息安全对企业的重要性是不言而喻的,对信息安全管理不仅是技术层面的问题,更是管理层面的事件。希望本文给出的信息安全风险管理方法为企业的风险评估和风险管理提供一些有益的帮助。
五、参考文献:
[1] GB/T 20984—2007 信息安全风险评估指南[S]
[2] ISO/IEC27001—2005 信息安全管理实用规则[S]
[3] ISO13335—1996 IT 安全管理指南[S]
[4] ISO15408—1999 信息技术安全评估准则[S]
[5] 郑睿.基于以太网交换机的SDN功能实现与分析[J].电子科学技术,2014
六、作者简介:
李焱,男,高级工程师,任职于工业和信息化部计算机与微电子发展研究中心,从事工业和信息化技术的研究与设计应用。
信息安全风险管理程序69382
1目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。 2范围 本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。 3职责 3.1研发中心 负责牵头成立信息安全管理委员会。 3.2信息安全管理委员会 负责编制《信息安全风险评估计划》,确认评估结果,形成《风险评估报告》及《风险处理计划》。 3.3各部门 负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。 4相关文件 《信息安全管理手册》 《GB-T20984-2007信息安全风险评估规范》 《信息技术安全技术信息技术安全管理指南第3部分:IT安全管理技术》 5程序 5.1风险评估前准备 ①研发中心牵头成立信息安全管理委员会,委员会成员应包含信息安全重要责任部门的成员。 ②信息安全管理委员会制定《信息安全风险评估计划》,下发各部门。 ③风险评估方法-定性综合风险评估方法 本项目采用的是定性的风险评估方法。定性风险评估并不强求对构成风险的各个要素(特别是资产)进行精确的量化评价,它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准,来对风险要素进行相对的等级分化,最终得出的风险大小,只需要通过等级差别来分出风险处理的优先顺序即可。 综合评估是先识别资产并对资产进行赋值评估,得出重要资产,然后对重要资产进行详细的风险评估。
5.2资产赋值 ①各部门信息安全管理委员会成员对本部门资产进行识别,并进行资产赋值。 资产价值计算方法:资产价值= 保密性赋值+完整性赋值+可用性赋值 ②资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估,并在此基础上 得出综合结果的过程。 ③确定信息类别 信息分类按“资产识别参考(资产类别)”进行,信息分类不适用时,可不填写。 ④机密性(C)赋值 根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的 应达成的不同程度或者机密性缺失时对整个组织的影响。 ⑤完整性(I)赋值 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的 达成的不同程度或者完整性缺失时对整个组织的影响。 ⑥可用性(A)赋值 根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的 达成的不同程度。
信息安全管理方案计划经过流程
信息安全管理流程说明书 (S-I)
信息安全管理流程说明书 1 信息安全管理 1.1目的 本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全; 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟 踪组织内任何信息安全授权访问; 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求; 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围 本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。 向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产(Asset):任何对组织有价值的事物。 2) 可用性(Availability):需要时,授权实体可以访问和使用的特性。 3) 保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和流程的 特性。 4) 完整性(Integrity):保护资产的正确和完整的特性。
5) 信息安全(Information security):保护信息的保密性、完整性、可用性及其他属 性,如:真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系(Information security management system ISMS):整体管理 体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改 进信息安全。 7) 注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资 源。 8) 风险分析(Risk analysis):系统地使用信息以识别来源和估计风险。 9) 风险评价(Risk evaluation):将估计的风险与既定的风险准则进行比较以确定重 要风险的流程。 10) 风险评估(Risk assessment):风险分析和风险评价的全流程。 11) 风险处置(Risk treatment):选择和实施措施以改变风险的流程。 12) 风险管理(Risk management):指导和控制一个组织的风险的协调的活动。 13) 残余风险(Residual risk):实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件(document):信息和存储信息的媒体; 注1:本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:文件的例子,如策略声明、计划、程序、服务级别协议和合同; 2) 记录(record):描述完成结果的文件或执行活动的证据; 注1:在本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:记录的例子,如审核报告、变更请求、事故响应、人员培训记录; 3) KPI:Key Performance Indicators 即关键绩绩效指标;也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、 计算、分析,衡量流程绩效的一种目标式量化管理指标,流程绩效管理的基础。
信息安全风险管理程序
城云科技(杭州)有限公司信息安全风险管理程序
目录
第一章目的 第一条目的:指导信息安全组织针对信息系统及其管理开展的信息风险评估工作。本指南定义了风险评估的基本概念、原理及实施流程;对资产、威胁和脆弱性识别要求进行了详细描述。 第二章范围 第二条范围:适用于风险评估组开展各项信息安全风险评估工作。 第三章名词解释 第三条资产 对组织具有价值的信息或资源,是安全策略保护的对象。 第四条资产价值 资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。资产价值通过机密性、完整性和可用性三个方面评估计算获得。 (一)机密性(Confidentiality):确保只有经过授权的人才能访问信息; (二)完整性(Integrality):保护信息和信息的处理方法准确而完整; (三)可用性(Availability):确保经过授权的用户在需要时可以访问信息并使用相关信息资产。 第五条威胁 可能导致对系统或组织危害的不希望事故潜在起因。 第六条脆弱性 可能被威胁所利用的资产或若干资产的弱点。 第七条信息安全风险 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 第八条信息安全评估 依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储
的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 第九条残余风险 采取了安全措施后,信息系统仍然可能存在的风险。 第四章风险评估方法 第十条风险管理模型 图1 风险管理模型 图1为风险管理的基本模型,椭圆部分的内容是与这些要素相关的属性。风险管理围绕着资产、威胁、脆弱性和安全措施这些基本要素展开。信息安全风险评估在对风险管理要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。 图1中的风险管理要素及属性之间存在着以下关系: (一)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小; (二)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价
信息安全事件管理程序.docx
信息安全事件管理程序 1 目的 为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制,减少信息安全事件和故障所造成的损失,采取有效的纠正与预防措施,特制定本程序。 2 范围 本程序适用于XXX业务信息安全事件的管理。 3 职责 3.1 信息安全管理流程负责人 ? 确定信息安全目标和方针; ? 确定信息安全管理组织架构、角色和职责划分; ? 负责信息安全小组之间的协调,内部和外部的沟通; ? 负责信息安全评审的相关事宜; 3.2 信息安全日常管理员 ? 负责制定组织中的安全策略; ? 组织安全管理技术责任人进行风险评估; ? 组织安全管理技术责任人制定信息安全改进建议和控制措施; ? 编写风险改进计划; 3.3 信息安全管理技术责任人 ? 负责信息安全日常监控; ? 信息安全风险评估;
? 确定信息安全控制措施; ? 响应并处理安全事件。 4 工作程序 4.1 信息安全事件定义与分类 信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响(后果)的。 造成下列影响(后果)之一的,均为一般信息安全事件。 a) XXX秘密泄露; b) 导致业务中断两小时以上; c) 造成信息资产损失的火灾; d) 损失在一万元人民币(含)以上的故障/事件。 造成下列影响(后果)之一的,属于重大信息安全事件。 a) 组织机密泄露; b) 导致业务中断十小时以上; c) 造成机房设备毁灭的火灾; d) 损失在十万元人民币(含)以上的故障/事件。 4.2 信息安全事件管理流程 ? 由信息安全管理负责人组织相关的运维技术人员根据XXX对信息安全的要求,确认代码管理相关信息系统的安全需求; ? 对代码管理相关信息系统进行信息安全风险评估,预测风险类型、
信息安全风险识别与评价管理程序
信息安全风险识别与评 价管理程序 文件编码(GHTU-UITID-GGBKT-POIU-WUUI-8968)
通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平。 二、范围: 适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。 三、责任: 管理者代表 信息中心执行信息安全风险的识别与评价;审核并批准重大信息安全风险,并负责编制《信息资产风险评估准则》,执行信息安全风险调查与评价,提出重大信息安全风险报告。 各部门 协助信息中心的调查,参与讨论重大信息安全风险的管理办法。 四、内容: 资产识别 保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此,应对组织中的资产进行识别。 在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。 表1 列出了一种资产分类方法。
信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。 信息分类定义: a)“国家秘密事项”:《中华人民共和国保守国家秘密法》中指定的秘密事; b)“企业秘密事项”:不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害,或者由于业务上的需要仅限有关人员知道的商业秘密事项; c)“敏感信息事项”:为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项; d)“一般事项”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项; e)“公开事项”:其他可以完全公开的事项。 信息分类不适用时,可不填写。
重大事件期间网络与信息安全管理规定
**集团有限公司 重大事件期间网络与信息安全管理规定(试行) 第一章总则 第一条为切实做好**集团有限公司网络与信息安全防护工作,建立有效的安全防护体系,进一步提高预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保重大事件期间网络与信息安全,制定本管理规定。 第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动,如重大会议、重大体育赛事等。 第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导,落实信息安全责任地;高度重视,强化安全防范措施;周密部署,加强各相关方协作为原则,以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响,确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。 第四条集团公司重大事件期间网络与信息安全管理工作范围包括:集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下,负责本单位网络与信息安全防范和整改工作。
第五条重大事件期间在时间上分为三个阶段,分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段;从重大事件起始日期至结束日期为实施阶段;从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。 第六条本规定适用于集团公司总部和系统各单位。 第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。 第二章准备阶段管理 第八条组织开展网络与信息安全查检工作,网络与信息安全采取自查和现场抽查相结合的方式,先开展各单位内部的网络与信息安全自查,在各单位自查的基础上,由集团公司组织相关人员对部分单位进行现场专项检查。 第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。 第十条对于检查发现的安全陷患,各单位应制定整改
2014年CCAA信息安全风险管理考题和答案
2014年CCAA信息安全风险管理考题和答案(继续教育考试试题) 1、下列关于“风险管理过程”描述最准确的是(C )。 A. 风险管理过程由风险评估、风险处置、以及监测与评审等子过程构成; B.风险管理过程由建立环境、风险评估、风险处置、以及监测与评审等子过程构成; C.风险管理过程由沟通与咨询、建立环境、风险评估、风险处置、以及监测与评审等子过程构成; D.风险管理过程是一个完整的过程,独立与组织的其他过程。 2以下关于信息安全目的描述错误的是(D )。 A.保护信息 B.以争取不出事 C.让信息拥有者没有出事的感觉 D.消除导致出事的所不确定性 3、对风险术语的理解不准确的是(C )。 A.风险是遭受损害或损失的可能性 B.风险是对目标产生影响的某种事件发生的机会 C.风险可以用后果和可能性来衡量 D.风险是由偏离期望的结果或事件的可能性引起的 4、以下关于风险管理说法错误的是(A )。 A.风险管理是指如何在一个肯定有风险的环境里把风险消除的管理过程 B.风险管理包括了风险的量度、评估和应变策略 C.理想的风险管理,正是希望能够花最少的资源去尽可能化解最大的危机 D.理想的风险管理,是一连串排好优先次序的过程,使当中的可以引致最大损失及最大可能发生的事情优先处理、而相对风险较低的事情则压后处理。 5、下列哪项不在风险评估之列(D ) A.风险识别 B.风险分析 C.风险评价 D.风险处置 6、对风险管理与组织其它活动的关系,以下陈述正确的是(B )。 A.风险管理与组织的其它活动可以分离 B.风险管理构成组织所有过程整体所必需的一部分 D.相对于组织的其它活动,风险管理是附加的一项活动 7、对于“利益相关方”的概念,以下陈述错误的是(D )。
信息安全管理制度附件:信息安全风险评估管理程序
本程序,作为《WX-WI-IT-001 信息安全管理流程A0版》的附件,随制度发行,并同步生效。 信息安全风险评估管理程序 1.0目的 在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施处理风险。 2.0适用范围 在ISMS 覆盖范围内主要信息资产 3.0定义(无) 4.0职责 4.1各部门负责部门内部资产的识别,确定资产价值。 4.2IT部负责风险评估和制订控制措施。 4.3财务中心副部负责信息系统运行的批准。 5.0流程图 同信息安全管理程序的流程 6.0内容 6.1资产的识别 6.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别,确定资产价值。 6.1.2资产分类 根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员 等类。 6.1.3资产(A)赋值 资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选 择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值 等级作为资产的最终赋值结果。资产等级划分为五级,分别代表资产重要性
的高低。等级数值越大,资产价值越高。 1)机密性赋值 根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产 2)完整性赋值 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产 3)可用性赋值 根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
3分以上为重要资产,重要信息资产由IT 部确立清单 6.2威胁识别 6.2.1威胁分类 对重要资产应由ISMS 小组识别其面临的威胁。针对威胁来源,根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。 6.2.2威胁(T)赋值 评估者应根据经验和(或)有关的统计数据来判断威胁出现的频率。 威胁频率等级划分为五级,分别代表威胁出现的频率的高低。等级数值越大,威胁出现
信息安全管理
一、信息安全管理 1、什么是信息安全管理,为什么需要信息安全管理? 国际标准化组织对信息安全的定义是:“在技术上和管理上维数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。当今的信息系统日益复杂,其中必然存在系统设计、实现、内部控制等方面的弱点。如果不采取适当的措施应对系统运行环境中的安全威胁,信息资产就可能会遭受巨大的损失甚至威胁到国家安全。 2、系统列举常用的信息安全技术? 密码技术、访问控制和鉴权;物理安全技术;网络安全技术;容灾与数据备份。 3、信息安全管理的主要内容有哪些? 信息安全管理从信息系统的安全需求出发,结合组织的信息系统建设情况,引入适当的技术控制措施和管理体系,形成了综合的信息安全管理架构。 4、什么是信息安全保障体系,它包含哪些内容? 5、信息安全法规对信息安全管理工作意义如何? 它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面: 1.为人们从事在信息安全方面从事各种活动提供规范性指导; 2.能够预防信息安全事件的发生; 3.保障信息安全活动参与各方的合法权益,为人们追求合法权益提供了依据和手段。 二、信息安全风险评估 1、什么是信息安全风险评估?它由哪些基本步骤组成? 信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。风险评估可分为四个阶段,第一阶段为风险评估准备;第二阶段为风险识别,第三阶段为风险评价,第四阶段为风险处理。 2、信息资产可以分为哪几类?请分别举出一两个例子说明。 可以分为数据、软件、硬件、文档、人员、服务。例如:软件有系统软件、应用软件、源程序、数据库等。服务有办公服务、网络服务、信息服务等。 3、威胁源有哪些?其常见表现形式分别是什么?
信息安全事件管理程序(正式版)
信息安全事件管理程序 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:___________________ 日期:___________________
信息安全事件管理程序 温馨提示:该文件为本公司员工进行生产和各项管理工作共同的技术依据,通过对具体的工作环节进行规范、约束,以确保生产、管理活动的正常、有序、优质进行。 本文档可根据实际情况进行修改和使用。 1 目的 为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制, 减少信息安全事件和故障所造成的损失, 采取有效的纠正与预防措施, 特制定本程序。 2 范围 本程序适用于XXX业务信息安全事件的管理。 3 职责 3.1 信息安全管理流程负责人 确定信息安全目标和方针; 确定信息安全管理组织架构、角色和职责划分; 负责信息安全小组之间的协调, 内部和外部的沟通; 负责信息安全评审的相关事宜; 3.2 信息安全日常管理员 负责制定组织中的安全策略; 组织安全管理技术责任人进行风险评估;
组织安全管理技术责任人制定信息安全改进建议和控制措施; 编写风险改进计划; 3.3 信息安全管理技术责任人 负责信息安全日常监控; 信息安全风险评估; 确定信息安全控制措施; 响应并处理安全事件。 4 工作程序 4.1 信息安全事件定义与分类 信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响(后果)的。 造成下列影响(后果)之一的, 均为一般信息安全事件。 a) XXX秘密泄露; b) 导致业务中断两小时以上; c) 造成信息资产损失的火灾; d) 损失在一万元人民币(含)以上的故障/事件。 造成下列影响(后果)之一的, 属于重大信息安全事件。 a) 组织机密泄露;
信息安全风险管理制度
信息安全风险管理办法 北京国都信业科技有限公司 2017年10月
前言 本程序所规定的是北京国都信业科技有限公司企业的信息安全风险管理原则,在具体实施过程中,各部门可结合本部门的实际情况,根据本程序的要求制定相应的文件,以便指导本部门的实施操作。 本制度自实施之日起,立即生效。 本制度由北京国都信业科技有限公司企业信息管理部起草。 本制度由北京国都信业科技有限公司企业信息管理部归口管理。
1目的 为规范北京国都信业科技有限公司企业(以下简称“本公司”)信息安全风险管理体系,建立、健全信息安全管理制度,确定信息安全方针和目标,全面覆盖信息安全风险点,对信息安全风险进行有效管理,并持续改进信息安全体系建设。 2范围 本制度适用于本公司信息管理部信息安全风险管理应用及活动。 3术语和定义 无。 4职责 信息管理部作为本公司信息安全管理的主管部门,负责实施信息安全管理体系必要的程序并维持其有效运行,制定信息安全相关策略、制度、规定,对信息管理活动各环节进行安全监督和检查,信息安全培训、宣传,信息安全事件的响应、处理及报告等工作。 信息安全管理人员负责全行信息安全策略的执行和推动。 5管理规定 5.1信息安全管理内容 信息安全管理内容应覆盖信息管理、信息管理相关的所有风险点,包括用户管理、身份验证、身份管理、用户管理、风险评估、信息资产管理、网络安全、病毒防护、敏感数据交换等内容。 5.2信息管理岗位设置 为保证本公司信息安全管理,设置信息管理部岗位分工及职责时,应全面考虑信息管理工作实际需要及责任划分,制定详细的岗位分工及职责说明,对信息
管理人员权限进行分级管理,信息管理关键岗位有设置AB 角。应配备专职安全管理员,关键区域或部位的安全管理员符合机要人员管理要求,对涉密人员签订了保密协议。 5.3信息安全人员管理 5.3.1人员雇佣安全管理 信息管理人员的雇佣符合如下要求: 信息管理人员的专业知识和业务水平达到本公司要求; 详细审核科技人员工作经历,信息管理人员应无不良记录; 针对正式信息管理人员、临时聘用或合同制信息管理人员及顾问,采取 不同的管理措施。 5.3.2人员入职安全管理 在员工工作职责说明书中除了要说明岗位的一般职责和规范以外,还要加入与此岗位相关的信息安全管理规范,具体内容参看各个安全管理规范中的适用范围部分。人员入职必须签订保密协议,在人员的入职培训内容中应该包括信息安全管理规范的相关内容解释和技术培训。 5.3.3人员安全培训 根据工作岗位对从业者的能力需求、从业者本身的实际能力以及从业者所面临信息安全风险,确定培训内容。考虑不同层次的职责、能力、文化程度以及所面临的风险,信息安全主管部门应该根据培训需求组织培训,制定培训计划,培训计划包括:培训项目、主要内容、主要负责人、培训日程安排、培训方式等,培训前要写好培训方案,并通知相关人员,培训后要进行考核。 5.3.4人员安全考核 人事部门对人员进行的定期考核中应该包括安全管理规范的相关内容。 5.3.5人员离职安全管理 本公司人员离职手续中应该包括如下安全相关的内容:
信息安全事件报告和处置管理制度
安全事件报告和处置管理制度 文号:版本号: 编制:审核:批准: 一、目的 提高处置网络与信息安全突发公共事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网络与信息安全突发公共事件的危害,保障国家和人民生命财产的安全,保护公众利益,维护正常的政治、经济和社会秩序。 二、适用范围 本预案适用于本局发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。 本预案启动后,本局其它网络与信息安全应急预案与本预案相冲突的,按照本预案执行;法律、法规和规章另有规定的从其规定。 三、职责 本预案由局信中心制订,报局领导批准后实施。局有关部门应根据本预案, 制定部门网络与信息安全应急预案,并报局信息中心备案。 结合信息网络快速发展和我局经济社会发展状况,配合相关法律法规的制定、修改和完善,适时修订本预案。 本预案自印发之日起实施。 四、要求 1.工作原则 预防为主:立足安全防护,加强预警,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共
同构筑网络与信息安全保障体系。 快速反应:在网络与信息安全突发公共事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。 以人为本:把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,及时采取措施,最大限度地避免公民财产遭受损失。 分级负责:按照谁主管谁负责、谁运营谁负责、谁使用谁负责”以及条块结合,以条为主”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强部门间、地局间的协调与配合,形成合力,共同履行应急处置工作的管理职责。 常备不懈:加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。 2组织指挥机构与职责 发生网络与信息安全突发公共事件后,应成立局网络与信息安全应急协调小组(以下简称局协调小组),为本局网络与信息安全应急处置的组织协调机构,负责领导、协调全局网络与信息安全突发公共事件的应急处置工作。局网络与信息安全协调小组下设办公室(以下简称局协调小组办公室),负责日常工作和综合协调,并与公安网监部门进行联系。 3先期处置 (1)当发生网络与信息安全突发公共事件时,事发部门应做好先期应急处置工作,立即采取措施控制事态,同时向相关局级主管部门通报。 (2)网络与信息安全事件分为四级:特别重大(I级)、重大(H级)、较大(皿级)、一般(W级)。 (3)局级主管部门在接到本系统网络与信息安全突发公共事件发生或可能发生的信息后,应加强与有关方面的联系,掌握最新发展态势。对皿级或W级的网络与信息安全突发公共事件,由该局级主管部门自行负责应急处置工作。对有可能演变为H级或I
ISO27001:2013信息安全风险管理程序
XXXXXXXXX有限责任公司信息安全风险管理程序 [XXXX-B-01] V1.0
变更履历
1 目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。 2 范围 本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。 3 职责 3.1 综合部 负责牵头成立风险评估小组。 3.2 风险评估小组 负责编制《信息安全风险评估计划》,确认评估结果,形成《信息安全风险评估报告》。 3.3 各部门 负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。 4 相关文件 《信息安全管理手册》 《商业秘密管理程序》 5 程序 5.1 风险评估前准备 5.1.1 成立风险评估小组 综合部牵头成立风险评估小组,小组成员应包含信息安全重要责任部门的成员。
5.1.2 制定计划 风险评估小组制定《信息安全风险评估计划》,下发各部门。 5.2 资产赋值 5.2.1 部门赋值 各部门风险评估小组成员识别本部门资产,并进行资产赋值。 5.2.2 赋值计算 资产赋值的过程是对资产在保密性、完整性、可用性和法律法规合同上的达成程度进行分析,并在此基础上得出综合结果的过程。 5.2.3 保密性(C)赋值 根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。 保密性分类赋值方法 5.2.4 完整性(I)赋值 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。 完整性(I)赋值的方法
论信息安全的风险防范和管理措施
论信息安全的风险防范与管理措施 本文结合各企事业单位信息安全管理现状与本单位的信息安全管理实践,重点论述了信息安全风险防范措施以及管理手段在信息安全建设中的重要性。 随着大数据时代的到来,互联网业务的飞速发展,人们对信息和信息系统依赖程度日益加深,同时,信息系统承载业务的风险上升,每天都会发生入侵、数据泄露、服务瘫痪和黑客攻击等安全事件。因此,信息安全已成为信息系统建设中急需解决的问题,人们对信息安全的需求前所未有地高涨起来。 一、信息安全建设中存在的问题 一直以来,许多企事业、机关政府在信息安全建设中,都存在以下2个方面的问题。 (1)存在重技术轻管理,重产品功能轻安全管理的问题。信息安全技术和产品的应用,在一定程度上可以解决部分信息安全问题,但却不是简单的产品堆砌,即使采购和使用了足够先进、数量充足的信息安全产品,仍然无法避免一些信息安全事件的发生。例如,在网络安全控制方面,如果在机房中部署了防火墙也配备了入侵检测设备,但配置却是”全通”策略,
那么防火墙及检测设备形同虚设。因此,安全技术需要有完备的安全管理来支持,否则安全技术发挥不了其应有的作用。 (2)欠缺信息安全管理体系的建设。有相当一部分单位的最高管理层对信息资产所面临威胁的严重性认识不足,缺乏信息安全意识及政策方针,以至于信息安全管理制度不完善,安全法律法规意识淡薄,防范安全风险的教育与培训缺失,或者即使有制度也执行不利。大部分单位现有的安全管理模式仍是传统的被动的静态的管理方法,缺少未雨绸缪的预见性,不是建立在安全风险评估基础上的动态的系统管理。 二、信息安全管理的含义与作用 信息安全管理是指整个信息安全体系中,除了纯粹的技术手段以外,为完成一定的信息安全目标,遵循安全策略,按照规定的程序,运用恰当的方法而进行的规划、组织、指导、协调、控制等活动,既经过管理而解决一些安全隐患的手段,信息安全管理是信息安全技术的重要补充。 信息安全管理包括三个方面的内容,一是在信息安全问题的解决过程中,针对信息安全技术管理内容;二是信息安全问题的解决过程中需要对人进行约束和规范的管理,如各?N规章制度、权限控制等内容;三
IT信息安全事件管理程序
IT信息安全事件管理程序 1 目的 为了在尽可能小地影响用户和用户业务的情况下使IT系统尽快恢复,从而维持良好的服务质量和可用性级别,特制定本程序。 2 范围 本程序适用于IT信息对核心系统及总行各部门及各分行、支行相关主机、网络、终端等IT事件处理流程的管理。 3 相关文件 《变更管理控制程序》 4 职责 4.1 网管值班人员负责接收所有事件的报告并记录,根据事件类型决定事件处理; 4.2 事件经理负责事件类型的确定,事件过程的管理; 4.3 支持团队负责针对事件的方案的实施和解决; 4.4 信息总经理负责重大事件的管理,担当重大事件经理的角色。 5 程序 5.1 事件管理目标 对于事件管理过程,应遵循以下目标: a)尽快恢复正常服务。 b)最小化事件对业务的影响。 c)确保一致地处理事件和服务请求而不会有任何遗漏。 d)定向到最需要的支持资源。 e)提供允许优化支持流程、减少事件数量和执行管理计划的信息。
5.2 事件的分类 5.2.1基于两个方面对事件进行分类: a)事件所造成的影响 b)事件的紧急程度 5.2.1.1 事件的影响等级 5.2.1.2 事件的紧急程度等级 5.2.1.3 事件的优先级 事件的优先级是根据事件的影响等级和事件的紧急程度来决定的。影响等级高并且紧急程度高的事件优先级为最高级,影响等级低并且紧急程度低的事件优先级为低级。
下表显示了与这些参数相关事件的分类: 5.3 事件的发现、记录和报告 5.3.1 事件的发现 事件通常由用户、IT团队、供应商或监控系统检测到。对于各类来源所探测到的事件报告,均应由首先接到报告的人员根据事件分类的原则进行判断,属于高等级或最高等级的事件,应立即向信息总经理报告,必要时应继续报告行领导及上级监管机构。 一般事件的处理按照5.4.1要求执行。 5.3.2 事件的记录 所有被报告或主动探测到的事件均应被记录。记录内容应包括: a)唯一参考号 b)记录日期和时间 c)记录事件的人员的身份 d)报告事件的人员的身份(包括姓名、部门、位置和联系详细信息) e)联系方法 f)受影响的配置项 (CI) 的详细信息 g)症状描述和任何错误代码 h)重现该问题所需要的步骤 5.4 事件的处理 5.4.1 一般事件 一般事件根据引起事件的不同原因,按照各类日常维护工作所涉及到的管理程序执行处理过程。
信息安全 个人信息安全管理体系 第5部分:安全风险管理指南
DB21 ICS35.020 L 70 辽宁省地方标准 DB 21/ T 1628.5—2014 信息安全第5部分:个人信息安全风险管 理指南 Information Security-Part5:Personal information security risk management guidelines 2014-07-15发布2014-09-15实施
目次 前言................................................................................III 引言.................................................................................IV 1 范围 (1) 2 规范性引用文件 (1) 3 术语和定义 (1) 4 要求 (2) 5 风险管理概述 (3) 5.1 风险因素 (3) 5.2 风险类别 (3) 5.3 风险管理职责 (4) 5.4 风险管理实施 (4) 5.4.1 过程 (4) 6 个人信息安全风险管理过程 (5) 7 风险管理范围 (6) 7.1 资源 (6) 7.2 范围界定 (7) 8 风险评估 (7) 8.1 原则 (7) 8.2 风险识别 (7) 8.2.1 资源识别 (7) 8.2.1.1 资源风险 (7) 8.2.1.2 资源风险确认 (7) 8.2.1.3 资源风险描述 (7) 8.2.1.4 资源风险跟踪 (8) 8.2.2 管理体系风险识别 (8) 8.2.3 识别约束 (8) 8.3 风险分析 (8) 8.4 风险判定 (10) 8.4.1 判定原则 (10) 8.4.2 风险影响 (10) 9 风险处理 (10) 9.1 风险处理原则 (10) 9.2 风险接受原则 (11) 9.2.1 风险接受基准 (11)
信息安全事件或事故管理程序
1.目的
使顾客的被害损失降到最小和事故造成的影响尽早补救。 2.适用范围 公司的信息安全事故。 3.职责 4.定义 信息安全事件:指系统、服务或网络的一种可识别的状态的发生,它可能是信对息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态。 信息安全事故:一个信息安全事故由单个的或一系列的有害或意外信息安全事件组成,它们具有损害业务运作和威胁信息安全的极大的可能性。 5.对突发事件的处理 有可能发生或发生了关于信息安全的突发事件时,信息安全管理者代表应迅速协同有关部门进行处理。所谓“突发事件”,是指机密信息的泄露或有可能泄露的所有情况,包含了信息系统安全事件和事故。当已经到机密信息的泄露或有可能泄露时,必须立即报告信息安全管理者代表及总经理,根据他们的要求采取回收、废弃等紧急措施。信息安全管理者代表接到这样的报告后,必须协同有关部门调查其事实和原因确认受损失程度,采取措施,防止类似事件的再次发生。 6.事故对应渠道 见事故报告联络 迅速把握事故状况,第一时间联络; 预见事故被害扩大的可能性,设定防范措施; 及时的将信息进行公开,并肩负说明的责任; 追究根本原因,防止同样事故的再次发生。 7.被害级别的设定和对应方式 ①对应可预见的被害,设定被害级别:S?A?B; ②根据各种各样的被害级别设定对应方法。具体对应见附表一。 8.事故对应管理流程 ◆信息安全推进委员会 总经理 ◆信息安全推进事务局 ①厂长;②管理者代表 ◆各部门 部门信息安全责任者、推进主管及当事人 事故处理过程 ①当事人等第一时间将事故内容逐级报告至所属部门信息安全责任者;
重大信息安全事件应急处置制度
重大信息安全事件应急处置 制度 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
重大信息安全事件应急处置制度 1、重大信息安全事件 、机房安全事件指机房空调系统、电源系统、服务器设备、网络及消防等出现重大突发事件,造成机房物理环境或设备的严重损害。主要包括: 电气事件:电气设备漏电造成电击伤人,严重的引起火灾事件;火灾事件:机房火灾造成网络设备、服务器等设备损毁;电力系统事件:长时间电力故障,备用UPS电源无法继续供电,造成机房网络设备、服务器停止工作。 、网络中断事件指造成本公司骨干网络中断24小时以上的网络事件。 、数据库系统事件数据库系统故障,造成数据损坏或丢失,导致应用系统无法正常使用,公司重要数据泄露造成公司管理、经营的负面影响和重大损失。 、网络入侵事件通过非授权方式侵入公司信息系统,对相关信息资产进行非授权监听、调用、篡改、销毁等,造成公司管理、经营的负面影响和重大损失。、病毒破坏事件指病毒、非预期程序代码植入公司信息系统,造成重大破坏。、重要存储介质失窃事件指存储有公司重要数据、商业秘密等信息的各类存储介质的遗失、失窃等,如纸质文件资料、硬盘、U盘、光盘等。 2、应急处置措施 、统一领导,分工协作在公司统一领导下,明确各部门职责,督促相关部门遵照“统一领导、归口负责、综合协调、各司其职”的原则,协同配合,有效地处臵突发事件和应急情况。 、明确责任,依法规范公司所属各部门,要按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求,依法对信息安全突发事件进行防范、监测、预警、报告、响应、指挥、协调和控制。
信息安全管理流程分析
信息安全管理流程分 析 Revised on November 25, 2020
信息安全管理流程说明书 (S-I)
信息安全管理流程说明书 1 信息安全管理 1.1目的 本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全; 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题, 识别并跟踪组织内任何信息安全授权访问; 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求; 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围 本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。 向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。
2术语和定义 2.1相关ISO20000的术语和定义 1) 资产(Asset):任何对组织有价值的事物。 2) 可用性(Availability):需要时,授权实体可以访问和使用的特性。 3) 保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实 体和流程的特性。 4) 完整性(Integrity):保护资产的正确和完整的特性。 5) 信息安全(Information security):保护信息的保密性、完整性、可用 性及其他属性,如:真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系(Information security management system ISMS):整体管理体系的一部分,基于业务风险方法以建立、实施、 运行、监视、评审、保持和改进信息安全。 7) 注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、 流程和资源。 8) 风险分析(Risk analysis):系统地使用信息以识别来源和估计风险。 9) 风险评价(Risk evaluation):将估计的风险与既定的风险准则进行比 较以确定重要风险的流程。 10) 风险评估(Risk assessment):风险分析和风险评价的全流程。 11) 风险处置(Risk treatment):选择和实施措施以改变风险的流程。