资源预览内容
第1页 / 共5页
第2页 / 共5页
第3页 / 共5页
第4页 / 共5页
第5页 / 共5页
亲,该文档总共5页全部预览完了,如果喜欢就下载吧!
资源描述
信息安全风险评价准则一 概述为确保XXXX公司有效的开展信息安全风险评估工作,结合公司信息安全现状及安全需求,特制定本准则。该准则用于指导XXXX公司在开展各类信息安全风险评估时的风险评价和控制活动。在开展风险评估活动时,依据本准则对风险进行等级化处理,并根据风险等级制定相应的风险控制和管理措施。二 评价依据2.1 主要依据的标准:信息安全技术 信息安全风险评估方法(GB/T 209842022)2.2 其他参考标准:信息安全技术 信息系统安全保障评估框架(GB/T 20274-2008)信息安全技术 信息安全风险评估实施指南(GB/T 31509-2015)信息安全技术 网络安全等级保护基本要求(GB/T 22239-2019)信息安全技术信息安全风险处理实施指南(GB/T 33132-2016)信息技术 安全技术 信息技术安全评估准则(GB/T 18336-2015)信息技术 安全技术 信息安全管理体系要求(GB/T 22080-2016)计算机信息系统 安全保护等级划分准则(GB 17859-1999)计算机场地安全要求(GB/T 9361-2011)信息安全技术 操作系统安全技术要求(GB/T 20272-2019)信息安全技术 数据库管理系统安全技术要求(GB/T 20273-2019)信息安全技术 网络基础安全技术要求(GB/T 20270-2006)信息安全技术 网络交换机安全技术要求(GB/T 21050-2019)(行标或行业要求)自行添加三 评价准则信息安全风险评价包括系统资产风险评价和业务风险评价。对系统资产风险值进行等级化处理,能够更好的管理和控制信息安全风险。风险等级的划分标准如下表所示。3.1 系统资产风险评价准则表 31系统资产风险等级划分表等级标识风险值等级划分描述5很高(4-5风险发生的可能性很高,对系统资产产生很高的影响4高(3-4风险发生的可能性很高,对系统资产产生中等及高影响风险发生的可能性高,对系统资产产生高及以上影响风险发生的可能性中,对系统资产产生很高影响3中等(2-3风险发生的可能性很高,对系统资产产生低及以下影响风险发生的可能性高,对系统资产产生中及以下影响风险发生的可能性中,对系统资产产生高、中、低影响2低(1-2风险发生的可能性中,对系统资产产生很低影响风险发生的可能性低,对系统资产产生低及以下影响险发生的可能性很低,对系统资产产生中、低影响1很低(0-1风险发生的可能性很低,发生后对系统资产几乎无影响3.2 业务风险评价准则表 32业务风险等级划分表等级标识风险等级划分描述5很高(4-5社会影响a)对国家安全、社会秩序和公共利益造成影响;b)对公民、法人和其他组织的合法性权益造成严重程度组织影响a)导致职能无法履行或业务无法开展;b)触犯国家法律法规;c)造成非常严重的财产损失。4高(3-4社会影响对公民、法人和其他组织的合法权益造成较大影响组织影响a)导致职能履行或业务开展受到严重影响;b)造成严重的财产损失。3中等(2-3社会影响对公民、法人和其他组织的合法权益造成影响组织影响a)导致职能履行或业务开展受到影响;b)造成较大的财产损失2低(1-2组织影响a)导致职能履行或业务开展受到较小影响;b)造成一定的财产损失1很低(0-1组织影响造成较小的财产损失四 风险控制4.1 风险处置方式降低风险:谋求减低不利风险发生的可能性和/或影响程度。减轻策略的例子:采用不那么复杂的流程;选择更可靠的供应商;进行更系统化的、更彻底的测试;冗余设计;增加资源或时间。规避风险:改变项目计划以消灭风险或保护项目目标免受影响。虽然不可能消灭所有的风险,但对具体风险来说是可以避免的。某些风险可以通过需求再确认、获取更详细信息、增强沟通、增派专家等方法得以避免。其他风险规避的例子:缩小项目工作范围以避免某些高风险的任务活动;采用更成熟的技术方案而非先进但尚未成熟的方案;避免跟不熟悉的服务提供商签约。转移风险:把风险的影响和责任转嫁给第三方,并不消灭风险。通常要为第三方付费用作为承担风险的报酬,采用合同形式。风险转移的例子:保险;业绩奖罚条款; 维护保修承诺。接受风险:面对风险选择不对项目计划作任何改变或干脆无计可施。积极的接受:制定应急计划并在风险发生时执行,风险征兆应被监视。应急计划可以大大减少处理麻烦的费用。消极的接受:“默默地承受”。对于高风险的事件可制定“退却计划” :风险准备金、备用方案、改变工作范围。最常用的措施是风险储备(预留):费用、资源、时间。风险储备的多少取决于风险的概率、影响和可接受的风险损失。4.2 风险处置原则n 风险等级高于(含)3的,为不可接受风险,采取安全措施予以处理。若无法处理,则需说明原因.并通过专家论证会的形式予以论证;n 风险等级为2的需通过成本分析决定风险是否可以接受;n 风险等级为1的,为可接受风险,不再予以处理。
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号