信息安全風險識別與評價管理程序_第1頁
已閱讀1頁,還剩13頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、有限公司兩化整合管理體系文件(兩化整合管理體系文件(III)第1頁共14頁編號GMIIIB005版本號00題目:信息安全信息安全風險識別風險識別與評價管理程序價管理程序生效日期2015.07.20起草部門信息中心信息中心頒發(fā)部門總經總經理辦公室公室一、目的:一、目的:通過風險評過風險評估,采取有效措施,降低威估,采取有效措施,降低威脅事件事件發(fā)生的可能性,或者減少威生的可能性,或者減少威脅事件造成的影事件造成的影響,從而將響,從而將風險

2、風險消減到可接受的水平。消減到可接受的水平。二、范二、范圍:適用于適用于對信息安全管理體系信息安全信息安全管理體系信息安全風險風險的識別識別、評價、控制等管理。價、控制等管理。三、三、責任:任:3.1管理者代表管理者代表信息中心信息中心執(zhí)行信息安全行信息安全風險風險的識別識別與評價;價;審核并批準重大信息安全核并批準重大信息安全風險風險,并,并負責編負責編制《信息信息資產風險評資產風險評估準估準則》,執(zhí)行信息安全行信息安全風險調查風險調

3、查與評價,提出重大信息安全價,提出重大信息安全風險報風險報告。告。3.2各部各部門協(xié)助信息中心的助信息中心的調查調查,參與,參與討論討論重大信息安全重大信息安全風險風險的管理的管理辦法。法。四、內容:四、內容:4.1資產識別資產識別保密性、完整性和可用性是保密性、完整性和可用性是評價資產資產的三個安全屬性。的三個安全屬性。風險評風險評估中估中資產資產的價的價值不是以不是以資產資產的經濟經濟價值來衡量,而是由來衡量,而是由資產資產在這三個

4、安全屬性上的達成程度或者其安全屬性未達成三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使造成的影響程度來決定的。安全屬性達成程度的不同將使資產資產具有不同的價具有不同的價值,而,而資產資產面臨的威脅、存在的脆弱性、以及已采用的安全措施都將、存在的脆弱性、以及已采用的安全措施都將對資產對資產安全屬性的達成程度安全屬性的達成程度產生影響。生影響。為此,此,應對組織應對組織中的中的資產進資產進

5、行識別識別。在一個在一個組織組織中,中,資產資產有多種表有多種表現(xiàn)形式;同形式;同樣的兩個的兩個資產資產也因屬于不同的信息系也因屬于不同的信息系統(tǒng)而重要性而重要性不同,而且不同,而且對于提供多種于提供多種業(yè)務業(yè)務的組織組織,其支持,其支持業(yè)務業(yè)務持續(xù)運行的系運行的系統(tǒng)數(shù)量可能更多。數(shù)量可能更多。這時這時首先需首先需要將信息系要將信息系統(tǒng)及相關的及相關的資產進資產進行恰當?shù)姆中星‘數(shù)姆诸?,以此,以此為基礎進礎進行下一步的行下一步的風險評風

6、險評估。在估。在實際實際工作工作中,具體的中,具體的資產資產分類方法可以根據(jù)具體的方法可以根據(jù)具體的評估對象和要求,由象和要求,由評估者靈活把握。根據(jù)估者靈活把握。根據(jù)資產資產的表的表現(xiàn)形式,可將形式,可將資產資產分為數(shù)據(jù)、數(shù)據(jù)、軟件、硬件、服件、硬件、服務、人、人員等類型。型。表1列出了一種列出了一種資產資產分類方法。方法。表1一種基于表一種基于表現(xiàn)形式的形式的資產資產分類方法方法有限公司兩化整合管理體系文件(兩化整合管理體系文件(I

7、II)第3頁共14頁題目:信息安全信息安全風險識別風險識別與評價管理程序價管理程序編號GMIIIB005版本號00生效日期2015.07.205.1.1保密性保密性賦值賦值根據(jù)根據(jù)資產資產在保密性上的不同要求,將其分在保密性上的不同要求,將其分為五個不同的等五個不同的等級,分,分別對應資產別對應資產在保密性上在保密性上應達成達成的不同程度或者保密性缺失的不同程度或者保密性缺失時對時對整個整個組織組織的影響。的影響。表2提供了一種保密性提

8、供了一種保密性賦值賦值的參考的參考賦值標識定義5很高包含組織最重要的秘密,關系未來發(fā)展的前途命運,對組織根本利益有著決定性的影響,如果泄露會造成災難性的損害4高包含組織的重要秘密,其泄露會使組織的安全和利益遭受嚴重損害3中等組織的一般性秘密,其泄露會使組織的安全和利益受到損害2低僅能在組織內部或在組織某一部門內部公開的信息,向外擴散有可能對組織的利益造成輕微損害1很低可對社會公開的信息,公用的信息處理設備和系統(tǒng)資源等5.1.2完整性完整

9、性賦值賦值根據(jù)根據(jù)資產資產在完整性上的不同要求,將其分在完整性上的不同要求,將其分為五個不同的等五個不同的等級,分,分別對應資產別對應資產在完整性上缺失在完整性上缺失時對整個整個組織組織的影響。表的影響。表3提供了一種完整性提供了一種完整性賦值賦值的參考。的參考。表3資產資產完整性完整性賦值賦值表賦值標識定義5很高完整性價值非常關鍵,未經授權的修改或破壞會對組織造成重大的或無法接受的影響,對業(yè)務沖擊重大,并可能造成嚴重的業(yè)務中斷,難以彌

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論