GB∕T 33132-2016 信息安全技术 信息安全风险处理实施指南
- 文档部分内容预览:
GB∕T 33132-2016 信息安全技术 信息安全风险处理实施指南
GB/T 331322016
图1风险处理基本流程图
阀门标准5.1制定风险处理计划
5.1.1划定风险处理范围
GB/T331322016
根据风险评估报告、组织的 边界时,应考虑以下因素: a) 业务系统的业务逻辑边界; b) 网络及设备载体边界; c) 物理环境边界; 组织管理权限边界;
5.1.2明确风险处理依据
风险处理的依据包括(但不限于): ) 国家的相关法律、法规和政策: 现行国际标准、国家标准和行业标准; 行业主管部门的相关规章和制度: 组织的业务战略和信息安全需求; e 组织业务相关单位的安全要求; 系统本身的安全要求等,
5.1.3组建风险处理团
信息安全风险处理是基于风险的信息系统的一种安全管理过程,因此风险处理团队既包括信息安 全风险管理的直接参与人员,也包括信息系统的相关人员。信息安全风险处理主要划分为管理层和执 行层,管理层负责信息系统风险处理的决策、总体规划和批准监督,各过程中的管理、组织和协调工作; 执行层负责信息安全风险处理的具体规划、设计和实施,过程监督、记录并反馈实施效果。 如果采用的风险转移方式中涉及到第三方单位,应将其纳人风险处理团队
5.1.4设定风险处理的目标和可接受准则
根据信息系统风险评估结果,依据国家相关信息安全要求,组织和相关方的信息安全诉求,明确风 险处理对象应达到的最低保护要求,结合组织的风险可承受程度,确定风险可接受准则。风险可接受准 则的划分可参考如下标准: a)风险等级为很高或高的风险建议进行处理,对于现有处理措施技术不成熟的,建议加强监控; b)风险等级为中的风险可根据成本效益分析结果确定,对于处理成本无法承受或现有处理措施 技术不成熟的,可持续跟踪、逐步解决; c)风险等级为低或很低的风险可选择接受,但应综合考虑组织所处的政策环境、外部相关方要求 和组织的安全目标等因素。 风险可接受准则宜与管理层充分沟通,得到组织管理层认可,并与风险处理计划一起提交管理层 批准。
5.1.5选择风险处理方式
根据风险处理可接受准则,明确需要处理的风险和可接受的风险,对于需要处理的风险,应初步
GB/T 331322016
定每种风险拟采取的处理方式,形成风险处理列表。风险处理方式可以是规避风险、转移风险、降低风 险三种处理方式的一种,也可以是多种处理方式的组合。 风险处理列表的内容包括风险名称、涉及的资产范围、初步确定的风险处理方式等。风险处理列表 需要得到组织管理层的认可和批准。
5.1.6明确风险处理资源
5.1.7形成风险处理计划
上述所有内容确定后,应形成风险处理计划。处理计划应包含(但不限于):风险处理范围、依据、目 标、方式、所需资源等。 输入:风险评估报告、风险等级列表 输出:风险处理计划
制定完成并确认后的风险处理计划,应得到组织最高管理者的批准 输入:风险处理计划 输出:风险处理计划批准表
制定完成并确认后的风险处理计划,应得到组织最高管理者的批 输入:风险处理计划 输出:风险处理计划批准表
6.1风险处理方案制定
依据组织的使命,并遵循国家、地区或行业的相关政策、法律、法规和标准的规定,参考信息系统的 风险评估报告,并结合风险处理准备阶段的处理依据、处理目标、范围和方式,依据每种风险的处理方式 选择对应的风险处理措施,编制风险处理备选措施列表。 输入:信息系统风险评估报告,风险处理目标列表,风险处理计划 输出:风险处理备选措施列表
6.1.2成本效益分析
案,衡量各种方案的成本和收益,如果风险造成的损失大于成本,则依据最佳收益原则选择适当的处理 方案。 对于成本效益分析可以采用定量分析和定性分析两种方法。对于定量分析首先需要确定客资产价 值,为各个风险输人资产价值,确定资产面临的损坏程度,之后估计发生的可能性,进而以损失价值与发 生概率相乘计算出预期损失。由于评估无形资产的主观性本质,没有量化风险的精确算法,建议根据组 织情况明确成本和效益的一到两个关键值,并设立期望值,进而选择可行方案(案例可参见附录A)。 在进行成本效益分析时,在成本应考虑的因素主要包括硬件、软件、人力、时间、维护、外包服务;效 益应考虑的因素主要包括政治影响、社会效益、合规性和经济效益。 输入:风险处理备选措施列表 输出:风险处理成本效益分析报告,更新后的风险处理备选措施列表
6.1.3残余风险分析
GB/T331322016
任何信息系统都存在风险,同时风险不可能完全被消除。因此,需对实施风险处理措施后的残余风 险进行分析。对残余风险的评价可以依据组织的风险评估准则进行。 若某些风险可能在选择了适当的控制措施后仍处于不可接受的风险范围内,则应通过管理层依据 风险接受原则考虑是否接受此类风险或增加更多的风险处理措施。为确保所选择的风险处理措施是有 效的,必要时可进行再评估,以判断实施风险处理措施后的残余风险是否降到了可接受的水平。 输入:风险处理备选措施列表 输出:风险处理残余风险分析报告,更新后的风险处理备选措施列表
6.1.4处理措施风险分析及应急计划
根据分析处理措施备选列表,对每项实施该处理措施可能带来的风险进行分析,确认是否会因为处 理措施不当或其他原因引人新的风险。针对存在的风险制定应对的方案,以提高实现风险处理目标的 会,并保证在出现同题时可以及时回退到原始状态。应急计划应包括处理措施面临的主要风险,针对 该风险的主要应对措施,每个措施应有明确的人员来负责,要求完成的时间以及进行的状态。进行处理 措施风险分析和应急计划的主要步骤包括: a 编制风险清单。风险清单包括:可预知的风险、风险的描述、受影响的范围、原因,以及对项目 目标的可能影响。 b 确定应对措施。在应急计划中,要选择适当的应对措施,就应对措施形成一致意见,同时还要 预计在已经采取了计划的措施之后仍将残留的风险和可能继发的风险,以及那些主动接受的 风险,并对不可预见风险进行技术和人员储备。 细化实施所选应对策略采取的具体行动、流程、预算、设备、人员和对应的责任。 d)对于可能发生的特定风险,可采用风险转移的方式进行处理。 输入:风险处理备选措施列表 输出.风险处理备选措施应急计划
6.1.5风险处理措施确认
在完成成本效益分析和残余风险分析后,对每项风险选定一种或者几种处理措施,完成最终的风险 处理措施列表。然后对所有措施的成本、效益和参与的风险进行汇总,分析所选措施实施的整体成本、 效益和残余风险,确定满足风险处理目标。 在完成风险处理措施选择后,应将最终的处理措施提交组织管理层进行确认和批准。 输入:风险处理备选措施列表,风险处理成本效益分析报告,风险处理残余风险分析报告,风险处理 备选措施应急计划 输出:风险处理措施选择列表
6.1.6风险处理方索编制
依据机构的使命和相关规定,结合处理依据、处理目标、范围和方式、风险处理措施、成本效益分析、 残余风险分析以及风险处理团队的组成,编制风险处理方案。风险处理方案应包括风险处理的范围、对 象、目标、组织结构、成本预算和进度安排,并对每项处理措施的实施方法、使用工具、潜在风险、回退方 法、应急计划以及各项处理措施的监督和审核方法及人员进行明确说明, 风险处理方案编制完成后,可由管理层批准,或组织专家对风险处理方案进行评审。 输入:风险处理措施选择列表,风险处理计划 输出:风险处理方案
6.2风险处理方率实施
6.2.1风险处理措施测试
风险处理措施测试是在风险处理措施正: 实施前,选择风险处理关键措施,尤其是对在线生产系 统,应进行测试以验证风险处理措施是否符合风险处理目标,判断措施的实施是否会引入新的风险,同 时检验应急恢复方案是否有效。如果发现某项处理措施无法实施,则应重新选择处理方法,必要时需重 新进行成本效益分析、风险分析和审批。 输入:风险处理方案 输出风险处理措施测试报告,更新后的风险处理方案
6.2.2风险处理措施实施
在完成风险处理措施的测试工作后,应按照风险处理方案实施具体的风险处理措施。在实施过程 中,实施风险处理的操作人员应对具体的操作内容进行记录、验证实施效果,并签字确认,形成风险处理 实施的记录(记录格式可参见附录A),以便后期回溯和责任认定。 在风险处理措施实施过程中,还应对每个风险点的处理细节进行跟踪,确认具体操作是否按照方案 步骤实施、严格遵守实施后效果的验证、详细填写文件记录等,进而做到对每个风险点处理质量的控制, 输入:风险处理方案 输出风险处理实施记录,风险处理实施报告
6.2.3风险处理过程监管与审核
在风险处理过程中,应根据风险处理方案明确风险处理质量、进度和费用等,进行督察、监控和评 价,以确保实现风险处理的目标。风险处理的审核应该包括以下内容: 监控过程的有效性:风险处理过程是否完整并被有效执行,输出的文档是否齐备和内容完整。 b) 监控成本的有效性:根据方案中的成本效益分析,确定执行中的成本与收益是否符合预期 目标。 c) 审核结果的有效性和符合性:风险处理结果是否符合风险处理的目标,风险处理结果是否因处 理措施的实施引人了其他风险或处理失效。 输入:风险处理方案,风险处理实施记录 输出:风险处理实施报告
在风险处理完成后,应评价风险处理的效果。 风险处理效果评价报告是批准监督阶段工作的重要 衣据。风险处理效果评价一般包括:编制评价方案、评价实施效果和确定持续改进等内容
风险处理效果评价应满足下列原则: 风险处理目标实现原则。在进行风险处理效果评价时,重点要验证风险处理目标列表中确定 的目标是否实现。 D) 残余风险可接受准则。风险处理的目的是为了将风险控制在可接受的范围内,因此评价风险 处理效果,就要评价实施风险处理后的残余风险是否可接受
GB/T331322016
安全投入合理准则。既要保证残余风险程度是可接受的,文要防止为了将残余风险降低到足 够小而作出了远远超过实际需要的投人。 在满足以上准则的基础上,还可制定其他效果评价准则。例如,在同样安全投人和同样残余风险程 度时,倾向于选择持续有效时间长的控制措施
风险处理效果评价方法根据风险处理结果不同可以分为残余风险评价方法和效益评价方法: a)残余风险评价方法:遵照GB/T20984一2007中提供的流程和方法,评价实施风险处理后的残 余风险。 b)效益评价方法:通过分析安全措施产生的直接和间接的经济社会效益与安全投人之间的成本 效益比、所实施的安全措施的成本效益比与可替代安全措施的成本效益比的比值等对所采取 的安全措施的效益进行评价。 风险处理效果评价的方法根据评价对象不同可以分为控制措施有效性评价方法和整体风险控制有 效性评价方法。 a)控制措施有效性评价方法:针对每个所选择的控制措施采用风险评价方法和效益评价方法。 b) 整体风险控制有效性评价方法:基于业务的风险控制评价,结合风险评估报告中相关信息,综 合评价实施风险处理措施后,残余安全风险可接受程度以及安全投入的合理性。
为有效实施风险处理效果评价,宜根据风险处理前期的风险评估和风险处理成果,确定评价对象 评价目标、评价方法与评价准则、评价项目负责人及团队组成,做好评价工作总体计划,并编制评价方 案。评价方案应通过专家评审,评价方案应获得组织管理层、风险处理实施团队相关利益方的认可。 输入:风险评估报告、经批准的风险处理计划、风险处理方案、风险处理实施报告及其他材料 风险评估报告:该报告包含了资产识别、威胁识别、脆弱性识别和风险分析等内容。 b 经批准的风险处理计划:该计划包含了组织管理层认可的风险处理依据、目标、范围和处理方 式、残余风险可接受程度等。 c) 风险处理方案:该方案包含了风险处理方式、风险处理控制措施等。 d) 风险处理实施报告:该报告包含了风险处理实施过程的详细信息等。 其他材料:在风险处理过程中形成的其他材料 输出:风险处理效果评价方案 风险处理效果评价方案:应至少包括评价对象、评价目标、评价依据、评价方法与评价准则、评价项
在评价过程中,应设置监督员,对评价过程进行监控,保证评价过程客观公正。效果评价可以分为 现场评价和分析评估两个阶段。现场评价阶段是指现场验证控制措施的有效性,并进行记录。分析评 古阶段是指使用基于资产的风险评价方法和整体风险评估方法对风险处理效果进行评价。 评价完成后,应编制风险处理效果评价报告,评价风险处理的效果,给出改进建议,并将评价报告与 相关利益者进行沟通, 输入:风险处理效果评价方案 输出:风险处理效果评价报告
GB/T331322016
风险处理效果评价报告为风险管理的批准监督提供依据,也是风险管理中监督检查的重要依据。 在监督检查中,可根据风险处理效果评价报告确定是否进行持续改进。 输入:风险处理效果评价报告 输出:风险处理后续改进方案
GB/T331322016
安全评估机构给出了安全处理建议,参见表A.2
表A.2风险处理建议
根据第三方机构提交的风险评估报告和风险处理建议,公司责成信息中心根据国家安全主管部门 要求、交通运输行业安全要求和公司的实际安全需求,制定相应的风险处理计划。 根据公司要求,信息中心以主管信息安全工作的副主任为组长,抽调下属处室的管理和技术人员 组建了风险处理团队,并设定了在满足国家安全政策和交通运输行业安全要求的前提下,有效解决×X <系统面临的安全风险,提升业务安全保障水平的处理目标。经过讨论,风险处理小组确定,本次风险 处理工作要围绕××X系统开展,评估所发现的所有风险都将纳人到本次的处理范围,并初步确定了风 验接受原则: a)风险等级高于(含)3的,为不可接受风险,均需采取安全措施予以处理。若无法处理,则需说 明原因,并通过专家论证会的形式予以论证; b) 风险等级为2的,需通过成本分析决定风险是否可以接受; C 风险等级为1的,为可接受风险,不再予以处理。 根据前述决定,风险处理小组制定了风险处理计划,参见表A.3。
通过综合考虑本单位的实 风险处理目标列表和风险 刻,制定了风险处理备选措施列表, 描述,参见表A.5
表A.5风险处理备选措施列表
GB/T331322016
A.3.2成本效益分析报告
XXX风险处理措施成本效益分析报告
XXX风险处理措施成本效益分析报告
根据单位的总体安全防护策略要求,同时对各项风险处理措施进行成本分析,在X月×日至 X月×日之间组织了信息中心、财务室和相关采购人员,对所有备选的措施进行效益分析,得出了总 体成本效益分析,参见表A.6。
表A.6风险处理措施列表
GB/T331322016
根据R1风险“重要业务数据未实现场外备份”的三种解决措施,各自优势和资金投人评估 口下: 1.建立可靠的同城异地备份中心,进行数据同步备份工作。安全性和可靠性最高,并可实现单 位内部所有系统的数据管理,备份数据的实时性较高,并具自主可控性且维护方使。但是资 金投人较大,预计建设费用5000万元,后期每年需要500万元左右的维护费用。 2.租用IDC机房一个机柜,进行数据的同步备份。安全性和可靠性相对较高,基本可以实现该 系统重要业务数据的场外备份要求,并且备份数据的实时性较高。但是进出IDC机房维护 程序稍显复杂,预计每年投人费用10万元。 3.采用人工方式备份数据到同城的第二个办公区域,定期进行数据恢复测试。该项工作投入 最少,由于业务数据量基本可以通过两张光盘进行刻录即可,包括人员携带数据同步等可通 过日常工作顺便进行,接照每周进行一次备份,每年投入500元即可。 通过综合评估数据的重要性,建立实时数据的备份中心投入过大,暂不适合。对于在IDC机房 且用机柜问题,考虑到数据保密的管理和投入偏高因素,待后期实现数据更好的保密和业务数据重 要性更高后再考虑,因此决定选用第三种方式,既可满足要求,投人又相对较少。 (其他风险分析.)
通过总体的分析,选取了最适合的措施,总体预算成本约45方元,其中设备采购费用 人工费用15万元
过总体的分析,选取了最适合的措施,总体预算成本约45万元,其中设备采购费用30万元, 用15万元。
3.3残余风险分析报告
GB/T331322016
在完成成本效益分析后,需要对降低和转移后的残余风险进行分析,确保遗留的风险是在可接 受范围内。 第二章残余风险详细分析说明 通过成本效益分析,针对R1风险“重要业务数据未实现场外备份”的解决措施暂定为“采用人 工方式备份数据到同城的第二个办公区域,定期进行数据恢复测试”,目前该项措施残余的风险 包括: ·数据的实时备份效果较差,存在系统本地备份不可用后,数据无法完全恢复到瘫痪前的最终 状态; 。备份介质管理存在隐患,由于使用的是光盘进行存储,可能由于人为或者其他原因导致损 坏,备份数据无法使用; ·人员在进行数据携带过程中,存在将数据拷贝到个人电脑中,导致数据被窃取的风险 综合考虑目前残留的风险带来的损失,这些风险是可以接受的。 第三章总结 通过残余风险分析,成本效益分析后选择的处置措施遗留的风险均在可接受范围内,无需进行 修改和调整
在完成成本效益分析后,需要对降低和转移后的残余风险进行分析,确保遗留的风险是在可接 受范围内。 第二章残余风险详细分析说明 通过成本效益分析,针对R1风险“重要业务数据未实现场外备份”的解决措施暂定为“采用人 工方式备份数据到同城的第二个办公区域,定期进行数据恢复测试”,目前该项措施残余的风险 包括: ·数据的实时备份效果较差,存在系统本地备份不可用后,数据无法完全恢复到瘫痰前的最终 状态; 。备份介质管理存在隐患,由于使用的是光盘进行存储,可能由于人为或者其他原因导致损 坏,备份数据无法使用; ·人员在进行数据携带过程中,存在将数据拷贝到个人电脑中,导致数据被窃取的风险 综合考虑目前残留的风险带来的损失,这些风险是可以接受的。 第三章总结 通过残余风险分析,成本效益分析后选择的处置措施遗留的风险均在可接受范围内,无需进行 修改和调整
A.3.4风险处理方案
XX系统风险处理方案
对风险处理的范围、对象、目标、组织结构、成本预算和进度安排,并对每项处理措施的实施方 法、使用工具、潜在风险、回退方法、应急计划以及各项处理措施的监督和核实人员进行说明。 第一章概述 X×文系统风险处理的主要目标是通过安全整改和管理制度完善等措施,确保对现存的8项不 可接受风险进行规避、减低和转移。风险处理范围和对象包括×××系统相关的机房、服务器、终 端、管理制度等。 第二章项目团队 项目团队按照项目经理负责制,划分制度建设组、系统建设组、策略调整组,各项工作由项目经 理统一安排。 第三章 工作进度安排
对风险处理的范围、对象、目标、组织结构、成本预算和进度安排,并对每项处理措施的实施方 法、使用工具、潜在风险、回退方法、应急计划以及各项处理措施的监督和核实人员进行说明。 第一章概述 XXX系统风险处理的主要目标是通过安全整改和管理制度完善等措施,确保对现存的8项不 可接受风险进行规避、减低和转移。风险处理范围和对象包括×××系统相关的机房、服务器、终 端、管理制度等。 第二章项目团队 项目团队按照项目经理负责制,划分制度建设组、系统建设组、策略调整组,各项工作由项目经 理统一安排。 第三章 工作进度安排
项目团队按照项目经理负责制,划分制度建设组、系统建设组、策略调整组,各项工作由 理统一安排。 第三音工作进度安排
表A.7风险处理措施实施进度安排
风险处理的流程如下: 对重要的应用系统、数据库等进行必要的备份; 系统配置调试之前重起系统并测试应用,以确保服务器本身不存在故障 按照风险处理方案实施操作; ·完成之后重启系统并测试应用; 确认应用无故障后,各方签字确认。 风险处理措施回退方案与风险处理措施实施记录单参见表A.8和表A.9
表A.8风险处理措施回退方案(以R9风险为例)
取消勾选框,并对所要限制的媒体设置为不执行操作
GB/T331322016
A.3.5风险处理实施报告
风险处理实施报告 第一章概述 通过风险评估,×××系统发现了10个风险点,其中2个风险点为可接受风险,对于不可接受 风险选择了进行处理,整个处理过程分为5个阶段,分别为前期准备、测试、风险处理实施、结果确认 和报告编制。 第二章风险处理说明 整个实施过程在信息中心的统一管理下,系统开发商、安全服务商和系统运维商共同参与配置, 整体项目工期耗时3个月。 第一阶段.. 第二阶段 .. 第三章风险处理结果 通过风险处理工作,系统的风险降到了可以接受的范围。 附件:各风险处理记录单 参见前述记录单。
GB/T331322016
1.1评价依据 《×××信息系统风险处理实施报告》 1.2评价对象 对×XX信息系统风险的处理进行评价,具体风险及其处理方式参见表A.6。 1.3评价方法 本次处理效果评价采取措施有效性评价与整体风险评价相结合的方式评价效果,参见表A.1
纺织标准表A.10风险处理措施评价方法表
2.1措施有效性评价 根据采集的评价记录,对风险处理控制措施的有效性进行评价,参见表A.11。
GB/T331322016
表A.11风险处理控制措施有效性评价结果表
残余风险评估的结果,对整体风险进行评价,参见
技术标准表A.12风险再评价表
3.1评价结论 根据评价分析可以得知,本次风险处理共对9项风险采取了风险降低处理方式,由评价结果可 知,其中的8项均达到了预期的处理目标,风险降低到了可接受程度,有1项处理效果未达到预期的 处理目的,整体分析可知,本次风险处理基本达到了预期的安全目标。 3.2未达标原因分析 3.3改进建议
GB/T331322016
....- 相关专题: 信息安全技术