gbt22080信息安全风险评估管理程序

gbt22080信息安全风险评估管理程序内容摘要：

坏后可能对公司造成中等程度的损失 2 低 (B级 ) 不太重要，其安全属性破坏后可能对公司造成较低的损失 1 很低 (C级 ) 不重要，其安全属性破坏后对公司造成导很小的损失，甚至忽略不计 威胁识别 威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。 造成威胁的因素可 以 是人为 因素，也可以是环境因素， 在本评估方法中将 根据其表现形式 进行分类，详见表 3。 威胁作用形式可以是对信息系统直接或间接的攻击，在保密性、完整性和可用性等方面造成损害。 威胁分类 针对威胁来源，根据其表现形式将威胁主要分为以下几类。 表 3为基于表现形式的威胁分类方 法。 表 3 基于表现形式的威胁分类表 种类 描述 威胁子类 软硬件故障 对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用 德信诚 培训网 更多免费资料下载请进： 好好学习社区 或软件缺陷等问题 软件故障、数据库软件故障、开发环境故障等 物理环境影响 对信息系统正常运行造成影响的物理环境问题和自然灾害 断电、静电、灰尘、 潮湿、温度、鼠蚁虫害、 电磁干扰 、 洪灾、火灾、地震等 无作为或操作失误 应该执行而没有执行相应的操作，或无意执行了错误的操作 维护错误、操作失误等 管理不到位 安全 管理无法落实 或 不到位 ，从而破坏信息系统正常有序运行 管理制度和策略不完善、管理规程缺失、职责不明 确、监督控管机制不健全等 恶意代码 故意在计算机系统上执行恶意任务的程序代码 病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等 越权或滥用 通过采用一些措施，超越自己的权限访问了本来无权访问的资源，或者滥用自己的权限，做出破坏信息系统的行为 非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等 网络攻击 利用工具和技术通过网络对信息系统进行攻击和入侵 网络探测和 信息采集、漏洞探测、嗅探（帐号、口令、权限等）、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等 物理攻击 通过物理的接触造成对软件、硬件、数据的破坏 物理接触、物理破坏、盗窃等 泄密 信息泄露给不应了解的他人 内部信息泄露、外部信息泄露等 篡改 非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用 篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等 抵赖 不承认收到的信息 和 所作的操作和交易 原发抵赖、接收抵赖、第三方抵赖等 威胁赋值 判断 威胁 出现 的 频率 是 威胁赋值 的重要 内容 ，评估者应根据经验和（或）有关的统计数据来 进行 判断。 在评估中，需要综合考虑以下三个方面，形成各种威胁出现的频率： 以往安全事件报告中出现过的威胁及其频率的统计； 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计； 德信诚 培训网 更多免费资料下载请进： 好好学习社区 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。 对威胁出现的频率进行等级化处理，不同等级分别代表威胁出现的频率的高低。 等级数值越大，威胁出现的频率越高。 表 4是 威胁出现频率的赋值方法。 表 4 威胁赋值表 等级。