《残余风险评估报告.docx》由会员分享,可在线阅读,更多相关《残余风险评估报告.docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、上海观安信息技术股份有限公司残余风险评估报告TSC-RA-4-20本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别 注明,版权均属上海观安信息技术股份有限公司所有,受到有关产权及版权法保护。任何个人、 机构未经上海观安信息技术股份有限公司的书面授权许可,不得以任何方式复制或引用本文件 的任何片断。修订历史记录版本号拟制人/修改人拟制/修改日期审批人更改原因主要更改内容(写要点即可)VI. 0陈芳2019-10-26李俊定稿1 .名词解释42 .如何评价残余风险43 .残余风险处置方法44 .残余风险处置流程55 .残余风险处置结果71 .名词解释残余风险:采取了风
2、险控制措施后仍然存在的风险;2 .如何评价残余风险评价残余风险:(-) 通常情况下,风险处置过程中选择实施了风险控制措施之后,需要再次评价对 应的风险等级,判断残余风险是否符合可接受的水平。如在可接受的范围内,各相 关负责人员需填写残余风险接受审批表,完成相应的,审批流程,接受残余风险。 如仍不能接受,则应再次重复风险处置过程(重新制订风险处置计划-实施处置方案 -评价残留风险),直至残余风险符合风险可接受标准,。止匕外,在风险接受准则的具 体执行方面,允许存在一些特殊情况。(二)对每一项已符合可接受标准的残余风险或符合IS027001标准的特殊情况应在 风险处置计划中给出清晰、全面、具体的说
3、明,便于对残余风险进行持续的闭环控 制。负责汇总风险评估报告和风险处置计划,进行范围内的风险评估和风险处置工作的整体 总结分析,将分析结果作为风险管理决策的依据,使负责人能够清楚地了解面临的信息 安全风险和风险处置措施及实施计划。3.残余风险处置方法通常有四种风险处置的方法:1) .避免风险:在某些情况下,可以决定不继续进行可能产生风险的活动来回避风险。 在某些情况可能是较为稳妥的处理办法,但是在某些情况下可能会因此而丧失机 会。2) .降低风险可能性:在某些情况下,可以决定通过合同、要求、规范、法律、监察、 管理、测试、技术开发、技术控制等措施来减小风险的可能性,来达到减小风险的目的。3)
4、.转移风险:这涉及承担或分担部分风险的另一方。手段包括合同、保险安排、合伙、 资产转移等。4) .接受风险:不管如何处置,一般资产面临的风险总是在一定程度上存在。决策者可 以在继续处置需要的成本和风险之间进行抉择。在适当的情况下,决策者可以选择 接受/承受风险。风险处置的方法选择主要需要参考以下两个方面:1) .风险可能造成的危害性。2) .控制、降低该风险方案的可行性,它需对成本因素、技术实现的难度、技术的成熟度 以及对企业现有业务系统的影响等各方面进行综合考虑。建议风险处理的策略:行性风险等於、低中高低接受接受降低中接受/转移降低降低高转移/避免降低/转移降低4.残余风险处置流程1 .选择
5、控制项在大多数情况下,必须选择控制项来降低风险。在完成风险评估之后,企业需要在每一个目 标信息环境中,对选择的控制项进行实施,以便遵从ISO/IEC27001标准。企业选择能够承受(经 济上)的防护措施来防护面临的威胁。在最终风险处置计划出来前,企业可以接受或拒绝建议的保护方案。2 .风险处置计划风险处置计划包含所有相关信息:管理任务和职责、管理责任人、风险管理的优先等级等等。 对企业来讲,有一些附加控制在标准中没有描述,但也是需要的。一个由外部咨询顾问协助的 风险评估会很有帮助。3 .控制项的实施通过风险处置计划的实施,企业应该尽其所能针对ISO/IEC27001中的标准内容在管理、技 术、
6、逻辑、物理和环境控制方面进行劝止、防护、检测、纠正、恢复和补偿工作。如下表所示。 措施需要在开发阶段说明、补充表:从各个方面采取措施实施控制控制项控制点措施管理策略和流程;人员管 理;安全监督机制及 组织,安全意识培训、 测试安全政策、标准、流程、指南;员工录用、 辞退流程;资产说明、标记、使用、修改、 销毁制度;安全意思培训;技术和逻辑系统访问;网络访问; 加密和协议;控制区 域;审计、验证逻辑访问控制;加密;防病毒软件;智能 卡;回退流程;用户限制界面;防火墙、 路由器、IDS、交换机等安全配置物理网络分段;安全边界、 计算机控制、工作区 域隔离、计算机备份; 缆线线;机房防护门、安全门卫、安全锁、监视系统、 环紧控制、入侵和移动检测、报警、险阱、 身份ID、生物识别等。4 .控制措施及其定义的原则 劝止:降低威胁的可能性; 防止:保护或降低资产的脆弱性; 纠正:降低风险和影响的损失; 检测:检测攻击和安全的脆弱性,针对攻击建立防护和纠正措施; 恢复:恢复资源和能力; 补偿:对控制措施的替代方案。同时应该咨询信息安全专家和法律专家,确保控制措施的选择和实施是正确、有效的。5.残余风险处置结果XX