ISMS-2001信息安全风险评估管理程序.docx

ISMS-2001 第 PAGE 10页 共 NUMPAGES 10页 信息安全风险评估管理程序 文件编号：ISMS-2001 1 适用 本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险评估活动。 2 目的 本程序规定了本公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。 3 范围 本程序适用于第一次完整的风险评估和定期的再评估。在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。 4 职责 4.1 成立风险评估小组 信息安全领导小组负责牵头成立风险评估小组。 4.2 策划与实施 风险评估小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。 4.3 信息资产识别与风险评估活动 各部门负责本部门使用或管理的信息资产的识别，并负责本部门所涉及的信息资产的具体安全控制工作。 4.3.1 各部门负责人负责本部门的信息资产识别。 4.3.2 综合部负责汇总、校对全公司的信息资产。 4.3.3 综合部负责风险评估的策划。 4.3.4 信息安全小组负责进行第一次评估与定期的再评估。 5 程序 本公司按照《ISO/IEC 27001: 2013信息技术 安全技术 信息安全管理体系 要求》标准，总体风险管理框架，遵照《ISO31000： 2009 风险管理 原则和指南》的原则进行，风险评价和处置过程，执行《GB/T 20984—2007 信息安全技术 信息安全风险评估规范》，结合本公司实际业务状况和背景，规定以下风险评估流程。本公司风险管理总体框架如下： 信息安全小组根据风险原则，制定本公司风险管理方针： 落实风险责任，切合公司实际，动态管控风险，有效环境响应。 风险管理的PDCA过程，执行相应的程序文件。 信息安全小组负责在风险评价前，明确本公司的状况，考虑业务背景，相关方要求，法规要求，公司的文化特点，进行初期策划，形成文件，将策划内容编入《风险评估报告》中。公司状况分析，应作为风险评价的输入，体现在信息资产清单的范围，风险要素的识别，风险处置等方面。 风险评价过程中，应遵循风险管理方针的要求进行。 5.1 风险评估前准备 5.1.1 信息安全小组牵头成立风险评估小组， 5.1.2 风险评估小组制定信息安全风险评估计划， 5.1.3 5.2 信息资产的识别 5.2.1 本公司的资产范围包括： 5.2.1.1 信息资产 数据文档：客户数据，纸质文件资料，公司各种数据 软件资产：应用软件、系统软件、开发工具和适用程序。 物理资产：计算机设备、通讯设备、可移动介质和其他设备。 服务：培训服务、租赁服务、公用设施（能源、电力）。 人员：人员的资格、技能和经验。 无形资产：组织的声誉、商标、形象、资质、知识产权。 5.3资产及其重要度 5.3.1识别组织的资产 识别在评估范围内的资产。对于在范围内的每一项资产都要恰当统计；不在评估范围内的资产，也要进行记录； 按一定的标准，将信息资产进行恰当的分类，在此基础上进行下一步的风险评估工作。 5.3.2评估资产的重要度 对资产的等级进行定义，并表示成相对等级的形式。 识别出资产之后，必须对资产的重要度进行评估。评估的依据是资产的保密性、完整性和可用性在遭受损失之后的后果。 不同资产的安全属性的重要程度是不一样的，例如：对财务数据来说保密性和可核查性是最重要的安全属性，而对操作软件来说更强调可用性。对资产评估的过程本身就是对资产安全属性损失后果的分析。 在本程序中虽然不按照安全属性分别赋值，但是评估过程中要充分考虑本节中列出的各种安全属性。 资产重要度描述如下表。 等级 描 述 重要度赋值 3（高） 对这些资产的保密性、完整性或可用性等安全属性的影响（即发生泄露、损坏、丢失或无法使用等）将对组织造成极严重的或灾难性的损失，通常其直接或间接的影响范围波及到公司整体。 5 2（中） 对这些资产的保密性、完整性或可用性等安全属性的影响（即发生泄露、损坏、丢失或无法使用等）将对组织造成较重要的损失，通常其直接或间接的影响范围波及到公司局部。 3 1（低） 对这些资产的保密性、完整性或可用性等安全属性的影响（即发生泄露、损坏、丢失或无法使用等）将对组织造成一定的损失