信息安全评估管理程序.doc

信息安全风险管理程序 PAGE   PAGE 6/9 保密等级内控文档名称信息安全评估管理程序文档编号I/NB-B-06-2015发布组织MODERN信息安全工作小组发布日期2015年8月10日 执行日期2015年8月15日版 本 号X3 信息安全风险评估管理程序 批准人签字审核人签字制订人签字李教授 日期：2015/8/5李教授 日期：2015/8/5王敏 日期：2015/8/5 东北财经信息有限公司 目录  TOC \o 1-3 \h \z \u  HYPERLINK \l _Toc208631490 1.目的  PAGEREF _Toc208631490 \h 3  HYPERLINK \l _Toc208631491 2.专业术语  PAGEREF _Toc208631491 \h 3  HYPERLINK \l _Toc208631492 3.范围  PAGEREF _Toc208631492 \h 4  HYPERLINK \l _Toc208631493 4.职责  PAGEREF _Toc208631493 \h 4  HYPERLINK \l _Toc208631494 5.程序内容  PAGEREF _Toc208631494 \h 4  HYPERLINK \l _Toc208631495 5.1 风险评估前准备  PAGEREF _Toc208631495 \h 4  HYPERLINK \l _Toc208631496 5.2 信息资产的识别  PAGEREF _Toc208631496 \h 4  HYPERLINK \l _Toc208631497 5.3 重要信息资产风险等级评估  PAGEREF _Toc208631497 \h 5  HYPERLINK \l _Toc208631498 5.4 不可接受风险的确定和处理  PAGEREF _Toc208631498 \h 6  HYPERLINK \l _Toc208631499 5.5 评估时机  PAGEREF _Toc208631499 \h 6  HYPERLINK \l _Toc208631500 6.记录  PAGEREF _Toc208631500 \h 6  HYPERLINK \l _Toc208631501 7.相关/支持性文件  PAGEREF _Toc208631501 \h 7  HYPERLINK \l _Toc208631502 信息安全风险评估流程图  PAGEREF _Toc208631502 \h 8  HYPERLINK \l _Toc208631503 风险评估要点示意图  PAGEREF _Toc208631503 \h 9  1.目的 本程序规定了公司所采用的信息安全风险评估方法。通过识别信息资产、进行风险等级评估，认知本公司的信息安全风险。在考虑控制成本与风险平衡的前提下，选择合适控制目标和控制方式，将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。 2.专业术语 2.1风险管理 风险管理是以可接受成本，识别、评估、控制、降低可能影响信息系统风险的过程。通过风险评估识别风险，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降低到一个可以被接受的水平，同时考虑控制费用与风险之间的平衡。 风险管理的核心是信息的保护。信息对于组织是一种具有重要价值的资产。建立信息安全管理体系(ISMS)的目的是在最大范围内保护信息资产，确保信息的机密性、完整性和可用性，将风险管理自始至终的贯穿于整个信息安全管理体系中，这种体系并不能完全消除信息安全的风险，只是尽量减少风险，尽量将攻击造成的损失降低到最低限度。 2.2风险评估 风险评估指风险分析和风险评价的整个过程，其中风险分析是指系统化地识别风险来源和风险类型，风险评价是指按组织制定的风险标准估算风险水平，确定风险严重性。 风险评估的出发点是对与风险有关的各因素的确认和分析，与信息安全风险有关的因素可以包括四大类：资产、威胁、脆弱性、安全控制措施。 风险评估是对信息、信息处理设施、关键业务过程的威胁、薄弱点和风险的评估，它包含以下元素： 风险是被特定威胁利用的资产的一种或一组脆弱性，导致信息资产丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。 信息资产是对组织具有价值的信息资源，是安全控制