信息安全风险评估管理程序.docVIP

卷号 卷内编号 密级 内部公开 文件编号: ZD-ISMS-SMP01-MP0 正大软件集团 2008 信息安全风险评估管理程序 version：1.1 编制人：孙成英 日期:2008年4月18日 审核人: 蒋德伟 日期：2008年4月22日 批准人：王万均 日期：2008年4月22日 受控状态：受控 目 录 1．目的 4 2．适用范围 4 3．定义 4 3.1 信息安全风险 4 3.2 风险评估 4 4．职责 4 4.1信息安全经理 4 4.2各部门信息安全员 4 4.3信息安全管理委员会成员 4 5．工作程序 4 5.1风险评估的时机 4 5.2风险评估准备 5 5.3风险评估基本程序 5 5.4资产重要性评估 5 5.5威胁及脆弱性识别与评估 5 5.6信息安全风险排序 6 5.7信息安全风险汇总 6 5.8风险评估报告 6 5.9风险评估后续管理 7 6．引用文件 7 7流程图 8 8．记录 8 修订文档历史记录 日期 版本 说明 作者 2008-4-18 1.0 创建 孙成英 2008-8-18 1.1 在5.1节增加风险评估时机：每年年初和在项目启动时进行一次风险评估 孙成英 1．目的 确保信息安全风险评估结果的合理性。 2．适用范围 本指南适用于风险评估小组对正大集团及其所属公司的信息安全风险进行评估的活动。 3．定义 3.1 信息安全风险 威胁利用脆弱性造成某一信息资产或某一组信息资产丢失或损坏的可能性，这样的风险可能波及整个组织。 3.2 风险评估 计算风险程度并对风险进行优先级排序的过程。 4．职责 4.1信息安全经理 8．记录 《资产重要性评估表》 《信息资产风险评估表》 《风险评估报告》 《风险评估处置计划》 信息安全风险评估管理程序 第 7 页 共 7 页