T信息安全风险评估控制手册.doc

IT信息安全风险评估控制手册 1 目的 本程序规定了DXC所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估认知DXC的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持DXC持续性发展，以满足DXC信息安全管理方针的要求。 2 范围 本程序适用于信息安全管理体系(ISMS)范围内信息安全风险评估活动。 3 相关文件 4 职责 4.1 管理者代表负责组织成立风险评估小组。 4.2 风险评估小组负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。 5.1 风险评估前准备 5.1.1 管理者代表牵头成立风险评估小组,小组成员至少应该包含：负责信息安全管理体系的成员。 5.1.2 风险评估小组制定信息安全风险评估计划,下发各内审员。 5.1.3 必要时应对各内审员进行风险评估相关知识和表格填写的培训。 5.2信息资产的识别 5.2.1风险评估小组通过电子邮件向各内审员发放《信息资产分类参考目录》、《重要信息资产判断准则》、《信息资产识别表》，同时提出信息资产识别的要求。 5.2.2 各内审员参考《信息资产分类参考目录》识别DXC信息资产，并填写《信息资产识别表》，根据《重要信息资产判断准则》判断其是否是重要信息资产，经该区域负责人审核确认后，在风险评估计划规定的时间内提交风险评估小组审核汇总。 5.2.3 风险评估小组对各内审员填写的《信息资产识别表》进行审核，确保没有遗漏重要的信息资产，形成DXC的《重要信息资产清单》，并交由文档管理员处存档。 5.3 重要信息资产风险等级评估 5.3.1 应对《重要信息资产清单》中的所有资产进行风险评估, 评估应考虑威胁 《重要信息资产清单》 《重要信息资产风险等级评估表》 《不可接受风险处理计划》 附表1 信息资产分类参考目录 大类 详细分类 举例 文档和数据　 经营规划 中长期规划等 经营计划等 组织情况 组织变更方案等 组织机构图等 组织变更通知等 组织手册等 规章制度 各项规程、业务手册等 人事制度 人事方案等 人事待遇资料等 录用计划等 离职资料等 中期人员计划等 人员构成等 人事变动通知等 培训计划等 培训资料等 财务信息 预决算（各类投资预决算）等 业绩（财务报告）等 中期财务状况等 资金计划等 成本等 财务数据的处理方法（成本计算方法和系统，会计管理审查等经营分析系统，减税的方法、规程）等 营业信息 市场调查报告（市场动向，顾客需求，其它公司动向及对这些情况的分析方法和结果）等 商谈的内容、合同等 报价等 客户名单等 营业战略（有关和其它公司合作销售、销售途径的确定及变更，对代理商的政策等情报）等 返工和投诉处理等 供应商信息等  大类 详细分类 举例 文档和数据 技术信息 试验/分析数据（本公司或者委托其它单位进行的试验/分析）等 研究成果（本公司或者和其它单位合作研究开发的技术成果）等 科技发明的内容（专利申请书以及有关的资料/试验数据）等 开发计划书等 新产品开发的体制、组织（新品开发人员的组成，业务分担，技术人员的配置等） 技术协助的有关内容（协作方，协作内容，协作时间等） 教育资料等 技术备忘录等 生产信息 各种生产设备的配置（针对产品的最佳配置、特殊配置）等 生产日报等 保全日报等 产品信息 客户工作计划 测试程序、数据等 客户数据等 文档和数据 软件信息 生产管理系统等 财务系统等 设计书等 流程等 编码、密码系统等 源程序表等 其他 诉讼或其他有争议案件的内容（民事、无形资产、工伤等纠纷内容） 公司基本设施情况（包括动力设施）等 董事会资料（新的投资领域、设备投资计划等） 公司电话簿等 公司安全保卫实施情况及突发事件对策等 数据库 　 　 操作系统 Windows Linux UNIX等 应用软件/系统 Office 财务系统 等 开发工具 　 实用程序 　 硬件和设施 网络设备和服务器 路由器、网关、交换机、防火墙、入侵检测设备、加密设备、身分验证设备以及各类服务器等 计算机 台式计算机、移动计算机等 存储设备 磁带机等 通讯工具 电话、手提电话等 传输线路 光纤、双绞线等 存储媒体 磁带、光盘、软盘、U盘等 动力供给设备 其他电子设备 打印机、复印机、扫描仪、传真机等 人力资源 涉密人员 市场、财务、人事等