信息安全评估管理程序.doc

PAGE 保密等级 内控 文档名称 信息安全评估管理程序 文档编号 I/NB-B-06-2015 发布组织 MODERN信息安全工作小组 发布日期 2015年8月10日 执行日期 2015年8月15日 版 本 号 X3 信息安全风险评估管理程序 批准人签字 审核人签字 制订人签字 李教授 日期：2015/8/5 李教授 日期：2015/8/5 王敏 日期：2015/8/5 东北财经信息有限公司 目录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc208631490 1.目的 PAGEREF _Toc208631490 \h 3 HYPERLINK \l _Toc208631491 2.专业术语 PAGEREF _Toc208631491 \h 3 HYPERLINK \l _Toc208631492 3.范围 PAGEREF _Toc208631492 \h 4 HYPERLINK \l _Toc208631493 4.职责 PAGEREF _Toc208631493 \h 4 HYPERLINK \l _Toc208631494 5.程序内容 PAGEREF _Toc208631494 \h 4 HYPERLINK \l _Toc208631495 5.1 风险评估前准备 PAGEREF _Toc208631495 \h 4 HYPERLINK \l _Toc208631496 5.2 信息资产的识别 PAGEREF _Toc208631496 \h 4 HYPERLINK \l _Toc208631497 5.3 重要信息资产风险等级评估 PAGEREF _Toc208631497 \h 5 HYPERLINK \l _Toc208631498 5.4 不可接受风险的确定和处理 PAGEREF _Toc208631498 \h 6 HYPERLINK \l _Toc208631499 5.5 评估时机 PAGEREF _Toc208631499 \h 6 HYPERLINK \l _Toc208631500 6.记录 PAGEREF _Toc208631500 \h 6 HYPERLINK \l _Toc208631501 7.相关/支持性文件 PAGEREF _Toc208631501 \h 7 HYPERLINK \l _Toc208631502 信息安全风险评估流程图 PAGEREF _Toc208631502 \h 8 HYPERLINK \l _Toc208631503 风险评估要点示意图 PAGEREF _Toc208631503 \h 9 1.目的 本程序规定了公司所采用的信息安全风险评估方法。通过识别信息资产、进行风险等级评估，认知本公司的信息安全风险。在考虑控制成本与风险平衡的前提下，选择合适控制目标和控制方式，将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。 2.专业术语 2.1风险管理 风险管理是以可接受成本，识别、评估、控制、降低可能影响信息系统风险的过程。通过风险评估识别风险，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降低到一个可以被接受的水平，同时考虑控制费用与风险之间的平衡。 风险管理的核心是信息的保护。信息对于组织是一种具有重要价值的资产。建立信息安全管理体系(ISMS)的目的是在最大范围内保护信息资产，确保信息的机密性、完整性和可用性，将风险管理自始至终的贯穿于整个信息安全管理体系中，这种体系并不能完全消除信息安全的风险，只是尽量减少风险，尽量将攻击造成的损失降低到最低限度。 2.2风险评估 风险评估指风险分析和风险评价的整个过程，其中风险分析是指系统化地识别风险来源和风险类型，风险评价是指按组织制定的风险标准估算风险水平，确定风险严重性。 风险评估的出发点是对与风险有关的各因素的确认和分析，与信息安全风险有关的因素可以包括四大类：资产、威胁、脆弱性、安全控制措施。 风险评估是对信息、信息处理设施、关键业务过程的威胁、薄弱点和风险的评估，它包含以下元素： 风险是被特定威胁利用的资产的一种或一组脆弱性，导致信息资产丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。 信息资产是对组织具有价值的信息资源，是安全控制措施保护的对象。 威胁是可能对资产或组织造成损害的事故的潜在原因。 薄弱点是资产或资产组中能被威胁利用的弱点。 安全控制措施是降低风险的措施、程序或机制。 3.范围 本程序适用于本公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。 4.职责 4.1项目管理部负责编制信息安全风