ISO27001风险评估程序.docVIP

ISO27001风险评估程序 1目的 为了对公司的信息资产进行风险评估和风险控制，评估组织信息资产所面临的风险并对风险实施有效控制，以确保风险被降低或消除，特制定本程序。 2适用范围 本程序适用于适用于对公司的信息资产进行风险评估和风险控制。 3职责与权限 3.1信息安全委员会 制定资产评估准则，确定风险评估方法； 负责对控制目标、控制措施的有效性进行监督和评审。 确定风险评估的范围； 指导各部门进行风险评估； 汇总和分析风险评估结果，作出风险评价； 制定风险处理计划，向信息安全委员会提交信息安全风险评估报告。 3.3各部门 各部门资产负责人按规定维护相关资产。 识别并列出跟本部门业务有关的资产； 对本部门资产进行风险评估。 4风险评估程序和工作流程 4.1风险评估与管理 4.1.1过程识别 在ISMS范围内，各部门识别本部门涉及的主要业务过程及使用的各类信息资产。 4.1.2风险评估 风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。即风险分析和风险评价的全过程。 4.1.3风险管理 风险管理是识别、控制、消除、减小可能影响信息系统资源的不确定事件的过程。指导和控制一个组织的风险的协调的活动。 4.1.4风险评估方法 结合公司在风险评估时投入的时间、人力、成本等各方面的因素，公司采用基本风险评估方法