信息安全风险评估控制程序.pdfVIP

1 目的 本程序规定了所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估认知 本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式 将信息安全风险控制在可接受的水平，保持本公司商务持续性发展，以满足本公司信息安全 管理方针的要求。 2 范围 本程序适用于本公司信息安全管理体系 (ISMS) 范围内信息安全风险评估活动。 3 职责 3.1 人事行政部负责牵头成立风险评估小组。 3.2 风险评估小组负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评 估报告》。 3.3 各部门负责本部门使用或管理的信息资产的识别和风险评估 , 并负责本部门所涉及的信 息资产的具体安全控制工作。 4 程序 4.1 风险评估前准备 4.1.1 行政部牵头成立风险评估小组 , 小组成员至少应该包含： 信息安全管理体系负责部门的 成员、信息安全重要责任部门的成员。 4.1.2 风险评估小组制定信息安全风险评估计划 , 下发各部门内审员。 4.1.3 必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。 4.2 信息资产的识别 4.2.1 风险评估小组通过电子邮件向各部门内审员发放《信息资产分类参考目录》 、《重要信 息资产判断准则》、《信息资产识别表》，同时提出信息资产识别的要求。 4.2.2 各部门内审员参考《信息资产分类参考目录》识别本部门信息资产，根据《重要信息 资产判断准则》判断其是否是重要信息资产，并填写《信息资产识别表》 ，经本部门负 责人审核确认后，在风险评估计划规定的时间内提交风险评估小组审核汇总。 4.2.3 风险评估小组对各部门填写的《信息资产识别表》进行审核，确保没有遗漏重要信息 资产，形成各部门的《重要信息资产清单》 ，并分发各部门存档。 4.3 重要信息资产风险等级评估 4.3.1 应对 《重要信息资产清单》 中的所有资产进行风险评估 , 评估应考虑威胁事件发生的可 能性和威胁事件发生后对信息资产造成的影响程度两方面因素。 4.3.2 风险评估小组向各部门内审员分发《重要信息资产风险评估表》 、《信息安全威胁参考 表》、《信息安全薄弱点参考表》、《事件发生可能性等级对照表》 、《事件可能影响程度 等级对照表》。 4.3.3 各部门内审员根据资产本身所处的环境条件 , 参考 《信息安全威胁参考表》识别每个信 息资产所面临的威胁，针对每个威胁 , 识别目前已有的控制；并参考《信息安全薄弱点 参考表》识别可能被该威胁所利用的薄弱点；在考虑现有的控制前提下，参考《事件 发生可能性等级对照表》判断每项重要信息资产所面临威胁发生的可能性；参考《事 件可能影响程度等级对照表》 ，判断威胁利用薄弱点可能使信息资产保密性、 完整性或 可用性丢失所产生的影响程度等级。将结果填写在《重要信息资产风险评估表》上， 提交风险评估小组审核汇总。 4.3.4 风险评估小组考虑本公司整体的信息安全要求，对各部门填写的《重要信息资产风险 评估表》进行审核，确保风险评估水平的一致性，确保没有遗漏重要信息安全风险。 如果对评估结果进行修改，应该和资产责任部门进行沟通并获得该部门的确认。 4.3.5 风险评估小组根据《信息安全风险矩阵计算表》计算风险等级 , 完成各部门的《重要信 息资产风险评估表》 ，并分发各部门存档。 4.4 不可接受风险的确定和处理 4.4.1 风险评估小组根据《信息安全风险接受准则》 ，确定风险的可接受性；针对不可接受风 险编制《信息安全不可接受风险处理计划》 ，该计划应该规定风险处理方式、责任部门 和时间进度 , 并对所选择的风险处理方式在控