风险评估及控制程序.docVIP

公司名称 文件编码 AQ2G-04-S005 文件名称 风险评估及控制程序 页次/总页码 PAGE 1 / NUMPAGES 7 风险评估及控制程序 文件编码 AQ2G-04-S005 版本 V1.0 文件层级 一阶 ■二阶 □ 三阶 文件类别 ■体系文件 □技术文件 编制部门 IT部 机密等级 □内文 □秘密 ■机密 □绝密 编制人 文件类别 ■通用 □项目 审核 编制日期 审批 生效日期 总页数 NUMPAGES 18 分发编号 01 文件发布盖章  文件制/修订记录 页码 章节 制/修订记录 版本 修订人 修订日期 备注 修订前 修订后 全部 全部 首次制定 V1.0 3 5 增加流程图 V1.0 V1.1 1目的和范围 本程序规定了公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。 本标准适用于公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。 2适用范围 本制度适用于公司信息安全管理系统覆盖的所有员工和活动行为。 3术语 ISO/IEC 27001:2005《信息技术-安全技术-信息安全管理体系要求》和ISO/IEC 17799:2005《信息技术-安全技术-信息安全管理实施细则》规定的术语适用于本标准。 4职责和权限 4.1 IT部：负责牵头成立风险评估小组。 4.2信息安全工作小组：负责编制《信息安全风险评估计划》，确认评估结果，编写《风险评估报告》。 4.3各部门：负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制工作。 4.4总经理：负责对残余风险的批准。 5风险评估流程 5.1风险评估流程图 5.2风险评估前准备 5.2.1信息安全部牵头成立风险评估小组，小组成员主要由核心内审员组成。 5.2.2风险评估小组向各部门发放《信息资产识别表》，《风险评估表》及《风险评估原则》。同时提出进行资产识别和风险评估的要求。 5.3信息资产的识别 5.3.1 信息安全小组向内审员发放《风险评估原则》、《信息资产识别表》，同时提出信息资产识别的要求。 5.3.2各个内审员参考《风险评估原则》识别本部门信息资产，首先识别本部门的业务流程，并根据实际情况，画出业务流程图。然后在每一个业务下，识别该业务流程中涉及到的各类信息资产。根据《风险评估原则》中的《重要信息资产判断准则》判断其是否是重要信息资产，并填写《信息资产识别表》，在风险评估计划规定的时间内提交风险评估小组审核汇总。 5.3.3 风险评估小组对各部门填写的《信息资产识别表》进行审核，确保没有遗漏重要的业务流程及信息资产，并分发各部门存档。 5.4重要信息资产风险等级评估 5.4.1应对《信息资产识别表》中的所有的业务过程进行风险评估,也就是对组成业务过程的各项资产进行风险评估。评估应考虑威胁事件发生的可能性和威胁事件发生后对信息资产造成的影响程度两方面因素。 5.4.2风险评估小组向各部门内审员分发《风险评估表》、《风险评估原则》。 5.4.3各部门内审员按照《风险评估原则》中的《CIAB分级标准》对每一项资产的保密性、可用性、完整性和与业务的相关性进行赋值，并得出资产赋值。 5.4.4各部门内审员根据资产本身所处的环境条件,参考《风险评估原则》中的《威胁识别列表》、《通用威胁参考列表》以及在现状调研阶段分析出的风险及威胁等，识别每个信息资产所面临的风险及风险对应的威胁，针对每个威胁,识别目前已有的控制； 5.4.5在考虑现有的控制前提下，参考《风险评估原则》中的《威胁分级标准》判断每项重要信息资产所面临威胁发生的可能性，赋1-5的值； 5.4.6参考《风险评估原则》中的《脆弱性识别表》、《脆弱性参考列表》识别可能被该威胁所利用的薄弱点；参考《脆弱性分级标准》，判断薄弱点程度等级，赋1-5的值。 5.4.7《风险评估表》将自动结合资产的价值，威胁值和薄弱点的值，分别计算可能性、后果及风险的等级。 5.4.8《风险评估表》的风险计算结果，应由风险评估小组汇总。 5.4.9风险评估小组考虑本公司整体的信息安全要求，对各部门填写的《风险评估表》进行审核，确保风险评估水平的一致性，确保没有遗漏重要信息安全风险。如果对评估结果进行修改，应该和资产责任部门进行沟通并获得该部门的确认。 5.5不可接受风险的确定和处理 5.5.1针对所有的3级以上风险，公司均应采取相应的控制措施，确认实施的部门。风险评估小