安全风险评估管理程序.docxVIP

深圳市首品精密模型有限公司 ISMS安全风险评估管理程序 文件编号 :ISMS-2007 编 制 审 核 批 准 变更履历 版 本 编 号 简要说明 ( 变更内容、 序 或 更 改 记 变更位置、变更原因和 变更日期 变更人 审核人 批准人 批准日期 号 录编号 变更范围 ) 1 A/0 初始发行 - - - - 2016-8-5 适用 本程序适用于本公司信息安全管理体系（ ISMS）范围内信息安全风险评估活动。 目的 本程序规定了本公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估，认知本公司的信息安全风险， 在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。具体操作步骤，参照《信息安全风险评估指南》具体执行。 范围 本程序适用于第一次完整的风险评估和定期的再评估。 在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。 职责 4.1 成立风险评估小组 人事部负责牵头成立风险评估小组。 4.2 策划与实施 风险评估小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告