ISO27001：2013风险评估控制制度.pdfVIP

XXXXXX 软件有限公司 人性化科技提升业绩 风险评估控制制度 目 录 1. 目的和范围 2 2. 引用文件 2 3. 职责和权限 2 4. 风险管理方法 3 4.1. 风险识别 4 4.2. 风险估计与评价 4 4.3. 选择风险处置方式 44 4.4. 残余风险接受 45 5. 风险评估描述 45 5.1. 风险评估前准备 45 5.2. 确定重要业务过程和活动 45 5.3. 信息资产的识别 46 5.4. 重要信息资产风险等级评估 50 5.5. 不可接受风险的确定和处理 51 5.6. 风险定期评估 52 5.7. 风险评估评审 52 6. 相关记录 52 第 1 页 共 53 页 内部公开 【风险评估控制制度】 F4-B- 总经办 -005-V1.0 1. 目的和范围 为了规定公司所采用的信息安全风险评估方法。 通过识别信息资产、 风险等 级评估本公司的信息安全风险， 选择合适控制目标和控制方式将信息安全风险控 制在可接受的水平，保持业务持续性发展， 以满足信息安全管理方针的要求， 特 制订本制度。 本制度适用信息安全管理体系范围内信息安全风险评估活动。 2. 引用文件 1) 下列文件中的条款通过本制度的引用而成为本制度的条款。凡是注日期 的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不 适用于本制度， 然而，鼓励各部门研究是否可使用这些文件的最新版本。 凡是不注日期的引用文件，其最新版本适用于本制度。 2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术 - 安全技术 - 信息安 全管理体系要求 3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术 - 安全技术 - 信息安 全管理实施细则 4) ISO/IEC 27005:2008 《信息技术- 安全技术 - 风险管理》 5) 《GB/T 20984-2007 信息安全风险评估指南》 3. 职责和权限 1) 信息安全管理领导小组： 负责汇总确认《信息安全风险评估表》 ，并根据 评估结果形成《信息安全风险评估报告》和《残余风险批示报告》 。 第 2 页 共 53 页 内部公开 【风险评估控制制度】 F4-B- 总经办 -005-V1.0 2) 公司全体员工：在信息安全管理领导小组协调下，负责本部门使用或管 理的资产的识别和风险评估；