ISO27001信息安全管理体系最新全套程序文件.docxVIP

第 第 PAGE 10 页 共 80 页 XX 有限公司 ISO27001 信息安全管理体系程序文件 修订次数： A/2 修订日期： 2019.12.18 ISO27001 信息安全管理体系全套程序文件 XX 有限公司ISO27001 XX 有限公司 ISO27001 信息安全管理体系程序文件 修订次数： A/2 修订日期： 2019.12.18 信息安全风险评估管理程序 适用 本程序适用于本公司信息安全管理体系（ ISMS）范围内信息安全风险评估活动。 目的 本程序规定了本公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。 范围 本程序适用于第一次完整的风险评估和定期的再评估。在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。 职责 成立风险评估小组 办公室负责牵头成立风险评估小组。 策划与实施 风险评估小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》 。 信息资产识别与风险评估活动 各部门负责本部门使用或管理的信息资产的识别，并负责本部门所涉及的信息资产的具体安全控制工作。 各部门负责人负责本部门的信息资产识别。 办公室经理负责汇总、校对全公司的信息资产。 办公室负责风险评估的策划。 信息安全小组负责进行第一次评估与定期的再评估。 程序 风险评估前准备 办公室牵头成立风险评估小组，小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。 风险评估小组制定信息安全风险评估计划，下发各部门内审员。 必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。 信息资产的识别 本公司的资产范围包括： 信息资产 数据文档资产：客户和公司数据，各种介质的信息文件包括纸质文件。 软件资产：应用软件、系统软件、开发工具和适用程序。 硬件资产：计算机设备、通讯设备、可移动介质和其他设备。 服务：培训服务、租赁服务、公用设施（能源、电力） 。 人员：人员的资格、技能和经验。 无形资产：组织的声誉、商标、形象。 资产及其重要度 识别组织的资产 识别在评估范围内的资产。对于在范围内的每一项资产都要恰当统计；不在评估范围内的资产，也要进行记录； 按一定的标准，将信息资产进行恰当的分类，在此基础上进行下一步的风险评估工作。识别组织资产，参考《资产等级分类及重要度 (安全等级 )划分》 评估资产的重要度 对资产的等级进行定义，并表示成相对等级的形式。 识别出资产之后，必须对资产的重要度进行评估。评估的依据是资产的保密性、完整 第 第 PAGE 4 页 共 80 页 XX 有限公司 ISO27001 信息安全管理体系程序文件 修订次数： A/2 修订日期： 2019.12.18 性和可用性在遭受损失之后的后果。 不同资产的安全属性的重要程度是不一样的，例如：对财物数据来说保密性和可核查性是最重要的安全属性，而对操作软件来说更强调可用性。对资产评估的过程本身就是对资产安全属性损失后果的分析。 在本程序中虽然不按照安全属性分别赋值，但是评估过程中要充分考虑本节中列出的 各种安全属性。 资产重要度描述如下表。 等级 描 述 重要度赋值 对这些资产的保密性、完整性或可用性等安全属性的影响（即发生 3（高） 泄露、损坏、丢失或无法使用等）将对组织造成极严重的或灾难性 5 的损失，通常其直接或间接的影响范围波及到公司整体。 对这些资产的保密性、完整性或可用性等安全属性的影响（即发生 2（中） 泄露、损坏、丢失或无法使用等）将对组织造成较重要的损失，通 3 常其直接或间接的影响范围波及到公司局部。 对这些资产的保密性、完整性或可用性等安全属性的影响（即发生 1（低） 泄露、损坏、丢失或无法使用等）将对组织造成一定的损失，通常 1 其直接或间接的影响范围仅波及到公司很少部门。 决定资产重要度时，需要考虑： 资产的成本价格，更重要的是考虑资产对于组织业务的安全重要性，即根据资产损失所引发的潜在的影响来决定； 为确保资产重要度的一致性和准确性，建立一个统一的尺度，以无歧义的方式对资产的重要度进行赋值； 分析和评价资产受到侵害后的保密性、完整性和可用性损失。决定资产重要度，参考《资产安全等级分类》 识别资产面临的威胁 实施风险评估需要对要保护的每一项关键资产进行威胁的识别。 威胁可以从资产的所有者、使用者、计划书、信息专家、社团内