ISO27001：2022信息安全管理体系全套文件+表单.doc

ISO27001-2022体系文件全套 目录 XXX有限公司 信息安全风险管理程序 编 号：ISMS-B-01 版 本 号：V1.0 编制：XXX 日期：202X-08-19 审核：XXX 日期：202X-08-19 批准：XXX 日期：202X-08-19 受控状态 1 目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平，特制定本程序。 2 范围 本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。 3 职责 3.1 信息安全管理小组 负责牵头成立风险评估小组。 3.2 风险评估小组 负责编制《信息安全风险评估计划》，确认评估结果，形成《信息安全风险评估报告》。 3.3 各部门 负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制工作。 4 相关文件 《信息安全管理手册》 《商业秘密管理程序》 5 程序 5.1 风险评估前准备 5.1.1 成立风险评估小组 信息安全小组牵头成立风险评估小组，小组成员应包含信息安全重要责任部门的成员。 5.1.2 制定计划 风险评估小组制定《信息安全风险评估计划》,下发各部门。 5.2 资产赋值 5.2.1 部门赋值 各部门风险评估小组成员识别本部门资产，并进行资产赋值。 5.2.2 赋值计算 资产赋值的过程是对资产在保密性、完整性、可用性的达成程度进行分析，并在此基础上得出综合结果的过程。 5.2.3 保密性(C)赋值 根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。 保密性分类赋值方法 级别 价值 分级 描述 1 很低 可对社会公开的信息 公用的信息处理设备和系统资源等 2 低 组织/部门内公开 仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害 3 中等 组织的一般性秘密 其泄露会使组织的安全和利益受到损害 4 高 包含组织的重要秘密 其泄露会使组织的安全和利益遭受严重损害 5 很高 包含组织最重要的秘密 关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害 5.2.4 完整性(I)赋值 根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。 完整性(I)赋值的方法 级别 价值 分级 描述 1 很低 完整性价值非常低 未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略 2 低 完整性价值较低 未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补 3 中等 完整性价值中等 未经授权的修改或破坏会对组织造成影响，对业务冲击明显 4 高 完整性价值较高 未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补 5 很高 完整性价值非常关键 未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补 5.2.5 可用性(A)赋值 根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上的达成的不同程度。 可用性(A)赋值的方法 级别 价值 分级 描述 1 很低 可用性价值可以忽略 合法使用者对信息及信息系统的可用度在正常工作时间低于25% 2 低 可用性价值较低 合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或系统允许中断时间小于60min 3 中等 可用性价值中等 合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上，或系统允许中断时间小于30min 4 高 可用性价值较高 合法使用者对信息及信息系统的可用度达到每天90%以上，或系统允许中断时间小于10min 5 很高 可用性价值非常高 合法使用者对信息及信息系统的可用度达到年度99.9%以上，或系统不允许中断 5.2.7 导出资产清单 识别出来的信息资产需要详细登记在《信息资产清单》中。 5.3 判定重要资产 根据信息资产的机密性、完整性和可用性赋值的结果相加除以3得出“资产价值”，对于《信息资产清单》中“资产价值”在大于等于4的资产，作为重要信息资产记录到《重要信息资产清单》。 5.3.1 审核确认 风险评估小组对各部门资产识别情况进行审核，确保没有遗漏重要资产，导出《重要信息资产清单》，报总经理确认。 5.4 风险识别与分析 5.4.1威胁识别与分析 威胁种类 威胁示例 TC01 软硬件故障 设备硬件故障、通讯链路中断、系统本身或软件Bug TC02 物理环境威胁 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干