XX公司信息安全风险评估控制程序.docVIP

版本：A 编号：ISMSP-07-A 第 PAGE 1 页 共 NUMPAGES 16 页 XXXX公司 ISMS 版 本 A 密 级 秘密★3年 XX信息安全风险评估控制程序 文件编号 ISMSP-07-A 1 目的 本程序规定了XXXX公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司商务持续性发展，以满足本公司信息安全管理方针的要求。 2 范围 本程序适用于本公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。 3 职责 1）人力资源部负责牵头成立风险评估小组。 2）风险评估小组负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。 3）各部门负责本部门信息资产的识别和风险评估,并负责本部门所涉及的信息资产的具体安全控制工作。 4 定义 无 5 程序 5.1 风险评估前的准备 5.1.1 人力资源部牵头成立风险评估小组。 5.1.2 风险评估小组制定信息安全风险评估计划,下发给内审员。 5.1.3 必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。 5.2 信息资产的识别 5.2.1风险评估小组通过电子邮件向内审员发放《信息资产分类参考目录》、《重要信息资产判断准则》、《信息资产识别表》，同时提出信息资产识别的要求。 5.2.2内审员参考《信息资产分类参考目录》识别本部门信息资产，根据《重要信息资产判断准则》判断其是否是重要信息资产，经本部门负责人审核确认后，在风险评估计划规定的时间内提交给风险评估小组汇总。 5.2.3 风险评估小组对各部门上报的数据形成《信息资产识别表》，并对其进行审核，确保没有遗漏重要信息资产，形成《重要信息资产清单》，由人力资源部存档。 5.3 重要信息资产风险等级评估 5.3.1 应对《重要信息资产清单》中的所有资产进行风险评估, 评估应考虑威胁事件发生的可能性和威胁事件发生后对信息资产造成的影响程度两方面因素。 5.3.2 风险评估小组向各部门内审员分发《重要信息资产风险评估表》、《信息安全威胁参考表》、《信息安全薄弱点参考表》、《事件发生可能性等级对照表》、《事件可能影响程度等级对照表》。 5.3.3 各部门内审员根据资产本身所处的环境条件,参考《信息安全威胁参考表》识别每个信息资产所面临的威胁，针对每个威胁,识别目前已有的控制；并参考《信息安全薄弱点参考表》识别可能被该威胁所利用的薄弱点；在考虑现有控制的前提下，参考《事件发生可能性等级对照表》判断每项重要信息资产所面临威胁发生的可能性；参考《事件可能影响程度等级对照表》，判断威胁利用薄弱点可能使信息资产的保密性、完整性或可用性丢失所产生的影响程度等级。 将结果提交风险评估小组审核汇总形成《重要信息资产风险评估表》。 5.3.4 风险评估小组考虑本公司整体的信息安全要求，对汇总的《重要信息资产风险评估表》进行审核，确保风险评估水平的一致性，确保没有遗漏重要信息安全风险。如果对评估结果进行修改，应该和资产责任部门进行沟通并获得该部门的确认。 5.3.5风险评估小组根据《信息安全风险矩阵计算表》计算风险等级,完成《重要信息资产风险评估表》，并由人力资源部存档。 5.4 不可接受风险的确定和处理 5.4.1风险评估小组根据《信息安全风险接受准则》，确定风险的可接受性；针对不可接受风险编制《信息安全不可接受风险处理计划》，该计划应该规定风险处理方式、责任部门和时间进度；编制《信息安全风险评估报告》,陈述本公司信息安全管理现状，分析存在的信息安全风险，提出信息安全管理（控制）的建议与措施，附《信息安全不可接受风险处理计划》提交信息安全管理委员会进行审核，由ISMS管理者代表批准实施。 5.4.2 各责任部门按照《信息安全不可接受风险处理计划》的要求采取有效安全控制措施后,原评估部门重新评估其风险等级，确保所采取的控制措施是充分的,直到其风险降至可接受为止。 5.5 评估时机 5.5.1 每年评估一次，以确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施，对发生以下情况需及时进行风险评估： a) 当发生重大信息安全事故时； b) 当信息网络系统发生重大更改时； c) 信息安全管理委员会确定有必要时。 5.5.2 各部门对新增加、转移的或授权销毁的信息资产应立即按照本程序在《信息资产识别表》、《重要信息资产清单》上予以添加或变更。 6 相关文件 《信息安全适用性声明》 《XXXX公司信息安全管理体系手册》 《XX文件控制程序》