ISO27001：2022信息安全管理体系全套文件+表单.pdf

ISO27001-2022体系文件全套 目录 XXX有限公司 信息安全风险管理程序 编 号：ISMS-B-01 版 本 号：V1.0 编制：XXX 日期：202X-08-19 审核：XXX 日期：202X-08-19 批准：XXX 日期：202X-08-19 受控状态 1 目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制 在可接受的水平，特制定本程序。 2 范围 本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。 3 职责 3.1 信息安全管理小组 负责牵头成立风险评估小组。 3.2 风险评估小组 负责编制 《信息安全风险评估计划》，确认评估结果，形成 《信息安全风险评估报告》。 3.3 各部门 负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制工 作。 4 相关文件 《信息安全管理手册》 《商业秘密管理程序》 5 程序 5.1 风险评估前准备 5.1.1 成立风险评估小组 信息安全小组牵头成立风险评估小组，小组成员应包含信息安全重要责任部门的成员。 5.1.2 制定计划 风险评估小组制定 《信息安全风险评估计划》,下发各部门。 5.2 资产赋值 5.2.1 部门赋值 各部门风险评估小组成员识别本部门资产，并进行资产赋值。 5.2.2 赋值计算 资产赋值的过程是对资产在保密性、完整性、可用性的达成程度进行分析，并在此基础上得出综合 结果的过程。 5.2.3 保密性(C)赋值 根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上的应达成的 不同程度或者保密性缺失时对整个组织的影响。 保密性分类赋值方法 级别 价值 分级 描述 可对社会公开的信 1 很低 公用的信息处理设备和系统资源等 息 仅能在组织内部或在组织某一部门内部公开的信 2 低 组织/部门内公开 息，向外扩散有可能对组织的利益造成轻微损害 3 中等 组织的一般性秘密 其泄露会使组织的安全和利益受到损害 包含组织的重要秘 4 高 其泄露会使组织的安全和利益遭受严重损害 密 包含组织最重要的 关系未来发展的前途命运，对组织根本利益有着决 5 很高 秘密 定性的影响，如果泄露会造成灾难性的损害 5.2.4 完整性(I)赋值 根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的达成的 不同程度或者完整性缺失时对整个组织的影响。 完整性(I)赋值的方法 级别 价值 分级 描述 未经授权的修改或破坏对组织造成的影响可以忽 1 很低 完整性价值非常低 略，对业务冲击可以忽略 未经授权的修改或破坏会对组织造成轻微影响，对 2 低 完整性价值较低 业务冲击轻微，容易弥补 未经授权的修改或破坏会对组织造成影响，对业务 3