1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 经济/贸易/财会
  5. 资产评估/会计

信息资产识别和风险评估管理程序.docxVIP

信息资产识别和风险评估管理程序.docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    信息安全和信息技术服务管理程序汇编

    PAGE3/NUMPAGES188

    文件名称

    信息资产识别和风险评估管理程序

    文件编号

    ISMS-CX-05

    版本/状态

    VA/0

    密级

    受控

    发行日期

    2022-12-01

    目的

    本程序规定了本公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估,认知本公司的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持本公司业务持续性发展,以满足本公司信息安全管理方针的要求。

    范围

    本程序适用于本公司信息安全管理体系(ISMS)范围内信息安全风险评估以及信息技术服务管理体系范围内的服务项目中的信息安全风险评估。

    术语和定义

    引用ISO27001:2013标准中的术语和定义。

    职责

    4.1成立风险评估小组

    信息安全管理委员会负责牵头成立风险评估小组。

    4.2策划与实施

    风险评估小组当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后,负责编制信息安全风险评估计划,确认评估结果,形成《信息安全风险评估报告》。

    4.3信息资产识别与风险评估活动

    各部门负责本部门使用或管理的信息资产的识别,并负责本部门所涉及的信息资产的具体安全控制工作。

    4.3.1各部门负责人负责本部门的信息资产识别。

    4.3.2综合部负责汇总、校对全公司的信息资产。

    4.3.3综合部负责风险评估的策划。

    信息安全管理委员会负责进行第一次评估与再评估。

    程序

    5.1风险评估前准备

    5.1.1成立风险评估小组

    信息安全管理小组牵头成立风险评估小组,小组成员应包含信息安全重要责任部门的成员。

    5.1.2制定计划

    风险评估小组制定《信息安全风险评估计划》,下发各部门。

    5.2资产赋值

    5.2.1部门赋值

    各部门风险评估小组成员识别本部门资产,并进行资产赋值。

    5.2.2赋值计算

    资产赋值的过程是对资产在保密性、完整性、可用性和法律法规合同上的达成程度进行分析,并在此基础上得出综合结果的过程。

    5.2.3保密性(C)赋值

    根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。

    保密性分类赋值方法

    级别

    价值

    分级

    描述

    1

    很低

    可对社会公开的信息

    公用的信息处理设备和系统资源等

    2

    组织/部门内公开

    仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害

    3

    中等

    组织的一般性秘密

    其泄露会使组织的安全和利益受到损害

    4

    包含组织的重要秘密

    其泄露会使组织的安全和利益遭受严重损害

    5

    很高

    包含组织最重要的秘密

    关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害

    5.2.4完整性(I)赋值

    根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。

    完整性(I)赋值的方法

    级别

    价值

    分级

    描述

    1

    很低

    完整性价值非常低

    未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略

    2

    完整性价值较低

    未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补

    3

    中等

    完整性价值中等

    未经授权的修改或破坏会对组织造成影响,对业务冲击明显

    4

    完整性价值较高

    未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补

    5

    很高

    完整性价值非常关键

    未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补

    5.2.5可用性(A)赋值

    根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。

    可用性(A)赋值的方法

    级别

    价值

    分级

    描述

    1

    很低

    可用性价值可以忽略

    合法使用者对信息及信息系统的可用度在正常工作时间低于25%

    2

    可用性价值较低

    合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60min

    3

    中等

    可用性价值中等

    合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30min

    4

    可用性价值较高

    合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10min

    5

    很高

    可用性价值非常高

    合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断

    5.2.6法规合同符合性(L)赋值

    根据资产在法律、法规、上级规定、合同协议符合性上的不同要求,将其

    您可能关注的文档

    最近下载

    文档评论(0)

    宋蜜蜜 + 关注
    实名认证
    文档贡献者

    爱吃猪蹄的阿狸

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >