信息安全风险评估管理规定.pdfVIP

XX股份有限公司

信息安全风险评估管理规定

第一节总则

第一条目的

为了尽可能的发现企业中存在的信息安全隐患，降低信息安全事

件发生的可能，特制定本规定。

第二条适用范围

本规定描述了信息安全风险识别、评估过程，适用于信息安全风

险识别、评估管理活动。

第三条.定义

信息安全风险：指在信息化建设中，各类应用系统及其赖以运行

的基础网络、处理的数据和信息，由于其可能存在的软硬件缺陷、系

统集成缺陷等，以及信息安全管理中潜在的薄弱环节，而导致的不同

程度的安全风险。

第四条角色职责

一、信息部负责组织建立风险评估小组，对信息安全风险进行评

估、管理。

二、风险评估小组负责对公司各信息系统进行风险评估工作。

三、其他相关业务部门负责组织对各自分管信息系统的安全风险

进行控制。

第二节管理规程细则

第五条管理规定

一、风险评估流程

二、风险评估准备

信息部负责组织各部门做好风险准备工作，包括：

（一）确定风险评估方法及接受准则；

（二）确定风险评估计划；

（三）确定风险评估小组人员。

三、风险识别

信息安全风险识别包括资产识别、威胁识别、脆弱识别三部分

内容。

（一）资产的识别

1.信息部每年按照要求负责本公司信息资产的识别，确定资产价

值。

2.资产分类

根据资产的表现形式，可将资产分为人员、软件、硬件、电子数

据、文档、服务、人员、物理区域七类。

序号项目描述

高层管理人员，中层管理人员，各类管理人员，研发人员，销售人员等与公司签订

1人员

合同的人员

系指网络设备、主机设备、通讯设备、环境设备等相关硬件设施。例如服务器主机、

2硬件

个人计算机、支持设备等

系指自行开发或委托外界开发的应用系统程序、外购的软件系统及软件包等。例如：

3软件

应用系统、操作系统、软件包、工具程序等

电子数

4系指以电子形式存在之信息数据。例如项目研发数据等

据

系指以纸本形式存在之文书数据、报表等相关信息。例如合同，纸质的规范、系统

5文档

文件、用户手册等

6服务系指向客户提供的相关服务活动，包括签署的合同/协议等

物理区

7在公司内从事重要业务，或是业务关键步骤及流程所属的区域范围

域

3.资产(A)赋值

资产赋值就是对资产在机密、完整和可用上的达成程度进

行分析。

(1)机密赋值

根据资产在机密上的不同要求，将其分为五个不同的等级，分

别对应资产在机密上的应达成的不同程度或者机密缺失时对整个

组织的影响。

赋值标识定义

包含组织最重要的秘密，关系未来发的前途命运，对组织根本利益有着决定性影

5极高

响，如果泄漏会造成灾难性的损害

4高包含组