信息安全风险管理程序.pdfVIP

1目的

为了在考虑控制成本与风险平衡的前提下选择合适的控制H标和控制方式，将信息安风险控制在

可接受的水平，特制定本程序。

2范围

本程序合用信息安管理体系I（SMS）范围内信息安风险评估活动的管理。

3职责

3.1研发中心

负责牵头成立信息安管理委员会。

3.2信息安管理委员会

负贡编制《信息安风险评估计划》，确认评估结果，形成《风险评估报告》及《风险处理计划》。

3.3各部门

负责本部门使用或者管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安控制

工

作。

4相关文件

《信息安管理手册》

《GB-T20984-2022信息安风险评估规范》

《信息技术安技术信息技术安管理指南第3部份：1T安管理技术》

5程序

5.1风险评估前准备

①研发中心牵头成立信息安管理委员会，委员会成员应包含信息安重要责任部门的成员。

②信息安管理委员会制定《信息安风险评估计划》，下发各部门。

③风险评估方法-定性综合风险评估方法

本项目采用的是定性的风险评估方法。定性风险评估并不强求对构成风险的各个要素特（殊是

资产）进行精确的量化评价，它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准，来

对风险要素进行相对的等级分化，最终得出的风险大小，只需要通过等级差别来分出风险处理的优

先顺序即可。

综合评估是先识别资产并对资产进行赋值评估，得出重要资产，然后对重要资产进行详细的风

险评估。

第2页共16页

5.2资产赋值

①各部门信息安管理委员会成员对本部门资产进行识别，并进行资产赋值。

资产价值计算方法：资产价值=保密性赋值+完整性赋值+可用性赋值

②资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估，并在此基础上

得出综合结果的过程。

③确定信息类别

信息分类按“5.9资产识别参考(资产类别)”进行，信息分类不合用时，可不填写。

④机密性(C)赋值

根据资产在机密性上的不同要求，将其分为五个不同的等级，分别对应资产在机密性上的

应达成的不同程度或者机密性缺失时对整个组织的影响。

⑤完整性⑴赋值

根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的

达成的不同程度或者完整性缺失时对整个组织的影响。

⑥可用性(A)赋值

根据资产在可用坐上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上的

达成的不同程度。

第3页共16页

资产价值判断标准

第4页共16页

第5页共16页

第6页共16页

形成资产清单

各部门的《重要资产调查与风险评估表》经本部门负责人审核，报管理者代表确认。

5.3判定重要资产

①根据前面的资产机密性、完整性、可用性的赋值相加得到资产的价值，资产价值越高表示资产重

要性程度越高。

②按资产价值得出重要资产，资产价值为4,3的是重要资产，资产价值为2,1的是非重要资产。

③信息安管理委员会对各部门资产识别情况进行审核，确保没有遗漏重要资产，形成各部门的

《资产识别清单》。

④各部门的《资产识别清单》经本部门负责人审核，报管理者代表确认，并分发各部门存档。

5.4重要资产风险评估

①应对所有的重要资产进行风险评估，评估应考虑威胁、脆弱性、威胁事件发生的可