信息安全风险评估程序信息安全资料.pdfVIP

信息安全风险评估程序

1.目的

本文件为公司执行信息安全风险评估提供指导和规范。

本程序的运行结果产生《风险评估报告-（加注日期）》。

公司依据风险评估报告编制风险处理计划。

2.适用范围

本程序适用风险评估所涉及的所有部门。

风险评估工作组成员据此执行风险评估活动。

其他相应员工据此理解风险评估的过程，完成自己职责范围内风险评估相关工作。

3.风险评估的实施频率及评审

公司规定风险评估活动要定期进行，常规的风险评估每年执行一次，执行风险评估前

应对本程序进行评审。

遇到以下情况，公司也将启动风险评估：

增加了大量新的信息资产；

业务环境发生了重大的变化；

发生了重大信息安全事件。

4.风险评估方法

根据GB/T22080-2008/ISO/IEC27001:2005和ISO/IECTR13335-3，公司采用“详细风

险分析方法（DetailedRiskApproach）”来实施风险评估，该方法主要包括：

风险分析：识别资产、威胁、脆弱性、影响和可能性

风险评价：风险＝影响×可能性

5.风险评估流程

公司风险评估流程如下图所