信息安全风险评估管理程序ISO27001
1.目的
在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施处理风险。
2.范围
在ISMS 覆盖范围内主要信息资产
3.职责
3.1各部门负责部门内部资产的识别,确定资产价值。
3.2ISMS小组负责风险评估和制订控制措施和信息系统运行的批准。
4.内容
4.1资产的识别
4.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别,确定资产价值。
4.1.2资产分类
根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。
4.1.3资产赋值
资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值等级作
为资产的最终赋值结果。资产等级划分为五级,分别代表资产重要性的高低。等级数值越大,资产价值越高。
1)机密性赋值
根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。
2)完整性赋值
根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。
3)可用性赋值
根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
3分以上为重要资产,重要信息资产由IT 部门确立清单
4.2威胁识别
4.2.1威胁分类
对重要资产应由ISMS小组识别其面临的威胁。针对威胁来源,根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。
4.2.2威胁赋值
评估者应根据经验和(或)有关的统计数据来判断威胁出现的频率。威胁频率等级划分为五级,分别代表威胁出现的频率的高低。等级数值越大,威胁出现的频率越高。威胁赋值见下表。
4.3脆弱性识别
4.3.1脆弱性识别内容
脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关。
4.3.2脆弱性严重程度赋值
脆弱性严重程度的等级划分为五级,分别代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。脆弱性严重程度赋值见下表
4.4已有安全措施的确认
ISMS小组应对已采取的安全措施的有效性进行确认,对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对于确认为不适当的安全措施应核实是否应被取消,或者用更合适的安全措施替代。
4.5风险分析
完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施确认后,ISMS小组采用相乘法确定威胁利用脆弱性导致安全事件发生的可能性,考虑安全
事件一旦发生其所作用的资产的重要性及脆弱性的严重程度判断安全事件造成的损失对组织的影响,即安全风险。
4.5.1安全事件发生的可能性等级P=(T*V)0.5,(四舍五入,V=5时加严)
)
4.5.2、安全事件发生后的损失等级L=(A*V)0.5, (四舍五入,V=5时加严
4.5.3、风险等级R=(L*P)0.5, (四舍五入,P=5时加严)
4.5.4风险管理策略
完全的消除风险是不可能和不实际的。公司需要有效和经济的运转,因此必须根据安全事件的可能性和对业务的影响来平衡费用、时间、安全尺度几个方面的问题。公司在考虑接受残余风险时的标准为只接受中或低范围内的风险;但是对于必须投入很高的费用才能将残余风险降为中或低的情况,则分阶段实施控制。
风险值越高,安全事件发生的可能性就越高,安全事件对该资产以及业务的影响也就越大,风险管理策略有以下:
● 接受风险:接受潜在的风险并继续运行信息系统,不对风险进行处理。
● 降低风险:通过实现安全措施来降低风险,从而将脆弱性被威胁源利用后可能带来的不利影响最小化(如使用防火墙、漏洞扫描系统等安全产品)。
● 规避风险:不介入风险,通过消除风险的原因和/或后果(如放弃系统某项功能或关闭系统)来规避风险。
● 转移风险:通过使用其它措施来补偿损失,从而转移风险,如购买保险。
风险等级3(含)以上为不可接受风险,3(不含)以下为可接受风险。如果是可接受风险,可保持已有的安全措施;如果是不可接受风险,则需要采取安全措施以降低、控制风险。安全措施的选择应兼顾管理与技术两个方面,可以参照信息安全的相关标准实施。
4.6确定控制目标、控制措施和对策
基于在风险评估结果报告中提出的风险级别,ISMS小组对风险处理的工作进行优先级排序。高等级(例如被定义为“非常高”或“高”风险级的风险)的风险项应该最优先处理。
● 评估所建议的安全措施
● 实施成本效益分析
● 选择安全措施
● 制定安全措施的实现计划
● 实现所选择的安全措施
4.7残余风险的监视与处理
风险处理的最后过程中,ISMS小组应列举出信息系统中所有残余风险的清单。在信息系统的运行中,应密切监视这些残余风险的变化,并及时处理。
每年年初评估信息系统安全风险时,对残余风险和已确定的可接受的风险级别进行评审时,应考虑以下方面的变化:
● 组织结构;
● 技术;
● 业务目标和过程;
● 已识别的威胁;
● 已实施控制措施的有效性;
● 外部事件,如法律法规环境的变更、合同义务的变更和社会环境的变更。
4.8信息系统运行的批准
ISMS小组考察风险处理的结果,判断残余风险是否处在可接受的水平之内。基于这一判断,管理层将做出决策,决定是否允许信息系统运行。
如果信息系统的残余风险不可接受,而现实情况又要求系统必须投入运行,且当前没有其它资源能胜任单位的使命。这时可以临时批准信息系统投入运行。
在这种情况下,必须由信息系统的主管者决定临时运行的时间段,制定出在此期间的应急预案以及继续处理风险的措施。在临时运行的时间段结束后,应重新评估残余风险的可接受度。如果残余风险仍然不可接受,则一般不应再批准信息系统临时运行。
5相关文件
信息资产管理程序
6记录
信息资产识别表
重要资产清单
威胁/脆弱性因素表
风险评估表
安全措施实施计划
残余风险清单
信息安全风险识别与评价管理程序
信息安全风险识别与评 价管理程序 文件编码(GHTU-UITID-GGBKT-POIU-WUUI-8968)
通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平。 二、范围: 适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。 三、责任: 管理者代表 信息中心执行信息安全风险的识别与评价;审核并批准重大信息安全风险,并负责编制《信息资产风险评估准则》,执行信息安全风险调查与评价,提出重大信息安全风险报告。 各部门 协助信息中心的调查,参与讨论重大信息安全风险的管理办法。 四、内容: 资产识别 保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此,应对组织中的资产进行识别。 在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。 表1 列出了一种资产分类方法。
信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。 信息分类定义: a)“国家秘密事项”:《中华人民共和国保守国家秘密法》中指定的秘密事; b)“企业秘密事项”:不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害,或者由于业务上的需要仅限有关人员知道的商业秘密事项; c)“敏感信息事项”:为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项; d)“一般事项”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项; e)“公开事项”:其他可以完全公开的事项。 信息分类不适用时,可不填写。
信息安全管理制度附件:信息安全风险评估管理程序
本程序,作为《WX-WI-IT-001 信息安全管理流程A0版》的附件,随制度发行,并同步生效。 信息安全风险评估管理程序 1.0目的 在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施处理风险。 2.0适用范围 在ISMS 覆盖范围内主要信息资产 3.0定义(无) 4.0职责 4.1各部门负责部门内部资产的识别,确定资产价值。 4.2IT部负责风险评估和制订控制措施。 4.3财务中心副部负责信息系统运行的批准。 5.0流程图 同信息安全管理程序的流程 6.0内容 6.1资产的识别 6.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别,确定资产价值。 6.1.2资产分类 根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员 等类。 6.1.3资产(A)赋值 资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选 择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值 等级作为资产的最终赋值结果。资产等级划分为五级,分别代表资产重要性
的高低。等级数值越大,资产价值越高。 1)机密性赋值 根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产 2)完整性赋值 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产 3)可用性赋值 根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
3分以上为重要资产,重要信息资产由IT 部确立清单 6.2威胁识别 6.2.1威胁分类 对重要资产应由ISMS 小组识别其面临的威胁。针对威胁来源,根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。 6.2.2威胁(T)赋值 评估者应根据经验和(或)有关的统计数据来判断威胁出现的频率。 威胁频率等级划分为五级,分别代表威胁出现的频率的高低。等级数值越大,威胁出现
信息安全风险评估项目流程
信息安全风险评估项目流程 一、售前方案阶段 1.1、工作说明 技术部配合项目销售经理(以下简称销售)根据客户需求制定项目解决方案,客户认可后,销售与客户签订合同协议,同时向技术部派发项目工单(项目实施使用) 1.2、输出文档 《XXX项目XXX解决方案》 输出文档(电子版、纸质版)交付销售助理保管,电子版抄送技术部助理。 1.3、注意事项 ?销售需派发内部工单(售前技术支持) ?输出文档均一式三份(下同) 二、派发项目工单 2.1、工作说明 销售谈下项目后向技术部派发项目工单,技术部成立项目小
组,指定项目实施经理和实施人员。 三、项目启动会议 3.1、工作说明 ?销售和项目经理与甲方召开项目启动会议,确定各自接口负 责人。 ?要求甲方按合同范围提供《资产表》,确定扫描评估范围、 人工评估范围和渗透测试范围。 ?请甲方给所有资产赋值(双方确认资产赋值) ?请甲方指定安全评估调查(访谈)人员 3.2、输出文档 《XXX项目启动会议记要》 客户提交《信息资产表》、《网络拓扑图》,由项目小组暂时保管,以供项目实施使用 3.3、注意事项 ?资产数量正负不超过15%;给资产编排序号,以方便事后 检查。 ?给人工评估资产做标记,以方便事后检查。 ?资产值是评估报告的重要数据。
?销售跟客户沟通,为项目小组提供信息资产表及拓扑图,以 便项目小组分析制定项目计划使用。 四、项目前期准备 4.1、工作说明 ?准备项目实施PPT,人工评估原始文档(对象评估文档), 扫描工具、渗透测试工具、保密协议和授权书 ?项目小组与销售根据项目内容和范围制定项目实施计划。 4.2、输出文档 《XXX项目实施PPT》 《XXX项目人工访谈原始文档》 《XXX项目保密协议》 《XXX项目XXX授权书》 4.3、注意事项 ?如无资产表和拓扑图需到现场调查后再制定项目实施计划和 工作进度安排。 ?项目实施小组与客户约定进场时间。 ?保密协议和授权书均需双方负责人签字并加盖公章。 ?保密协议需项目双方参与人员签字
信息安全风险评估控制程序
信息科技部 信息安全风险评估控制程序 A版 2011年6月1日发布 2011年6月1日实施目录 1 目的 3 2 范围 3 3 相关文件 3 4 职责 3 5 程序 3 6 记录 5 附表1 信息资产分类参考目录 6 附表2 重要信息资产判断准则 10 附表3 信息安全威胁参考表 12 附表4 信息安全薄弱点参考表(按ISO/IEC17799分类) 13 附表5 事件发生可能性等级对照表 16
附表6 事件可能影响程度等级对照表 17 附表7 信息安全风险矩阵计算表 18 附表8 信息安全风险接受准则 19 文件修订历史记录 1 目的 本程序规定了信息科技部所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估认知信息科技部的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持信息科技部持续性发展,以满足信息科技部信息安全管理方针的要求。 2 范围 本程序适用于信息科技部信息安全管理体系(ISMS)范围内信息安全风险评估活动。
3 相关文件 4 职责 4.1 管理者代表负责组织成立风险评估小组。 4.2 风险评估小组负责编制信息安全风险评估计划,确认评估结果,形成《信息安全风险评估报告》。 5 程序 5.1 风险评估前准备 5.1.1 管理者代表牵头成立风险评估小组,小组成员至少应该包含:负责信息安全管理体系的成员。 5.1.2 风险评估小组制定信息安全风险评估计划,下发各内审员。 5.1.3 必要时应对各内审员进行风险评估相关知识和表格填写的培训。 5.2信息资产的识别 5.2.1风险评估小组通过电子邮件向各内审员发放《信息资产分类参考目录》、《重要信息资产判断准则》、《信息资产识别表》,同时提出信息资产识别的要求。 5.2.2 各内审员参考《信息资产分类参考目录》识别信息科技部信息资产,并填写《信息资产识别表》,根据《重要信息资产判断准则》判断其是否是重要信息资产,经该区域负责人审核确认后,在风险评估计划规定的时间内提交风险评估小组审核汇总。 5.2.3 风险评估小组对各内审员填写的《信息资产识别表》进行审核,确保没有遗漏重要的信息资产,形成信息科技部的《重要信息资产清单》,并交由文档管理员处存档。
信息安全风险评估管理程序ISO27001
1.目的 在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施处理风险。 2.范围 在ISMS 覆盖范围内主要信息资产 3.职责 3.1各部门负责部门内部资产的识别,确定资产价值。 3.2ISMS小组负责风险评估和制订控制措施和信息系统运行的批准。 4.内容 4.1资产的识别 4.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别,确定资产价值。 4.1.2资产分类 根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。 4.1.3资产赋值 资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值等级作
为资产的最终赋值结果。资产等级划分为五级,分别代表资产重要性的高低。等级数值越大,资产价值越高。 1)机密性赋值 根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。 2)完整性赋值 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。
3)可用性赋值 根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
3分以上为重要资产,重要信息资产由IT 部门确立清单 4.2威胁识别 4.2.1威胁分类 对重要资产应由ISMS小组识别其面临的威胁。针对威胁来源,根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。 4.2.2威胁赋值 评估者应根据经验和(或)有关的统计数据来判断威胁出现的频率。威胁频率等级划分为五级,分别代表威胁出现的频率的高低。等级数值越大,威胁出现的频率越高。威胁赋值见下表。
0101-信息安全风险识别与评价管理程序
信息安全风险识别与评价管理程序 1目的 通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平。 2 范围 适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。 3 职责与权限 3.1 管理者代表 组织信息安全审查小组执行信息安全风险的识别与评价;审核并批准重大信息安全风险。 3.2 风险评估小组 负责编制《信息安全风险评估计划》,执行信息安全风险调查与评价,提出重大信息安全风险报告。 3.3 各部门 协助信息安全风险小组的调查,参与讨论重大信息安全风险的管理办法。 4 作业说明 4.1 资产识别 保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此,应对组织中的资产进行识别。 在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。 表1 列出了一种资产分类方法。 表1 一种基于表现形式的资产分类方法
类别简称解释/示例 数据Data 存在电子媒介的各种数据资料,包括源代码、数据库数据,各种数据资料、系统文档、运行管理过程、计划、报告、用户手册等。 软件Software 应用软件、系统软件、开发工具和资源库等。服务Service 软件维护等 硬件Hardware 计算机硬件、路由器,交换机。硬件防火墙。程控交换机、布线、备份存储 文档Document 纸质的各种文件、传真、电报、财务报告、发展计划。 设备Facility 电源、空调、保险柜、文件柜、门禁、消防设施等 人员HR 各级人员和雇主、合同方雇员 其它Other 企业形象、客户关系等 4.2 信息类别 4.2.1信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。 4.2.2 信息分类定义: a)“国家秘密事项”:《中华人民共和国保守国家秘密法》中指定的秘密事; b)“企业秘密事项”:不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害,或者由于业务上的需要仅限有关人员知道的商业秘密事项; c)“敏感信息事项”:为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项; d)“一般事项”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项; e)“公开事项”:其他可以完全公开的事项。 4.2.3 信息分类不适用时,可不填写。 5 风险评估实施 5.1 资产赋值 5.1.1 保密性赋值 根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。
信息安全风险评估控制程序
★残余风险:采取了安全保障措施,提高了防护能力后,仍然可能存在的风险。 ★安全需求:为保证组织机构的使命正常行使,在信息安全保障措施方面提出的要求。 ★安全保障措施:对付威胁,减少脆弱性,保护资产而采取的预防和限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。 信息系统的全过程的安全评估 启动阶段 阶段特征:确定信息系统的需求,信息系统的目的和范围并形成文档。 风险评估的作用:通过风险评估对系统需求的开发提供支持,包括安全需求和安全战略。
主要工作:挖掘并评估需求,进行可行性分析和项目预算,对数据敏感性进行评估 可形成的文档:《系统安全需求分析》、《数据分类安全》 设计阶段 阶段特征:确定信息系统项目计划,系统分析设计和详细设计。 风险评估的作用:通过风险评估对信息系统的安全分析和设计提供支持,这些安全分析可作为信息系统的结构和设计的参考。 主要工作:进行系统功能评估、技术特性需求评估,设计特定的安全控制,对人员背景的调查,编制测试计划和测试环境。 可形成的文档:《系统设计阶段安全风险分析报告》、《系统安全体系设计方案》、《系统安全域划分方案》、《系统安全功能分配方案》、《系统信息流程安全性设计方案》、《系统等级保障建设方案》等。 开发阶段 阶段特征:信息系统通过购买、开发或其它形式建设完成。 风险评估的作用:通过风险评估对系统开发过程提供支持,保证系统开发进度、质量和安全控制。 主要工作:进行开发平台风险评估、编程风险评估、配置变更风险评估、项目进度风险评估、人员权限评估 可形成的文档:《系统开发阶段安全风险分析报告》、《系统开发平台安全建议书》、《系统安全编程指南》、《系统程序分发和管理建议书》、《系统安全功能测试方案》 实施阶段 阶段特征:信息系统的安全特性在此阶段被配置、使能、测试并核实。 风险评估的作用:风险评估可以为针对安全需求进行的信息系统实施的评估提供支持,该阶段发现的安全风险应该如何处理,必须在系统运行之前作出决定。 主要工作:物理环境设施安全,实施人员岗位、职责和工作接口,实施操作程序,外部或内部资源协调,业务连续性计划,灾难恢复计划,文件与程序的设置与权限设定,测试与鉴定(包括测试数据、单元测试、系统测试),备份、恢复与重启程序和手册,备份实施 可形成的文档:《系统实施阶段安全风险分析报告》、《系统安全集成方案》、《系统安全集成质量保证大纲》、《系统实施安全监理报告》、《系统业务连续性计划》 运维阶段 阶段特征:信息系统开始执行其功能,在此阶段信息系统往往不断得到修改,例如添加新的硬件和软件,改变组织的策略和程序等。 风险评估的支持能力:在本阶段风险评估应定期进行,对信息系统的安全风险进行的评估可以帮助信息安全负责人跟踪系统安全状况,决定采用何种控制措施处理安全风险,将安全风险维持在一个可以接受的水平。当信息系统的运行环境做重大调整后,也必须重新执行安全评估。 主要工作:备份与恢复参数,执行备份计划,安全培训内容,加密秘钥管理,用户管理与访问权限,日志审计,安全事件处理,物理安全保护,离线存储保护,输出分发控制,注册与销户,软硬件维保,运维安全控制措施(包括检查工作时间运行、检查技术控制、验证访问权限文档、检查系统互操作性、确认文档及时更新、确认正确的销户、确认文档控制) 可形成的文档:《运维阶段安全风险分析报告》、《系统安全运维规范评估》、《系统安全控制措施评估》、《系统安全事故处理流程》、《系统安全监控流程》 废弃阶段 阶段特征:该阶段包括信息、硬件和软件的销毁。也包括信息的移动、备份和丢弃以及硬件和软件的清除等活动。 风险评估的支持能力:该阶段对将被丢弃和替换的系统组件(硬件、软件)的风险评估可以确保这些组件被合理地丢弃和替换,它们所包含的残余数据经过了正确的处理,不会增加信息系统的安全风险。风险评估还可以保证信息系统的移植在可控的安全情况下执行。 主要工作:加密密钥存储,记录保存时间(法律法规要求),信息归档,介质处理 可形成的文档:《信息记录处理规范》、《介质安全处理规范》
信息安全风险评估管理办法
信息安全风险评估管理办法 第一章总则 第一条为规范信息安全风险评估(以下简称“风险评估”)及其管理活动,保障信息系统安全,依据国家有关规定,结合本省实际,制定本办法. 第二条本省行政区域内信息系统风险评估及其管理活动,适用本办法。 第三条本办法所称信息系统,是指由计算机、信息网络及其配套的设施、设备构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。 本办法所称重要信息系统,是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统。 本办法所称风险评估,是指依据有关信息安全技术与管理标准,对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完整性和可用性等安全属性进行评价的活动。第四条县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查。 跨省或者全国统一联网运行的重要信息系统的风险评估,可以由其行业管理部门统一组织实施。 涉密信息系统的风险评估,由国家保密部门按照有关法律、法规规定实施。
第五条风险评估分为自评估和检查评估两种形式。 自评估由信息系统的建设、运营或者使用单位自主开展. 检查评估由县以上信息化主管部门在本行政区域内依法开展,也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行,双方实行互备案制度. 第二章组织与实施 第六条信息化主管部门应当定期发布本行政区域内重要信息系统目录,制定检查评估年度实施计划,并对重要信息系统管理技术人员开展相关培训。 第七条江苏省信息安全测评中心为本省从事信息安全测评的专门机构,受省信息化主管部门委托,具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训,组织开展全省重要信息系统的外部安全测试。 第八条信息系统的建设、运营或者使用单位可以依托本单位技术力量,或者委托符合条件的风险评估服务机构进行自评估。 第九条重要信息系统新建、扩建或者改建的,在设计、验收、运行维护阶段,均应当进行自评估.重要信息系统废弃、发生重大变更或者安全状况发生重大变化的,应当及时进行自评估。 第十条本省行政区域内信息系统应当定期开展风险评估,其中重要信息系统应当至少每三年进行一次自评估或检查
信息安全管理体系风险评估程序
ISO27001风险评估程序 1目的 为了对公司的信息资产进行风险评估和风险控制,评估组织信息资产所面临的风险并对风险实施有效控制,以确保风险被降低或消除,特制定本程序。 2适用范围 本程序适用于适用于对公司的信息资产进行风险评估和风险控制。 3职责与权限 3.1信息安全委员会 ?制定资产评估准则,确定风险评估方法; ?负责对控制目标、控制措施的有效性进行监督和评审。 ?确定风险评估的范围; ?指导各部门进行风险评估; ?汇总和分析风险评估结果,作出风险评价; ?制定风险处理计划,向信息安全委员会提交信息安全风险评估报告。 3.3各部门 ?各部门资产负责人按规定维护相关资产。 ?识别并列出跟本部门业务有关的资产; ?对本部门资产进行风险评估。 4风险评估程序和工作流程 4.1风险评估与管理 4.1.1过程识别 在ISMS范围内,各部门识别本部门涉及的主要业务过程及使用的各类信息资产。 4.1.2风险评估
风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。即风险分析和风险评价的全过程。 4.1.3风险管理 风险管理是识别、控制、消除、减小可能影响信息系统资源的不确定事件的过程。指导和控制一个组织的风险的协调的活动。 4.1.4风险评估方法 结合公司在风险评估时投入的时间、人力、成本等各方面的因素,公司采用基本风险评估方法。基本的风险评估方法是指应用直接和简易的方法达到基本的安全水平,就能满足组织及其业务环境的所有要求。公司采用这种方法使得组织在识别和评估基本安全需求的基础上,通过建立相应的信息安全管理体系,获得对信息资产的基本保护。 4.1.5风险评估与风险管理的区分 风险管理是把整个组织内的风险降低到可接受水平的整个过程。 ?是一个持续的周期,通常以一定的间隔重新开始来更新流程中各个地区阶段的数据 ?是一个持续循环、不断上升的过程。 风险评估是确定组织面临的风险并确定其优先级的过程,是风险管理流程中最必须、最谨慎的一个过程。 ?当潜在的与安全相关的事件在企业内发生时,如变动业务方法、发现新的漏洞等, 组织都可能会启动风险评估。 4.2 风险评估实施流程 总要求:组织应根据整体业务活动和风险,建立、实施、运行、监视、评审、保持并改进文件化的ISMS。
ISO27001信息安全风险评估程序
ISO27001信息安全风险评估程序 1.目的 本文件为公司执行信息安全风险评估提供指导和规范。 本程序的运行结果产生《风险评估报告-(加注日期)》。 公司依据风险评估报告编制风险处理计划。 2.适用范围 本程序适用风险评估所涉及的所有部门。 风险评估工作组成员据此执行风险评估活动。 其他相应员工据此理解风险评估的过程,完成自己职责范围内风险评估相关工作。 3.风险评估的实施频率及评审 公司规定风险评估活动要定期进行,常规的风险评估每年执行一次,执行风险评估前应对本程序进行评审。 遇到以下情况,公司也将启动风险评估: 增加了大量新的信息资产; 业务环境发生了重大的变化; 发生了重大信息安全事件。 4.风险评估方法 根据GB/T22080-2008/ISO/IEC27001:2005和ISO/IEC TR 13335-3,公司采用“详细风险分析方法(Detailed Risk Approach)”来实施风险评估,该方法主要包括: 风险分析:识别资产、威胁、脆弱性、影响和可能性 风险评价:风险=影响×可能性 5.风险评估流程 公司风险评估流程如下图所示:
5.1.确定风险评估范围 在执行风险评估前,由信息安全领导小组负责,确定本次风险评估的范围,并明确传达给风险评估工作组。 5.2.建立风险评估工作组 在执行风险评估前,由信息安全领导小组负责,建立风险评估工作组,并明确工作组成员职责。 5.3.识别风险
5.3.2.识别威胁及威胁可利用的脆弱性(依下表)。 5.4.分析和评价风险 5.4.1.分析和评价风险发生后对公司的影响(依下表)。 风险发生后对公司影响的赋值准则 5.4.2.分析和评价风险发生的可能性(依下表)。
信息风险评估相关制度-信息安全管理相关制度
信息风险评估相关制度 信息安全管理相关制度 1总则 第1条为规范信息安全管理工作,加强过程管理和基础设施管理的风险分析及防范,建立安全责任制,健全安全内控制度,保证信息系统的机密性、完整性、可用性,特制定本规定。 2适用范围 第2条本规定适用于。 3管理对象 第3条管理对象指组成计算机信息系统的系统、设备和数据等信息资产和人员的安全。主要范围包括:人员安全、物理环境安全、资产识别和分类、风险管理、物理和逻辑访问控制、系统操作与运行安全、网络通讯安全、信息加密与解密、应急与灾难恢复、软件研发与应用安全、机密资源管理、第三方与外包安全、法律和标准的符合性、项目与工程安全控制、安全检查与审计等。
4第四章术语定义 DMZ:用于隔离内网和外网的区域,此区域不属于可信任的内网,也不是完全开放给因特网。 容量:分为系统容量和环境容量两方面。系统容量包括CPU、内存、硬盘存储等。环境容量包括电力供应、湿度、温度、空气质量等。 安全制度:与信息安全相关的制度文档,包括安全管理办法、标准、指引和程序等。 安全边界:用以明确划分安全区域,如围墙、大厦接待处、网段等。 恶意软件:包括计算机病毒、网络蠕虫、木马、流氓软件、逻辑炸弹等。 备份周期:根据备份管理办法制定的备份循环的周期,一个备份周期的内容相当于一个完整的全备份。 系统工具:能够更改系统及应用配置的程序被定义为系统工具,如系统管理、维护工具、调试程序等。 消息验证:一种检查传输的电子消息是否有非法变更或破坏的技术,它可以在硬件或软件上实施。 数字签名:一种保护电子文档真实性和完整性的方法。例如,在电子商务中可以使用它验证谁签署电子文档,并检查已签署文档的内容是否被更改。 信息处理设备:泛指处理信息的所有设备和信息系统,包括网络、
信息安全风险识别与评价管理程序
通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平。 二、范围: 适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。 三、责任: 3.1 管理者代表 信息中心执行信息安全风险的识别与评价;审核并批准重大信息安全风险,并负责编制《信息资产风险评估准则》,执行信息安全风险调查与评价,提出重大信息安全风险报告。3.2 各部门 协助信息中心的调查,参与讨论重大信息安全风险的管理办法。 四、内容: 4.1 资产识别 保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此,应对组织中的资产进行识别。 在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。 表1 列出了一种资产分类方法。 表1 一种基于表现形式的资产分类方法
4.2.1信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。 4.2.2 信息分类定义: a)“国家秘密事项”:《中华人民共和国保守国家秘密法》中指定的秘密事; b)“企业秘密事项”:不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害,或者由于业务上的需要仅限有关人员知道的商业秘密事项; c)“敏感信息事项”:为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项; d)“一般事项”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项; e)“公开事项”:其他可以完全公开的事项。 4.2.3 信息分类不适用时,可不填写。
信息安全风险评估管理程序
信息安全风险评估管理程序 1.目的 在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施处理风险。 2.范围 在ISMS 覆盖范围内主要信息资产 3.职责 3.1各部门负责部门内部资产的识别,确定资产价值。 3.2ISMS小组负责风险评估和制订控制措施和信息系统运行的批准。 4.内容 4.1资产的识别 4.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别,确定资产价值。 4.1.2资产分类 根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。 4.1.3资产赋值 资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值等级作为资产的最终赋值结果。资产等级划分为五级,分别代表资产重要性的高低。等级数值越大,资产价值越高。 1)机密性赋值 根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。
2)完整性赋值 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。 3)可用性赋值 根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。 3分以上为重要资产,重要信息资产由IT 部门确立清单
4.2威胁识别 4.2.1威胁分类 对重要资产应由ISMS小组识别其面临的威胁。针对威胁来源,根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。 4.2.2威胁赋值 评估者应根据经验和(或)有关的统计数据来判断威胁出现的频率。威胁频率等级划分为五级,分别代表威胁出现的频率的高低。等级数值越大,威胁出现的频率越高。威胁赋值见下表。 4.3脆弱性识别 4.3.1脆弱性识别内容 脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关。
ISO27001信息安全管理体系全套程序文件
东莞市有限公司 信息安全风险评估管理程序 文件编号:ISMS-COP01 状态:受控 编写:信息安全管理委员会2018年05月10日 审核:2018年05月10日 批准:陈世胜2018年05月12日 发布版次:A/0版2018年05月12日 生效日期:2018年05月18日 分发:各部门接受部门:各部门 变更记录
信息安全风险评估管理程序 1 适用 本程序适用于本公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。 2 目的 本程序规定了本公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估,认知本公司的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持本公司业务持续性发展,以满足本公司信息安全管理方针的要求。 3 范围 本程序适用于第一次完整的风险评估和定期的再评估。在辨识资产时,本着尽量细化的原则进行,但在评估时我司又会把资产按照系统进行规划。辨识与评估的重点是信息资产,不区分物理资产、软件和硬件。 4 职责 4.1 成立风险评估小组 办公室负责牵头成立风险评估小组。 4.2 策划与实施 风险评估小组每年至少一次,或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后,负责编制信息安全风险评估计划,确认评估结果,形成《信息安全风险评估报告》。 4.3 信息资产识别与风险评估活动 各部门负责本部门使用或管理的信息资产的识别,并负责本部门所涉及的信息资产的具体安全控制工作。
4.3.1各部门负责人负责本部门的信息资产识别。 4.3.2办公室经理负责汇总、校对全公司的信息资产。 4.3.3 办公室负责风险评估的策划。 4.3.4信息安全小组负责进行第一次评估与定期的再评估。 5 程序 5.1 风险评估前准备 5.1.1 办公室牵头成立风险评估小组,小组成员至少应该包含:信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。 5.1.2风险评估小组制定信息安全风险评估计划,下发各部门内审员。 5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。 5.2 信息资产的识别 5.2.1 本公司的资产范围包括: 5.2.1.1信息资产 1)数据文档资产:客户和公司数据,各种介质的信息文件包括纸质文件。 2)软件资产:应用软件、系统软件、开发工具和适用程序。 3)硬件资产:计算机设备、通讯设备、可移动介质和其他设备。 4)服务:培训服务、租赁服务、公用设施(能源、电力)。 5)人员:人员的资格、技能和经验。 6)无形资产:组织的声誉、商标、形象。 5.3资产及其重要度 5.3.1识别组织的资产 ●识别在评估范围内的资产。对于在范围内的每一项资产都要恰当统计;不在评估范 围内的资产,也要进行记录; ●按一定的标准,将信息资产进行恰当的分类,在此基础上进行下一步的风险评估工 作。 ●识别组织资产,参考《资产等级分类及重要度(安全等级)划分》
信息安全漏洞管理流程
信息安全漏洞管理规定 主导部门: IT 部 支持部门: N/A 审 批: IT 部 文档编号: IT-V01 生效日期:
信息安全漏洞管理规定 1.目的 建立信息安全漏洞管理流程的目的是为了加强公司信息安全保障能力,建立健全公司
的安全管理体系,提高整体的网络与信息安全水平,保证业务系统的正常运营,提高网络服务质量,在公司安全体系框架下,本策略为规范公司信息资产的漏洞管理(主要包含IT设备的弱点评估及安全加固),将公司信息资产的风险置于可控环境之下。 2.范围 本策略适用于公司所有在生产环境和办公环境中使用的网络系统、服务器、应用系统以及安全设备。 3.定义 3.1ISMS 基于业务风险方法,建立、实施、运行、监控、评审、保持和改进信息安全的体系,是公司整个管理体系的一部分。 3.2安全弱点 安全弱点是由于系统硬件、软件在设计实现时或者是在安全策略的制定配置上的错 误而引起的缺陷,是违背安全策略的软件或硬件特征。有恶意企图的用户能够利用 安全弱点非法访问系统或者破坏系统的正常使用。 3.3弱点评估 弱点评估是通过风险调查,获取与系统硬件、软件在设计实现时或者是在安全策略 的制定配置的威胁和弱点相关的信息,并对收集到的信息进行相应分析,在此基础 上,识别、分析、评估风险,综合评判给出安全弱点被利用造成不良事件发生的可
能性及损失/影响程度的观点,最终形成弱点评估报告。 4.职责和权限 阐述本制度/流程涉及的部门(角色)职责与权限。 4.1安全管理员的职责和权限 1、制定安全弱点评估方案,报信息安全经理和IT相关经理进行审批; 2、进行信息系统的安全弱点评估; 3、生成弱点分析报告并提交给信息安全经理和IT相关经理备案; 4、根据安全弱点分析报告提供安全加固建议。 4.2系统管理员的职责和权限 1、依据安全弱点分析报告及加固建议制定详细的安全加固方案(包括回退方案), 报信息安全经理和IT相关经理进行审批; 2、实施信息系统安全加固测试; 3、实施信息系统的安全加固; 4、在完成安全加固后编制加固报告并提交给信息安全经理和IT相关经理备案; 5、向信息安全审核员报告业务系统的安全加固情况。 4.3信息安全经理、IT相关经理的职责和权限
信息安全风险识别与评价管理程序
通过风险评估,采取有效措施,降低威胁事件发生得可能性,或者减少威胁事件造成得影响,从而将风险消减到可接受得水平。 二、范围: 适用于对信息安全管理体系信息安全风险得识别、评价、控制等管理。 三、责任: 3、1管理者代表 信息中心执行信息安全风险得识别与评价;审核并批准重大信息安全风险,并负责编制《信息资产风险评估准则》,执行信息安全风险调查与评价,提出重大信息安全风险报告. 3、2 各部门 协助信息中心得调查,参与讨论重大信息安全风险得管理办法。 四、内容: 4、1资产识别 保密性、完整性与可用性就是评价资产得三个安全属性。风险评估中资产得价值不就是以资产得经济价值来衡量,而就是由资产在这三个安全属性上得达成程度或者其安全属性未达成时所造成得影响程度来决定得。安全属性达成程度得不同将使资产具有不同得价值,而资产面临得威胁、存在得脆弱性、以及已采用得安全措施都将对资产安全属性得达成程度产生影响。为此,应对组织中得资产进行识别。 在一个组织中,资产有多种表现形式;同样得两个资产也因属于不同得信息系统而重要性不同,而且对于提供多种业务得组织,其支持业务持续运行得系统数量可能更多。这时首先需要将信息系统及相关得资产进行恰当得分类,以此为基础进行下一步得风险评估。在实际工作中,具体得资产分类方法可以根据具体得评估对象与要求,由评估者灵活把握.根据资产得
表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。 表1 列出了一种资产分类方法。 表1 一种基于表现形式得资产分类方法 4、2信息类别 4、2、1信息分类得重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项与公开事项。 4、2、2 信息分类定义: a)“国家秘密事项”:《中华人民共与国保守国家秘密法》中指定得秘密事; b)“企业秘密事项”:不可对外公开、若泄露或被篡改会对本公司得生产经营造成损害,或者由于业务上得需要仅限有关人员知道得商业秘密事项; c)“敏感信息事项”:为了日常得业务能顺利进行而向公司员工公司开、但不可向公司以外人
信息安全风险评估管理程序
信息安全风险管理程序 编制:XXXXXX 20XX 年XX月XX日审核:XXXXXXX 20XX 年XX月XX日批准:XXXXXXX 20XX 年XX月XX日受控状态:受控 版本号: XX 分发编号:XX 执行日期:20XX 年XX月XX日
目录
1 目的 从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地为保障信息安全提供科学依据。 2 适用范围 信息安全管理体系覆盖范围内的所有信息资产。 3 术语和定义 引用ISO/IEC27001:2005(idt GB/T 22080-2008)和ISO/IEC27002:2005(idt GB/T 22081-2008)的相关术语和定义。 4 职责和权限 4.1 信息安全领导办公室 ●决定实施风险评估的时间和方法 ●指导风险处理计划的实施与检查 ●残余风险的批准。 4.2 部门信息安全主管 ●负责本部门范围内风险评估相关活动的组织实施 ●负责本部门范围内风险处理计划的组织实施 4.3 部门信息安全员 ●在部门安全主管领导下,负责本部门风险评估相关活动的实施 ●在部门安全主管领导下,负责本部门风险处理计划的实施 5 风险评估方法 5.1 风险各要素的关系 风险评估中各要素的关系如图1。
图1 风险评估要素关系图 图1中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。 图1 中的风险要素及属性之间存在着以下关系: a)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小; b)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大; c)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成为安全事件;d)资产的脆弱性可能暴露资产的价值,资产具有的脆弱性越多则风险越大; e)脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产; f)风险的存在及对风险的认识导出安全需求; g)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本; h)安全措施可抵御威胁,降低风险;
信息安全风险评估管理程序(含表格)
信息安全风险评估管理程序 (ISO27001-2013) 1、目的 本程序规定了本公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估,认知本公司的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持本公司业务持续性发展,以满足本公司信息安全管理方针的要求。具体操作步骤,参照《信息安全风险评估指南》具体执行。 2、适用范围 本程序适用于本公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。本程序适用于第一次完整的风险评估和定期的再评估。在辨识资产时,本着尽量细化的原则进行,但在评估时我司又会把资产按照系统进行规划。辨识与评估的重点是信息资产,不区分物理资产、软件和硬件。 3、术语 无 4、职责 4.1成立风险评估小组 人事部负责牵头成立风险评估小组。
4.2策划与实施 风险评估小组每年至少一次,或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后,负责编制信息安全风险评估计划,确认评估结果,形成《信息安全风险评估报告》。 4.3信息资产识别与风险评估活动 各部门负责本部门使用或管理的信息资产的识别和风险评估,并负责本部门所涉及的信息资产的具体安全控制工作。 4.3.1各部门负责人负责本部门的信息资产识别。 4.3.2人事部经理负责汇总、校对全公司的信息资产。 4.3.3人事部负责风险评估的策划。 4.3.4信息安全委员会负责进行第一次评估与定期的再评估。 5、程序 5.1风险评估前准备 5.1.1人事部牵头成立风险评估小组,小组成员至少应该包含:信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。 5.1.2风险评估小组制定信息安全风险评估计划,下发各部门内审员。 5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。 5.2信息资产的识别