信息安全风险控制程序

XXXX有限公司

风险和机会控制程序

Risk and Opportunity Control Procedure

文件编号Doc. No. 版本Rev. 所属部门Dept. 页次/页数Page

QP-02 2 管理部Page 1 of 4

编制Prepared by:日期Date: YY/MM/DD 签名Signature:日期Date:

审核Checked by：日期Date: YY/MM/DD 签名Signature：日期Date:

批准Approved by：日期Date: YY/MM/DD 签名Signature：日期Date:

发布日期Release date：2020.06.10 实施日期Effective date：2020.06.11

_____________________________________________________________________________________________________

* * * * * 修改履历 * * * * *

1 目的

为了明确与管理体系相关的风险和机会管理要求。

2 范围

2.1 适用于本公司与管理体系相关的风险和机会的管理（包括质量体系、环境体系、职

业健康安全体系和信息安全管理体系等）。

2.2 与职业健康安全危险源相关的风险评价和处置参照《危险源识别和评价控制程

序》。

3 定义

3.1 风险：结果的不确定性。

3.2 信息：对公司有重要价值的资产，可通过多种媒介存储和传递，如纸质的、电子的

和实物等。

3.3 信息安全：通过硬件、软件、网络、监控、密钥等安全技术和各种管理措施，在信

息生命周期的产生、使用、传输、交换、存储和处置各环节，保护信息资产的保密性、完整性和可用性。

3.4 保密性：确保信息只能让有权限人员获得。

3.5 完整性：保证信息和处置方法的正确性和完整性。

3.6 可用性：确保有权限的人员在需要的时候能够获得相关信息。

3.7 威胁：一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画：威胁

的主体（威胁源）、能力、资源、动机、途径、可能性和后果。

3.8 脆弱性：信息资产及其安全措施在安全方面的不足和弱点。脆弱性也被称为漏洞。

3.9 事件：威胁利用资产及其安全措施的脆弱性后实际产生危害的情况。

4 职责

4.1 管理者代表：不可接受风险的核准，并组织对信息安全残余风险进行评审和接受批

准。

4.2 品质部：负责质量管理体系风险的识别、评估和管理。

4.3 人事部：负责信息安全管理体系风险的识别、评估和管理。

4.4 环安部：负责环境、职业健康安全管理体系风险的识别、评估和管理。

5 程序

5.1 明确背景信息

5.1.1 管理方法：SWOT分析法

S—S trength（优势）W—W eakness（劣势）【优势和劣势是指内部问题】

O—O pportunity（机会）T—T hreat（威胁）【机会和威胁是指外部问题】

外部问题是指国际、国内或区域与公司相关的法律、经济、技术、市场、竞争、社会、

文化等问题。

内部问题是指与公司的文化、价值观、技术、质量、知识、业绩和管理相关的问题。

5.1.2 公司总经理组织公司管理人员，识别内外部问题。

5.2 确定风险管理方针和目标

5.2.1 总经理负责确定公司风险管理的方针和目标。

5.2.2 风险管理总体方针：提高风险意识，杜绝不可接受风险。

5.2.3 风险管理总体目标：不可接受风险发生率为零。

5.3 风险识别和分析

5.3.1 风险的来源包括但不限于：

5.3.1.1 SWOT分析的结果；

5.3.1.2 相关方需求和期望；

5.3.1.3 法律法规要求；

5.3.1.4 管理体系过程；

5.3.1.5 环境因素或危险源；

5.3.1.6 信息安全管理脆弱性和潜在的威胁。

5.3.2 风险识别和分析的内容包括：确定风险源、潜在的后果、影响范围、现有控

制措施及风险中蕴藏的机会，识别结果填入【风险识别和评价清单】。

5.3.3 信息安全风险识别和分析包括：资产识别和赋值、威胁识别、现有控制措施

识别、脆弱点识别、后果识别和分析，识别结果填入【信息安全风险识别和

评价】。

5.3.3.1 资产识别

A.资产分为两大类：主要资产（包括业务过程或活动、信息）和支

持性资产（包括硬件、软件、网络、人员、场所和组织架构），

并识别每一资产的所有者或管理责任人。识别结果填入【信息资

产管理清单】。

B.应尽可能详细地识别信息资产，为风险评估提供充分的输入。

C.业务过程或活动主要包括：

a)一旦丧失或降级将导致不能执行公司使命的过程。

b)包含保密处理或专有技术的过程。

c)如果被修改，可能极大影响完成公司使命的过程。

d)公司满足适用的合同、法律法规要求所需的过程。

D.信息主要包括：

a)公司使命或业务运行的关键信息。

b)个人信息，特别是国家法律所定义的个人隐私。

c)完成公司战略方向所确定战略目标所需的战略性信息。

d)收集、存储、处理、传输需要很长时间和/或导致很高的重置

成本的高成本信息。

5.3.3.2 资产赋值

A.对资产进行准确定量赋值是很困难的，故通常采用定性评价法。

B.资产赋值通常要考虑资产原始价值、替代或重建成本、以及由事

件导致丧失资产的保密性/完整性/可用性所带来的成本。

C.资产赋值参考准则见下表：

5.3.3.3 威胁识别

A.威胁对组织、信息、过程和系统构成潜在损害。

B.威胁可能是自然的或人为的，可能是有意的或无意的，可能是内

部的或外部的。

C.威胁通常包含如下八大类：

a)物理损坏（火灾、水灾、污染、事故、设备或介质损坏、灰

尘、腐蚀、严寒）。

b)自然灾害（极端气候、地震、火山、洪水）。

c)基础服务失效（空调或供水系统失效、电力中断、通讯设备故

障）。

d)辐射（电磁辐射、热辐射、电子脉冲）。

e)信息损害（截取损害干扰信号、远程间谍、偷听、窃取介质/

文件/设备、获取循环利用或废弃的介质、泄密、来自非信任

源的数据、损害硬件/软件、位置检测）。

f)技术故障（设备失效、设备故障、系统饱和、软件故障、系统

可维护性破坏）。

g)未经授权的活动（设备未经授权使用、非法拷贝、使用盗版软

件、破坏数据、非法处理数据）。

h)功能受损（误用、滥用权限、盗用权限、拒绝服务、个人可用

性破坏）。

5.3.3.4 现有控制措施识别

A.是否具有控制威胁的措施。

B.措施是否有效运行。

C.措施是否充分、合理。

5.3.3.5 脆弱点识别

A.无控制措施、措施未运行、措施不充分或不合理，都将构成脆弱

点。

B.通常从如下几个方面考虑脆弱点：

a)硬件

b)软件

c)网络

d)人员

e)场所（物理环境）

f)组织（公司架构、过程、程序、管理惯例）

g)对外部的依赖

5.3.3.6 后果识别和分析

A.资产丧失保密性、完整性或可用性的后果应得到识别。

B.后果可能是有效性丧失、不利的运行环境、业务丧失、名誉损害

等。

C.评估实际的或潜在的信息安全事件可能对组织业务的影响。

5.4 风险评价

5.4.1 决定风险大小的两个关键因素：风险发生后的严重度及风险发生的可能性，

以下是关于风险严重度及发生可能性的评价准则。

5.4.2 风险的大小用风险的严重度与风险发生的可能性的乘积表示，乘积越大风险

越大。风险控制的重点为不可接受风险，不可接受风险的判定准则如下：

5.4.2.1 严重度等级为3以上（含3），且现有控制措施不是足够的充分和有

效；

5.4.2.2 严重度与可能性乘积大于10。

不可接受风险的结果填入【不可接受风险控制清单】。

5.4.3 信息安全风险评价

5.4.3.1 决定信息安全风险大小的三个关键因素：资产赋值、威胁发生的可

能性（L）和脆弱点被威胁利用并造成损害的容易程度（R）。评价

准则如下表：

威胁发生的可能性（L）评价准则：

等级描述

低出现频率较小，或一般不太可能发生，或没有被证实发生过。

中出现频率中等，或在某种情况下可能发生，或被证实曾经发生过。

高出现频率较高，或在通常情况下很可能发生，或被证实曾经多次发生过。

脆弱点被威胁利用并造成损害的容易程度（R）评价准则：

等级描述

低脆弱点被威胁利用，将对资产或业务活动造成较小损害。

中脆弱点被威胁利用，将对资产或业务活动造成一定程度的损害。

高脆弱点被威胁利用，将对资产或业务活动造成重大损害。

风险值评价准则：

5.4.3.2 信息安全风险等级

A.低风险：0-2 中风险：3-5 高风险：6-8

B.高风险以及缺乏有效控制措施的中风险列入【信息安全风险处置

计划】。

5.5 风险控制

5.5.1 针对质量体系相关的不可接受风险，品质部督促责任部门及时采取充分和有

效的控制措施，首选防错措施，将风险控制在可接受的范围内。

5.5.2 针对环境、职业健康安全相关的不可接受风险，环安部督促责任部门及时采

取充分和有效的控制措施，首选防错措施，将风险控制在可接受的范围内。

5.5.3 针对信息安全管理体系高、中等级风险，人事部督促责任部门及时采取充分

和有效的控制措施，首选防错措施，将风险控制在可接受的范围内。

5.5.4 信息安全管理体系高、中等级风险首选依照ISO/IEC 27001《附件A 参考控

制目标和控制》的要求策划和实施控制措施。

5.5.5 信息安全管理小组对ISO/IEC 27001《附件A 参考控制目标和控制》的内容

和要求进行适用性评价，编制【适用性声明】，包含适用的合理证据和不适

用的理由说明。

5.5.6 如果风险中蕴含着机会，由管理者代表组织管理层及其他相关人员进行评

估，确定是否为了寻求和利用机会而承担风险。

5.6 风险接受

5.6.1 管理者代表对已实施控制措施且风险已降低到满足接受准则的风险批准接

受。

5.6.2 对已实施控制措施但风险未降低到满足接受准则的残余风险，管理者代表组

织相关的管理人员进行评审，如果评审结果是接受残余风险，需充分说明跳

过正常风险接受准则的决策理由。

6 相关文件

6.1 《危险源识别和评价控制程序》

6.2 ISO/IEC 27001《附件A 参考控制目标和控制》

7 相关表单

7.1 【风险识别和评价清单】

7.2 【不可接受风险控制清单】

7.3 【信息资产管理清单】

7.4 【信息安全风险识别和评价】

7.5 【信息安全风险处置计划】

7.6 【适用性声明（SoA）】