ISO27001：2013质量部信息安全风险评估记录

ISO27001-2013信息安全管理体系风险和机遇识别评价分析及应对措施控制程序1.目的和范围为了规定公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估本公司的信息安全风险，选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持业务持续性发展，以满足信息安全管理方针的要求，特制订本制度。

本制度适用信息安全管理体系范围内信息安全风险评估活动。

2.引用文件1)下列文件中的条款通过本制度的引用而成为本制度的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本制度，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本制度。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)ISO/IEC 27005:2008《信息技术-安全技术-风险管理》5)《GB/T 20984-2007信息安全风险评估指南》3.职责和权限1)信息安全管理领导小组：负责汇总确认《信息安全风险评估表》，并根据评估结果形成《信息安全风险评估报告》和《残余风险批示报告》。

2)公司全体员工：在信息安全管理领导小组协调下，负责本部门使用或管理的资产的识别和风险评估；负责本部门所涉及的资产的具体安全控制工作。

信息安全管理员在本部门信息资产发生变更时，需要及时清点和评估，并报送信息安全管理领导小组更新《信息安全风险评估表》。

4.风险管理方法通过定义风险管理方法，明确风险接受准则与等级，确保能产生可比较且可重复的风险评估结果。

（如图1）风险管理流程图图1风险管理流程图4.1.风险识别通过进行风险识别活动，识别了以下内容：1)识别了信息安全管理体系范围内的资产及其责任人；2)识别了资产所面临的威胁；3)识别了可能被威胁利用的脆弱点；4)识别了丧失保密性、完整性和可用性可能对资产造成的影响。

Information technology- Security techniques-Information security management systems-Requirements 信息技术-安全技术-信息安全管理体系-要求Foreword前言ISO (the International Organization for Standardization) and IEC (the International Electro technical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.ISO（国际标准化组织）和IEC（国际电工委员会）是为国际标准化制定专门体制的国际组织。

风险评估报告1.风险评估结论此次风险评估，以部门为评估单位。

评估共发现信息安全风险109个，经分析，确定109个风险中，86个为可以接受，23个为不可接受。

为消除不可接受的风险，相应的处理措施如下：1）督导风险责任部门针对流程的缺失制定切实可行的流程管理规范；2）设立责任人对风险点进行管理；3）信息安全体系负责人对识别的风险点加强监督检查；4）将风险设置为体系目标管理，并每季度进行不间断追踪；5）普及信息安全知识，加强信息安全管理制度的培训，培养信息安全管理核心人员。

2评估工作概述公司于20xx年3月16日至5月15日开展了信息安全风险自评估工作，本次风险评估工作以质量与运营管理部牵头开展，人力资源行政部、BPO业务中心、研发中心、技术中心、高管层参与了该项工作。

本次对研发中心、BPO业务中心，人力资源行政部、技术中心和质量与运营管理部五个部门进行了信息安全风险识别与评估。

3 评估依据和标准1) 信息安全技术信息安全风险评估规范（GB/T20984-2007）2) 信息技术——信息安全管理实施规范（ISO/IEC 27001:2005）3) 信息技术——信息安全管理实施细则（ISO/IEC 27002:2005）4) NK-MS-ISM-P01《信息资产管理规定》5) NK-MS-ISM-P02《风险管理过程文件》6) NK-MS-ISM-P05《法律合规性管理规定》4 风险评估4.1资产识别与评审本次以上次资产识别为基础，对涉及的部门进行了资产的更新，详见资产识别与评估表4.2识别并评价弱点弱点是资产本身存在的某种缺陷，一旦被外部威胁所利用，就可能使资产受到损害。

风险管理者需要识别每项资产本身所具有的弱点。

识别弱点之后，还需要确定弱点被利用后的严重性，严重性评价标准如下表：4.3识别并评价威胁威胁是利用弱点而侵害资产的外在因素。

威胁大致可分为人员威胁、系统威胁、环境威胁和自然威胁等几类，每一类里面都会有许多威胁形式。

ISO27001：2013信息安全风险管理程序XXXXXXXXX有限责任公司信息安全风险管理程序[XXXX-B-01]V1.0变更履历1 目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平，特制定本程序。

2 范围本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。

3 职责3.1 综合部负责牵头成立风险评估小组。

3.2 风险评估小组负责编制《信息安全风险评估计划》，确认评估结果，形成《信息安全风险评估报告》。

3.3 各部门负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制工作。

4 相关文件《信息安全管理手册》《商业秘密管理程序》5 程序5.1 风险评估前准备5.1.1 成立风险评估小组综合部牵头成立风险评估小组，小组成员应包含信息安全重要责任部门的成员。

5.1.2 制定计划风险评估小组制定《信息安全风险评估计划》,下发各部门。

5.2 资产赋值5.2.1 部门赋值各部门风险评估小组成员识别本部门资产，并进行资产赋值。

5.2.2 赋值计算资产赋值的过程是对资产在保密性、完整性、可用性和法律法规合同上的达成程度进行分析，并在此基础上得出综合结果的过程。

5.2.3 保密性(C)赋值根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。

保密性分类赋值方法5.2.4 完整性(I)赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。

完整性(I)赋值的方法。