ISMS安全風險評估管理程序

1、ISMS安全風險評估管理程序1 適用本程序適用于本公司信息安全管理體系(ISMS范圍內(nèi)信息安全風險評估活動。2 目的本程序規(guī)定了本公司所采用的信息安全風險評估方法。通過識別信息資產(chǎn)、風險等級評估,認知本公司的信息安全風險,在考慮控制成本與風險平衡的前提下選擇合適控制目標和控制方式將信息安全風險控制在可接受的水平,保持本公司業(yè)務(wù)持續(xù)性發(fā)展,以滿足本公司信息安全管理方針的要求。具體操作步驟,參照信息安全風險評估指南具體執(zhí)行。3 范圍本程序適用于第一次完整的風險評估和定期的再評估。在辨識資產(chǎn)時,本著盡量細化的原則進行,但在評估時我司又會把資產(chǎn)按照系統(tǒng)進行規(guī)劃。辨識與評估的重點是信息資產(chǎn),不區(qū)分物理資

2、產(chǎn)、軟件和硬件。4 職責4.1 成立風險評估小組XX部負責牽頭成立風險評估小組。4.2 策劃與實施風險評估小組每年至少一次,或當體系、組織、業(yè)務(wù)、技術(shù)、環(huán)境等影響企業(yè)的重大事項發(fā)生變更、重大事故事件發(fā)生后,負責編制信息安全風險評估計劃,確認評估結(jié)果,形成信息安全風險評估報告。4.3 信息資產(chǎn)識別與風險評估活動各部門負責本部門使用或管理的信息資產(chǎn)的識別和風險評估,并負責本部門所涉及的信息資產(chǎn)的具體安全控制工作。5 程序5.1 風險評估前準備5.2 信息資產(chǎn)的識別1軟件資產(chǎn):應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和適用程序。2物理資產(chǎn):計算機設(shè)備、通訊設(shè)備、可移動介質(zhì)和其他設(shè)備。3服務(wù):培訓服務(wù)、租賃服務(wù)、

3、公用設(shè)施(能源、電力。4人員:人員的資格、技能和經(jīng)驗。5無形資產(chǎn):組織的聲譽、商標、形象。數(shù)據(jù)庫、數(shù)據(jù)文件、數(shù)據(jù)合同、系統(tǒng)文件、研究信息、用戶手冊、培訓教材、培訓操作、培訓軟件、支持性程序、業(yè)務(wù)連續(xù)性計劃、應(yīng)變安排、審核記錄、審核的追蹤、歸檔信息。本評估應(yīng)考慮:范圍、目的、時間、效果、組織文化、人員素質(zhì)以及具體開展的程度等因素來確定,使之能夠與組織的環(huán)境和安全要求相適應(yīng)。(1違反了有關(guān)法律或(和規(guī)章制度(2影響了業(yè)務(wù)執(zhí)行(3造成了信譽、聲譽損失(4侵犯了個人隱私(5造成了人身傷害(6對法律實施造成了負面影響(7侵犯了商業(yè)機密(8違反了社會公共準則(9造成了經(jīng)濟損失(10破壞了業(yè)務(wù)活動(11危害了公共安全資產(chǎn)安全屬性的不同通常也意味著安全控制、保護功能需求的不同。通過考察三種不同安全屬性,可以能夠基本反映資產(chǎn)的價值。 最終資產(chǎn)價值可以通過違反資產(chǎn)的保密性、完整性和可用性三個方面的程度綜合確定,資產(chǎn)的賦值采用定性的相對等級的方式。與以上安全屬性的等級相對應(yīng),資產(chǎn)價值的等級可分為五級,從1到5由低到高分別代表五個級別的資產(chǎn)相對價值,等級越大,資產(chǎn)越重要。具體每一級別的資產(chǎn)價值定義參見下表。由于資產(chǎn)最終價值的等級評估是依據(jù)資產(chǎn)保密性、完整性、可用性的賦值