信息安全風險評估管理程序_第1頁
信息安全風險評估管理程序_第2頁
信息安全風險評估管理程序_第3頁
信息安全風險評估管理程序_第4頁
信息安全風險評估管理程序_第5頁
已閱讀5頁,還剩2頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

信息安全風險評估管理程序第信息安全風險評估管理程序version:1.1編制人:孫成英日期:200審核人:蔣德偉日期:200批準人:王萬均日期:2008年受控狀態(tài):受控目錄TOC\o"1-2"\h\z\u1.目的 42.適用范圍 43.定義 43.1信息安全風險 43.2風險評估 44.職責 44.1信息安全經(jīng)理 44.2各部門信息安全員 44.3信息安全管理委員會成員 45.工作程序 45.1風險評估的時機 45.2風險評估準備 55.3風險評估基本程序 55.4資產(chǎn)重要性評估 55.5威脅及脆弱性識別與評估 55.6信息安全風險排序 65.7信息安全風險匯總 65.8風險評估報告 65.9風險評估后續(xù)管理 76.引用文件 77流程圖 88.記錄 8修訂文檔歷史記錄日期版本說明作者2001.0創(chuàng)建孫成英2008-8-181.1在5.1節(jié)增加風險評估時機:每年年初和在項目啟動時進行一次風險評估孫成英

1.目的確保信息安全風險評估結(jié)果的合理性。2.適用范圍本指南適用于風險評估小組對正大集團及其所屬公司的信息安全風險進行評估的活動。3.定義3.1信息安全風險威脅利用脆弱性造成某一信息資產(chǎn)或某一組信息資產(chǎn)丟失或損壞的可能性,這樣的風險可能波及整個組織。3.2風險評估計算風險程度并對風險進行優(yōu)先級排序的過程。4.職責4.1信息安全經(jīng)理4.1.1組織風險評估小組進行風險評估。4.1.2起草并向高層匯報《風險評估報告》4.2各部門信息安全員4.2.1參與風險評估4.3信息安全管理委員會成員4.3.1審查并批準風險評估報告4.3.2接受殘余風險5.工作程序5.1風險評估的時機公司在以下情況下,將按照本程序要求進行風險評估:5.1.1建立信息安全管理體系時。5.1.2每年年初由信息安全小組組織風險評估。5.1.35.1.45.1.55.1.6軟件開發(fā)項目在啟動階段,按照CMM文件《風險評估指南》的要求進行項目風險評估。5.2風險評估準備5.2.1每次風險評估前,由信息安全經(jīng)理根據(jù)風險評估范圍負責組建公司風險評估小組,提出風險評估小組成員名單,通常,風險評估小組由各相關部門信息安全員組成。風險評估小組成員名單應提交信息安全管理委員會審查批準。5.2.2根據(jù)所確定的風險評估范圍,信息安全經(jīng)理負責制訂《信息安全風險評估準則》,明確對資產(chǎn)重要性、威脅、脆弱性評分準則以及風險重大程度優(yōu)先級準則。5.2.3《信息安全風險評估準則》應提交信息安全管理委員會審查批準。5.3風險評估基本程序5.3.1對評估范圍內(nèi)的資產(chǎn)進行清點。5.3.2根據(jù)《信息安全風險評估準則》中資產(chǎn)重要性評估準則,對所清點的資產(chǎn)進行重要性評分,計算資產(chǎn)重要性分值。5.3.3識別資產(chǎn)所面臨的威脅。5.3.4針對資產(chǎn)所面臨的威脅,識別資產(chǎn)脆弱性。5.3.5識別現(xiàn)有的控制措施,并按照《信息安全風險評估準則》對威脅和脆弱性構(gòu)成的風險在現(xiàn)有控制措施下發(fā)生的可能性進行評分。5.3.6結(jié)合資產(chǎn)重要性、風險發(fā)生可能性的評分結(jié)果填入《信息資產(chǎn)風險評估表》,計算風險分值。5.3.7按照《信息安全風險評估準則》,對風險嚴重程度進行評定。5.4資產(chǎn)重要性評估5.4.1信息安全經(jīng)理組織風險評估小組成員按照《信息安全風險評估準則》,應用《資產(chǎn)重要性評估表》對風險評估范圍所識別的每類資產(chǎn)進行重要性評估,所完成的資產(chǎn)重要性評估結(jié)果記錄在《資產(chǎn)重要性評估表》中。5.4.2資產(chǎn)重要性評估結(jié)果應由各部門經(jīng)理審查確認。5.5威脅及脆弱性識別與評估5.5.1針對所確定的資產(chǎn)重要性結(jié)果,風險評估小組組長應組織風險評估小組對各類資產(chǎn)所面臨的威脅進行識別,并根據(jù)威脅識別結(jié)果,確定資產(chǎn)對應的脆弱性。風險評估小組針對威脅及脆弱性識別的結(jié)果,建立《威脅脆弱性對照表》,作為進行威脅及脆弱性識別的應用工具。5.5.2風險評估小組組長應組織各部門信息安全員針對所識別的資產(chǎn),應用《威脅脆弱性對照表》工具,對所識別的資產(chǎn),進行威脅及脆弱性識別,威脅及脆弱性識別結(jié)果應記錄在《信息資產(chǎn)風險評估表》中。根據(jù)威脅及脆弱性識別結(jié)果,風險評估小組將對威脅利用脆弱性可能造成的風險進行描述。5.5.3風險評估小組應按照《信息安全風險評估準則》中對威脅、脆弱評分準則對威脅及脆弱性進行評分。每項資產(chǎn)的威脅及脆弱性識別結(jié)果以及評分結(jié)果應記錄在《信息資產(chǎn)風險評估表》中。5.6信息安全風險排序每類資產(chǎn)威脅、脆弱性識別并評分完成后,《信息資產(chǎn)風險評估表》工具將根據(jù)資產(chǎn)重要性評分結(jié)果、威脅評分結(jié)果以及脆弱性評分結(jié)果,綜合計算每類資產(chǎn)的風險級別,并按照《信息安全風險評估準則》中風險分級準則,對資產(chǎn)風險進行優(yōu)先級別評定。風險評定的結(jié)果將記錄在每類資產(chǎn)《信息資產(chǎn)風險評估表》中。5.7風險評估報告5.7.1信息安全經(jīng)理負責組織5.7.1.15.7.1.25.7.1.35.7.1.4風險級別在“中高”及“高”的風險項目匯總形成《風險評估處置計劃》。5.7

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論