ISMS安全风险评估管理程序.doc

ISMS安全风险评估管理程序 1 适用 本程序适用于本公司信息安全管理体系ISMS）范围内信息安全风险评估活动。 2 目的 本程序规定了公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。，参照具体执行。 3 范围 本程序适用于第一次完整的风险评估和定期的再评估。在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。 4 职责 4.1 成立风险评估小组 部负责牵头成立风险评估小组。 4.2 策划与实施 风险评估小组负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。 4.3 信息资产识别与风险评估活动 各部门负责本部门使用或管理的信息资产的识别和风险评估，并负责本部门所涉及的信息资产的具体安全控制工作。 4.3.1 各部门负责人负责本部门的信息资产识别。 4.3.2 部经理负责汇总、校对全公司的信息资产。 4.3.3 部负责风险评估的策划。 4.3.4 信息安全委员会负责进行第一次评估与定期的再评估。 5 程序 5.1 风险评估前准备 5.1.1 部牵头成立风险评估小组，小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。 5.1.2 风险评估小组制定信息安全风险评估计划下发各部门内审员。 5.1.3 必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。 5.2 信息资产的识别资产是，不是以资产的账面价格来衡量的。在对资产进行估价时，不仅要考虑资产的成本价格，更重要的是考虑资产对于组织务的重要性，即根据资产损失所引发的潜在的商务影响来决定。为确保资产估价时的一致性和准确性，应按照上述原则，建立一个资产价值尺度（资产评估标准），以明确如何对资产进行赋值。 资产估价的过程也就是资产影响分析的过程。影响就是由人为或突发性引起的安全事件对资产破坏的后果。这一后果可能毁灭某些资产，危及信息系统并使其丧失密性、完整性可用性，最终还会导致财政损失、市场份额或公司形象的损失。特别重要的是，即使每一次影响引起的损失并不大，但长期积累的众多意外事件的影响总和则可造成严重损失。一般情况下，影响主要从以下几方面来考虑：（1）违反了有关法律或（和）规章制度 （2）影响了业务执行 （3）造成了信誉、声誉损失 （4）侵犯了个人隐私 （5）造成了人身伤害 （6）对法律实施造成了负面影响 （7）侵犯了商业机密 （8）违反了社会公共准则 （9）造成了经济损失 （10）破坏了业务活动 （11）危害了公共安全5.2.3 风险评估小组向各部门内审员发放《信息资产分类参考目录》、《信息资产风险评估表《信息资产识别表》，同时提出信息资产识别的要求。 5.2. 各部门内审员参考《信息资产分类参考目录》识别本部门信息资产，根据信息安全风险评估指南》中的附录B资产重要性程度判断准则判断其是否是重要信息资产，并填写《信息资产识别表》，经本部门负责人审核确认后，在风险评估计划规定的时间内提交风险评估小组审核汇总。 5.2. 风险评估小组对各部门填写的《信息资产识别表》进行审核，确保没有遗漏信息资产，形成各部门的《信息资产风险评估表，并分发各部门存档。 5.3 信息资产风险等级评估 .3.1 应对《信息资产风险评估表中的所有资产进行风险评估评估应考虑威胁事件发生的可能性和威胁事件发生后对信息资产造成的影响程度两方面因素。 .3.2 风险评估小组向各部门内审员分发《信息资产风险评估表》、《信息安全威胁参考表》、《信息安全薄弱点参考表》、《事件发生可能性等级对照表》、《事件可能影响程度等级对照表》。 .3.3 各部门内审员根据资产本身所处的环境条件,参考《信息安全威胁参考表》识别每个信息资产所面临的威胁，针对每个威胁识别目前已有的控制；并参考《信息安全薄弱点参考表》识别可能被该威胁所利用的薄弱点；在考虑现有的控制前提下，参考《事件发生可能性等级对照表》判断每项信息资产所面临威胁发生的可能性；参考《事件可能影响程度等级对照表》，判断威胁利用薄弱点可能使信息资产必威体育官网网址性、完整性或可用性丢失所产生的影响程度等级。将结果填写在《信息资产风险评估表》上，提交风险评估小组审核汇总。 .3.4 风险评估小组考虑本公司整体的信息安全要求，对各部门填写的《信息资产风险评估表》进行审核，确保风险评估水平的一致性，确保没有遗漏信息安全风险。如果对评估结果进行修改，应该和资产责任部门进行沟通并获得该部门的确认。 .3.5 风险评估小组根据信息安全风险矩阵计算表计算风险等级《重要信息