- 1、本文档共17页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
信息安全管理体系-程序文件
密级
重要
受控状态
受控
第PAGE11页共NUMPAGES17页
密级等级:重要
受控状态:受控
文件编号:IP-001-V1.0
信息安全风险管理程序
版本号:V1.0
发布日期:2023年03月01日
内部资料版权所有未经允许不得抄印
变更履历
版本
变更内容
编制人/
创建日期
审核人/
审核日期
批准人/
批准日期
备注
目录
TOC\f\t标题2,2,标题3,3,标题4,4,H0,11 目的 5
2 范围 5
3 职责 5
3.1 IT科 5
3.2 风险评估小组 5
3.3 各部门 5
4 相关文件 5
5 程序 5
5.1 风险评估前准备 5
5.1.1 成立风险评估小组 5
5.1.2 制定计划 5
5.2 资产识别管理 6
5.2.1 资产识别 6
5.2.2 赋值计算 6
5.2.3 必威体育官网网址性(C)赋值 6
5.2.4 完整性(I)赋值 6
5.2.5 可用性(A)赋值 7
5.2.6 业务影响(L)赋值 7
5.2.7 导出资产清单 7
5.3 判定重要资产 7
5.3.1 审核确认 8
5.4 重要资产风险评估 8
5.4.1 要求 8
5.4.2 识别威胁 8
5.4.3 识别脆弱性 8
5.4.4 识别威胁发生的可能性 9
5.4.5 已有安全措施的确认 10
5.4.6 识别风险的所有者 10
5.5 风险计算 10
5.5.1 计算方法 10
5.5.2 风险等级 10
5.6 不可接受风险的确定 11
5.7 风险处理 11
5.7.1 计划 12
5.7.2 报告 12
5.7.3 审核 12
5.7.4 实施 12
5.8 剩余风险评估 12
5.8.1 再评估 12
5.8.2 再处理 12
5.8.3 审核批准 13
5.9 信息安全风险的连续评估 13
5.9.1 定期评估 13
5.9.2 非定期评估 13
5.9.3 更新资产 13
5.9.4 调整控制措施 13
6 记录 13
TOC\o1-1\h\z\t标题2,2,标题3,3,标题4,4目的
为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。
范围
本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。
职责
IT科
负责组织成立风险评估小组。
风险评估小组
负责编制《信息安全风险评估计划》,确认评估结果,形成《信息安全风险评估报告》。
各部门
负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。
相关文件
《信息安全管理手册》
《信息分类管理程序》
程序
风险评估前准备
成立风险评估小组
IT科牵头成立风险评估小组,小组成员应包含信息安全重要责任部门的成员。
制定计划
风险评估小组制定《信息安全风险评估计划》,下发各部门。
资产识别管理
资产识别
资产是本公司直接赋予价值因而需要保护的有用资源。
信息资产分为:人员资产、物理资产、软件资产、数据资产、文档资产、服务资产、无形资产等七大类。
信息资产识别由信息安全小组统一组织进行,相关人员要予以协助,识别出来的信息资产需要详细登记在《信息资产识别清单》中。各部门风险评估小组成员识别本部门资产,并进行资产赋值。
赋值计算
资产赋值的过程是对资产在必威体育官网网址性、完整性、可用性和法律法规合同上的达成程度进行分析,并在此基础上得出综合结果的过程。
必威体育官网网址性(C)赋值
根据资产在必威体育官网网址性上的不同要求,将其分为五个不同的等级,分别对应资产在必威体育官网网址性上的应达成的不同程度或者必威体育官网网址性缺失时对整个组织的影响。
必威体育官网网址性分类赋值方法
级别
价值
分级
描述
1
很低
可对社会公开的信息
公用的信息处理设备和系统资源等
2
低
组织/部门内公开
仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害
3
中等
组织的一般性秘密
其泄露会使组织的安全和利益受到损害
4
高
包含组织的重要秘密
其泄露会使组织的安全和利益遭受严重损害
5
很高
包含组织最重要的秘密
关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害
完整性(I)赋值
根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。
完整性(I)赋值的方法
级别
价值
分级
描述
1
很低
完整性价值非常低
未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略
2
低
完整性价值较低
未经授权的修
文档评论(0)