HYK-MS-211 信息和隐私安全资产识别与风险评估控制程序.docVIP

第

第PAGE2页共NUMPAGES19页

第PAGE

第PAGE1页共NUMPAGES19页

深圳市企启信息科技有限公司

信息和隐私安全资产识别与风险评估控制程序

文档编号：HYK-MS-211

版本信息：V1.0

创建人：信息安全与隐私安全小组

审核者：周静

批准人：黄伟

编制日期：2022年5月10日

批准日期：2022年5月10日

文件变更记录

版本

变更描述

日期

修订人

批准日期

批准人

V1.0

初始版本，文档建立

2022年5月10日

周静

2022年5月10日

黄伟

目录

TOC\o1-2\h\u64731.目的 3

186092.引用文件 3

267423.职责 3

258213.1行政部 3

275063.2风险评估小组 3

305953.3各部门 4

313154.相关文件 4

106335.程序 4

120055.1风险评估前准备 4

307255.2资产识别管理 4

67805.3判定重要资产 7

238785.4重要资产风险评估 8

274625.5风险分析 13

326025.6不可接受风险的确定 15

13635.7风险处理 15

305905.8残余风险评估 16

298625.9信息和隐私安全风险的连续评估 17

87996.记录 17

1.目的

本程序规定了公司所采用的信息和隐私安全风险评估方法。通过识别信息资产、风险等级评估本公司的信息和隐私安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息和隐私安全风险控制在可接受的水平，保持本公司商务持续性发展，以满足本公司信息安全及隐私信息管理方针的要求。

本程序适用于公司信息安全及隐私信息管理体系(PIMS)范围内信息和隐私安全风险评估活动。

2.引用文件

下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的必威体育精装版版本。凡是不注日期的引用文件，其必威体育精装版版本适用于本标准。

ISO/IEC27001:2013信息技术-安全技术-信息安全及隐私信息管理体系要求

ISO/IEC27002:2013信息技术-安全技术-信息安全及隐私信息管理实施细则

ISO/IEC27005:2008信息技术-安全技术-风险管理

3.职责

3.1行政部

负责牵头成立风险评估小组。

3.2风险评估小组

负责编制《风险评估计划》，并汇总确认《资产识别表》和《风险评估表》，并根据评估结果形成《信息和隐私安全风险评估报告》和《残余风险报告》。

3.3各部门

负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制工作。在信息和隐私安全工作小组组长协调下，负责本部门使用或管理的资产的识别和风险评估；负责本部门所涉及的资产的具体安全控制工作。信息安全及隐私信息管理员在本部门信息资产发生变更时，需要及时清点和评估，并报送信息和隐私安全工作小组更新《资产识别表》和《风险评估表》。

4.相关文件

《信息和隐私安全及信息技术服务管理体系手册》

5.程序

5.1风险评估前准备

5.1.1成立风险评估小组

信息安全与隐私安全小组牵头成立风险评估小组，小组成员应包含信息和隐私安全重要责任部门的成员。

5.1.2制定计划

风险评估小组制定《风险评估计划》,下发各部门。

5.2资产识别管理

5.2.1资产识别

资产是本公司直接赋予价值因而需要保护的有用资源。

信息资产分为：数据资产、软件资产、硬件资产、文档资产、人员资产、服务资产等六大类。

表1一种基于表现形式的资产分类方法

类别

解释/示例

数据资产

存在电子媒介的各种数据资料，包括源代码、数据库数据，各种数据资料、系统文档、运行管理过程、计划、报告、用户手册等。

软件资产

应用软件、系统软件、开发工具和资源库等。

硬件资产

计算机硬件、路由器，交换机，硬件防火墙，程控交换机、布线、备份存储等硬件资产，包括电源、空调、保险柜、文件柜、门禁、消防设施等与信息和隐私安全相关的基础设施。

文档资产

纸质的各种文件、传真、电报、财务报告、发展计划。

人员资产

各级人员和雇主、合同方雇员。

服务资产

第三方服务、如软件维护服务、物业、网络服务等。

信息资产识别由信息安全与隐私安全小组统一组织进行，相关人员要予以协助，识别出来的信息资产需要详细登记在《信息资产识别清单》中。各部门风险评估小组成员识别本部门资产，并进行资产赋值。

5.2.2