GBT22080：2016信息安全管理体系一整套程序文件.docVIP

XXXXXX技术服务有限公司版本：A/0

PAGE

第

第PAGE2页共NUMPAGES74页

受控状态：

XXXXXX技术服务有限公司

信息安全程序文件

(依据GB/T22080-2016)

编制：文件编写小组

审批：

版本：A/0

受控状态：受控

文件编号：LHXR-AQCX-2018

2018年04月20日发布2018年04月20日实施

修改记录页：

序号

修改原因

修改内容

版本

日期

修改者

审核者

版本：A/0

第

第PAGE3页共NUMPAGES74页

目录

TOC\o1-1\h\z\u一、风险评估管理程序 4

二、文件管理程序 15

三、记录管理程序 18

四、内审管理程序 20

五、管理评审程序 22

六、纠正和纠正措施管理程序 25

七、人力资源管理程序 27

八、信息安全事件管理程序 32

九、法律法规管理程序 36

十、业务持续性管理程序 39

十一、监视和测量管理程序 43

十二、用户访问管理程序 47

十三、物理访问管理程序 50

十四、恶意软件管理程序 54

十五、重要信息备份管理程序 57

十六、系统获取、开发与维护管理程序 59

十七、第三方服务管理程序 63

十八、事故、事件、薄弱点与故障管理程序 65

十九、信息安全奖惩管理程序 69

XXXX技术服务有限公司版本：A/0

第

第PAGE74页共NUMPAGES74页

风险评估管理程序

总则

根据国家标准GB/T20984—2007《信息安全技术信息安全风险评估规范》和有关法律、法规的规定制订本程序，本程序规定了评估公司信息资产所面临的风险并对风险实施有效控制的要求，确保风险被降低或消除。

本程序适用于本公司信息资产的风险评估和风险控制。

职责

(1)综合部负责制定信息资产评估准则，确定风险评估方法，经总经理批准后实施。

(2)相关部门负责人是本部门各类信息资产的主要责任人，负责组织建立并维护本部门资产台账，包括：识别并列出跟本部门业务有关的资产、对本部门资产进行风险评估并制定相关风险处理计划。

(3)综合部负责对各部门风险评估过程及结果进行评审，并总结形成风险评估报告，由本公司总经理对风险评估报告进行审批。

(4)综合部负责监督风险处理计划的实施。

风险评估框架及流程

风险要素关系

风险评估要素关系图

注：图1-1中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。图1-1中的风险要素及属性之间存在着以下关系：

(1)业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；

(2)资产是有价值的，公司的业务战略对资产的依赖程度越高，资产价值就越大；

(3)风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件；

(4)资产的脆弱性可能暴露资产的价值，资产具有的脆弱性越多则风险越大；

(5)脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；

(6)风险的存在及对风险的认识导出安全需求；

(7)安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；

(8)安全措施可抵御威胁，降低风险；

(9)残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后不去控制的风险；

(10)残余风险应受到密切监视，它可能会在将来诱发新的安全事件。

风险分析原理

风险分析原理图

风险分析中涉及资产、威胁、脆弱性三个基本要素。风险分析的主要内容为：

(1)对资产进行识别，并对资产的价值进行赋值；

(2)对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；

(3)对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；

(4)根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性；

(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失；

(6)根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。

实施流程

风险评估实施流程图

风险评估实施流程的