信息资产识别和风险评估管理程序.pdfVIP

文件名称信息资产识别和风险评估管理程序文件编号ISMS-CX-05

版本/状态VA/0密级受控发行日期2022-12-01

1目的

本程序规定了本公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估，认知

本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安

全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。

2范围

本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险评估以及信息技术服务管理

体系范围内的服务项目中的信息安全风险评估。

3术语和定义

引用ISO27001:2013标准中的术语和定义。

4职责

4.1成立风险评估小组

信息安全管理委员会负责牵头成立风险评估小组。

4.2策划与实施

风险评估小组当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件

发生后，负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。

4.3信息资产识别与风险评估活动

各部门负责本部门使用或管理的信息资产的识别，并负责本部门所涉及的信息资产的具体安全控

制工作。

4.3.1各部门负责人负责本部门的信息资产识别。

4.3.2综合部负责汇总、校对全公司的信息资产。

4.3.3综合部负责风险评估的策划。

信息安全管理委员会负责进行第一次评估与再评估。

5程序

5.1风险评估前准备

5.1.1成立风险评估小组

信息安全管理小组牵头成立风险评估小组，小组成员应包含信息安全重要责任部门的成员。

5.1.2制定计划

风险评估小组制定《信息安全风险评估计划》,下发各部门。

5.2资产赋值

信息安全和信息技术服务管理程序汇编

5.2.1部门赋值

各部门风险评估小组成员识别本部门资产，并进行资产赋值。

5.2.2赋值计算

资产赋值的过程是对资产在必威体育官网网址性、完整性、可用性和法律法规合同上的达成程度进行分析，并

在此基础上得出综合结果的过程。

5.2.3必威体育官网网址性(C)赋值

根据资产在必威体育官网网址性上的不同要求，将其分为五个不同的等级，分别对应资产在必威体育官网网址性上的应达成

的不同程度或者必威体育官网网址性缺失时对整个组织的影响。

必威体育官网网址性分类赋值方法

级别价值分级描述

1很低可对社会公开的信息公用的信息处理设备和系统资源等

仅能在组织内部或在组织某一部门内部公开的信息，向外

2低组织/部门内公开

扩散有可能对组织的利益造成轻微损害

3中等组织的一般性秘密其泄露会使组织的安全和利益受到损害

4高包含组织的重要秘密其泄露会使组织的安全和利益遭受严重损害

包含组织最重要的秘关系未来发展的前途命运，对组织根本利益有着决定性的

5很高

密影响，如果泄露会造成灾难性的损害

5.2.4完整性(I)赋值

根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的达成的

不同程度或者完整性缺失时对整个组织的影响。

完整性(I)赋值的方法

级别价值分级描述

未经授权的修改或破坏对组织造成的影响可以忽略，对业

1很低完整性价值非常低