信息安全風(fēng)險管理程序

1.目的

針對重要信息資產(chǎn)，進(jìn)行信息安全風(fēng)險評估，信息安全風(fēng)險處置，滿足信息安全標(biāo)準(zhǔn)要求。

2.范圍

適用于本公司信息安全管理體系(ISMS)范圍內(nèi)的信息安全風(fēng)險管理活動。

3.職責(zé)

3.1 信息安全小組組織對重要信息資產(chǎn)進(jìn)行風(fēng)險評估。

3.2管理者代表負(fù)責(zé)審核信息資產(chǎn)識別和信息安全風(fēng)險評估的結(jié)果。

3.3總經(jīng)理批準(zhǔn)信息資產(chǎn)風(fēng)險評估報告和信息安全風(fēng)險處置計劃。

4.程序內(nèi)容

4.1 信息安全風(fēng)險評估

4.1.1 建立并保持信息安全風(fēng)險準(zhǔn)則

a管理者代表組織信息安全小組，針對公司識別并評價出來的“重要信息資產(chǎn)”，從本公司行業(yè)特點(diǎn)、經(jīng)營規(guī)模、長期發(fā)展角度出發(fā)，按信息資產(chǎn)類別和經(jīng)濟(jì)價值確定風(fēng)險接受準(zhǔn)則草案，報公司總經(jīng)理批準(zhǔn)；

b經(jīng)批準(zhǔn)的信息安全風(fēng)險準(zhǔn)則，是信息安全小組風(fēng)險評估重復(fù)性操作和一致性的依據(jù)。

4.1.2識別信息安全風(fēng)險

a信息安全小組將重要信息資產(chǎn)填入《信息資產(chǎn)風(fēng)險評估表》，并識別信息資產(chǎn)的威脅和脆弱性，對威脅和脆弱性予以賦值；

b信息安全小組根據(jù)公司崗位職責(zé)和風(fēng)險的利益關(guān)系，確定風(fēng)險負(fù)責(zé)人。

4.1.3 分析信息安全風(fēng)險

信息安全小組對已有的安全措施進(jìn)行確認(rèn)，填寫《安全措施確認(rèn)表》信息安全小組根據(jù)《風(fēng)險評估準(zhǔn)則》，進(jìn)行風(fēng)險分析：

a 計算安全事件發(fā)生的可能性；

b 計算安全事件發(fā)生后造成的損失；

c 根據(jù)計算出的安全事件發(fā)生的可能性以及安全事件發(fā)生后造成的損失，計算風(fēng)險值；

d信息安全小組根據(jù)風(fēng)險值的大小，按照《風(fēng)險評估準(zhǔn)則》中的《風(fēng)險等級標(biāo)準(zhǔn)》確定信息安全風(fēng)險等級，可分為5個等級。4-5級為高風(fēng)險、3級中度風(fēng)險、1-2級為低風(fēng)險。

4.1.4評價信息安全風(fēng)險

a信息安全小組將風(fēng)險分析的結(jié)果同建立的風(fēng)險準(zhǔn)則進(jìn)行比較；

b確定已分析風(fēng)險的優(yōu)先級別。

4.2 信息安全風(fēng)險處置

4.2.1 信息安全小組應(yīng)將風(fēng)險評估的結(jié)果形成《風(fēng)險評估報告》，報給管理者代表審核、總經(jīng)理批準(zhǔn)。

4.2.2 對于可接受風(fēng)險，有關(guān)部門及工作崗位不需采取進(jìn)一步的控制活動，可保持原有風(fēng)險不變，繼續(xù)執(zhí)行原有的規(guī)則制度和控制策略。

4.2.3 對于個別的高風(fēng)險，實(shí)施控制措施所付出的成本超出了收益，則規(guī)避導(dǎo)致該風(fēng)險的活動或條件，避免風(fēng)險。

4.2.4 控制不可接受的高風(fēng)險，信息安全小組與有關(guān)部門選擇適當(dāng)和合理的控制措施降低風(fēng)險。

4.3 風(fēng)險處理計劃

信息安全小組編制《風(fēng)險處理計劃》，風(fēng)險處理計劃中應(yīng)明確采取的彌補(bǔ)脆弱性的安全措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門等。安全措施的選擇應(yīng)從管理與技術(shù)兩個方面考慮。

4.4 殘余風(fēng)險

為確保安全控制措施的有效性，對不可接受的風(fēng)險采取一定的安全措施后，還應(yīng)由信息安全小組組織進(jìn)行再評估，以判斷實(shí)施安全措施后的殘余風(fēng)險是否已經(jīng)降低到適當(dāng)水平。對于仍處于不可接受的風(fēng)險范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險或增加相應(yīng)的安全控制措施。

5.相關(guān)文件

5.1 《信息安全適用性聲明》

5.2 《信息安全風(fēng)險評估報告》

5.3 《信息安全不可接受風(fēng)險處理計劃》

5.4 《風(fēng)險評估準(zhǔn)則》

6.記錄

6.1 《重要信息資產(chǎn)清單》

6.2 《安全措施確認(rèn)表》

6.3 《信息資產(chǎn)風(fēng)險評估表》

6.4《殘余風(fēng)險評估表》

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202304/ccaa_49018.html