信息安全管理制度附件信息安全风险评估管理程序样本VIP专享

下载后可任意编辑本程序, 作为《WX-WI-IT-001 信息安全管理流程 A0 版》的附件, 随制度发行, 并同步生效。信息安全风险评估管理程序1.0目的在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估, 形成评估报告, 描述风险等级, 识别和评价供处理风险的可选措施, 选择控制目标和控制措施处理风险。2.0适用范围在ISMS 覆盖范围内主要信息资产3.0定义( 无) 4.0职责4.1各部门负责部门内部资产的识别, 确定资产价值。4.2IT部负责风险评估和制订控制措施。4.3财务中心副部负责信息系统运行的批准。5.0流程图同信息安全管理程序的流程6.0内容6.1资产的识别 6.1.1 各部门每年根据管理者代表的要求负责部门内部资产的识别, 确定资产价值。6.1.2 资产分类根据资产的表现形式, 可将资产分为数据、 软件、 硬件、 文档、 下载后可任意编辑服务、 人员等类。 6.1.3 资产( A) 赋值资产赋值就是对资产在机密性、 完整性和可用性上的达成程度进行分析, 选择对资产机密性、 完整性和可用性最为重要( 分值最高) 的一个属性的赋值等级作为资产的最终赋值结果。资产等级划分为五级, 分别代表资产重要性的高低。等级数值越大, 资产价值越高。1) 机密性赋值根据资产在机密性上的不同要求, 将其分为五个不同的等级, 分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。赋值标识定义5极高包含组织最重要的秘密, 关系未来进展的前途命运, 对组织根本利益有着决定性影响, 假如泄漏会造成灾难性的损害4高包含组织的重要秘密, 其泄露会使组织的安全和利益遭受严重损害3中等包含组织的一般性秘密, 其泄露会使组织的安全和利益受到损害2低包含仅能在组织内部或在组织某一部门内部公开的信息, 向外扩散有可能对组织的利益造成损害1可忽略包含可对社会公开的信息, 公用的信息处理设备和系统资源等2) 完整性赋值根据资产在完整性上的不同要求, 将其分为五个不同的等级, 分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。赋值标识定义5极高完整性价值非常关键, 未经授权的修改或破坏会对组织造成重大的或无法接受的影响, 对业务冲击重大, 并可能造成严重的业务中断, 难以弥补4高完整性价值较高, 未经授权的修改或破坏会对组织造成重大影响, 对业务冲击严重, 比较难以弥补3中等完整性价值中等, 未经授权的修改或破坏会对组织造成影响, 对业务冲击明显, 但能够弥补2低完...