第 1 页 共 1 6 页 第 2 页 共 16 页 1 目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。 2 范围 本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。 3 职责 3 .1 研发中心 负责牵头成立信息安全管理委员会。 3 .2 信息安全管理委员会 负责编制《信息安全风险评估计划》,确认评估结果,形成《风险评估报告》及《风险处理计划》。 3 .3 各部门 负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。 4 相关文件 《信息安全管理手册》 《GB-T20984-2007 信息安全风险评估规范》 《信息技术 安全技术 信息技术安全管理指南 第3 部分:IT 安全管理技术》 5 程序 5 .1 风险评估前准备 ① 研发中心牵头成立信息安全管理委员会,委员会成员应包含信息安全重要责任部门的成员。 ② 信息安全管理委员会制定《信息安全风险评估计划》,下发各部门。 ③ 风险评估方法-定性综合风险评估方法 本项目采用的是定性的风险评估方法。定性风险评估并不强求对构成风险的各个要素(特别是资产)进行精确的量化评价,它有赖于评估者的经验判断、业界惯例以及组织 自 身 定义 的标准,来对风险要素进行相对的等 级 分化,最 终 得 出 的风险大 小 ,只 需 要通 过 等 级 差 别来 分出 风险处理的优先 顺 序即 可。 综合评估是先 识别资产并对资产进行赋 值 评估,得 出 重要资产,然 后 对重要资产进行详 细 的风险评估。 第 3 页 共 16 页 5 .2 资产赋值 ① 各部门信息安全管理委员会成员对本部门资产进行识别,并进行资产赋值。 资产价值计算方法:资产价值 = 保密性赋值+完整性赋值+可用性赋值 ② 资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估,并在此基础上得出综合结果的过程。 ③ 确定信息类别 信息分类按“5.9 资产识别参考(资产类别)”进行,信息分类不适用时,可不填写。 ④ 机密性(C)赋值 ➢ 根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。 ⑤ 完整性(I)赋值 ➢ 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺...
