Word 可 编 辑 XX 股 份有限公司 信息安全风险评估管理规定 第一节 总则 第一条 目的 为了尽可能的发现企业中存在的信息安全隐患,降低信息安全事件发生的可能性,特制定本规定。 第二条 适用范围 本规定描述了信息安全风险识别、评估过程,适用于信息安全风险识别、评估管理活动。 第三条 定义 信息安全风险:指在信息化建设中,各类应用系统及其赖以运行的基础网络、处理的数据和信息,由于其可能存在的软硬件缺陷、系统集成缺陷等,以及信息安全管理中潜在的薄弱环节,而导致的不同程度的安全风险。 第四条 角色职责 一、 信息部负责组织建立风险评估小组,对信息安全风险进行评估、管理。 二、风险评估小组负责对公司各信息系统进行风险评估工作。 三、其他相关业务部门负责组织对各自分管信息系统的安全风险进行控制。 Word 可编辑 第二节 管理规程细则 第五条 管理规定 一、风险评估流程 风险评估准备资产识别威胁识别脆弱性识别对现有安全控制确认风险评价风险是否接受?保持已有的安全措施制定风险处理计划并评估残余风险残余风险是否接受?实施风险控制YNNY 二、风险评估准备 信息部负责组织各部门做好风险准备工作,包括: (一)确定风险评估方法及接受准则; (二)确定风险评估计划; (三)确定风险评估小组人员。 三、风险识别 信息安全风险识别包括资产识别、威胁识别、脆弱性识别三部分内容。 (一)资产的识别 Word 可编辑 1. 信息部每年按照要求负责本公司信息资产的识别,确定资产价值。 2.资产分类 根据资产的表现形式,可将资产分为人员、软件、硬件、电子数据、文档、服务、人员、物理区域七类。 序号 项目 描述 1 人员 高层管理人员,中层管理人员,各类管理人员,研发人员,销售人员等与公司签订合同的人员 2 硬件 系指网络设备、主机设备、通讯设备、环境设备等相关硬件设施。例如服务器主机、个人计算机、支持性设备等 3 软件 系指自行开发或委托外界开发的应用系统程序、外购的软件系统及软件包等。例如:应用系统、操作系统、软件包、工具程序等 4 电子数据 系指以电子形式存在之信息数据。例如项目研发数据等 5 文档 系指以纸本形式存在之文书数据、报表等相关信息。例如合同,纸质的规范、系统文件、用户手册等 6 服务 系指向客户提供的相关服务活动,包括签署的合同/协议等 7 物理区域 在公司内从事重要业务,或是业务关键步骤及流程所属的...
