版本号:1。0。xxxx信息系统安全风险管理规定第一章总则第一条 为了进一步法律规范我单位信息系统安全风险的管理工作,根据《信息安全等级保护管理办法》、《信息系统安全管理要求》 (GBT 20269—2024)和其他有关法律法规的规定,结合本单位实际,特制定本规定.第二条本规定适用于我单位信息系统安全管理人员和技术人员进行安全风险的管理工作,包括风险识别和分析、风险控制、基于风险的决策、风险评估等管理工作。第三条信息系统安全风险是指人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件及其对组织造成的影响。第四条信息系统安全风险管理工作的目标是防止和降低发生风险的可能性、避开和减少发生风险所造成的损失和影响;安全风险管理的责任部门为我单位信息系统安全管理中心。第二章风险识别和分析第五条关键岗位人员的内容包括四个方面:资产识别和分析、威胁识别和分析、脆弱性识别和分析、风险分析和自我评估。第六条对资产识别和分析的内容是确定信息系统的资产范围,进行统计和编制资产清单,并进行资产分类和重要性标识;根据对信息系统的硬件、软件、系统接口、数据和信息、人员等方面的分析和识别,对信息系统的体系特征进行描述,至少应阐明信息系统的使命、边界、功能,以及系统和数据的关键性、敏感性等内容。第七条对威胁的识别和分析包括对威胁的基本分析、建立威胁列表、对威胁的详细分析.第八条对脆弱性识别和分析包括脆弱性工具扫描、脆弱性分析和渗透测试、制度化脆弱性评估.第九条风险分析和自我评估包括经验的风险评估、全面的风险评估、建立和维护风险信息库.第三章风险控制第十条风险控制的内容包括三个方面:基于安全等级标准选择控制措施、基于风险评估选择控制措施、基于风险评估形成防护控制系统。基于安全等级标准选择控制措施的内容是以安全等级第三级的标准对技术和管理要求,选择相应的安全技术、管理措施,决定信息系统安全的控制措施;基于风险评估选择控制措施的内容是根据风险评估的结果,结合组织机构对于信息系统安全的需求,决定信息系统安全的控制措施;基于风险评估形成防护控制系统的内容是根据风险评估的结果,结合我单位对于信息系统安全的需求,决定信息系统安全的控制措施;对相关的各种控制措施进行综合分析,得出紧迫性、优先级、投资比重等评价,形成体系化的防护控制系统.第四章风险决策第十一条风险决策的内容包括二个方面:安全确认、信息系统运行的决策.第十二条安全确...
