本程序,作为《WX—WI—IT—001 信息安全管理流程 A0 版》的附件,随制度发行,并同步生效
信息安全风险评估管理程序1
0目的在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施处理风险
0适用范围在ISMS 覆盖范围内主要信息资产3
0定义(无)4
1各部门负责部门内部资产的识别,确定资产价值
2IT部负责风险评估和制订控制措施
3财务中心副部负责信息系统运行的批准
0流程图同信息安全管理程序的流程6
1资产的识别6
1 各部门每年根据管理者代表的要求负责部门内部资产的识别,确定资产价值
2 资产分类根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类
3 资产(A)赋值资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值等级作为资产的最终赋值结果
资产等级划分为五级,分别代表资产重要性的高低
等级数值越大,资产价值越高
1)机密性赋值根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响
赋值标识定义5极高包含组织最重要的秘密,关系未来进展的前途命运,对组织根本利益有着决定性影响,假如泄漏会造成灾难性的损害4高包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害3中等包含组织的一般性秘密,其泄露会使组织的安全和利益受到损害2低包含仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成损害1可忽略包含可对社会公开的信息,公用的信息处理设备和系统资源等2)完整性赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资
