编制部门审核部门批准生效日期1、信息安全评估的作用和目的 明确企业信息系统的安全现状。进行信息安全评估后,可以让企业准确地了解自身的网络、各种应用系统以及管理制度法律规范的安全现状,从而明晰企业的安全需求。 确定企业信息系统的主要安全风险。在对网络和应用系统进行信息安全评估并进行风险分级后,可以确定企业信息系统的主要安全风险,并让企业选择避开、降低、接受等风险处置措施. 指导企业信息系统安全技术体系与管理体系的建设。对企业进行信息安全评估后,可以制定企业网络和系统的安全策略及安全解决方案,从而指导企业信息系统安全技术体系(如部署防火墙、入侵检测与漏洞扫描系统、防病毒系统、数据备份系统、建立公钥基础设施 PKI 等)与管理体系(安全组织保证、安全管理制度及安全培训机制等)的建设2、适用范围2.1、 本制度适用于广州市拓璞电器进展有限公司3、 信息安全风险评估的基本要素 ★使命:一个组织机构通过信息化形成的能力要来进行的工作任务。使命是信息化的目的,一个信息系统假如不能实现具体的工作任务是没有意义的。对企业来说,信息系统的使命是业务战略. ★依赖度:一个组织机构的使命对信息系统和信息的依靠程度。依赖度越高,风险评估的任务就越重要。 ★资产:通过信息化建设积累起来的信息系统、信息以及业务流程改造实现的应用服务的成果、人员能力和赢得的信誉。 ★价值:资产的重要程度。 ★威胁:对一个组织机构信息资产安全的侵害。 ★脆弱性:信息资产及其防护措施在安全方面的不足和弱点.脆弱性也常常被称为弱点或漏洞.威胁是外因,脆弱性是内因,威胁只有通过利用脆弱性才能造成安全事件。 ★风险:某种威胁利用暴露的系统对组织机构的资产造成损失的潜在可能性。风险由意外事件发生的概率及发生后可能产生的影响两种指标来衡量。安全事件的后果和它发生的概率同时决定信息安全的投入和安全措施的强度。 ★残余风险:实行了安全保障措施,提高了防护能力后,仍然可能存在的风险。 ★安全需求:为保证组织机构的使命正常行使,在信息安全保障措施方面提出的要求。 ★安全保障措施:应付威胁,减少脆弱性,保护资产而实行的预防和限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。修订记录Changes Record版本/修订Rev。/edit内容Description参考Reference生效日期Effective DateA0首次发行4、信息系统的全过程的安全...
