德信诚培训网IT 信息安全风险评估控制手册1 目的本程序规定了 DX 所 C 采用的信息安全风险评估方法。通过识别信息资产、风险等级评估 认知 DX 的 C 信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方 式将信息安全风险控制在可接受的水平,保持 DX 持 C 续性发展,以满足 DX 信 C 息安全管理方 针的要求。2 范围本程序适用于信息安全管理体系(IS 范 M 围 S 内)信息安全风险评估活动。3 相关文件无4 职责4.管 1 理者代表负责组织成立风险评估小组。4.风 2 险评估小组负责编制信息安全风险评估计划,确认评估结果,形成《信息安全风险评 估报告》。5 程序5.1 风险评估前准备5.1.管 1 理者代表牵头成立风险评估小组,小组成员至少应该包含:负责信息安全管理体系 的成员。5.1 风.险 2 评估小组制定信息安全风险评估计划,下发各内审员。5.1必.要 3 时应对各内审员进行风险评估相关知识和表格填写的培训。德信诚培训网信 2 息资产的识别5.2 风.险 1 评估小组通过电子邮件向各内审员发放《信息资产分类参考目录》、《重要信息资 产判断准则》、《信息资产识别表》,同时提出信息资产识别的要求。5.2各.内 2 审员参考《信息资产分类参考目录》识别 DX 信 C 息资产,并填写《信息资产识别 表》,根据《重要信息资产判断准则》判断其是否是重要信息资产,经该区域负责人审核确 认后,在风险评估计划规定的时间内提交风险评估小组审核汇总。5.3风.险 3 评估小组对各内审员填写的《信息资产识别表》进行审核,确保没有遗漏重要的 信息资产,形成 DX 的 C《重要信息资产清单》,并交由文档管理员处存档。5.4重要信息资产风险等级评估5.3.应 1 对《重要信息资产清单》中的所有资产进行风险评估, 评估应考虑威胁事件发生的 可能性和威胁事件发生后对信息资产造成的影响程度两方面因素。5.3.风 2 险评估小组向各内审员分发《重要信息资产风险评估表》、《信息安全威胁参考表》、 《信息安全薄弱点参考表》、《事件发生可能性等级对照表》、《事件可能影响程度等级对照 表》。5.3 各.内 3 审员根据资产本身所处的环境条件,参考《信息安全威胁参考表》识别每个信息 资产所面临的威胁,针对每个威胁,识别目前已有的控制;并参考《信息安全薄弱点参考表》 识别可能被该威胁所利用的薄弱点;在考虑现有的控制前提下,参考《事件发生可能性等级 对照表》判断每...
