JYYH-PS-20-信息安全风险评估管理程序.doc

四川久远银海软件股份有限公司 文档编号 JYYH-PS-20 信息安全风险评估管理程序 文档版本 A0 执行日期 2015-01-08 PAGE I 文档密级：一般 文档状态：[ ] 草案 [√]正式发布 [ ]正在修订 受控状态：[√] 受控 [ ]非受控 日期 版本 描述 作者 审核 审批 2015-01-08 A0 A版首次发布 质量小组 孙佩 连春华 信息安全风险评估管理程序 Risk Assessment PAGE 5 目录 TOC \o "1-4" \h \z \u 1. 适用 1 2. 目的 1 3. 职责 1 4. 程序 1 4.1. 风险评估前准备 1 4.2. 信息资产的识别 1 4.3. 信息资产风险等级评估 2 4.4. 不可接受风险的确定和处理 2 4.5. 评估时机 3 5. 相关/支持性文件 3 6. 附表 3 6.1. 信息资产分类参考目录 4 6.2. 资产赋值判断准则 6 6.2.1. 机密性赋值 6 6.2.2. 完整性赋值 7 6.2.3. 可用性赋值 7 6.2.4. 资产重要性等级 8 6.3. 信息安全威胁参考表 8 6.4. 信息安全薄弱点参考表 9 6.5. 威胁发生可能性等级对照表 11 6.6. 当前控制力度等级表 12 6.7. 弱点被利用可能性等级表 12 6.8. 事件可能影响程度等级对照表 12 6.8.1. 对机密性的影响等级 12 6.8.2. 对完整性的影响等级赋值 13 6.8.3. 对可用性的影响等级 13 6.8.4. 事件影响程度等级 13 6.9. 信息安全风险矩阵计算表 13 6.10. 信息安全风险接受准则 14 适用 本程序适用于本公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。 目的 本程序规定了公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。 职责 过程改进委员会会负责牵头成立风险评估小组。 风险评估小组负责编制信息安全风险评估计划，监督风险评估过程，确认评估结果，形成《信息安全风险评估报告》。 各部门主管或主管指定人员负责本部门使用或管理的信息资产的识别和风险评估,并负责本部门所涉及的信息资产的具体安全控制工作。 程序 风险评估前准备 过程改进委员会会牵头成立风险评估小组,小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。 风险评估小组制定信息安全风险评估计划,下发各部门主管或主管指定人员。 必要时应对风险评估实施人员进行风险评估相关知识和表格填写的培训。 信息资产的识别 风险评估小组通过电子邮件向各部门主管或主管指定人员发放《信息资产分类参考目录》、《资产赋值判断准则》、《信息资产识别表》，同时提出信息资产识别的要求。 各部门主管或主管指定人员参考《信息资产分类参考目录》识别本部门信息资产，填写《信息资产识别表》，并根据《资产赋值判断准则》判断每类资产的赋值，经本部门主管确认后，在风险评估计划规定的时间内提交风险评估小组审核汇总。 风险评估小组对各部门填写的《信息资产识别表》进行审核，确保没有遗漏信息资产，形成公司的《信息资产识别表》，并存档。 信息资产风险等级评估 应按资产分类对《信息资产识别表》中的所有资产进行风险评估, 评估应考虑威胁发生的可能性和威胁发生后对信息资产造成的影响程度两方面因素。 风险评估小组向各部门内审员分发《信息资产风险评估表》、《信息安全威胁参考表》、《信息安全薄弱点参考表》、《威胁发生可能性等级对照表》、《威胁利用弱点可能影响程度等级对照表》。 各部门主管或主管指定人员根据资产本身所处的环境条件,参考《信息安全威胁参考表》识别每个信息资产所面临的威胁，针对每个威胁,识别目前已有的控制；并参考《信息安全薄弱点参考表》识别可能被该威胁所利用的薄弱点；在考虑现有的控制前提下，参考《威胁发生可能性等级对照表》判断每项信息资产所面临威胁发生的可能性；参考《弱点被利用可能性等级表》判断威胁利用弱点的可能性，《威胁利用弱点可能影响程度等级对照表》，判断威胁利用薄弱点可能使信息资产保密性、完整性或可用性丢失所产生的影响程度等级。将结果填写在《信息资产风险评估表》上，提交风险评估小组审