信息安全风险评估程序.doc

信息安全风险评估程序1. 目的本文件为公司执行信息安全风险评估提供指导和规范。本程序的运行结果产生风险评估报告-（加注日期）。公司依据风险评估报告编制风险处理计划。2. 适用范围本程序适用风险评估所涉及的所有部门。风险评估工作组成员据此执行风险评估活动。其他相应员工据此理解风险评估的过程，完成自己职责范围内风险评估相关工作。3. 风险评估的实施频率及评审公司规定风险评估活动要定期进行，常规的风险评估每年执行一次，执行风险评估前应对本程序进行评审。遇到以下情况，公司也将启动风险评估： 增加了大量新的信息资产； 业务环境发生了重大的变化； 发生了重大信息安全事件。4. 风险评估方法根据GB/T22080-2008/ISO/IEC27001:2005和ISO/IEC TR 13335-3，公司采用“详细风险分析方法（Detailed Risk Approach）”来实施风险评估，该方法主要包括：风险分析：识别资产、威胁、脆弱性、影响和可能性风险评价：风险影响可能性5. 风险评估流程公司风险评估流程如下图所示：欣博友风险评估流程编制风险评估报告分析和评价风险识别风险建立风险评估工作组确定风险评估范围5.1. 确定风险评估范围在执行风险评估前，由信息安全领导小组负责，确定本次风险评估的范围，并明确传达给风险评估工作组。5.2. 建立风险评估工作组在执行风险评估前，由信息安全领导小组负责，建立风险评估工作组，并明确工作组成员职责。5.3. 识别风险5.3.1. 识别资产及其责任人，建立信息资产清单（依下表）。序号资产名称责任人位置相关说明5.3.2. 识别威胁及威胁可利用的脆弱性（依下表）。序号资产名称威胁脆弱性风险5.4. 分析和评价风险5.4.1. 分析和评价风险发生后对公司的影响（依下表）。序号资产名称风险影响风险发生后对公司影响的赋值准则影响的值描 述3（高）风险对该资产的保密性、完整性或可用性等的影响（即发生泄露、损坏、丢失或无法使用等），将对公司造成极严重的或灾难性的损失，通常其直接或间接的影响范围波及到公司整体。2（中）风险对该资产的保密性、完整性或可用性等安全属性的影响（即发生泄露、损坏、丢失或无法使用等），将对公司造成较重要的损失，通常其直接或间接的影响范围波及到公司局部。1（低）风险对该资产的保密性、完整性或可用性等安全属性的影响（即发生泄露、损坏、丢失或无法使用等），将对公司造成一定的损失，通常其直接或间接的影响范围仅波及到公司很少部门。5.4.2. 分析和评价风险发生的可能性（依下表）。序号资产名称风险影响可能性风险发生可能性的赋值准则可能性的值描 述3（高）考虑公司以往发生的信息安全事件，以及社会上和其它组织的经验，该风险频繁发生。2（中）考虑公司以往发生的信息安全事件，以及社会上和其它组织的经验，该风险经常发生。1（低）考虑公司以往发生的信息安全事件，以及社会上和其它组织的经验，该风险偶尔发生。5.4.3. 计算风险的大小并排序（依下表）。风险计算公式：风险值影响值可能性值序号资产名称风险风险值5.5. 编制风险评估报告由风险评估工作组负责编制风险评估报告，风险评估报告内容应包括：1) 风险评估起止日期2) 风险评估工作组组成3) 风险评估范围4) 资产、风险和风险值排序表6. 相关文件 风险评估报告-（加日期） 风险处理计划-（加日期）