ITSS-15-08信息安全管理控制程序

1、信息平安管理控制程序信息平安事件分類表大類小類例子環(huán)境事件自然災(zāi)害水災(zāi)、地震、火災(zāi)等外圍保障設(shè)施故障電力故障、外圍網(wǎng)絡(luò)故障等資產(chǎn)自身故障自然老化、硬件故障、軟件故障等人為事件內(nèi)部員工有意事件偷竊、有意泄密、故意破壞等內(nèi)部員工無意事件無意泄密、操作失誤等外部人員有意事件偷竊、非授權(quán)訪問等外部人員無意事件誤操作、誤訪問等4. 6. 3處理程序4. 6. 3. 1發(fā)現(xiàn)平安事件并報告任何員工發(fā)現(xiàn)信息平安事件（如：公司或客戶系統(tǒng)被未授權(quán)人訪問，公司或客戶機(jī)密信 息被未授權(quán)人更改或刪除，公司或客戶系統(tǒng)與網(wǎng)絡(luò)出現(xiàn)異常現(xiàn)象，盜竊，硬件設(shè)施被損毀， 文檔資料喪失或其他方面的事件）時，立即向技術(shù)部IT服務(wù)管理小組

2、報告并填寫信息平安 事件報告。4. 6. 3. 2評估事件類別IT服務(wù)管理小組相關(guān)人員評估事件的范圍、影響、嚴(yán)重性和類別，并初步判斷事件等級 按照分級和分類準(zhǔn)那么，填寫信息平安事件報告中的“事件等級”和“事件分 類“。4. 6. 3. 3判斷事件等級和處理IT服務(wù)管理小組應(yīng)充分評估事件類別、性質(zhì)、嚴(yán)重程度并對事件等級做出判斷。當(dāng)事件定義為二、三、四級時，由服務(wù)管理小組協(xié)調(diào)相關(guān)資源和相關(guān)人員，組建信息 平安反響小組，并以積極、負(fù)責(zé)的態(tài)度為原那么，制定解決方案并及時處理，確保事件對業(yè)務(wù) 運(yùn)行的影響最小化和控制事件的開展和蔓延。當(dāng)事件定義為一級時，由IT服務(wù)管理小組協(xié)調(diào)相關(guān)資源和相關(guān)人員，組建信息平

3、安應(yīng)急 小組，通報公司決策層并指定責(zé)任人，制定解決方案及時處理，及時向決策層匯報事件處理進(jìn) 度及情況。在處理事件的過程中必須權(quán)衡各種利弊關(guān)系，以對業(yè)務(wù)運(yùn)行的最小化影響或損失為原 那么。信息平安反響小組/應(yīng)急小組相關(guān)人員在事件處理完畢后，填寫信息平安事件報告 并通報給IT服務(wù)管理小組。4. 6. 3. 4事件解決結(jié)果評審IT服務(wù)管理小組對事件的處理結(jié)果審核，審核不通過時可要求重新處理，同時應(yīng)該保持經(jīng)常與公司管理層溝通。4. 6. 3. 5事件總結(jié)及懲戒處理IT服務(wù)管理小組詳細(xì)分析整個事件的前因后果，充分總結(jié)。協(xié)調(diào)技術(shù)部根據(jù)信息平安事 件發(fā)生的類型和嚴(yán)重程度執(zhí)行懲戒處理，在處理時應(yīng)以有責(zé)必究為原那

4、么并填在信息平安事 件報告中的“必要的處分“O4. 6. 3. 6判定是否采取糾正措施IT服務(wù)管理小組相關(guān)人員根據(jù)事件處理情況和事件總結(jié)，給出建議或糾正措施，填寫信 息平安事件報告，將信息平安事件報告提交技術(shù)部。如要采取新的糾正措施涉及到利用公司資源的，需要相關(guān)部門積極配合，必要時還需上 報給公司管理層決定。序號輸入過程步驟輸出12345678服務(wù)級別需求、j4信息平安需求識別和 分析、法律法規(guī)的要求確定平安實施范圍F信息平安風(fēng)險評估4風(fēng)險評估報告-J、自身需求-、-設(shè)計平安規(guī)范信息平安 管理規(guī)范 - 實施平安規(guī)范監(jiān)控平安狀況信息平安事件 記錄 、J維護(hù)平安規(guī)范 和信息平安改進(jìn)變更管理)T信息

5、平安報告服務(wù)報告)信息平安管理流程4. 6. 4處分確定4. 6. 4. 1處分種類 口頭警告、書面警告、記過、開除降級、免除或撤消職務(wù)減發(fā)績效工資和崗位工資、降低績效工資和崗位工資級數(shù)4. 6. 4. 2違紀(jì)種類以下違紀(jì)給予口頭警告1） 一個自然月內(nèi)被信息平安管理員平安檢查中發(fā)現(xiàn)違反公司信息平安制度累 計兩次者；2）造成的信息平安事件等級為四級；以下違紀(jì)給予書面警告，并可降級降薪、減發(fā)當(dāng)月基礎(chǔ)工資的8-10%1）累計兩次以上口頭警告者；2）違反機(jī)密、信息平安管理規(guī)定，造成的信息平安事件等級為三級；以下違紀(jì)給予記過，并可免除或撤消職務(wù)、降薪、減發(fā)當(dāng)月基礎(chǔ)工資的11-30%1）累計兩次以上書面警

6、告者；2）違反機(jī)密、信息平安管理規(guī)定，信息平安事件等級為二級；以下違紀(jì)給予開除（作違紀(jì)解除勞動合同處理）或采取法律訴訟1）累計兩次記過者；2）違反機(jī)密、信息平安管理規(guī)定，信息平安事件等級為一級。7關(guān)鍵績效指標(biāo)KPI頻度責(zé)任部門目標(biāo)值計算公式/方法重大信息平安事 件數(shù)量按季度運(yùn)維部0次重大信息平安事件發(fā)生的次數(shù)目錄 TOC o 1-5 h z 目的3適用范圍3.職責(zé)與術(shù)語3工作程序3 HYPERLINK l bookmark6 o Current Document 1識別信息平安需求3 HYPERLINK l bookmark8 o Current Document 2資產(chǎn)識別6 HYPERLI

7、NK l bookmark10 o Current Document 3風(fēng)險評估73. 1風(fēng)險識別73. 2風(fēng)險分析及判定73. 3風(fēng)險評價84風(fēng)險處置8定期評估和檢查86信息平安事件96. 1信息平安事件分級96. 1. 1分級要素96.L2分級描述96. 2事件分類96.3處理程序106. 3.1發(fā)現(xiàn)平安事件并報告106. 3. 2評估事件類別106. 3. 3判斷事件等級和處理106. 3. 4事件解決結(jié)果評審106. 3. 5事件總結(jié)及懲戒處理116. 4處分確定116. 4.1處分種類116. 4. 2違紀(jì)種類117關(guān)鍵績效指標(biāo)12.相關(guān)文件錯誤!未定義書簽。.記錄錯誤味定義書簽。.

8、目的為建立一個適當(dāng)?shù)男畔⑵桨彩聭B(tài)、信息平安事故、薄弱點和故障報告、反響與處理機(jī) 制，減少信息平安事故和故障所造成的損失，采取有效的糾正與預(yù)防措施，特制定本程序。.適用范圍適用活動：運(yùn)維服務(wù)過程中的信息平安事故管理相關(guān)內(nèi)容。.職責(zé)與術(shù)語1職責(zé)：運(yùn)維部：牽頭管理信息平安管理。其他部門：按照公司管理制度實施信息平安管理。2術(shù)語：信息平安事件是指由于客戶信息資產(chǎn)的可用性、完整性或機(jī)密性受損而造成危害 的事件。平安管理是順應(yīng)信息平安的需要而產(chǎn)生的，其主要目標(biāo)是確保信息的平安性。平安管理致力于確保服務(wù)的平安性在任何時候都能到達(dá)與客戶約定的級別。平安性在服務(wù)中被視為可用性管理的一局部。平安管理已經(jīng)成為現(xiàn)代服

9、務(wù)管理中一個重要的問題。平安性是指不易遭到風(fēng)險的侵襲，并且盡可能地規(guī)避未知風(fēng)險的性能。提供 這種性能的工具是平安措施。平安措施的目標(biāo)是要保護(hù)信息的價值，這種價值取決于機(jī)密性、完整性和可用性 三個方面。術(shù)語定義機(jī)密性指保護(hù)信息免受未經(jīng)授權(quán)的訪問和使用。完整性指信息的準(zhǔn)確性、完全性和及時性。可用性是信息在任何約定的時間內(nèi)都可以被訪問，這取決于由信息處理系統(tǒng)所提供 的持續(xù)性。4.工作程序0平安策略(1)平安方針遵循公司“統(tǒng)一規(guī)劃、分級管理、積極防范、人人有責(zé)”的原那么，按照公司統(tǒng)一部署, 結(jié)合服務(wù)/經(jīng)營活動的特點，采取一切必要的措施，加強(qiáng)信息平安體系的建設(shè)和推進(jìn)管理。（2）平安措施和平安規(guī)范公司信息

10、化設(shè)備管理：1）嚴(yán)禁將公司配發(fā)給員工用于辦公的計算機(jī)轉(zhuǎn)借給非公司員工使用，嚴(yán)禁利用公司信息化 設(shè)備資源為第三方從事兼職工作。2）公司所有硬件服務(wù)器統(tǒng)一放置在機(jī)房內(nèi)，由專人承當(dāng)管理職責(zé)，專人負(fù)責(zé)服務(wù)器殺毒、 升級、備份。3）非公司技術(shù)人員對我單位的設(shè)備、系統(tǒng)等進(jìn)行維修、維護(hù)時，必須由公司相關(guān)技術(shù)人 員現(xiàn)場全程監(jiān)督。計算機(jī)設(shè)備送外維修，必須經(jīng)過部門負(fù)責(zé)人批準(zhǔn)。4）嚴(yán)格遵守計算機(jī)設(shè)備使用及平安操作規(guī)程和正確的使用方法。任何人不允許私自對信 息化設(shè)備進(jìn)行維修及操作，不得擅自拆卸、更換或破壞信息化設(shè)備及其部件。5）計算機(jī)的使用部門和個人要保持清潔、平安、良好的計算機(jī)設(shè)備工作環(huán)境，禁止在計 算機(jī)應(yīng)用環(huán)境中

11、放置易燃易爆、強(qiáng)腐蝕、強(qiáng)磁性等有害計算機(jī)設(shè)備平安的物品。6）原那么上公司所有終端電腦、服務(wù)器都必須設(shè)定開機(jī)登錄密碼和屏幕保護(hù)密碼，對于交 換機(jī)、防火墻、路由器等網(wǎng)絡(luò)設(shè)備也必須設(shè)置管理密碼。7）公司所有終端電腦、服務(wù)器都必須安裝正版殺毒軟件，公司網(wǎng)絡(luò)管理員必須對服務(wù)器 進(jìn)行定期殺毒、病毒庫升級、補(bǔ)丁修復(fù)。（3）密碼與權(quán)限管理1）密碼設(shè)置應(yīng)具有平安性、保密性，不能使用簡單的代碼和標(biāo)記。2）密碼是保護(hù)系統(tǒng)和數(shù)據(jù)平安的控制代碼，也是保護(hù)用戶自身權(quán)益的控制代碼。密碼設(shè) 置不應(yīng)是名字、生日、重復(fù)、順序、規(guī)律數(shù)字等容易猜想的數(shù)字和字符串；密碼如發(fā)現(xiàn)或懷 疑密碼遺失或泄露應(yīng)立即修改。3）服務(wù)器、防火墻、路由器

12、、交換機(jī)等重要設(shè)備的管理密碼由公司網(wǎng)絡(luò)管理員（不參與 系統(tǒng)開發(fā)和維護(hù)的人員）設(shè)置和管理，并由密碼設(shè)置人員將密碼妥善保存。4）有關(guān)密碼授權(quán)工作人員調(diào)離崗位，公司網(wǎng)絡(luò)管理員應(yīng)對密碼立即修改或用戶刪除。（4）公司信息平安管理1）公司每一位員工都有保守公司信息平安防止泄密的責(zé)任，任何人不得向任何單位或個人 泄露公司技術(shù)和商業(yè)機(jī)密，如因?qū)W術(shù)交流或論文發(fā)表涉及公司技術(shù)或商業(yè)機(jī)密，應(yīng)提前向公 司匯報，并在獲取批準(zhǔn)同意后，方能認(rèn)可的形式對外發(fā)布。2）定期對公司重要信息包括軟件代碼進(jìn)行備份，管理人員實施備份操作時.，必須有兩人在 場，備份完成后，立即交由研發(fā)中心封存保管。3）存放備份數(shù)據(jù)的介質(zhì)包括電腦、U盤、移

13、動硬盤、光盤和紙質(zhì)，所有備份介質(zhì)必須明確標(biāo) 識備份內(nèi)容和事件，并實行異地存放。4）數(shù)據(jù)恢復(fù)前，必須對原環(huán)境的數(shù)據(jù)進(jìn)行備份，防止有用數(shù)據(jù)的喪失。數(shù)據(jù)恢復(fù)過程中， 如果出現(xiàn)問題時由工程中心進(jìn)行現(xiàn)場技術(shù)支持。5）數(shù)據(jù)清理前必須對數(shù)據(jù)進(jìn)行備份，在確認(rèn)備份正確后方可進(jìn)行清理操作。歷次清理前的 備份數(shù)據(jù)要進(jìn)行定期保存或者永久保存，并確保可以隨時使用。數(shù)據(jù)清理的實施應(yīng)避開業(yè)務(wù) 高峰期防止對聯(lián)系業(yè)務(wù)運(yùn)行造成影響。6）非本公司技術(shù)人員對本公司的設(shè)備、系統(tǒng)等進(jìn)行維修、維護(hù)時，必須由本公司相關(guān)技術(shù) 人員現(xiàn)場全程監(jiān)督。計算機(jī)設(shè)備送外維修，須經(jīng)設(shè)備管理機(jī)構(gòu)負(fù)責(zé)人批準(zhǔn)。送修前，需將設(shè) 備存儲介質(zhì)內(nèi)的應(yīng)用軟件和數(shù)據(jù)等信息備

14、份后刪除，并進(jìn)行登記。對修復(fù)的設(shè)備，設(shè)備維修 人員對應(yīng)設(shè)備進(jìn)行驗收、病毒檢測和登記。7）管理部門應(yīng)對報廢設(shè)備中存有的程序、數(shù)據(jù)資料進(jìn)行備份后清除，并妥善處理廢棄無用 的資料和介質(zhì)，防止泄密。8）運(yùn)維服務(wù)部負(fù)責(zé)計算機(jī)病毒的防范工作，經(jīng)常進(jìn)行計算機(jī)病毒檢查，發(fā)現(xiàn)病毒及時清除。 （5）運(yùn)維工程現(xiàn)場/客戶的信息平安管理1）公司每一位員工都有保守客戶信息平安，防止泄密的責(zé)任，任何人不得向任何單位或個 人泄密客戶信息。2）各工程經(jīng)理應(yīng)主動向客戶提出信息平安的管理服務(wù)，假設(shè)客戶不愿意做，工程經(jīng)理應(yīng)向客 戶說明利弊，提出合理的信息平安管理服務(wù)建議。3）如果為客戶提供的數(shù)據(jù)備份服務(wù)，應(yīng)定期對服務(wù)范圍內(nèi)的重要信息

15、進(jìn)行備份，管理人員 實施備份操作時，必須有兩人在場，備份完成后，立即交由客戶制定的備份管理人員進(jìn)行保 管。4）存放備份數(shù)據(jù)的介質(zhì)包括電腦、U盤、移動硬盤、光盤和紙質(zhì)等，涉密單位介質(zhì)使用參照 客戶保密要求。5）數(shù)據(jù)恢復(fù)前，必須對原環(huán)境的數(shù)據(jù)進(jìn)行備份，防止有用數(shù)據(jù)的喪失。數(shù)據(jù)恢復(fù)后，必須 進(jìn)行驗證、確認(rèn)，確保數(shù)據(jù)恢復(fù)的完整性和可用性。6）數(shù)據(jù)清理前必須對數(shù)據(jù)進(jìn)行備份，在確認(rèn)備份正確后可進(jìn)行清理操作，歷次清理前的備 份數(shù)據(jù)要定期保存或者永久保存，并確?？梢噪S時使用。數(shù)據(jù)清理的實施應(yīng)避開業(yè)務(wù)高峰期 防止對客戶業(yè)務(wù)運(yùn)行造成影響。7）同意送修的設(shè)備，送修前，需將設(shè)備存儲介質(zhì)內(nèi)的應(yīng)用軟件和數(shù)據(jù)等涉及經(jīng)營管理

16、的信 息備份后刪除，并進(jìn)行登記。對修復(fù)的設(shè)備，應(yīng)進(jìn)行病毒檢測。8）管理部門應(yīng)對報廢設(shè)備中存有的程序、數(shù)據(jù)資料進(jìn)行備份后清除，并妥善處理廢棄無用 的資料和介質(zhì)，防止泄密。9）嚴(yán)禁利用客戶的信息化設(shè)備資源為第三方提供服務(wù)。10）非客戶授權(quán)人員對服務(wù)范圍內(nèi)的設(shè)備、系統(tǒng)等進(jìn)行維修、維護(hù)時，必須由相關(guān)技術(shù)人員 現(xiàn)場全程監(jiān)督。計算機(jī)設(shè)備送外維修，必須經(jīng)過客戶相關(guān)負(fù)責(zé)人批準(zhǔn)。11）禁止在計算機(jī)應(yīng)用環(huán)境中放置易燃易爆、強(qiáng)腐蝕、強(qiáng)磁性等有害計算機(jī)設(shè)備平安的物品。12）客戶的密碼管理需由客戶指定專人進(jìn)行管理，工程經(jīng)理應(yīng)建議客戶定期修改并妥善保管。13）涉及系統(tǒng)管理員的服務(wù)工程，系統(tǒng)管理員權(quán)限由客戶授權(quán)。（6）風(fēng)險

17、識別評估工程經(jīng)理應(yīng)組織人員主動檢查客戶/公司在信息技術(shù)的平安方面所面臨的風(fēng)險。針對平安要求高，客戶明確運(yùn)維對象的信息平安屬于我方責(zé)任范圍的工程，信息平安評估遵 循信息平安風(fēng)險評估實施指南。針對客戶明確運(yùn)維對象的信息平安屬于客戶責(zé)任范圍的工程，遵循以下原那么進(jìn)行列舉檢查表 形式的風(fēng)險評估：1）主動識別來自法律法規(guī)、行業(yè)規(guī)定、客戶要求（包括服務(wù)級別協(xié)議）的平安需求，制定平安措施和平安規(guī)范滿足平安需求；2）制定措施確保服務(wù)相關(guān)人員遵守客戶現(xiàn)場的平安制度；3）應(yīng)主動識別服務(wù)相關(guān)人員可能接觸到的客戶機(jī)密和敏感信息，制定措施確保服務(wù)相關(guān)人 員不會故意或無意泄漏客戶的有價值信息；4）應(yīng)主動識別服務(wù)相關(guān)人員在

18、服務(wù)過程中可能造成客戶信息的不完整或不可用，制定服務(wù) 規(guī)范和相應(yīng)措施規(guī)避此風(fēng)險；5）應(yīng)做到“適當(dāng)勤奮”，識別出服務(wù)相關(guān)人員接觸到的客戶信息系統(tǒng)所面臨的物理、人員、 管理、設(shè)置等方面的平安風(fēng)險，告知客戶并提供相應(yīng)建議；6）進(jìn)行適度的平安檢查，以確保平安風(fēng)險和平安事件的暴漏和處理；7）進(jìn)行全面的信息平安教育，做到信息平安，人人有責(zé)；8）主動地進(jìn)行信息平安方面的評審和改進(jìn)，確保平安體系的有效。識別信息平安需求識別運(yùn)行維護(hù)過程中應(yīng)遵守的相關(guān)法律法規(guī)，與需方進(jìn)行溝通和協(xié)商，了解其對運(yùn)行維 護(hù)服務(wù)過程的信息平安需求，同時考慮我方的信息平安需求。4. 2資產(chǎn)識別識別出在信息平安管理體系范圍內(nèi)與被評估的業(yè)務(wù)運(yùn)

19、營及信息相關(guān)的資產(chǎn)，形成資產(chǎn) 識別清單。資產(chǎn)分類方法如下表:資產(chǎn)分類方法分類例如備注軟件應(yīng)用軟件：辦公軟件、數(shù)據(jù)庫軟件、工具軟件 系統(tǒng)軟件：操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、開發(fā)系統(tǒng)等 源程序：各種共享源代碼、自行開發(fā)的各種代碼硬件存儲設(shè)備：磁帶機(jī)、光盤、軟盤、移動硬盤等網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等計算機(jī)設(shè)備：大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺式計算機(jī)、便攜計算機(jī)等 保障設(shè)備：UPS、變電設(shè)備、空調(diào)、保險柜、文件柜、門禁、消防設(shè)施等 平安設(shè)備：防火墻、入侵檢測系統(tǒng)等 其他：打印機(jī)、掃描儀、復(fù)印機(jī)等數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī) 程、報告、用戶手冊、

20、各類紙質(zhì)的文檔等服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù) 信息服務(wù)：對外依賴該系統(tǒng)開展的各類服務(wù) 辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)人員掌握重要信息和核心業(yè)務(wù)的人員，如管理者代表、體系人員、主機(jī)維護(hù)主管、網(wǎng)絡(luò)維護(hù) 主管及運(yùn)維工程經(jīng)理等4. 3風(fēng)險評估風(fēng)險評估過程包括風(fēng)險識別、風(fēng)險分析和風(fēng)險評價。4. 3.1風(fēng)險識別風(fēng)險識別是通過識別風(fēng)險源、影響范圍、事件及其原因和潛在的后果等，形成全面的風(fēng) 險列表。識別可能發(fā)生的或可能存在的影響系統(tǒng)和組織實現(xiàn)信息平安目標(biāo)的事件或情況。針對已識別的風(fēng)險進(jìn)行確認(rèn)已經(jīng)存在的控制及管理方法，管理方法包括公司依據(jù)存 在和執(zhí)行的機(jī)房環(huán)境、系統(tǒng)平安、網(wǎng)絡(luò)平安

21、、應(yīng)用系統(tǒng)平安等方面的技術(shù)控制和管理措 施。對有效的平安措施繼續(xù)保持，以防止不必要的工作和費(fèi)用，防止平安措施的重復(fù)實 施。對確認(rèn)為不適當(dāng)?shù)钠桨泊胧?yīng)核實是否應(yīng)被取消或?qū)ζ溥M(jìn)行修正，或用更合適的安 全措施替代。針對變更對IT基礎(chǔ)架構(gòu)帶來的影響，應(yīng)當(dāng)對原先的防護(hù)和控制措施進(jìn)行重 新的評估，以使當(dāng)前的控制措施能夠滿足組織的信息平安要求。4. 3. 2風(fēng)險分析及判定在完成了風(fēng)險識別以及已有平安措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定導(dǎo)致安 全事件發(fā)生的可能性。綜合平安事件所作用的資產(chǎn)價值，判斷平安事件造成的損失對組 織的影響，從而判斷風(fēng)險的等級?？梢砸罁?jù)下表中準(zhǔn)那么判斷風(fēng)險的等級。風(fēng)險等級劃分表4. 3

22、. 3風(fēng)險評價等級描述備注高風(fēng)險發(fā)生對組織信譽(yù)嚴(yán)重破壞、嚴(yán)重影響組織的正常經(jīng)營，影響組織范 圍或一定范圍，經(jīng)濟(jì)損失重大、社會影響惡劣。中風(fēng)險發(fā)生會造成組織一定的經(jīng)濟(jì)、生產(chǎn)經(jīng)營或社會影響，但影響面和影 響程度不大。低風(fēng)險發(fā)生造成的影響程度較低，一般僅限于組織內(nèi)部，通過一定手段或 簡單手段很快能解決。風(fēng)險評價是將估計后的風(fēng)險與給定的風(fēng)險接受準(zhǔn)那么比照，以決定風(fēng)險的水平并確定 控制風(fēng)險的優(yōu)先順序。經(jīng)過風(fēng)險評價，確定該風(fēng)險是可承受還是需進(jìn)行處理。風(fēng)險接受的準(zhǔn)那么如下表：等級描述高嚴(yán)重不可接受的風(fēng)險中一般不可接收風(fēng)險或有條件接受的風(fēng)險低不需要評審即可接受的風(fēng)險4. 4風(fēng)險處置超過可接受風(fēng)險水平值時可按以

23、下方法進(jìn)行處理，并形成信息平安風(fēng)險處置計劃：1）風(fēng)險降低：采用適當(dāng)?shù)目刂拼胧┙档惋L(fēng)險；2）風(fēng)險接受：假設(shè)風(fēng)險明顯地符合組織的政策與風(fēng)險承受準(zhǔn)那么，可在掌握狀況下客 觀地接受風(fēng)險造成的后果；3）風(fēng)險轉(zhuǎn)移：即將相關(guān)的營運(yùn)風(fēng)險轉(zhuǎn)移至其它機(jī)構(gòu)，如保險公司、第三方服務(wù)商;4）對于不可接受的風(fēng)險，經(jīng)過采取控制措施并實施后，重新評估以確認(rèn)其風(fēng)險等 級，確保所采取的控制措施是充分的，直到其風(fēng)險降至可接受。4. 5定期評估和檢查每年至少一次全面審查風(fēng)險評估內(nèi)容與狀態(tài)的適應(yīng)性，以確定是否存在新的風(fēng)險及是否 需要增加新的控制措施，對發(fā)生以下情況需及時進(jìn)行風(fēng)險評估：1）管理層確定有必要時。2）當(dāng)發(fā)生重大信息平安事故時；3）當(dāng)新增加服務(wù)/資