保密風險評估與管理制度

保密風險評估與治理制度第一條本制度規(guī)定了所承受的風險評估方法。通過識別信息資產(chǎn)、風險等級評估,認知公司的風險,在考慮掌握成本與風險平衡的前提下選擇適宜掌握目標和掌握方式將風險掌握在可承受的水平,保持公司業(yè)務持續(xù)性進展，以滿足治理方針的要求。其次條本制度適用于第一次完整的風險評估和定期的再評估。在辨識資產(chǎn)時,本著盡量細化的原則進展，但在評估時我司又會把資產(chǎn)依據(jù)系統(tǒng)進展規(guī)劃。辨識與評估的重點是信息資產(chǎn)，不區(qū)分物理資產(chǎn)、軟件和硬件。第三條技術部負責牽頭成立風險評估小組。第四條風險評估小組每半年至少一次，或當體系、組織、業(yè)務、技術、環(huán)境等影響企業(yè)的重大事項發(fā)生變更、重第五條各部門負責部門使用或治理的信息資產(chǎn)的識別和風險評估，并負責部門所涉及的信息資產(chǎn)的具體安全控制工作.第六條各部門負責人負責部門的信息資產(chǎn)識別。技術部經(jīng)理負責匯總、校對全公司的信息資產(chǎn)。第七條技術部負責風險評估的籌劃。第八條技術部牽頭成立風險評估小組，小組成員至少應當包含：治理保密部門的成員、重要責任部門的成員。第九條信息資產(chǎn)軟件：應用軟件、系統(tǒng)軟件和適用程序等.硬件：計算機設備、通訊設備、可移動介質(zhì)和其他設備。數(shù)據(jù)：數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、打算、報告、用戶手冊、客戶配置策略等效勞:培訓效勞、租賃效勞、公用設施(能源、電力)。文檔：紙質(zhì)的各種文件、、電報、財務報告、發(fā)展打算等人員:人員的資格、技能和閱歷。其他:組織的聲譽、商標、形象.第十條本公司的資產(chǎn)范圍包括：培訓軟件、支持性程序、業(yè)務連續(xù)性打算、應變安排、審核記錄、審核的追蹤、歸檔信息。第十一條評估程序本評估應考慮：范圍、目的、時間、效果、組織文化、人員素養(yǎng)以及具體開展的程度等因素來確定，使之能夠與組織的環(huán)境和安全要求相適應.第十二條資產(chǎn)屬性賦值資產(chǎn)賦值是對資產(chǎn)安全價值的估價,而不是以資產(chǎn)的賬面價格來衡量的.在對資產(chǎn)進展估價時，不僅要考慮資產(chǎn)的本錢價格，更重要的是考慮資產(chǎn)對于組織業(yè)務的安全重要性,即依據(jù)資產(chǎn)損失所引發(fā)的潛在的商務影響來打算。為確保資產(chǎn)估價時的全都性和準確性，機構應依據(jù)上述原則，建立一個資產(chǎn)價值尺度〔資產(chǎn)評估標準〕，以明確如何對資產(chǎn)進展賦值。第十三條資產(chǎn)估價的過程也就是對資產(chǎn)保密性、完整性和可用性影響分析的過程。影響就是由人為或突發(fā)性引起的安全大事對資產(chǎn)破壞的后果。這一后果可能消滅某些資終還會導致財產(chǎn)損失、市場份額或公司形象的損失。特別重要的是，即使每一次影響引起的損失并不大，但長期積存的眾多意外大事的影響總和則可造成嚴峻損失.一般狀況下，影響主要從以下幾方面來考慮：〔1〕違反了有關法律或〔和〕規(guī)章制度〔2)影響了業(yè)務執(zhí)行(3〕造成了信譽、聲譽損失侵害了個人隱私造成了人身損害〔6)對法律實施造成了負面影響〔7)侵害了商業(yè)機密(8〕違反了社會公共準則造成了經(jīng)濟損失破壞了業(yè)務活動危害了公共安全資產(chǎn)安全屬性的不同通常也意味著安全掌握、保護功能需求的不同。通過考察三種不同安全屬性,可以能夠根本反映資產(chǎn)的價值。第十四條保密性賦值：賦值 標識 定義指組織最重要的機密，關系組織將來進展5 極高影響,假設泄漏會造成災難性的影響4 高3

是指包含組織的重要隱秘,其泄露會使組織的安全和利益患病嚴峻損害是指包含組織一般性隱秘，其泄露會使組織的安全和利益受到損害指僅在組織內(nèi)部或在組織某一部門內(nèi)部公2 低 開,向外集中有可能對組織的利益造成損害對社會公開的信息，公用的信息處理設備1 可無視和系統(tǒng)資源等信息資產(chǎn)第十五條完整性賦值：賦值標識定義5極高不愿承受的影響,對業(yè)務沖擊重大，并可能造成嚴峻的業(yè)務中斷,難以彌補4高對評估體造成重大影響，對業(yè)務沖擊嚴峻,比較難以彌補3中等對評估體造成影響，對業(yè)務沖擊明顯,但可以彌補2低沖擊稍微，簡潔彌補可忽1略擊可以無視第十六條可用性賦值：賦值賦值標識定義5極高及資源的可用度到達年度99.9％以上可用性價值較高,合法使用者對信息系統(tǒng)及4高資源的可用度到達每天99%以上可用性價值中等,合法使用者對信息系統(tǒng)及3中等資源的可用度在正常上班時間到達90%以上2低2低資源的可用度在正常上班時間到達25％以上可忽1略及資源的可用度在正常上班時間低于25%最終資產(chǎn)價值可以通過違反資產(chǎn)的保密性、完整性和可用性三個方面的程度綜合確定，資產(chǎn)的賦值承受定性的相對等級的方式。與以上安全屬性的等級相對應，資產(chǎn)價值的等級可分為五級，從1到5由低到高分別代表五個級別的資產(chǎn)相對價值，等級越大，資產(chǎn)越重要.具體每一級別的資產(chǎn)價值定義參見下表.由于資產(chǎn)最終價值的等級評估是依據(jù)資產(chǎn)保密性、完整性、可用性的賦值級別，經(jīng)過綜合評定得出的,評定準則可以依據(jù)企業(yè)自身的特點，選擇以安全三性中要求最高的一種的賦值級別為綜合資產(chǎn)賦值準則。等級 標識5 很高4 高3 中2 低

資產(chǎn)價值定義資產(chǎn)的重要程度很高,其安全屬性破壞后可能導致系統(tǒng)受到格外嚴峻的影響能導致系統(tǒng)受到比較嚴峻的影響資產(chǎn)的重要程度較高,其安全屬性破壞后可能導致系統(tǒng)受到中等程度的影響能導致系統(tǒng)受到較低程度的影響資產(chǎn)的重要程度都很低,其安全屬性破壞后1 不計第十八條每半年重評估一次，以確定是否存在的威逼或薄弱點及是否需要增加的掌握措施,對發(fā)生以下狀況需準時進展風險評估：當發(fā)生重大事故時；當信息網(wǎng)絡系統(tǒng)發(fā)生重大更改時;c〕第十九條各部門對增加、轉(zhuǎn)移的或授權銷毀的資產(chǎn)應準時在《設備治理臺賬》上予以添加或變更。其次十條保密風險評估公司保密辦公室定期對系統(tǒng)集成業(yè)務、人員、資產(chǎn)、場所等主要治理活動，進展保密風險評估。各部門比照業(yè)務流程對保密風