信息安全風(fēng)險評估管理程序_第1頁
信息安全風(fēng)險評估管理程序_第2頁
信息安全風(fēng)險評估管理程序_第3頁
信息安全風(fēng)險評估管理程序_第4頁
信息安全風(fēng)險評估管理程序_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

信息安全風(fēng)險評估管理程序第信息安全風(fēng)險評估管理程序version:1.1編制人:孫成英日期:200審核人:蔣德偉日期:200批準(zhǔn)人:王萬均日期:2008年受控狀態(tài):受控目錄TOC\o"1-2"\h\z\u1.目的 42.適用范圍 43.定義 43.1信息安全風(fēng)險 43.2風(fēng)險評估 44.職責(zé) 44.1信息安全經(jīng)理 44.2各部門信息安全員 44.3信息安全管理委員會成員 45.工作程序 45.1風(fēng)險評估的時機 45.2風(fēng)險評估準(zhǔn)備 55.3風(fēng)險評估基本程序 55.4資產(chǎn)重要性評估 55.5威脅及脆弱性識別與評估 55.6信息安全風(fēng)險排序 65.7信息安全風(fēng)險匯總 65.8風(fēng)險評估報告 65.9風(fēng)險評估后續(xù)管理 76.引用文件 77流程圖 88.記錄 8修訂文檔歷史記錄日期版本說明作者2001.0創(chuàng)建孫成英2008-8-181.1在5.1節(jié)增加風(fēng)險評估時機:每年年初和在項目啟動時進行一次風(fēng)險評估孫成英

1.目的確保信息安全風(fēng)險評估結(jié)果的合理性。2.適用范圍本指南適用于風(fēng)險評估小組對正大集團及其所屬公司的信息安全風(fēng)險進行評估的活動。3.定義3.1信息安全風(fēng)險威脅利用脆弱性造成某一信息資產(chǎn)或某一組信息資產(chǎn)丟失或損壞的可能性,這樣的風(fēng)險可能波及整個組織。3.2風(fēng)險評估計算風(fēng)險程度并對風(fēng)險進行優(yōu)先級排序的過程。4.職責(zé)4.1信息安全經(jīng)理4.1.1組織風(fēng)險評估小組進行風(fēng)險評估。4.1.2起草并向高層匯報《風(fēng)險評估報告》4.2各部門信息安全員4.2.1參與風(fēng)險評估4.3信息安全管理委員會成員4.3.1審查并批準(zhǔn)風(fēng)險評估報告4.3.2接受殘余風(fēng)險5.工作程序5.1風(fēng)險評估的時機公司在以下情況下,將按照本程序要求進行風(fēng)險評估:5.1.1建立信息安全管理體系時。5.1.2每年年初由信息安全小組組織風(fēng)險評估。5.1.35.1.45.1.55.1.6軟件開發(fā)項目在啟動階段,按照CMM文件《風(fēng)險評估指南》的要求進行項目風(fēng)險評估。5.2風(fēng)險評估準(zhǔn)備5.2.1每次風(fēng)險評估前,由信息安全經(jīng)理根據(jù)風(fēng)險評估范圍負責(zé)組建公司風(fēng)險評估小組,提出風(fēng)險評估小組成員名單,通常,風(fēng)險評估小組由各相關(guān)部門信息安全員組成。風(fēng)險評估小組成員名單應(yīng)提交信息安全管理委員會審查批準(zhǔn)。5.2.2根據(jù)所確定的風(fēng)險評估范圍,信息安全經(jīng)理負責(zé)制訂《信息安全風(fēng)險評估準(zhǔn)則》,明確對資產(chǎn)重要性、威脅、脆弱性評分準(zhǔn)則以及風(fēng)險重大程度優(yōu)先級準(zhǔn)則。5.2.3《信息安全風(fēng)險評估準(zhǔn)則》應(yīng)提交信息安全管理委員會審查批準(zhǔn)。5.3風(fēng)險評估基本程序5.3.1對評估范圍內(nèi)的資產(chǎn)進行清點。5.3.2根據(jù)《信息安全風(fēng)險評估準(zhǔn)則》中資產(chǎn)重要性評估準(zhǔn)則,對所清點的資產(chǎn)進行重要性評分,計算資產(chǎn)重要性分值。5.3.3識別資產(chǎn)所面臨的威脅。5.3.4針對資產(chǎn)所面臨的威脅,識別資產(chǎn)脆弱性。5.3.5識別現(xiàn)有的控制措施,并按照《信息安全風(fēng)險評估準(zhǔn)則》對威脅和脆弱性構(gòu)成的風(fēng)險在現(xiàn)有控制措施下發(fā)生的可能性進行評分。5.3.6結(jié)合資產(chǎn)重要性、風(fēng)險發(fā)生可能性的評分結(jié)果填入《信息資產(chǎn)風(fēng)險評估表》,計算風(fēng)險分值。5.3.7按照《信息安全風(fēng)險評估準(zhǔn)則》,對風(fēng)險嚴重程度進行評定。5.4資產(chǎn)重要性評估5.4.1信息安全經(jīng)理組織風(fēng)險評估小組成員按照《信息安全風(fēng)險評估準(zhǔn)則》,應(yīng)用《資產(chǎn)重要性評估表》對風(fēng)險評估范圍所識別的每類資產(chǎn)進行重要性評估,所完成的資產(chǎn)重要性評估結(jié)果記錄在《資產(chǎn)重要性評估表》中。5.4.2資產(chǎn)重要性評估結(jié)果應(yīng)由各部門經(jīng)理審查確認。5.5威脅及脆弱性識別與評估5.5.1針對所確定的資產(chǎn)重要性結(jié)果,風(fēng)險評估小組組長應(yīng)組織風(fēng)險評估小組對各類資產(chǎn)所面臨的威脅進行識別,并根據(jù)威脅識別結(jié)果,確定資產(chǎn)對應(yīng)的脆弱性。風(fēng)險評估小組針對威脅及脆弱性識別的結(jié)果,建立《威脅脆弱性對照表》,作為進行威脅及脆弱性識別的應(yīng)用工具。5.5.2風(fēng)險評估小組組長應(yīng)組織各部門信息安全員針對所識別的資產(chǎn),應(yīng)用《威脅脆弱性對照表》工具,對所識別的資產(chǎn),進行威脅及脆弱性識別,威脅及脆弱性識別結(jié)果應(yīng)記錄在《信息資產(chǎn)風(fēng)險評估表》中。根據(jù)威脅及脆弱性識別結(jié)果,風(fēng)險評估小組將對威脅利用脆弱性可能造成的風(fēng)險進行描述。5.5.3風(fēng)險評估小組應(yīng)按照《信息安全風(fēng)險評估準(zhǔn)則》中對威脅、脆弱評分準(zhǔn)則對威脅及脆弱性進行評分。每項資產(chǎn)的威脅及脆弱性識別結(jié)果以及評分結(jié)果應(yīng)記錄在《信息資產(chǎn)風(fēng)險評估表》中。5.6信息安全風(fēng)險排序每類資產(chǎn)威脅、脆弱性識別并評分完成后,《信息資產(chǎn)風(fēng)險評估表》工具將根據(jù)資產(chǎn)重要性評分結(jié)果、威脅評分結(jié)果以及脆弱性評分結(jié)果,綜合計算每類資產(chǎn)的風(fēng)險級別,并按照《信息安全風(fēng)險評估準(zhǔn)則》中風(fēng)險分級準(zhǔn)則,對資產(chǎn)風(fēng)險進行優(yōu)先級別評定。風(fēng)險評定的結(jié)果將記錄在每類資產(chǎn)《信息資產(chǎn)風(fēng)險評估表》中。5.7風(fēng)險評估報告5.7.1信息安全經(jīng)理負責(zé)組織5.7.1.15.7.1.25.7.1.35.7.1.4風(fēng)險級別在“中高”及“高”的風(fēng)險項目匯總形成《風(fēng)險評估處置計劃》。5.7

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論