信息安全風(fēng)險(xiǎn)管理程序
1.目的
針對重要信息資產(chǎn),進(jìn)行信息安全風(fēng)險(xiǎn)評估,信息安全風(fēng)險(xiǎn)處置,滿足信息安全標(biāo)準(zhǔn)要求。
2.范圍
適用于本公司信息安全管理體系(ISMS)范圍內(nèi)的信息安全風(fēng)險(xiǎn)管理活動(dòng)。
3.職責(zé)
3.1 信息安全小組組織對重要信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評估。
3.2管理者代表負(fù)責(zé)審核信息資產(chǎn)識(shí)別和信息安全風(fēng)險(xiǎn)評估的結(jié)果。
3.3總經(jīng)理批準(zhǔn)信息資產(chǎn)風(fēng)險(xiǎn)評估報(bào)告和信息安全風(fēng)險(xiǎn)處置計(jì)劃。
4.程序內(nèi)容
4.1 信息安全風(fēng)險(xiǎn)評估
4.1.1 建立并保持信息安全風(fēng)險(xiǎn)準(zhǔn)則
a管理者代表組織信息安全小組,針對公司識(shí)別并評價(jià)出來的“重要信息資產(chǎn)”,從本公司行業(yè)特點(diǎn)、經(jīng)營規(guī)模、長期發(fā)展角度出發(fā),按信息資產(chǎn)類別和經(jīng)濟(jì)價(jià)值確定風(fēng)險(xiǎn)接受準(zhǔn)則草案,報(bào)公司總經(jīng)理批準(zhǔn);
b經(jīng)批準(zhǔn)的信息安全風(fēng)險(xiǎn)準(zhǔn)則,是信息安全小組風(fēng)險(xiǎn)評估重復(fù)性操作和一致性的依據(jù)。
4.1.2識(shí)別信息安全風(fēng)險(xiǎn)
a信息安全小組將重要信息資產(chǎn)填入《信息資產(chǎn)風(fēng)險(xiǎn)評估表》,并識(shí)別信息資產(chǎn)的威脅和脆弱性,對威脅和脆弱性予以賦值;
b信息安全小組根據(jù)公司崗位職責(zé)和風(fēng)險(xiǎn)的利益關(guān)系,確定風(fēng)險(xiǎn)負(fù)責(zé)人。
4.1.3 分析信息安全風(fēng)險(xiǎn)
信息安全小組對已有的安全措施進(jìn)行確認(rèn),填寫《安全措施確認(rèn)表》信息安全小組根據(jù)《風(fēng)險(xiǎn)評估準(zhǔn)則》,進(jìn)行風(fēng)險(xiǎn)分析:
a 計(jì)算安全事件發(fā)生的可能性;
b 計(jì)算安全事件發(fā)生后造成的損失;
c 根據(jù)計(jì)算出的安全事件發(fā)生的可能性以及安全事件發(fā)生后造成的損失,計(jì)算風(fēng)險(xiǎn)值;
d信息安全小組根據(jù)風(fēng)險(xiǎn)值的大小,按照《風(fēng)險(xiǎn)評估準(zhǔn)則》中的《風(fēng)險(xiǎn)等級標(biāo)準(zhǔn)》確定信息安全風(fēng)險(xiǎn)等級,可分為5個(gè)等級。4-5級為高風(fēng)險(xiǎn)、3級中度風(fēng)險(xiǎn)、1-2級為低風(fēng)險(xiǎn)。
4.1.4評價(jià)信息安全風(fēng)險(xiǎn)
a信息安全小組將風(fēng)險(xiǎn)分析的結(jié)果同建立的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較;
b確定已分析風(fēng)險(xiǎn)的優(yōu)先級別。
4.2 信息安全風(fēng)險(xiǎn)處置
4.2.1 信息安全小組應(yīng)將風(fēng)險(xiǎn)評估的結(jié)果形成《風(fēng)險(xiǎn)評估報(bào)告》,報(bào)給管理者代表審核、總經(jīng)理批準(zhǔn)。
4.2.2 對于可接受風(fēng)險(xiǎn),有關(guān)部門及工作崗位不需采取進(jìn)一步的控制活動(dòng),可保持原有風(fēng)險(xiǎn)不變,繼續(xù)執(zhí)行原有的規(guī)則制度和控制策略。
4.2.3 對于個(gè)別的高風(fēng)險(xiǎn),實(shí)施控制措施所付出的成本超出了收益,則規(guī)避導(dǎo)致該風(fēng)險(xiǎn)的活動(dòng)或條件,避免風(fēng)險(xiǎn)。
4.2.4 控制不可接受的高風(fēng)險(xiǎn),信息安全小組與有關(guān)部門選擇適當(dāng)和合理的控制措施降低風(fēng)險(xiǎn)。
4.3 風(fēng)險(xiǎn)處理計(jì)劃
信息安全小組編制《風(fēng)險(xiǎn)處理計(jì)劃》,風(fēng)險(xiǎn)處理計(jì)劃中應(yīng)明確采取的彌補(bǔ)脆弱性的安全措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門等。安全措施的選擇應(yīng)從管理與技術(shù)兩個(gè)方面考慮。
4.4 殘余風(fēng)險(xiǎn)
為確保安全控制措施的有效性,對不可接受的風(fēng)險(xiǎn)采取一定的安全措施后,還應(yīng)由信息安全小組組織進(jìn)行再評估,以判斷實(shí)施安全措施后的殘余風(fēng)險(xiǎn)是否已經(jīng)降低到適當(dāng)水平。對于仍處于不可接受的風(fēng)險(xiǎn)范圍內(nèi),應(yīng)考慮是否接受此風(fēng)險(xiǎn)或增加相應(yīng)的安全控制措施。
5.相關(guān)文件
5.1 《信息安全適用性聲明》
5.2 《信息安全風(fēng)險(xiǎn)評估報(bào)告》
5.3 《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》
5.4 《風(fēng)險(xiǎn)評估準(zhǔn)則》
6.記錄
6.1 《重要信息資產(chǎn)清單》
6.2 《安全措施確認(rèn)表》
6.3 《信息資產(chǎn)風(fēng)險(xiǎn)評估表》
6.4《殘余風(fēng)險(xiǎn)評估表》
中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢,檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊,包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識(shí)產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息,中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識(shí)。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
