资源描述
信息安全风险评估程序
1. 目的
本文件为公司执行信息安全风险评估提供指导和规范。
本程序的运行结果产生《风险评估报告-(加注日期)》。
公司依据风险评估报告编制风险处理计划。
2. 适用范围
本程序适用风险评估所涉及的所有部门。
风险评估工作组成员据此执行风险评估活动。
其他相应员工据此理解风险评估的过程,完成自己职责范围内风险评估相关工作。
3. 风险评估的实施频率及评审
公司规定风险评估活动要定期进行,常规的风险评估每年执行一次,执行风险评估前应对本程序进行评审。
遇到以下情况,公司也将启动风险评估:
¡ 增加了大量新的信息资产;
¡ 业务环境发生了重大的变化;
¡ 发生了重大信息安全事件。
4. 风险评估方法
根据GB/T22080-2008/ISO/IEC27001:2005和ISO/IEC TR 13335-3,公司采用“详细风险分析方法(Detailed Risk Approach)”来实施风险评估,该方法主要包括:
风险分析:识别资产、威胁、脆弱性、影响和可能性
风险评价:风险=影响×可能性
5. 风险评估流程
公司风险评估流程如下图所示:
欣博友风险评估流程
编制风险评估报告
分析和评价
风险
识别风险
建立风险评估工作组
确定风险评估范围
5.1. 确定风险评估范围
在执行风险评估前,由信息安全领导小组负责,确定本次风险评估的范围,并明确传达给风险评估工作组。
5.2. 建立风险评估工作组
在执行风险评估前,由信息安全领导小组负责,建立风险评估工作组,并明确工作组成员职责。
5.3. 识别风险
5.3.1. 识别资产及其责任人,建立信息资产清单(依下表)。
序号
资产名称
责任人
位置
相关说明
5.3.2. 识别威胁及威胁可利用的脆弱性(依下表)。
序号
资产名称
威胁
脆弱性
风险
5.4. 分析和评价风险
5.4.1. 分析和评价风险发生后对公司的影响(依下表)。
序号
资产名称
风险
影响
风险发生后对公司影响的赋值准则
影响的值
描 述
3(高)
风险对该资产的保密性、完整性或可用性等的影响(即发生泄露、损坏、丢失或无法使用等),将对公司造成极严重的或灾难性的损失,通常其直接或间接的影响范围波及到公司整体。
2(中)
风险对该资产的保密性、完整性或可用性等安全属性的影响(即发生泄露、损坏、丢失或无法使用等),将对公司造成较重要的损失,通常其直接或间接的影响范围波及到公司局部。
1(低)
风险对该资产的保密性、完整性或可用性等安全属性的影响(即发生泄露、损坏、丢失或无法使用等),将对公司造成一定的损失,通常其直接或间接的影响范围仅波及到公司很少部门。
5.4.2. 分析和评价风险发生的可能性(依下表)。
序号
资产名称
风险
影响
可能性
风险发生可能性的赋值准则
可能性的值
描 述
3(高)
考虑公司以往发生的信息安全事件,以及社会上和其它组织的经验,该风险频繁发生。
2(中)
考虑公司以往发生的信息安全事件,以及社会上和其它组织的经验,该风险经常发生。
1(低)
考虑公司以往发生的信息安全事件,以及社会上和其它组织的经验,该风险偶尔发生。
5.4.3. 计算风险的大小并排序(依下表)。
风险计算公式:风险值=影响值×可能性值
序号
资产名称
风险
风险值
5.5. 编制风险评估报告
由风险评估工作组负责编制风险评估报告,风险评估报告内容应包括:
1) 风险评估起止日期
2) 风险评估工作组组成
3) 风险评估范围
4) 资产、风险和风险值排序表
6. 相关文件
¡ 《风险评估报告-(加日期)》
¡ 《风险处理计划-(加日期)》
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
