信息安全风险评估管理程序

信息安全风险评估管理程序第信息安全风险评估管理程序version：1.1编制人：孙成英日期:200审核人:蒋德伟日期：200批准人：王万均日期：2008年受控状态：受控目录TOC\o"1-2"\h\z\u1．目的 42．适用范围 43．定义 43.1信息安全风险 43.2风险评估 44．职责 44.1信息安全经理 44.2各部门信息安全员 44.3信息安全管理委员会成员 45．工作程序 45.1风险评估的时机 45.2风险评估准备 55.3风险评估基本程序 55.4资产重要性评估 55.5威胁及脆弱性识别与评估 55.6信息安全风险排序 65.7信息安全风险汇总 65.8风险评估报告 65.9风险评估后续管理 76．引用文件 77流程图 88．记录 8修订文档历史记录日期版本说明作者2001.0创建孙成英2008-8-181.1在5.1节增加风险评估时机：每年年初和在项目启动时进行一次风险评估孙成英

1．目的确保信息安全风险评估结果的合理性。2．适用范围本指南适用于风险评估小组对正大集团及其所属公司的信息安全风险进行评估的活动。3．定义3.1信息安全风险威胁利用脆弱性造成某一信息资产或某一组信息资产丢失或损坏的可能性，这样的风险可能波及整个组织。3.2风险评估计算风险程度并对风险进行优先级排序的过程。4．职责4.1信息安全经理4.1.1组织风险评估小组进行风险评估。4.1.2起草并向高层汇报《风险评估报告》4.2各部门信息安全员4.2.1参与风险评估4.3信息安全管理委员会成员4.3.1审查并批准风险评估报告4.3.2接受残余风险5．工作程序5.1风险评估的时机公司在以下情况下，将按照本程序要求进行风险评估：5.1.1建立信息安全管理体系时。5.1.2每年年初由信息安全小组组织风险评估。5.1.35.1.45.1.55.1.6软件开发项目在启动阶段，按照CMM文件《风险评估指南》的要求进行项目风险评估。5.2风险评估准备5.2.1每次风险评估前，由信息安全经理根据风险评估范围负责组建公司风险评估小组，提出风险评估小组成员名单，通常，风险评估小组由各相关部门信息安全员组成。风险评估小组成员名单应提交信息安全管理委员会审查批准。5.2.2根据所确定的风险评估范围，信息安全经理负责制订《信息安全风险评估准则》，明确对资产重要性、威胁、脆弱性评分准则以及风险重大程度优先级准则。5.2.3《信息安全风险评估准则》应提交信息安全管理委员会审查批准。5.3风险评估基本程序5.3.1对评估范围内的资产进行清点。5.3.2根据《信息安全风险评估准则》中资产重要性评估准则，对所清点的资产进行重要性评分，计算资产重要性分值。5.3.3识别资产所面临的威胁。5.3.4针对资产所面临的威胁，识别资产脆弱性。5.3.5识别现有的控制措施，并按照《信息安全风险评估准则》对威胁和脆弱性构成的风险在现有控制措施下发生的可能性进行评分。5.3.6结合资产重要性、风险发生可能性的评分结果填入《信息资产风险评估表》，计算风险分值。5.3.7按照《信息安全风险评估准则》，对风险严重程度进行评定。5.4资产重要性评估5.4.1信息安全经理组织风险评估小组成员按照《信息安全风险评估准则》，应用《资产重要性评估表》对风险评估范围所识别的每类资产进行重要性评估，所完成的资产重要性评估结果记录在《资产重要性评估表》中。5.4.2资产重要性评估结果应由各部门经理审查确认。5.5威胁及脆弱性识别与评估5.5.1针对所确定的资产重要性结果，风险评估小组组长应组织风险评估小组对各类资产所面临的威胁进行识别，并根据威胁识别结果，确定资产对应的脆弱性。风险评估小组针对威胁及脆弱性识别的结果，建立《威胁脆弱性对照表》，作为进行威胁及脆弱性识别的应用工具。5.5.2风险评估小组组长应组织各部门信息安全员针对所识别的资产，应用《威胁脆弱性对照表》工具，对所识别的资产，进行威胁及脆弱性识别，威胁及脆弱性识别结果应记录在《信息资产风险评估表》中。根据威胁及脆弱性识别结果，风险评估小组将对威胁利用脆弱性可能造成的风险进行描述。5.5.3风险评估小组应按照《信息安全风险评估准则》中对威胁、脆弱评分准则对威胁及脆弱性进行评分。每项资产的威胁及脆弱性识别结果以及评分结果应记录在《信息资产风险评估表》中。5.6信息安全风险排序每类资产威胁、脆弱性识别并评分完成后，《信息资产风险评估表》工具将根据资产重要性评分结果、威胁评分结果以及脆弱性评分结果，综合计算每类资产的风险级别，并按照《信息安全风险评估准则》中风险分级准则，对资产风险进行优先级别评定。风险评定的结果将记录在每类资产《信息资产风险评估表》中。5.7风险评估报告5.7.1信息安全经理负责组织5.7.1.15.7.1.25.7.1.35.7.1.4风险级别在“中高”及“高”的风险项目汇总形成《风险评估处置计划》。5.7