国产精品麻豆久久99,韩日在线播放,午夜体验,鲁鲁狠色综合色综合网站,亚洲视频区,高清2019av手机版,精品中文字幕不卡在线视频

安全管理網(wǎng)

ISMS安全風(fēng)險(xiǎn)評(píng)估管理程序

  
評(píng)論: 更新日期:2018年01月10日

1 適用

本程序適用于本公司信息安全管理體系(ISMS)范圍內(nèi)信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)。

2 目的

本程序規(guī)定了本公司所采用的信息安全風(fēng)險(xiǎn)評(píng)估方法。通過(guò)識(shí)別信息資產(chǎn)、風(fēng)險(xiǎn)等級(jí)評(píng)估,認(rèn)知本公司的信息安全風(fēng)險(xiǎn),在考慮控制成本與風(fēng)險(xiǎn)平衡的前提下選擇合適控制目標(biāo)和控制方式將信息安全風(fēng)險(xiǎn)控制在可接受的水平,保持本公司業(yè)務(wù)持續(xù)性發(fā)展,以滿足本公司信息安全管理方針的要求。具體操作步驟,參照《信息安全風(fēng)險(xiǎn)評(píng)估指南》具體執(zhí)行。

3 范圍

本程序適用于第一次完整的風(fēng)險(xiǎn)評(píng)估和定期的再評(píng)估。在辨識(shí)資產(chǎn)時(shí),本著盡量細(xì)化的原則進(jìn)行,但在評(píng)估時(shí)我司又會(huì)把資產(chǎn)按照系統(tǒng)進(jìn)行規(guī)劃。辨識(shí)與評(píng)估的重點(diǎn)是信息資產(chǎn),不區(qū)分物理資產(chǎn)、軟件和硬件。

4 職責(zé)

4.1 成立風(fēng)險(xiǎn)評(píng)估小組

XX部負(fù)責(zé)牽頭成立風(fēng)險(xiǎn)評(píng)估小組。

4.2 策劃與實(shí)施

風(fēng)險(xiǎn)評(píng)估小組每年至少一次,或當(dāng)體系、組織、業(yè)務(wù)、技術(shù)、環(huán)境等影響企業(yè)的重大事項(xiàng)發(fā)生變更、重大事故事件發(fā)生后,負(fù)責(zé)編制信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃,確認(rèn)評(píng)估結(jié)果,形成《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》。

4.3 信息資產(chǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估活動(dòng)

各部門(mén)負(fù)責(zé)本部門(mén)使用或管理的信息資產(chǎn)的識(shí)別和風(fēng)險(xiǎn)評(píng)估,并負(fù)責(zé)本部門(mén)所涉及的信息資產(chǎn)的具體安全控制工作。

4.3.1 各部門(mén)負(fù)責(zé)人負(fù)責(zé)本部門(mén)的信息資產(chǎn)識(shí)別。

4.3.2 XX部經(jīng)理負(fù)責(zé)匯總、校對(duì)全公司的信息資產(chǎn)。

4.3.3 XX部負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估的策劃。

4.3.4 信息安全委員會(huì)負(fù)責(zé)進(jìn)行第一次評(píng)估與定期的再評(píng)估。

5 程序

5.1 風(fēng)險(xiǎn)評(píng)估前準(zhǔn)備

5.1.1 XX部牽頭成立風(fēng)險(xiǎn)評(píng)估小組,小組成員至少應(yīng)該包含:信息安全管理體系負(fù)責(zé)部門(mén)的成員、信息安全重要責(zé)任部門(mén)的成員。

5.1.2 風(fēng)險(xiǎn)評(píng)估小組制定信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃,下發(fā)各部門(mén)內(nèi)審員。

5.1.3 必要時(shí)應(yīng)對(duì)各部門(mén)內(nèi)審員進(jìn)行風(fēng)險(xiǎn)評(píng)估相關(guān)知識(shí)和表格填寫(xiě)的培訓(xùn)。

5.2 信息資產(chǎn)的識(shí)別

5.2.1 本公司的資產(chǎn)范圍包括:

5.2.1.1 信息資產(chǎn)

  1. 軟件資產(chǎn):應(yīng)用軟件、系統(tǒng)軟件、開(kāi)發(fā)工具和適用程序。
  2. 物理資產(chǎn):計(jì)算機(jī)設(shè)備、通訊設(shè)備、可移動(dòng)介質(zhì)和其他設(shè)備。
  3. 服務(wù):培訓(xùn)服務(wù)、租賃服務(wù)、公用設(shè)施(能源、電力)。
  4. 人員:人員的資格、技能和經(jīng)驗(yàn)。
  5. 無(wú)形資產(chǎn):組織的聲譽(yù)、商標(biāo)、形象。

?

5.2.1.2本公司的資產(chǎn)范圍包括:

數(shù)據(jù)庫(kù)、數(shù)據(jù)文件、數(shù)據(jù)合同、系統(tǒng)文件、研究信息、用戶手冊(cè)、培訓(xùn)教材、培訓(xùn)操作、培訓(xùn)軟件、支持性程序、業(yè)務(wù)連續(xù)性計(jì)劃、應(yīng)變安排、審核記錄、審核的追蹤、歸檔信息。

?

5.2.1.3 評(píng)估程序

本評(píng)估應(yīng)考慮:范圍、目的、時(shí)間、效果、組織文化、人員素質(zhì)以及具體開(kāi)展的程度等因素來(lái)確定,使之能夠與組織的環(huán)境和安全要求相適應(yīng)。

5.2.2 資產(chǎn)屬性賦值

5.2.2.1資產(chǎn)賦值是對(duì)資產(chǎn)安全價(jià)值的估價(jià),而不是以資產(chǎn)的賬面價(jià)格來(lái)衡量的。在對(duì)資產(chǎn)進(jìn)行估價(jià)時(shí),不僅要考慮資產(chǎn)的成本價(jià)格,更重要的是考慮資產(chǎn)對(duì)于組織業(yè)務(wù)的安全重要性,即根據(jù)資產(chǎn)損失所引發(fā)的潛在的商務(wù)影響來(lái)決定。為確保資產(chǎn)估價(jià)時(shí)的一致性和準(zhǔn)確性,機(jī)構(gòu)應(yīng)按照上述原則,建立一個(gè)資產(chǎn)價(jià)值尺度(資產(chǎn)評(píng)估標(biāo)準(zhǔn)),以明確如何對(duì)資產(chǎn)進(jìn)行賦值。

?

5.2.2.2資產(chǎn)估價(jià)的過(guò)程也就是對(duì)資產(chǎn)保密性、完整性和可用性影響分析的過(guò)程。影響就是由人為或突發(fā)性引起的安全事件對(duì)資產(chǎn)破壞的后果。這一后果可能毀滅某些資產(chǎn),危及信息系統(tǒng)并使其喪失保密性、完整性和可用性,最終還會(huì)導(dǎo)致財(cái)政損失、市場(chǎng)份額或公司形象的損失。特別重要的是,即使每一次影響引起的損失并不大,但長(zhǎng)期積累的眾多意外事件的影響總和則可造成嚴(yán)重?fù)p失。一般情況下,影響主要從以下幾方面來(lái)考慮:

(1)違反了有關(guān)法律或(和)規(guī)章制度

(2)影響了業(yè)務(wù)執(zhí)行

(3)造成了信譽(yù)、聲譽(yù)損失

(4)侵犯了個(gè)人隱私

(5)造成了人身傷害

(6)對(duì)法律實(shí)施造成了負(fù)面影響

(7)侵犯了商業(yè)機(jī)密

(8)違反了社會(huì)公共準(zhǔn)則

(9)造成了經(jīng)濟(jì)損失

(10)破壞了業(yè)務(wù)活動(dòng)

(11)危害了公共安全

資產(chǎn)安全屬性的不同通常也意味著安全控制、保護(hù)功能需求的不同。通過(guò)考察三種不同安全屬性,可以能夠基本反映資產(chǎn)的價(jià)值。

5.2.2.3保密性賦值:

賦值

標(biāo)識(shí)

定義

5

極高

指組織最重要的機(jī)密,關(guān)系組織未來(lái)發(fā)展的前途命運(yùn),對(duì)組織根本利益有著決定性影響,如果泄漏會(huì)造成災(zāi)難性的影響

4

是指包含組織的重要秘密,其泄露會(huì)使組織的安全和利益遭受嚴(yán)重?fù)p害

3

中等

是指包含組織一般性秘密,其泄露會(huì)使組織的安全和利益受到損害

2

指僅在組織內(nèi)部或在組織某一部門(mén)內(nèi)部公開(kāi),向外擴(kuò)散有可能對(duì)組織的利益造成損害

1

可忽略

對(duì)社會(huì)公開(kāi)的信息,公用的信息處理設(shè)備和系統(tǒng)資源等信息資產(chǎn)

?

?

5.2.2.4完整性賦值:

賦值

標(biāo)識(shí)

定義

5

極高

?

完整性價(jià)值非常關(guān)鍵,未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體造成重大的或無(wú)法接受、特別不愿接受的影響,對(duì)業(yè)務(wù)沖擊重大,并可能造成嚴(yán)重的業(yè)務(wù)中斷,難以彌補(bǔ)

4

完整性價(jià)值較高,未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體造成重大影響,對(duì)業(yè)務(wù)沖擊嚴(yán)重,比較難以彌補(bǔ)

3

中等

完整性價(jià)值中等,未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體造成影響,對(duì)業(yè)務(wù)沖擊明顯,但可以彌補(bǔ)

2

完整性價(jià)值較低,未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體造成輕微影響,可以忍受,對(duì)業(yè)務(wù)沖擊輕微,容易彌補(bǔ)

1

可忽略

?

完整性價(jià)值非常低,未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體造成的影響可以忽略,對(duì)業(yè)務(wù)沖擊可以忽略

網(wǎng)友評(píng)論 more
創(chuàng)想安科網(wǎng)站簡(jiǎn)介會(huì)員服務(wù)廣告服務(wù)業(yè)務(wù)合作提交需求會(huì)員中心在線投稿版權(quán)聲明友情鏈接聯(lián)系我們