文档介绍:信息安全风险评估管理程序3600字
 
 
LOGO
密级:秘密
信息安全风险评估管理程序
LOGO
密级:秘密
信息安全风险评估管理程序
在ISMS 覆盖范围内对信息安全现行状况进行系统风系统)来规避风险。
? 转移风险:通过使用其它措施来补偿损失,从而转移风险,如购买
保险。
(含)以上为不可接受风险,3(不含)以下为可接受风险。
如果是可接受风险,可保持已有的安全措施;如果是不可接受风险,则
需要采取安全措施以降低、控制风险。
信息安全风险评估管理程序
LOGO
密级:秘密
术两个方面,可以参照信息安全的相关标准实施。
确定控制目标、控制措施和对策
基于在风险评估结果报告中提出的风险级别,ISMS小组对风险处理的工作进行优先级排序。高等级(例如被定义为“非常高”或“高”风险级的风险)的风险项应该最优先处理。
? 评估所建议的安全措施
? 实施成本效益分析
? 选择安全措施
? 制定安全措施的实现计划
? 实现所选择的安全措施
残余风险的监视与处理
风险处理的最后过程中,ISMS小组应列举出信息系统中所有残余风险的清单。在信息系统的运行中,应密切监视这些残余风险的变化,并及时处理。
每年年初评估信息系统安全风险时,对残余风险和已确定的可接受的风险级别进行评审时,应考虑以下方面的变化:
?
?
?
?
?
? 组织结构; 技术; 业务目标和过程; 已识别的威胁; 已实施控制措施的有效性; 外部事件,如法律法规环境的变更、合同义务的变更和社会环境的变更。
ISMS小组考察风险处理的结果,判断残余风险是否处在可接受的水平之内。基于这一判断,管理层将做出决策,决定是否允许信息系统运行。
如果信息系统的残余风险不可接受,而现实情况又要求系统必须投入运行,且当前没有其它资源能胜任单位的使命。这时可以临时批准信息系统投入运行。
在这种情况下,必须由信息系统的主管者决定临时运行的时间段,制定出在此期间的应急预案以及继续处理风险的措施。在临时运行的时间段结束后,应重新评估残余风险的可接受度。如果残余风险仍然不可接受,则一般不应再批准信息系统临时运行。
信息安全风险评估管理程序
LOGO
密级:秘密
《GB/T20984-2007信息安全风险评估规范》
《信息资产管理制度》
《信息资产识别表》
《重要资产清单》
《威胁/脆弱性因素表》
《风险评估表》
《安全措施实施计划》
《残余风险清单》
信息安全风险评估管理程序
第二篇:信息安全风险评估管理程序 4400字
信息安全风险管理程序
编制:XXXXXX 20XX 年XX月XX日 审核:XXXXXXX 20XX 年XX月XX日 批准:XXXXXXX 20XX 年XX月XX日 受控状态:受控
版本号: XX
分发编号:XX
执行日期:20XX 年XX月XX日
目 录
1 目的
从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地为保障信息安全提供科学依据。
2 适用范围
信息安全管理体系覆盖范围内的所有信息资产。
3 术语和定义
引用ISO/IEC27001:2005(idt GB/T 22080-2008)和ISO/IEC27002:2005(idt GB/T 22081-2008)的相关术语和定义。
4 职责和权限
信息安全领导办公室
? 决定实施风险评估的时间和方法
? 指导风险处理计划的实施与检查
? 残余风险的批准。
部门信息安全主管
? 负责本部门范围内风险评估相关活动的组织实施
? 负责本部门范围内风险处理计划的组织实施
部门信息安全员
? 在部门安全主管领导下,负责本部门风险评估相关活动的实施
? 在部门安全主管领导下,负责本部门风险处理计划的实施
5 风险评估方法
风险各要素的关系
风险评估中各要素的关系如图1。
图1 风险评估要素关系图
图1中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考