参考模版,仅供参考
目的
为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本制度。范围
本制度适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。职责
3.1 信息安全部
负责信息安全风险管理的规划、实施和监控。
3.2 信息部总监
协调和组织信息安全风险管理工作;
3.3 其他各部门
配合信息安全部实施信息安全风险评估工作;
相关文件
《信息安全管理手册》内容
5.1 风险管理原则
信息安全风险管理须贯穿信息系统生命周期的全部过程;
信息安全风险管理须平衡成本与效益;
信息安全风险管理须包括资产识别、风险评估、风险控制、审核批准等过程
信息安全风险管理遵循PDCA模型,是一个不断迭代的过程;
信息安全风险管理过程遵循“重点保护”原则,优先管理和处置重要系统的安全风险;
根据组织的安全策略和目标,由信息安全部主导制定《信息安全风险管理计划》和相关方案,每年至少开展1次风险评估活动。
5.2 产识别
制定相关调研表格,其他各部门配合填写完成资产识别;
整合调研表格,与信息部总监确认风险评估对象和范围;
识别评估对象相关业务特性和流程,确认安全要求;
资产价值划分标准:
资产等级 价值 备注
外部级别 一般
内部级别 重要
秘密级别 很重要
5.3 风险评估
根据组织资产现状和,编写《信息安全风险管理计划》和《信息安全风险评估方案》
利用适当且有效的方法评估资产存在的脆弱性(技术和管理两个方面),脆弱性等级标准如下;
等级 定义 备注
低 如果威胁被利用,对资产造成的影响可以忽略
中 如果威胁被利用,对资产造成一般损害
高 如果威胁被利用,对资产造成重大损害
等级 定义 备注
低 如果被利用,对资产造成的影响可以忽略
中 如果被利用,对资产造成一般损害
高 如果被利用,对资产造成重大损害
识别资产面临的威胁,威胁等级标准如下:
等级 定义 备注
低 一般不太可能发生;或没有被证实发生过
中 在某种情况下可能会发生;或被证实曾经发生过
高 在大多数情况下几乎不可避免;或可以证实经常发生过
识别现有的风险控制措施;
通过资产等级、影响及风险发生的概率等因素对风险进行量化和分级,风险等级标准如下;
等级 定义 备注
低 一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解决
中 一旦发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大
高 一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的正常经营,经济损失重大、社会影响恶劣
根据风险评估结果编写《信息安全风险评估报告》。
5.4 风险控制
根据《信息安全风险评估报告》,编制《信息安全风险处置计划》,标识可接受和不可接受风险及处理措施;
对可接受风险,可保持已有的安全措施;对不可接受风险,须采取安全措施以降低、控制风险,风险处理方式如下:
处理方式 描述
保持 现有控制措施完全可以应付或防止此风险的发生,控制措施保持不变
控制 现有控制措施不足或没有控制措施,必须制作重新相应的对策防止此风险发生
接受 控制现有风险所花费的成本过高、超出组织可接受范围且风险发生的可能性极小或没有适当的解决方案,组织决定接受此风险
避免 组织放弃可能涉及此风险的行为,以保证风险不会发生
转移 将风险转嫁至其他公司或第三方人员身上,组织内部不再对此风险作任何控制措施
信息部总监对风险评估结果进行审核和确认。
5.5 审核批准
信息部总监对《信息安全风险评估报告》及《信息安全风险处置计划》的相关内容审核,对认为不合适的控制或风险处理方式等提出说明,由信息安全部协同相关部门重新考虑并选择其他的控制或风险处理方式,并重新提交《信息安全风险处置计划》。
- 记录
《信息安全风险管理计划》
《信息安全风险评估报告》
《信息安全风险处置计划》