信息安全风险管理程序
1.目的
针对重要信息资产,进行信息安全风险评估,信息安全风险处置,满足信息安全标准要求。
2.范围
适用于本公司信息安全管理体系(ISMS)范围内的信息安全风险管理活动。
3.职责
3.1 信息安全小组组织对重要信息资产进行风险评估。
3.2管理者代表负责审核信息资产识别和信息安全风险评估的结果。
3.3总经理批准信息资产风险评估报告和信息安全风险处置计划。
4.程序内容
4.1 信息安全风险评估
4.1.1 建立并保持信息安全风险准则
a管理者代表组织信息安全小组,针对公司识别并评价出来的“重要信息资产”,从本公司行业特点、经营规模、长期发展角度出发,按信息资产类别和经济价值确定风险接受准则草案,报公司总经理批准;
b经批准的信息安全风险准则,是信息安全小组风险评估重复性操作和一致性的依据。
4.1.2识别信息安全风险
a信息安全小组将重要信息资产填入《信息资产风险评估表》,并识别信息资产的威胁和脆弱性,对威胁和脆弱性予以赋值;
b信息安全小组根据公司岗位职责和风险的利益关系,确定风险负责人。
4.1.3 分析信息安全风险
信息安全小组对已有的安全措施进行确认,填写《安全措施确认表》信息安全小组根据《风险评估准则》,进行风险分析:
a 计算安全事件发生的可能性;
b 计算安全事件发生后造成的损失;
c 根据计算出的安全事件发生的可能性以及安全事件发生后造成的损失,计算风险值;
d信息安全小组根据风险值的大小,按照《风险评估准则》中的《风险等级标准》确定信息安全风险等级,可分为5个等级。4-5级为高风险、3级中度风险、1-2级为低风险。
4.1.4评价信息安全风险
a信息安全小组将风险分析的结果同建立的风险准则进行比较;
b确定已分析风险的优先级别。
4.2 信息安全风险处置
4.2.1 信息安全小组应将风险评估的结果形成《风险评估报告》,报给管理者代表审核、总经理批准。
4.2.2 对于可接受风险,有关部门及工作岗位不需采取进一步的控制活动,可保持原有风险不变,继续执行原有的规则制度和控制策略。
4.2.3 对于个别的高风险,实施控制措施所付出的成本超出了收益,则规避导致该风险的活动或条件,避免风险。
4.2.4 控制不可接受的高风险,信息安全小组与有关部门选择适当和合理的控制措施降低风险。
4.3 风险处理计划
信息安全小组编制《风险处理计划》,风险处理计划中应明确采取的弥补脆弱性的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应从管理与技术两个方面考虑。
4.4 残余风险
为确保安全控制措施的有效性,对不可接受的风险采取一定的安全措施后,还应由信息安全小组组织进行再评估,以判断实施安全措施后的残余风险是否已经降低到适当水平。对于仍处于不可接受的风险范围内,应考虑是否接受此风险或增加相应的安全控制措施。
5.相关文件
5.1 《信息安全适用性声明》
5.2 《信息安全风险评估报告》
5.3 《信息安全不可接受风险处理计划》
5.4 《风险评估准则》
6.记录
6.1 《重要信息资产清单》
6.2 《安全措施确认表》
6.3 《信息资产风险评估表》
6.4《残余风险评估表》
