站内搜索:
    • 公司:
    • 重庆智汇源企业管理顾问有限公司
    • 联系:
    • 罗老师
    • 邮箱:
    • 619270360@qq.com
    • 手机:
    • 13983086348
    • 电话:
    • 023-67788950
    • 传真:
    • 023-67775463
    • 地址:
    • 重庆市江北区北滨二路紫御江山熙岸7-8-4
    • 微信:
本站共被浏览过 467423 次
用户名:
密    码:

分享:
产品信息
您所在的位置:首页 > 详细信息

重庆,ISO27001,9.信息安全风险管理程序

2019-09-23 10:12:01 152次浏览

价 格:面议

9.信息安全风险管理程序编号:ISMSP-09-1 修改状态:A/0

1 目的

本程序规定了本公司所采用的信息安全风险评估方法。通过识别信息资产及其脆弱性与漏洞、认知公司经营管理各环节存在的信息安全风险,综合考虑控制成本与代价、选择合适的控制目标与方式,将信息安全风险控制在可接受的水平,满足本公司信息安全管理方针的要求,确保公司经营管理活动相关的信息资产安全。

2 范围

本程序适用于公司在信息安全管理体系(ISMS)范围内开展的信息安全风险评估活动。

3 职责

3.1 综合管理部门归口管理本过程,负责组织相关领导、各部门负责人、各部门业务骨干、IT技术人员进行信息安全资产识别、风险评估、确定风险处置计划、并进行残余风险评估。

3.2 各部门负责部门内部信息资产的识别和风险评估,并负责实施批准的《风险处置计划》。

3.3 管理者代表负责批准各部门的《信息安全资产清单》、《重要信息安全资产清单》、《信息安全风险评估表》、《风险处置计划》、对残余风险进行批准。负责协调并为风险处置提供适当的资源。

4 风险评估的实施频率及评审

风险评估活动应定期进行,常规的风险评估每年执行一次,执行风险评估前应对本程序进行评审。遇到以下情况,公司也将启动风险评估:

——增加了大量新的信息资产;

——业务环境发生了重大的变化;

——发生了重大信息安全事件。

5 程序

5.1 风险评估流程

5.1.1. 信息安全风险评估管理流程

5.1.2. 信息安全风险评估管理流程说明

编号

流程步骤

主责部门/岗位

流程说明

相关文档

01

制定评估计划

综合管理部门/部门负责人

综合管理部负责人负责组织制定“风险评估计划”,发送各部门。“风险评估计划”包括:评估时间要求、评估人员组成、各部门工作要求等内容。

信息安全风险评估计划

02

信息安全资产识别

各部门

各部门负责人组织本部门员工按照本文件要求进行本部门信息安全资产的识别,形成《信息安全资产清单》,和《重要信息安全资产清单》,经部门负责人审核确认后,提交管理者代表批准。

信息安全资产清单

重要信息安全资产清单

03

风险识别、分析

各部门

各部门负责人组织本部门信息安全资产威胁、脆弱性识别,及风险分析,并填写在《风险评估表》中,经部门负责人审核确认后提交管理者代表批准。

风险评估表

04

制定风险处置计划

综合管理部

综合管理部根据各部门提交的审批通过的《风险评估表》,对不可接受的风险组织制定《风险处置计划》,《风险处置计划》中应明确为弥补弱点所采取的安全措施、责任部门等。安全措施的选择应从管理与技术两个方面考虑。

《风险处置计划》由综合管理部编制后,经管理者代表审核,管理者批准后实施。

风险处置计划

05

实施

各部门

各部门负责按照《信息安全风险处置计划》要求实施。

各部门应将风险处置计划的完成情况于规定的时间报行怎么部汇总,对风险处理过程中所提出的资源上的需求和出现的问题报管理者,确保风险处置计划的有效执行。

风险处置计划

06

残余风险评估

各部门

综合管理部组织各部门对《信息安全风险处置计划》实施后的风险进行再评估,填写《信息安全风险评估表》,看残余风险是否降低到了可接受范围内,如果没有,则需要重新制定《信息安全风险处置计划》或获得管理者对残余风险的批准。

风险评估表

07

形成风险评估报告

综合管理部

综合管理部负责编制《信息安全风险评估报告》,陈述公司信息安全管理现状,分析存在的信息安全风险,提出信息安全管理的建议和措施,以及仍存在的残余风险,提交管理层审核,管理者批准。

信息安全风险评估报告

5.2 资产识别

5.2.1. 信息资产分类

资产分类

代号

示例

文档和数据

D

1)保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等(项目开发过程中产生的过程文档)

2)纸质的各种文件,如传真、电报、财务报告、发展计划等(公司经营中产生的行政文档)

软件和系统

R

系统软件:操作系统、语言包、工具软件、各种库等

应用软件:外部购买的应用软件,外包开发的应用软件等

源程序:各种共享源代码、自行或合作开发的

重庆智汇源企业管理顾问有限公司版权所有ID:10071323) 技术支持:武汉百业网科技有限公司   百业网客服:杨宇

8

回到顶部