风险评价及控制程序

1、内部资料风险评估及控制程序文件编码AQ2G-04-S005版本V1.0文件层级口 一阶 二阶口三阶文件类别体系文件 口技术文件编制部门IT部机密等级内文口秘密机密口绝密编制人文件类别通用项目审核编制日期审批生效日期总页数7分发编号01文件发布盖章公司名称文件编码AQ2G-04-S005文件名称风险评估及控制程序页次/总页码1 / 7文件制/修订记录虫他章节制/修订记录版本修订人修订日期备注修订前修订后全部全部首次制定V1.035增加流程图V1.0V1.1Jkw JV公司名称文件编码AQ2G-04-S005文件名称风险评估及控制程序页次/总页码2 / 71目的和范围本程序规定了公司所采用的信息安

2、全风险评估方法。通过识别信息资产、风险等级 评估认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目 标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满 足本公司信息安全管理方针的要求。本标准适用于公司信息安全管理体系（ISMS）范围内信息安全风险评估活动。2适用范围本制度适用于公司信息安全管理系统覆盖的所有员工和活动行为。3术语-. w a ISO/IEC 27001:2005信息技术-安全技术-信息安全管理体系要求和 ISO/IEC 17799:2005信息技术-安全技术-信息安全管理实施细则规定的术语适用于本标准。4职责和权限4.1 IT部：

3、负责牵头成立风险评估小组。4.2 信息安全工作小组：负责编制信息安全风险评估计划，确认评估结果，编写 风险评估报告。4.3 各部门：负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉 及的资产的具体安全控制工作。4.4 总经理：负责对残余风险的批准公司名称文件编码AQ2G-04-S005文件名称风险评估及控制程序页次/总页码3 / 75风险评估流程5.1 风险评估流程图开始主要内容项CIAB赋值确定威胁确定薄弱点确定原有控制措施可能性赋值后果赋值风险等级计算风险矩阵计算成立风险评估小组制订风险评估计划信息资产识别信息资产的分类参考内容项补充控制措施编制风险处理计划提交风险评估报告：结

4、束）王要内谷项信息资产的认定重要信息资产认定重要信息资产风险评估确定信息安全等级确定风险可接受性5.2 风险评估前准备5.2.1 信息安全部牵头成立风险评估小组，小组成员主要由核心内审员组成。5.2.2 风险评估小组向各部门发放信息资产识别表，风险评估表及风险评公司名称文件编码AQ2G-04-S005文件名称风险评估及控制程序页次/总页码4 / 7估原则。同时提出进行资产识别和风险评估的要求。5.3 信息资产的识别5.3.1 信息安全小组向内审员发放 风险评估原则、信息资产识别表，同时提出 信息资产识别的要求。5.3.2 各个内审员参考风险评估原则识别本部门信息资产，首先识别本部门的 业务流程

5、，并根据实际情况，画出业务流程图。然后在每一个业务下，识别该业务流程 中涉及到的各类信息资产。根据风险评估原则中的重要信息资产判断准则判断 其是否是重要信息资产，并填写信息资产识别表，在风险评估计划规定的时间内提 交风险评估小组审核汇总。5.3.3 风险评估小组对各部门填写的信息资产识别表进行审核，确保没有遗漏 重要的业务流程及信息资产，并分发各部门存档。5.4 重要信息资产风险等级评估5.4.1 应对信息资产识别表中的所有的业务过程进行风险评估，也就是对组成业 务过程的各项资产进行风险评估。评估应考虑威胁事件发生的可能性和威胁事件发生后 对信息资产造成的影响程度两方面因素。5.4.2 风险评

6、估小组向各部门内审员分发风险评估表、风险评估原则。 5.4.3 各部门内审员按照风险评估原则中的CIAB分级标准对每一项资产的 保密性、可用性、完整性和与业务的相关性进行赋值，并得出资产赋值。5.4.4 各部门内审员根据资产本身所处的环境条件，参考风险评估原则中的威 胁识别列表、通用威胁参考列表以及在现状调研阶段分析出的风险及威胁等，识别 每个信息资产所面临的风险及风险对应的威胁，针对每个威胁，识别目前已有的控制；5.4.5 在考虑现有的控制前提下，参考风险评估原则中的威胁分级标准判 断每项重要信息资产所面临威胁发生的可能性，赋 1-5的值；5.4.6 参考风险评估原则中的脆弱性识别表、脆弱性

7、参考列表识别可能 被该威胁所利用的薄弱点；参考脆弱性分级标准，判断薄弱点程度等级，赋1-5的公司名称文件编码AQ2G-04-S005文件名称风险评估及控制程序页次/总页码5 / 7值。5.4.7 风险评估表将自动结合资产的价值，威胁值和薄弱点的值，分别计算可能 性、后果及风险的等级。5.4.8 风险评估表的风险计算结果，应由风险评估小组汇总。5.4.9 风险评估小组考虑本公司整体的信息安全要求，对各部门填写的风险评估 表进行审核，确保风险评估水平的一致性，确保没有遗漏重要信息安全风险。如果对 评估结果进行修改，应该和资产责任部门进行沟通并获得该部门的确认。5.5 不可接受风险的确定和处理5.5

8、.1 针对所有的3级以上风险，公司均应采取相应的控制措施，确认实施的部门。 风险评估小组编制信息安全风险评估报告，陈述本公司信息安全管理现状，分析存 在的信息安全风险，提出信息安全管理（控制 ）的建议与措施，由各内审员并将控制措 施填写到风险评估表中，并填写措施的计划完成日期。以形成不可接受风险处理 计划。5.5.2 在实际的控制措施执行后，各部门内审员填写实际的完成日期，由管理者代 表进行确认措施的落实情况。5.5.3 各责任部门按照信息安全不可接受风险处理计划的要求采取有效安全控 制措施，确保所采取的控制措施是充分的，直到其风险降至可接受为止。5.5.4 在实际的控制措施执行后，各部门内审

9、员根据实际措施的执行效果，重新评 估资产的威胁值和脆弱性值，从而计算出资产的残余风险。5.5.5 对于残余风险仍处于3级以上的风险，必须经过总经理的审批，才能接受残 余风险。5.6 评估时机5.6.1 每年重新评估一次，以确定是否存在新的威胁或薄弱点及是否需要增加新的 控制措施，对发生以下情况需及时进行风险评估：1）当发生重大信息安全事故时；公司名称文件编码AQ2G-04-S005文件名称风险评估及控制程序页次/总页码6 / 72）当信息网络系统发生重大更改时（包括系统升级和变更）；3）信息安全领导小组确定有必要时。5.6.2 各部门对新增加、转移的或授权销毁的资产应及时按照本工作程序在信息 资产识别表、风险评估表上予以添加或变更。6实施策略6.1 各内审员填写信息资产识别表，识别组织内的业务过程及信息资产。6.2 各内审员填写风险评估表,评估