ISMS-B-07 信息安全风险评估控制程序-ISO27001

1、信息安全风险评估控制程序文件编号：ISMS-B-07版 本：A/0页 码：第4页 共4页版本更改履历制订/修订审批生效日期A/0编制审核批准日期日期日期分发栏：r 市场中心r 项目中心r 模具中心r 采购部r 品质中心r 货仓课r 财务部r 总经办r 人力资源中心r 设备课r 计划部r 生产中心1. 目的为规范公司的信息资产识别、风险评估的方法，以便在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平，特制定本程序。2. 范围本程序适用于本公司信息安全管理体系范围内信息安全风险评估活动。3. 职责与权限3.1 信息安全委员会提供信息安全风险管理工作相关

2、的资源支持及工作指导；对信息安全风险评估结果进行确认，确定可接受风险级别。3.2 体系中心负责组织及协调公司各部门实施信息安全风险评估及信息安全风险处置，确保风险评估及风险处置工作按计划执行。3.3 各部门负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的风险处置。4. 相关文件a) 风险评估方法与准则5. 术语定义无 6. 控制程序6.1 风险评估前准备6.1.1 成立风险评估小组由体系中心牵头成立风险评估小组，小组成员应包含信息安全重要责任部门的成员，如体系中心、技术部等。6.1.2 制定计划风险评估小组确定信息安全风险评估计划，并通知各部门。6.2 资产识别及风险评估

3、6.2.1 资产识别由风险评估小组成员识别各部门资产，并进行资产赋值，编制信息资产清单。6.2.2 风险评估针对重要资产进行风险评估，保留风险评估记录，详细风险评估方法参考风险评估方法与准则。6.3 风险处理对可接受风险，可保持已有的安全措施；如果是不可接受风险（中、高风险），则需要采取安全措施以降低、控制风险。对不可接受风险，应采取新的风险处理的措施，规定风险处理方式、责任部门和时间进度，高风险应得到优先的考虑。6.3.1 计划风险评估小组应编制风险处理计划。6.3.2 报告风险评估小组编制信息安全风险评估报告（格式不限），提交公司领导审核。6.3.3 审核信息安全风险评估小组应考虑成本与风

4、险的关系，对风险处理计划的相关内容审核，对认为不合适的控制或风险处理方式等提出说明，由风险评估小组协同相关部门重新考虑或选择其他的控制或风险处理方式，并重新提交公司领导审核。6.3.4 实施各责任部门按照批准后的风险处理计划的要求采取有效安全控制措施，确保所采取的控制措施是有效的。6.4 剩余风险评估6.4.1 再评估对采取安全措施处理后的风险，信息安全风险评估小组应进行再评估，以判断实施安全措施后的残余风险是否已经降低到可接受的水平。6.4.2 再处理某些风险可能在选择了适当的安全措施后仍处于不可接受的风险范围内，应考虑是否接受此风险或进一步增加相应的安全措施。6.4.3 审核批准剩余风险评

5、估完成后，应编制剩余风险评估报告（格式不限），报公司领导审批。6.5 信息安全风险的连续评估6.5.1 定期评估信息安全风险评估小组每年应组织对信息安全风险重新评估一次，以适应信息资产的变化，确定是否存在新的威胁或脆弱性及是否需要增加新的控制措施。6.5.2 非定期评估当企业发生以下情况时需及时进行风险评估：1）当发生重大信息安全事故时；2）当信息网络系统发生重大更改时；3）公司领导及信息安全风险评估小组确定有必要时。6.5.3 更新资产各部门对新增加、转移的或授权销毁的资产应及时更新资产清单。6.5.4 调整控制措施信息安全风险评估小组应分析信息资产的风险变化情况，以便根据企业的资金和技术，确定、增加或调