信息安全风险识别与评估管理流程.docx

信息安全风险识别与评估管理流程

目录

内容概览．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．3

1.1文档目的．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．3

1.2文档范围．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．4

1.3术语和定义．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．5

信息安全风险识别．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．6

2.1风险识别原则．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．6

2.2风险识别流程．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．7

2.2.1信息收集．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．8

2.2.2风险识别方法．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．9

2.2.3风险识别结果整理．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．11

信息安全风险评估．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．12

3.1风险评估原则．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．12

3.2风险评估流程．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．13

3.2.1风险分析．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．14

3.2.2风险评估方法．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．15

3.2.3风险评估结果分析．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．16

信息安全风险等级划分．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．17

4.1风险等级划分标准．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．18

4.2风险等级划分流程．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．18

信息安全风险控制策略．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．19

5.1风险控制原则．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．20

5.2风险控制措施．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．21

5.2.1技术措施．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．21

5.2.2管理措施．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．22

5.2.3组织措施．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．23

信息安全风险监控与预警．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．24

6.1风险监控原则．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．24

6.2风险监控流程．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．25

6.2.1监控指标设定．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．26

6.2.2监控方法．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．27

6.2.3预警机制．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．27

信息安全风险报告与沟通．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．29

7.1风险报告内容．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．30

7.2风险报告流程．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．31

7.3风险沟通机制．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．32

信息安全风险管理体系持续改进．．．．．．．．．．．．．．．．．．．．．．．．．．．33

8.1持续改进原则．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．