公司信息安全风险评估管理办法MicrosoftOfficeWord文档..docx

公司信息安全风险评估管理办法（试行）第一章 总则为建立公司信息安全风险评估管理流程和机制，通过识别信息资产、风险等级评估认知信息化系统存在的信息安全风险，选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，满足公司信息安全管理方针的要求，特制定本管理办法。运营改善部作为公司信息化的实际管理部门，负责组织成立风险评估小组。本办法适用于公司信息化系统范围内信息安全风险评估活动。第二章 术语及定义保密性：是指网络信息不被泄露给非授权的用户、实体或过程。即信息只为授权用户使用。完整性：保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。可用性：数据或资源的特性，被授权实体按要求能访问和使用数据或资源。信息安全风险：人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。残余风险：采取了安全措施后，仍然可能存在的风险。脆弱性：可能被威胁所利用的资产或若干资产的弱点。第三章 风险评估准备风险评估准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑，其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此，在风险评估实施前，应做好以下工作：确定风险评估的目标；确定风险评估的范围；组建适当的评估管理与实施团队；进行系统调研；确定评估依据和方法；制定风险评估方案；获得最高管理者对风险评估工作的支持。确定目标：根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容，识别现有信息系统及管理上的不足，以及可能造成的风险大小。确定范围：风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。组建团队：风险评估实施团队，由管理层、相关业务骨干、IT技术等人员组成风险评估小组。必要时，可聘请相关专业的技术专家和技术骨干组成专家小组。系统调研：系统调研是确定被评估对象的过程，风险评估小组应进行充分的系统调研，为风险评估依据和方法的选择、评估内容的实施奠定基础。系统调研可以采取问卷调查、现场面谈相结合的方式进行。调研内容至少应包括：业务战略及管理制度；主要的业务功能和要求；网络结构与网络环境，包括内部和外部连接；系统边界；主要的硬件、软件；数据和信息；系统和数据的敏感性；支持和使用系统的人员。确定依据：根据系统调研结果，确定评估依据和评估方法。评估依据包括（但不仅限于）：现有国际标准、国家标准、行业标准；行业主管机关的业务系统的要求和制度；系统安全保护等级要求；系统互联单位的安全要求；系统本身的实时性或性能要求等。风险评估方案的目的是为后面的风险评估实施活动提供一个总体计划，用于指导实施方开展后续工作。风险评估方案的内容一般包括（但不仅限于）：团队组织：包括评估团队成员、组织结构、角色、责任等内容；工作计划：风险评估各阶段的工作计划，包括工作内容、工作形式、工作成果等内容；时间进度安排：项目实施的时间进度安排。获得支持：上述所有内容确定后，应形成较为完整的风险评估实施方案，得到组织最高管理者的支持、批准；对管理层和技术人员进行传达，在组织范围就风险评估相关内容进行培训，以明确有关人员在风险评估中的任务。第四章 资产识别资产分类：资产有多种表现形式，同样的两个资产也因属于不同的信息系统而重要性不同，而且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。根据本公司的实际情况，资产分类方法如下：分类示例数据保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等软件系统软件：操作系统、数据库管理系统、语句包、开发系统等应用软件：办公软件、数据库软件、各类工具软件等硬件网络设备：路由器、网关、交换机等计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路：光纤、双绞线等保障设备：UPS、变电设备、空调、文件柜、门禁、消防设施等安全设备：防火墙、入侵检测系统、身份鉴别等其他：打印机、复印机、扫描仪、传真机等服务信息服务：对外依赖该系统开展的各类服务网络服务：各种网络设备、设施提供的网络连接服务办公服务：为提高效率而开发的管理信息系统，包括各种内部配置管理、文件流转管理等服务人员掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等其他企业形象、客户关系等保密性赋值：根据资产在保密性上的不同要求，将其分为三个不同的等级，分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个公司的影响。下表为保密性赋值的