信息安全風險管理程序

1.目的

針對重要信息資產，進行信息安全風險評估，信息安全風險處置，滿足信息安全標準要求。

2.范圍

適用于本公司信息安全管理體系(ISMS)范圍內的信息安全風險管理活動。

3.職責

3.1 信息安全小組組織對重要信息資產進行風險評估。

3.2管理者代表負責審核信息資產識別和信息安全風險評估的結果。

3.3總經理批準信息資產風險評估報告和信息安全風險處置計劃。

4.程序內容

4.1 信息安全風險評估

4.1.1 建立并保持信息安全風險準則

a管理者代表組織信息安全小組，針對公司識別并評價出來的“重要信息資產”，從本公司行業特點、經營規模、長期發展角度出發，按信息資產類別和經濟價值確定風險接受準則草案，報公司總經理批準；

b經批準的信息安全風險準則，是信息安全小組風險評估重復性操作和一致性的依據。

4.1.2識別信息安全風險

a信息安全小組將重要信息資產填入《信息資產風險評估表》，并識別信息資產的威脅和脆弱性，對威脅和脆弱性予以賦值；

b信息安全小組根據公司崗位職責和風險的利益關系，確定風險負責人。

4.1.3 分析信息安全風險

信息安全小組對已有的安全措施進行確認，填寫《安全措施確認表》信息安全小組根據《風險評估準則》，進行風險分析：

a 計算安全事件發生的可能性；

b 計算安全事件發生后造成的損失；

c 根據計算出的安全事件發生的可能性以及安全事件發生后造成的損失，計算風險值；

d信息安全小組根據風險值的大小，按照《風險評估準則》中的《風險等級標準》確定信息安全風險等級，可分為5個等級。4-5級為高風險、3級中度風險、1-2級為低風險。

4.1.4評價信息安全風險

a信息安全小組將風險分析的結果同建立的風險準則進行比較；

b確定已分析風險的優先級別。

4.2 信息安全風險處置

4.2.1 信息安全小組應將風險評估的結果形成《風險評估報告》，報給管理者代表審核、總經理批準。

4.2.2 對于可接受風險，有關部門及工作崗位不需采取進一步的控制活動，可保持原有風險不變，繼續執行原有的規則制度和控制策略。

4.2.3 對于個別的高風險，實施控制措施所付出的成本超出了收益，則規避導致該風險的活動或條件，避免風險。

4.2.4 控制不可接受的高風險，信息安全小組與有關部門選擇適當和合理的控制措施降低風險。

4.3 風險處理計劃

信息安全小組編制《風險處理計劃》，風險處理計劃中應明確采取的彌補脆弱性的安全措施、預期效果、實施條件、進度安排、責任部門等。安全措施的選擇應從管理與技術兩個方面考慮。

4.4 殘余風險

為確保安全控制措施的有效性，對不可接受的風險采取一定的安全措施后，還應由信息安全小組組織進行再評估，以判斷實施安全措施后的殘余風險是否已經降低到適當水平。對于仍處于不可接受的風險范圍內，應考慮是否接受此風險或增加相應的安全控制措施。

5.相關文件

5.1 《信息安全適用性聲明》

5.2 《信息安全風險評估報告》

5.3 《信息安全不可接受風險處理計劃》

5.4 《風險評估準則》

6.記錄

6.1 《重要信息資產清單》

6.2 《安全措施確認表》

6.3 《信息資產風險評估表》

6.4《殘余風險評估表》

中企檢測認證網提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息，中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規，咨詢輔導等知識。

本文內容整合網站：百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心

免責聲明：本文部分內容根據網絡信息整理，文章版權歸原作者所有。向原作者致敬！發布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯系刪除并致歉！

本文來源： http://www.rumin8raps.com/zs/202304/ccaa_49018.html