31信息安全风险.docVIP

卷号 卷内编号 密级 内部公开 文件编号: ZD-ISMS-SMP01-MP01 正大软件集团 2008 信息安全风险评估管理程序 version：1.1 编制人：孙成英 日期:2008年4月18日 审核人: 蒋德伟 日期：2008年4月22日 批准人：王万均 日期：2008年4月22日 受控状态：受控 目 录 1．目的 4 2．适用范围 4 3．定义 4 3.1 信息安全风险 4 3.2 风险评估 4 4．职责 4 4.1信息安全经理 4 4.2各部门信息安全员 4 4.3信息安全管理委员会成员 4 5．工作程序 4 5.1风险评估的时机 4 5.2风险评估准备 5 5.3风险评估基本程序 5 5.4资产重要性评估 5 5.5威胁及脆弱性识别与评估 5 5.6信息安全风险排序 6 5.7信息安全风险汇总 6 5.8风险评估报告 6 5.9风险评估后续管理 7 6．引用文件 7 7流程图 8 8．记录 8 修订文档历史记录 日期 版本 说明 作者 2008-4-18 1.0 创建 孙成英 2008-8-18 1.1 在5.1节增加风险评估时机：每年年初和在项目启动时进行一次风险评估 孙成英 1．目的 确保信息安全风险评估结果的合理性。 2．适用范围 本指南适用于风险评估小组对正大集团及其所属公司的信息安全风险进行评估的活动。 3．定义 3.1 信息安全风险 威胁利用脆弱性造成某一信息资产或某一组信息资产丢失或损坏的可能性，这样的风险可能波及整个组织。 3.2 风险评估 计算风险程度并对风险进行优先级排序的过程。 4．职责 4.1信息安全经理 4.1.1组织风险评估小组进行风险评估。 4.1.2起草并向高层汇报《风险评估报告》 4.2各部门信息安全员 4.2.1参与风险评估 4.3信息安全管理委员会成员 4.3.1审查并批准风险评估报告 4.3.2接受残余风险 5．工作程序 5.1风险评估的时机 公司在以下情况下，将按照本程序要求进行风险评估： 5.1.1建立信息安全管理体系时。 5.1.2 每年年初由信息安全小组组织风险评估。 5.1.3公司组织架构、业务过程发生重大变化时。 5.1.4公司重要信息处理系统和设施发生重大变化时。 5.1.5客户提出新的信息安全要求时。 5.1.6软件开发项目在启动阶段，按照CMM文件《风险评估指南》的要求进行项目风险评估。 5.2风险评估准备 5.2.1每次风险评估前，由信息安全经理根据风险评估范围负责组建公司风险评估小组，提出风险评估小组成员名单，通常，风险评估小组由各相关部门信息安全员组成。风险评估小组成员名单应提交信息安全管理委员会审查批准。 5.2.2根据所确定的风险评估范围，信息安全经理负责制订《信息安全风险评估准则》，明确对资产重要性、威胁、脆弱性评分准则以及风险重大程度优先级准则。 5.2.3《信息安全风险评估准则》应提交信息安全管理委员会审查批准。 5.3风险评估基本程序 5.3.1对评估范围内的资产进行清点。 5.3.2根据《信息安全风险评估准则》中资产重要性评估准则，对所清点的资产进行重要性评分，计算资产重要性分值。 5.3.3识别资产所面临的威胁。 5.3.4针对资产所面临的威胁，识别资产脆弱性。 5.3.5识别现有的控制措施，并按照《信息安全风险评估准则》对威胁和脆弱性构成的风险在现有控制措施下发生的可能性进行评分。 5.3.6结合资产重要性、风险发生可能性的评分结果填入《信息资产风险评估表》，计算风险分值。 5.3.7按照《信息安全风险评估准则》，对风险严重程度进行评定。 5.4资产重要性评估 5.4.1信息安全经理组织风险评估小组成员按照《信息安全风险评估准则》，应用《资产重要性评估表》对风险评估范围所识别的每类资产进行重要性评估，所完成的资产重要性评估结果记录在《资产重要性评估表》中。 5.4.2资产重要性评估结果应由各部门经理审查确认。 5.5威胁及脆弱性识别与评估 5.5.1针对所确定的资产重要性结果，风险评估小组组长应组织风险评估小组对各类资产所面临的威胁进行识别，并根据威胁识别结果，确定资产对应的脆弱性。风险评估小组针对威胁及脆弱性识别的结果，建立《威胁脆弱性对照表》，作为进行威胁及脆弱性识别的应用工具。 5.5.2风险评估小组组长应组织各部门信息安全员针对所识别的资产，应用《威胁脆弱性对照表》工具，对所识别的资产，进行威胁及脆弱性识别，威胁及脆弱性识别结果应记录在《信息资产风险评估表》中