必威体育官网网址风险评估制度【必威体育官网网址风险评估与制度规定.pdfVIP

必威体育官网网址风险评估制度【必威体育官网网址风险评估与制

度规定

必威体育官网网址风险评估与管理制度

第一条本制度规定了所采用的风险评估方法。通过识别信息

资产、风险等级评估，认知公司的风险，在考虑控制成本与风险

平衡的前提下选择合适控制目标和控制方式将风险控制在可接

受的水平，保持公司业务持续性发展，以满足管理方针的要求。

第二条本制度适用于第一次完整的风险评估和定期的再评

估。在辨识资产时，本着尽量细化的原则进行，但在评估时我司

又会把资产按照系统进行规划。辨识与评估的重点是信息资产，

不区分物理资产、软件和硬件。

第三条技术部负责牵头成立风险评估小组。

第四条风险评估小组每半年至少一次，或当体系、组织、业

务、技术、环境等影响企业的重大事项发生变更、重大事故事件

发生后，负责编制风险评估计划，确认评估结果，形成《风险评

估报告》。

第五条各部门负责部门使用或管理的信息资产的识别和风

险评估，并负责部门所涉及的信息资产的具体安全控制工作。

第六条各部门负责人负责部门的信息资产识别。技术部经理

负责汇总、校对全公司的信息资产。

第七条技术部负责风险评估的策划。

第八条技术部牵头成立风险评估小组，小组成员至少应该包

含：管理必威体育官网网址部门的成员、重要责任部门的成员。

第九条信息资产

1)软件：应用软件、系统软件和适用程序等。

2)硬件：计算机设备、通讯设备、可移动介质和其他设

备。

3)数据：数据库数据、系统文档、计划、报告、用户手

册、客户配置策略等

4)服务：培训服务、租赁服务、公用设施（能源、电力）。

5)文档：纸质的各种文件、传真、电报、财务报告、发

展计划等

6)人员：人员的资格、技能和经验。

7)其他：组织的声誉、商标、形象。

第十条本公司的资产范围包括：

系统文件、研究信息、用户手册、培训教材、培训操作、培

训软件、支持性程序、业务连续性计划、应变安排、审核记录、

审核的追踪、归档信息。

第十一条评估程序

本评估应考虑：范围、目的、时间、效果、组织文化、人员

素质以及具体开展的程度等因素来确定，使之能够与组织的环境

和安全要求相适应。

第十二条资产属性赋值

资产赋值是对资产安全价值的估价，而不是以资产的账面价

格来衡量的。在对资产进行估价时，不仅要考虑资产的成本价格，

更重要的是考虑资产对于组织业务的安全重要性，即根据资产损

失所引发的潜在的商务影响来决定。为确保资产估价时的一致性

和准确性，机构应按照上述原则，建立一个资产价值尺度（资产

评估标准），以明确如何对资产进行赋值。

第十三条资产估价的过程也就是对资产必威体育官网网址性、完整性和可

用性影响分析的过程。影响就是由人为或突发性引起的安全事件

对资产破坏的后果。这一后果可能毁灭某些资产，危及信息系统

并使其丧失必威体育官网网址性、完整性和可用性，最终还会导致财产损失、

市场份额或公司形象的损失。特别重要的是，即使每一次影响引

起的损失并不大，但长期积累的众多意外事件的影响总和则可造

成严重损失。一般情况下，影响主要从以下几方面来考虑：

（1）违反了有关法律或（和）规章制度

（2）影响了业务执行

（3）造成了信誉、声誉损失

（4）侵犯了个人隐私

（5）造成了人身伤害

（6）对法律实施造成了负面影响

（7）侵犯了商业机密

（8）违反了社会公共准则

（9）造成了经济损失

（10）破坏了业务活动

（11）危害了公共安全

资产安全属性的不同通常也意味着安全控制、保护功能需求

的不同。通过考察三种不同安全属性，可以能够基本反映资产的

价值。

第十四条必威体育官网网址性赋值：

第十五条完整性赋值：

第十六条可用性赋值：

第十七条资产赋值

最终资产价值可以通过违反资产的必威体育官网网址性、完整性和可用性

三个方面的程度综合确定，资产的赋值采用定性的相对等级的方

式。与以上安全属性的等级相对应，资产价值的等级可分为五级，

从1到5由低到高分别代表五个级别的资产相对价值，等级越

大，资产越重要。具体每一级别