惠州ISO27001信息安全管理体系认证

1. 目的

为规范公司的信息资产识别、风险评估的方法，以便在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平，特制定本程序。

2. 范围

本程序适用于本公司信息安全管理体系范围内信息安全风险评估活动。

3. 职责与权限

3.1  信息安全委员会

提供信息安全风险管理工作相关的资源支持及工作指导；对信息安全风险评估结果进行确认，确定可接受风险级别。

3.2  人事行政部

负责组织及协调公司各部门实施信息安全风险评估及信息安全风险处置，确保风险评估及风险处置工作按计划执行。

3.3  各部门

负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的风险处置。

4. 相关文件

a) 《风险评估方法与准则》

5. 术语定义

无

6. 控制程序

6.1 风险评估前准备

6.1.1 成立风险评估小组

由人事行政部牵头成立风险评估小组，小组成员应包含信息安全重要责任部门的成员，如人事行政部。

6.1.2 制定计划

风险评估小组确定信息安全风险评估计划，并通知各部门。

6.2 资产识别及风险评估

6.2.1 资产识别

由风险评估小组成员识别各部门资产，并进行资产赋值，编制信息资产清单。

6.2.2 风险评估

针对重要资产（CIA取*大值）进行风险评估，保留风险评估记录，详细风险评估方法参考《风险评估方法与准则》。

6.3 风险处理

对可接受风险，可保持已有的安全措施；如果是不可接受风险（中、高风险），则需要采取安全措施以降低、控制风险。

对不可接受风险，应采取新的风险处理的措施，规定风险处理方式、责任部门和时间进度，高风险应得到优先的考虑。

6.3.1 计划

风险评估小组应编制《风险处理计划》。

6.3.2 报告

风险评估小组编制《信息安全风险评估报告》（格式不限），提交公司领导审核。

6.3.3 审核

信息安全风险评估小组应考虑成本与风险的关系，对《风险处理计划》的相关内容审核，对认为不合适的控制或风险处理方式等提出说明，由风险评估小组协同相关部门重新考虑或选择其他的控制或风险处理方式，并重新提交公司领导审核。

6.3.4 实施

各责任部门按照批准后的《风险处理计划》的要求采取有效安全控制措施，确保所采取的控制措施是有效的。

6.4 剩余风险评估

6.4.1 再评估

对采取安全措施处理后的风险，信息安全风险评估小组应进行再评估，以判断实施安全措施后的残余风险是否已经降低到可接受的水平。

6.4.2 再处理

某些风险可能在选择了适当的安全措施后仍处于不可接受的风险范围内，应考虑是否接受此风险或进一步增加相应的安全措施。

6.4.3 审核批准

剩余风险评估完成后，应编制《残余风险评估报告》（格式不限），报公司领导审批。

6.5 信息安全风险的连续评估

6.5.1 定期评估

信息安全风险评估小组每年应组织对信息安全风险重新评估一次，以适应信息资产的变化，确定是否存在新的威胁或脆弱性及是否需要增加新的控制措施。

6.5.2 非定期评估

当企业发生以下情况时需及时进行风险评估：

1）当发生重大信息安全事故时；

2）当信息网络系统发生重大更改时；

3）公司领导及信息安全风险评估小组确定有必要时。

6.5.3 更新资产

各部门对新增加、转移的或授权销毁的资产应及时更新资产清单。

6.5.4 调整控制措施

信息安全风险评估小组应分析信息资产的风险变化情况，以便根据企业的资金和技术，确定、增加或调整适当的信息安全控制措施。

7  附件、记录

7.1  《资产清单》

7.2  《重要资产清单》

7.3  《风险评估表》

7.4  《风险处理计划》

7.5  《风险评估报告》

7.6  《残余风险评估报告》 

惠州ISO27001信息安全管理体系认证