国产精品老女人精品视频_国产无码av_日本有码区_欧美乱人伦视频免费观看

1.目的
針對重要信息資產(chǎn)，進行信息安全風險評估，信息安全風險處置，滿足信息安全標準要求。
2.范圍
適用于本公司信息安全管理體系(ISMS)范圍內(nèi)的信息安全風險管理活動。
3.職責
3.1 信息安全小組組織對重要信息資產(chǎn)進行風險評估。
3.2管理者代表負責審核信息資產(chǎn)識別和信息安全風險評估的結(jié)果。
3.3總經(jīng)理批準信息資產(chǎn)風險評估報告和信息安全風險處置計劃。
4.程序內(nèi)容
4.1 信息安全風險評估
4.1.1 建立并保持信息安全風險準則
a管理者代表組織信息安全小組，針對公司識別并評價出來的“重要信息資產(chǎn)”，從本公司行業(yè)特點、經(jīng)營規(guī)模、長期發(fā)展角度出發(fā)，按信息資產(chǎn)類別和經(jīng)濟價值確定風險接受準則草案，報公司總經(jīng)理批準；
b經(jīng)批準的信息安全風險準則，是信息安全小組風險評估重復(fù)性操作和一致性的依據(jù)。
4.1.2識別信息安全風險
a信息安全小組將重要信息資產(chǎn)填入《信息資產(chǎn)風險評估表》，并識別信息資產(chǎn)的威脅和脆弱性，對威脅和脆弱性予以賦值；
b信息安全小組根據(jù)公司崗位職責和風險的利益關(guān)系，確定風險負責人。
4.1.3 分析信息安全風險
信息安全小組對已有的安全措施進行確認，填寫《安全措施確認表》信息安全小組根據(jù)《風險評估準則》，進行風險分析：
a 計算安全事件發(fā)生的可能性；
b 計算安全事件發(fā)生后造成的損失；
c 根據(jù)計算出的安全事件發(fā)生的可能性以及安全事件發(fā)生后造成的損失，計算風險值；
d信息安全小組根據(jù)風險值的大小，按照《風險評估準則》中的《風險等級標準》確定信息安全風險等級，可分為5個等級。4-5級為高風險、3級中度風險、1-2級為低風險。
4.1.4評價信息安全風險
a信息安全小組將風險分析的結(jié)果同建立的風險準則進行比較；
b確定已分析風險的優(yōu)先級別。
4.2 信息安全風險處置
4.2.1 信息安全小組應(yīng)將風險評估的結(jié)果形成《風險評估報告》，報給管理者代表審核、總經(jīng)理批準。
4.2.2 對于可接受風險，有關(guān)部門及工作崗位不需采取進一步的控制活動，可保持原有風險不變，繼續(xù)執(zhí)行原有的規(guī)則制度和控制策略。
4.2.3 對于個別的高風險，實施控制措施所付出的成本超出了收益，則規(guī)避導(dǎo)致該風險的活動或條件，避免風險。
4.2.4 控制不可接受的高風險，信息安全小組與有關(guān)部門選擇適當和合理的控制措施降低風險。
4.3 風險處理計劃
信息安全小組編制《風險處理計劃》，風險處理計劃中應(yīng)明確采取的彌補脆弱性的安全措施、預(yù)期效果、實施條件、進度安排、責任部門等。安全措施的選擇應(yīng)從管理與技術(shù)兩個方面考慮。
4.4 殘余風險
   為確保安全控制措施的有效性，對不可接受的風險采取一定的安全措施后，還應(yīng)由信息安全小組組織進行再評估，以判斷實施安全措施后的殘余風險是否已經(jīng)降低到適當水平。對于仍處于不可接受的風險范圍內(nèi)，應(yīng)考慮是否接受此風險或增加相應(yīng)的安全控制措施。
5.相關(guān)文件
5.1 《信息安全適用性聲明》
5.2 《信息安全風險評估報告》
5.3 《信息安全不可接受風險處理計劃》
5.4 《風險評估準則》
6.記錄
6.1 《重要信息資產(chǎn)清單》
6.2 《安全措施確認表》
6.3 《信息資產(chǎn)風險評估表》
6.4《殘余風險評估表》