ISO9001:2015內審員免費培訓,培訓時間逢周六、日,歡迎有需求的新老客戶加入學習,每期名額有限請提前預約。聯系電話:13662967056/蘇小姐
東莞市華協企業管理有限公司
專業驗廠服務、體系認證、管理培訓、管理改善服務型機構
0769-88816689
13662967056
行業新聞
您的位置:首頁  ->  公司動態

信息安全風險管理程序


1.目的
針對重要信息資產,進行信息安全風險評估,信息安全風險處置,滿足信息安全標準要求。
2.范圍
適用于本公司信息安全管理體系(ISMS)范圍內的信息安全風險管理活動。
3.職責
3.1 信息安全小組組織對重要信息資產進行風險評估。
3.2管理者代表負責審核信息資產識別和信息安全風險評估的結果。
3.3總經理批準信息資產風險評估報告和信息安全風險處置計劃。
4.程序內容
4.1 信息安全風險評估
4.1.1 建立并保持信息安全風險準則
a管理者代表組織信息安全小組,針對公司識別并評價出來的“重要信息資產”,從本公司行業特點、經營規模、長期發展角度出發,按信息資產類別和經濟價值確定風險接受準則草案,報公司總經理批準;
b經批準的信息安全風險準則,是信息安全小組風險評估重復性操作和一致性的依據。
4.1.2識別信息安全風險
a信息安全小組將重要信息資產填入《信息資產風險評估表》,并識別信息資產的威脅和脆弱性,對威脅和脆弱性予以賦值;
b信息安全小組根據公司崗位職責和風險的利益關系,確定風險負責人。
4.1.3 分析信息安全風險
信息安全小組對已有的安全措施進行確認,填寫《安全措施確認表》信息安全小組根據《風險評估準則》,進行風險分析:
a 計算安全事件發生的可能性;
b 計算安全事件發生后造成的損失;
c 根據計算出的安全事件發生的可能性以及安全事件發生后造成的損失,計算風險值;
d信息安全小組根據風險值的大小,按照《風險評估準則》中的《風險等級標準》確定信息安全風險等級,可分為5個等級。4-5級為高風險、3級中度風險、1-2級為低風險。
4.1.4評價信息安全風險
a信息安全小組將風險分析的結果同建立的風險準則進行比較;
b確定已分析風險的優先級別。
4.2 信息安全風險處置
4.2.1 信息安全小組應將風險評估的結果形成《風險評估報告》,報給管理者代表審核、總經理批準。
4.2.2 對于可接受風險,有關部門及工作崗位不需采取進一步的控制活動,可保持原有風險不變,繼續執行原有的規則制度和控制策略。
4.2.3 對于個別的高風險,實施控制措施所付出的成本超出了收益,則規避導致該風險的活動或條件,避免風險。
4.2.4 控制不可接受的高風險,信息安全小組與有關部門選擇適當和合理的控制措施降低風險。
4.3 風險處理計劃
信息安全小組編制《風險處理計劃》,風險處理計劃中應明確采取的彌補脆弱性的安全措施、預期效果、實施條件、進度安排、責任部門等。安全措施的選擇應從管理與技術兩個方面考慮。
4.4 殘余風險
   為確保安全控制措施的有效性,對不可接受的風險采取一定的安全措施后,還應由信息安全小組組織進行再評估,以判斷實施安全措施后的殘余風險是否已經降低到適當水平。對于仍處于不可接受的風險范圍內,應考慮是否接受此風險或增加相應的安全控制措施。
5.相關文件
5.1 《信息安全適用性聲明》
5.2 《信息安全風險評估報告》
5.3 《信息安全不可接受風險處理計劃》
5.4 《風險評估準則》
6.記錄
6.1 《重要信息資產清單》
6.2 《安全措施確認表》
6.3 《信息資產風險評估表》
6.4《殘余風險評估表》
[返回]   
版權所有:東莞市華協企業管理有限公司 訪問量: [百度統計]
地址:東莞市中堂鎮潢涌村北王路中堂國際汽配城A棟第2層202室 業務一部:0769-88816689
技術支持:東莞網站建設 [BMAP GMAP] [后臺管理]
想了解東莞驗廠咨詢,品牌認證,流程費用,輔導價格,多少錢等信息請聯系我們.
《中華人民共和國電信與信息服務業務經營許可證》編號:粵ICP備15092354號
關閉
點擊這里給我發消息
點擊這里給我發消息
點擊這里給我發消息
華協企業管理APP
掃一掃關注華協
華協微信小程序
pc28算数字公式 黑龙江36选7开奖号码 幸运飞艇官方走势图手机版 河南体彩快赢481走势图 北京赛车官方网站下载 我在澳门赌博的日子 东方6十一历史开奖 是什么导致股票涨跌 2020年开记录开奖结果 特发信息股票行情 吉林快三历史开奖号码 福建11选五玩法规则 内蒙古体彩十一选五遗漏查询 pc蛋蛋高级自动投注 股票配资违反哪些规定 创富四肖8码默认论坛 东方6十1历史开奖