1.目的
針對(duì)重要信息資產(chǎn)，進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，信息安全風(fēng)險(xiǎn)處置，滿足信息安全標(biāo)準(zhǔn)要求。
2.范圍
適用于本公司信息安全管理體系(ISMS)范圍內(nèi)的信息安全風(fēng)險(xiǎn)管理活動(dòng)。
3.職責(zé)
3.1 信息安全小組組織對(duì)重要信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估。
3.2管理者代表負(fù)責(zé)審核信息資產(chǎn)識(shí)別和信息安全風(fēng)險(xiǎn)評(píng)估的結(jié)果。
3.3總經(jīng)理批準(zhǔn)信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估報(bào)告和信息安全風(fēng)險(xiǎn)處置計(jì)劃。
4.程序內(nèi)容
4.1 信息安全風(fēng)險(xiǎn)評(píng)估
4.1.1 建立并保持信息安全風(fēng)險(xiǎn)準(zhǔn)則
a管理者代表組織信息安全小組，針對(duì)公司識(shí)別并評(píng)價(jià)出來(lái)的“重要信息資產(chǎn)”，從本公司行業(yè)特點(diǎn)、經(jīng)營(yíng)規(guī)模、長(zhǎng)期發(fā)展角度出發(fā)，按信息資產(chǎn)類別和經(jīng)濟(jì)價(jià)值確定風(fēng)險(xiǎn)接受準(zhǔn)則草案，報(bào)公司總經(jīng)理批準(zhǔn)；
b經(jīng)批準(zhǔn)的信息安全風(fēng)險(xiǎn)準(zhǔn)則，是信息安全小組風(fēng)險(xiǎn)評(píng)估重復(fù)性操作和一致性的依據(jù)。
4.1.2識(shí)別信息安全風(fēng)險(xiǎn)
a信息安全小組將重要信息資產(chǎn)填入《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》，并識(shí)別信息資產(chǎn)的威脅和脆弱性，對(duì)威脅和脆弱性予以賦值；
b信息安全小組根據(jù)公司崗位職責(zé)和風(fēng)險(xiǎn)的利益關(guān)系，確定風(fēng)險(xiǎn)負(fù)責(zé)人。
4.1.3 分析信息安全風(fēng)險(xiǎn)
信息安全小組對(duì)已有的安全措施進(jìn)行確認(rèn)，填寫《安全措施確認(rèn)表》信息安全小組根據(jù)《風(fēng)險(xiǎn)評(píng)估準(zhǔn)則》，進(jìn)行風(fēng)險(xiǎn)分析：
a 計(jì)算安全事件發(fā)生的可能性；
b 計(jì)算安全事件發(fā)生后造成的損失；
c 根據(jù)計(jì)算出的安全事件發(fā)生的可能性以及安全事件發(fā)生后造成的損失，計(jì)算風(fēng)險(xiǎn)值；
d信息安全小組根據(jù)風(fēng)險(xiǎn)值的大小，按照《風(fēng)險(xiǎn)評(píng)估準(zhǔn)則》中的《風(fēng)險(xiǎn)等級(jí)標(biāo)準(zhǔn)》確定信息安全風(fēng)險(xiǎn)等級(jí)，可分為5個(gè)等級(jí)。4-5級(jí)為高風(fēng)險(xiǎn)、3級(jí)中度風(fēng)險(xiǎn)、1-2級(jí)為低風(fēng)險(xiǎn)。
4.1.4評(píng)價(jià)信息安全風(fēng)險(xiǎn)
a信息安全小組將風(fēng)險(xiǎn)分析的結(jié)果同建立的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較；
b確定已分析風(fēng)險(xiǎn)的優(yōu)先級(jí)別。
4.2 信息安全風(fēng)險(xiǎn)處置
4.2.1 信息安全小組應(yīng)將風(fēng)險(xiǎn)評(píng)估的結(jié)果形成《風(fēng)險(xiǎn)評(píng)估報(bào)告》，報(bào)給管理者代表審核、總經(jīng)理批準(zhǔn)。
4.2.2 對(duì)于可接受風(fēng)險(xiǎn)，有關(guān)部門及工作崗位不需采取進(jìn)一步的控制活動(dòng)，可保持原有風(fēng)險(xiǎn)不變，繼續(xù)執(zhí)行原有的規(guī)則制度和控制策略。
4.2.3 對(duì)于個(gè)別的高風(fēng)險(xiǎn)，實(shí)施控制措施所付出的成本超出了收益，則規(guī)避導(dǎo)致該風(fēng)險(xiǎn)的活動(dòng)或條件，避免風(fēng)險(xiǎn)。
4.2.4 控制不可接受的高風(fēng)險(xiǎn)，信息安全小組與有關(guān)部門選擇適當(dāng)和合理的控制措施降低風(fēng)險(xiǎn)。
4.3 風(fēng)險(xiǎn)處理計(jì)劃
信息安全小組編制《風(fēng)險(xiǎn)處理計(jì)劃》，風(fēng)險(xiǎn)處理計(jì)劃中應(yīng)明確采取的彌補(bǔ)脆弱性的安全措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門等。安全措施的選擇應(yīng)從管理與技術(shù)兩個(gè)方面考慮。
4.4 殘余風(fēng)險(xiǎn)
   為確保安全控制措施的有效性，對(duì)不可接受的風(fēng)險(xiǎn)采取一定的安全措施后，還應(yīng)由信息安全小組組織進(jìn)行再評(píng)估，以判斷實(shí)施安全措施后的殘余風(fēng)險(xiǎn)是否已經(jīng)降低到適當(dāng)水平。對(duì)于仍處于不可接受的風(fēng)險(xiǎn)范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險(xiǎn)或增加相應(yīng)的安全控制措施。
5.相關(guān)文件
5.1 《信息安全適用性聲明》
5.2 《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》
5.3 《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》
5.4 《風(fēng)險(xiǎn)評(píng)估準(zhǔn)則》
6.記錄
6.1 《重要信息資產(chǎn)清單》
6.2 《安全措施確認(rèn)表》
6.3 《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》
6.4《殘余風(fēng)險(xiǎn)評(píng)估表》