2022年保密风险评估与管理制度.docx

精品_精品资料_资料word 精心总结归纳 - - - - - - - - - - - -精品办公文档保密风险评估与治理制度第一条本制度规定了所采纳的风险评估方法.通过识别信息资产、风险等级评估,认知公司的风险,在考虑掌握成本与风险平稳的前提下挑选合适掌握目标和掌握方式将 风险掌握在可接受的水平,保持公司业务连续性进展,以满意治理方针的要求.其次条 本制度适用于第一次完整的风险评估和定期的再评估.在辨识资产时,本着尽量细化的原就进行,但在评估时我司又会把资产依据系统进行规划.辨识与评估的重点是信息资产,不区分物理资产、软件和硬件.第三条技术部负责牵头成立风险评估小组.第四条风险评估小组每半年至少一次,或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故大事发生后,负责编制风险评估量划,确认评估结果,形成风险评估报告 .第五条 各部门负责部门使用或治理的信息资产的识别和风险评估,并负责部门所涉及的信息资产的详细安全掌握工作.第六条各部门负责人负责部门的信息资产识别.技术部经理负责汇总、校对全公司的信息资产.第七条技术部负责风险评估的策划.可编辑资料 - - - 欢迎下载精品_精品资料_学习资料 名师精选 - - - - - - - - - -第 1 页,共 8 页 - - - - - - - - - -可编辑资料 - - - 欢迎下载精品_精品资料_资料word 精心总结归纳 - - - - - - - - - - - -精品办公文档第八条技术部牵头成立风险评估小组,小组成员至少应当包含：治理保密部门的成员、重要责任部门的成员.第九条信息资产1) 软件：应用软件、系统软件和适用程序等.2) 硬件：运算机设备、通讯设备、可移动介质和其他设备.3) 数据：数据库数据、系统文档、方案、报告、用户手册、客户配置策略等4) 服务： 培训服务、 租赁服务、 公用设施 （能源、 电力）.5) 文档：纸质的各种文件、传真、电报、财务报告、进展方案等6) 人员：人员的资格、技能和体会.7) 其他：组织的声誉、商标、形象.第十条本公司的资产范畴包括：系统文件、 讨论信息、 用户手册、 培训教材、 培训操作、培训软件、支持性程序、业务连续性方案、应变支配、审核记录、审核的追踪、归档信息.第十一条评估程序本评估应考虑：范畴、目的、时间、成效、组织文化、人员素养以及详细开展的程度等因素来确定,使之能够与组织的环境和安全要求相适应.第十二条资产属性赋值可编辑资料 - - - 欢迎下载精品_精品资料_学习资料 名师精选 - - - - - - - - - -第 2 页,共 8 页 - - - - - - - - - -可编辑资料 - - - 欢迎下载精品_精品资料_资料word 精心总结归纳 - - - - - - - - - - - -精品办公文档资产赋值是对资产安全价值的估价,而不是以资产的账 面价格来衡量的.在对资产进行估价时,不仅要考虑资产的 成本价格,更重要的是考虑资产对于组织业务的安全重要性, 即依据资产缺失所引发的潜在的商务影响来打算.为确保资 产估价时的一样性和精确性,机构应依据上述原就,建立一 个资产价值尺度（资产评估标准）,以明确如何对资产进行赋值.第十三条资产估价的过程也就是对资产保密性、完整性和可用性影响分析的过程.影响就是由人为或突发性引起 的安全大事对资产破坏的后果.这一后果可能毁灭某些资产,危及信息系统并使其丢失保密性、完整性和可用性,最终仍 会导致财产缺失、市场份额或公司形象的缺失.特殊重要的 是,即使每一次影响引起的缺失并不大,但长期积存的众多 意外大事的影响总和就可造成严峻缺失.一般情形下,影响 主要从以下几方面来考虑：（ 1）违反了有关法律或（和）规章制度（ 2）影响了业务执行（ 3）造成了信誉、声誉缺失（ 4）侵害了个人隐私（ 5）造成了人身损害（ 6）对法律实施造成了负面影响（ 7）侵害了商业隐秘可编辑资料 - - - 欢迎下载精品_精品资料_学习资料 名师精选 - - - - - - - - - -第 3 页,共 8 页 - - - - - - - - - -可编辑资料 - - - 欢迎下载精品_精品资料_资料word 精心总结归纳 - - - - - - - - - - - -精品办公文档（ 8）违反了社会公共准就（ 9）造成了经济缺失（ 10）破坏了业务活动（ 11）危害了公共安全资产安全属性的不同通常也意味着安全掌握、爱护功能需求的不同.通过考察三种不同安全属性,可以能够基本反映资产的价值.第十四条保密性赋值：赋值标识定义指组织最重要的隐秘,关系组织将来进展5极高的前途命运,对组织根本利益有着打算性影响,假如泄漏会造成灾难性的影响是指包含组织的重要隐秘,其泄露会使组4高织的安全和利益遭受严峻损害是指包含组织一般性隐秘,其泄露会使组3中等织的安全和利益受到损害指仅在组织内部或在组织某一部门内部公2低开, 向外扩散有可能对组织的利益造成损害对社会公开的信息,公用的信息处理设备1可忽视和系统资源等信息资产可编辑资料 - - - 欢迎下载精品_精品资料_学习资料 名师精选 - - - - - - - - - -第 4 页,共 8 页 - - - - - - - - - -可编辑资料 - - - 欢迎下载精品_精品资料_资料word 精心总结归纳 - - - - - - - - - - - -精品办公文档第十五条完整性赋值：赋值标识定义完整性价值特别关键, 未经授权的修改或破可编辑资料 - - - 欢迎下载精品_精品资料_5极高坏会对评估体造成重大的或无法接受、特殊不愿接受的影响, 对业务冲击重大, 并可能造成严峻的业务中断,难以补偿可编辑资料 - - - 欢迎下载精品_精品资料_完整性价值较高, 未经授权的修改或破坏会4高对评估体造成重大影响,对业务冲击严峻,比较难以补偿完整性价值中等, 未经授权的修改或破坏会可编辑资料 - - - 欢迎下载精品_精品资料_3中等对评估体造成影响,对业务冲击明显, 但可以补偿可编辑资料 - - - 欢迎下载精品_精品资料_完整性价值较低, 未经授权的修改或破坏会2低对评估体造成稍微影响,可以忍耐, 对业务冲击稍微,简单补偿1可忽略完整性价值特别低, 未经授权的修改或破坏会对评估体造成的影响可以忽视,对业务冲击可以忽视第十六条可用性赋值：赋值标识定义5极高可用性价值特别高, 合法使用者对信息系统可编辑资料 - - - 欢迎下载精品_精品资料_学习资料 名师精选 - - - - - - - - - -第 5 页,共 8 页 - - - - - - - - - -可编辑资料 - - - 欢迎下载精品_精品资料_资料word 精心总结归纳 - - - - - - - - - - - -精品办公文档及资源的可用度达到年度99.9%以上可用性价值较高, 合法使用者对信息系统及4高资源的可用度达到每天99%以上可用性价值中等, 合法使用者对信息系统及可编辑资料 - - - 欢迎下载精品_精品资料_3中等资源的可用度在正常上班时间达到90%以上可编辑资料 - - - 欢迎下载精品_精品资料_可用性价值较低, 合法使用者对信息系统及2低资源的可用度在正常上班时间达到25%以上可忽可用性价值可以忽视, 法使用者对信息系统1略及资源的可用度在正常上班时间低于25%第十七条资产赋值最终资产价值可以通过违反资产的保密性、完整性和可 用性三个方面的程度综合确定,资产的赋值采纳定性的相对 等级的方式.与以上安全属性的等级相对应,资产价值的等 级可分为五级,从1 到 5 由低到高分别代表五个级别的资产相对价值,等级越大,资产越重要.详细每一级别的资产价 值定义参见下表.由于资产最终价值的等级评估是依据资产保密性、完整性、可用性的赋值级别,经过综合评定得出的,评定准就可以依据企业自身的特点,挑选以安全三性中要求最高的一种可编辑资料 - - - 欢迎下载精品_精品资料_学习资料 名师精选 - - - - - - - - - -第 6 页,共 8 页 - - - - - - - - - -可编辑资料 - - - 欢迎下载精品_精品资料_资料word 精心总结归纳 - - - - - - - - - - - -精品办公文档的赋值级别为综合资产赋值准就.等级标识资产价值定义可编辑资料 - - - 欢迎下载精品_精品资料_5很高资产的重要程度很高,其安全属性破坏后可能导致系统受到特别严峻的影响可编辑资料 - - - 欢迎下载精品_精品资料_资产的重要程度较高,其安全属性破坏后可4高能导致系统受到比较严峻的影响资产的重要程度较高,其安全属性破坏后可3中能导致系统受到中等程度的影响资产的重要程度较低,其安全属性破坏后可2低能导致系统受到较低程度的影响资产的重要程度都很低,其安全属性破坏后可编辑资料 - - - 欢迎下载精品_精品资料_1很低可能导致系统受到很低程度的影响,甚至忽视不计可编辑资料 - - - 欢迎下载精品_精品资料_第十八条每半年重新评估一次,以确定是否存在新的威逼或薄弱点及是否需要增加新的掌握措施,对发生以下情形需准时进行风险评估：a) 当发生重大事故时.b) 当信息网络系统发生重大更换时.c) 保密工作领导小组确定有必要时.第十九条各部门对新增加、转移的或授权销毁的资产应准时在设备治理台账上予以添加或变更.可编辑资料 - - - 欢迎下载精品_精品资料_学习资料 名师精选 - - - - - - - - - -第 7 页,共 8 页 - - - - - - - - - -可编辑资料 - - - 欢迎下载精品_精品资料_资料word 精心总结归纳 - - - - - - - - - - - -精品办公文档其次十条保密风险评估公司保密办公室定期对系统集成业务、人员、资产、场所等主要治理活动,进行保密风险评估.各部门对比业务流程对保密风险进行识别、分析和评估,做出详细防控措施.保密意识风险领导组织结构风险保密形势分析风险工作方式风险保密环境风险治理制度措施风险涉密资源治理风险其次十一条保密风险防控和监督检查机制公司要将保密防控措施融入到治理制度和业务工作流程当中,从日常监督,定期自查等方法,对保密风险进行有效的防范堵漏,逐步完善公司的监督检查机制.可编辑资料 - - - 欢迎下载精品_精品资料_学习资料 名师精选 - - - - - - - - - -第 8 页,共 8 页 - - - - - - - - - -可编辑资料 - - - 欢迎下载