IT信息安全风险评估控制手册.docx

德信诚培训网IT信息安全风险评估控制手册1 目的本程序规定了DX所C采用的信息安全风险评估方法。通过识别信息资产、风险等级评估 认知DX的C信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方 式将信息安全风险控制在可接受的水平，保持DX持C续性发展，以满足DX信C息安全管理方 针的要求。2 范围本程序适用于信息安全管理体系（IS范M围S内）信息安全风险评估活动。3 相关文件无4 职责4.管1理者代表负责组织成立风险评估小组。4.风2险评估小组负责编制信息安全风险评估计划，确认评估结果，形成信息安全风险评 估报告。5 程序5.1风险评估前准备5.1.管1理者代表牵头成立风险评估小组,小组成员至少应该包含：负责信息安全管理体系 的成员。5.1风.险2评估小组制定信息安全风险评估计划,下发各内审员。5.1 必.要3时应对各内审员进行风险评估相关知识和表格填写的培训。德信诚培训网信2息资产的识别5.2风.险1评估小组通过电子邮件向各内审员发放信息资产分类参考目录、重要信息资 产判断准则、信息资产识别表，同时提出信息资产识别的要求。5.2 各.内2审员参考信息资产分类参考目录识别DX信C息资产，并填写信息资产识别 表，根据重要信息资产判断准则判断其是否是重要信息资产，经该区域负责人审核确 认后，在风险评估计划规定的时间内提交风险评估小组审核汇总。5.3 风.险3评估小组对各内审员填写的信息资产识别表进行审核，确保没有遗漏重要的 信息资产，形成DX的C重要信息资产清单，并交由文档管理员处存档。5.4 重要信息资产风险等级评估5.3.应1对重要信息资产清单中的所有资产进行风险评估, 评估应考虑威胁事件发生的 可能性和威胁事件发生后对信息资产造成的影响程度两方面因素。5.3.风2险评估小组向各内审员分发重要信息资产风险评估表、信息安全威胁参考表、 信息安全薄弱点参考表、事件发生可能性等级对照表、事件可能影响程度等级对照 表。5.3各.内3审员根据资产本身所处的环境条件,参考信息安全威胁参考表识别每个信息 资产所面临的威胁，针对每个威胁,识别目前已有的控制；并参考信息安全薄弱点参考表 识别可能被该威胁所利用的薄弱点；在考虑现有的控制前提下，参考事件发生可能性等级 对照表判断每项重要信息资产所面临威胁发生的可能性；参考事件可能影响程度等级对 照表，判断威胁利用薄弱点可能使信息资产保密性、完整性或可用性丢失所产生的影响程 度等级。将结果填写在重要信息资产风险评估表上，提交风险评估小组审核汇总。5.3风.险4评估小组考虑DX整C体的信息安全要求，对各内审员填写的重要信息资产风险 评估表进行审核，确保风险评估水平的一致性，确保没有遗漏重要信息安全风险。如果对 评估结果进行修改，应该和负责该资产的内审员进行沟通并获得该区域副总经理的确认。5.3.风5险评估小组根据信息安全风险矩阵计算表计算风险等级,完成各内审员识别的 重要信息资产风险评估表，并递交给文档管理员进行存档。