信息安全风险评估管理程序
东北财经信息有限公司
目录
1.目的 (2)
2.专业术语 (2)
3.范围 (3)
4.职责 (3)
5.程序内容 (3)
5.1 风险评估前准备 (3)
5.2 信息资产的识别 (3)
5.3 重要信息资产风险等级评估 (4)
5.4 不可接受风险的确定和处理 (5)
5.5 评估时机 (5)
6.记录 (5)
7.相关/支持性文件 (6)
信息安全风险评估流程图....................................... 错误!未定义书签。

风险评估要点示意图.. (6)
1.目的
本程序规定了公司所采用的信息安全风险评估方法。

通过识别信息资产、进行风险等级评估，认知本公司的信息安全风险。

在考虑控制成本与风险平衡的前提下，选择合适控制目标和控制方式，将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。

2.专业术语
2.1风险管理
风险管理是以可接受成本，识别、评估、控制、降低可能影响信息系统风险的过程。

通过风险评估识别风险，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降低到一个可以被接受的水平，同时考虑控制费用与风险之间的平衡。

风险管理的核心是信息的保护。

信息对于组织是一种具有重要价值的资产。

建立信息安全管理体系(ISMS)的目的是在最大范围内保护信息资产，确保信息的机密性、完整性和可用性，将风险管理自始至终的贯穿于整个信息安全管理体系中，这种体系并不能完全消除信息安全的风险，只是尽量减少风险，尽量将攻击造成的损失降低到最低限度。

2.2风险评估
风险评估指风险分析和风险评价的整个过程，其中风险分析是指系统化地识别风险来源和风险类型，风险评价是指按组织制定的风险标准估算风险水平，确定风险严重性。

风险评估的出发点是对与风险有关的各因素的确认和分析，与信息安全风险有关的因素可以包括四大类：资产、威胁、脆弱性、安全控制措施。

风险评估是对信息、信息处理设施、关键业务过程的威胁、薄弱点和风险的评估，它包含以下元素：
风险是被特定威胁利用的资产的一种或一组脆弱性，导致信息资产丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。

信息资产是对组织具有价值的信息资源，是安全控制措施保护的对象。

威胁是可能对资产或组织造成损害的事故的潜在原因。

薄弱点是资产或资产组中能被威胁利用的弱点。

安全控制措施是降低风险的措施、程序或机制。

3.范围
本程序适用于本公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。

4.职责
4.1项目管理部负责编制信息安全风险评估计划，信息安全工作小组负责实施风险评估工作。

4.2 信息安全工作小组确认评估结果，形成《信息安全风险评估报告》。

4.3 各部门负责本部门使用或管理的信息资产的识别和风险评估,并负责本部门所涉及的信息资产的具体安全管理工作。

4.4总经理负责对残余风险的批准。

5.程序内容
5.1 风险评估前准备
5.1.1项目管理部负责制定信息安全风险评估计划,下发给信息安全工作小组成员。

5.1.2信息安全工作小组负责实施风险评估工作,小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。

5.1.3 必要时应对工作小组成员进行风险评估相关知识和表格填写的培训。

5.2 信息资产的识别
5.2.1 信息安全工作小组向各小组成员发放《信息资产识别表》，同时提出信息资产识别的要求。

5.2.2 小组成员参考《风险评估原则》中《信息资产分类参考目录》按照部门识别本部门信息资产，根据《重要信息资产判断准则》初步判断其是否是重要信息资产，并填写《信息资
产识别表》，经本部门负责人审核确认后，在风险评估计划规定的时间内提交信息安全
工作小组。

5.2.3 信息安全工作小组对各部门填写的《信息资产识别表》进行审核，确保没有遗漏重要信息资产，审核通过后，各部门将修正后的《信息资产识别表》上传到VSS指定目录下。

5.3 重要信息资产风险等级评估
5.3.1 应对《信息资产识别表》中的所有重要信息资产进行风险评估, 评估应考虑威胁事件发生的可能性和威胁事件发生后对信息资产造成的影响程度两方面因素，并应用合并同类项原则对相同资产合并评估，以减少评估的工作量。

5.3.2 信息安全工作小组向各评估成员分发《风险评估表》、《风险评估原则》。

5.3.3 各评估成员按照《风险评估原则》中的《CIAB分级标准》对每一项资产的保密性、可用性、完整性和与业务的相关性进行赋值，并得出资产赋值。

5.3.4根据资产本身所处的环境条件,参考《风险评估原则》中的《信息安全威胁参考表》识别每个信息资产所面临的威胁，针对每个威胁,按照《风险评估原则》中的《威胁分级标准》给威胁赋值；
5.3.5参考《风险评估原则》中的《信息安全薄弱点参考表》识别可能被该威胁所利用的薄弱点；在考虑现有的控制措施前提下，按照《风险评估原则》中的《薄弱点分级标准》对每一个脆弱性被威胁利用的难易程度进行赋值；
5.3.6按照风险评估模型结合威胁和脆弱性赋值对风险发生可能性进行评价；
5.3.7按照风险评估模型结合资产和脆弱性赋值对风险发生的损失进行评价；
5.3.8按照风险评估模型对风险发生可能性和风险发生的损失进行计算得出风险评估赋值，并按照《风险评估原则》中的《风险等级标准》评价出信息安全风险等级，将结果填写在《风险评估表》上；
5.3.9对于所有大于等于3级的风险，应描绘清楚现有的控制措施或改善建议。

5.3.10在风险评估计划规定的时间内，各部门将填写完整的并经本部门负责人审核确认后的《风险评估表》提交信息安全工作小组审核汇总。

5.3.11 信息安全工作小组考虑本公司整体的信息安全要求，对填写的《风险评估表》进行审核，确保风险评估水平的一致性，确保没有遗漏重要信息安全风险。

如果对评估结果进行修改，应该和资产责任部门进行沟通并获得该部门的确认。

各部门将修正后的《风险评估表》上传到VSS指定目录下。

5.3.12 信息安全工作小组对各部门确认后的《风险评估表》进行汇总，对所有大于等于3级的风险进行汇总，完成《风险评估汇总表》，上传到VSS指定目录下。

5.4 不可接受风险的确定和处理
5.4.1 信息安全工作小组根据《风险评估原则》中的《风险等级标准》，确定风险的可接受性；针对不可接受风险编制《信息安全不可接受风险处理计划》，该计划应该规定风险处理方式、责任部门和时间进度；编制《信息安全风险评估报告》,陈述本公司信息安全管理现状，分析存在的信息安全风险，提出信息安全管理（控制)的建议与措施，附《信息安全不可接受风险处理计划》提交ISMS管理者代表批准实施。

5.4.2 各责任部门按照《信息安全不可接受风险处理计划》的要求采取有效安全控制措施后,信息安全工作小组重新评估其风险等级，确保所采取的控制措施是充分的,直到其风险降至可接受为止。

5.4.3针对残余风险要得到总经理的批准。

5.5 评估时机
5.5.1 每年重新评估一次，以确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施，对发生以下情况需及时进行风险评估：
a) 当发生重大信息安全事故时；
b) 当信息网络系统发生重大更改时；
c) 信息安全工作小组确定有必要时。

5.5.2 各部门对新增加、转移的或授权销毁的信息资产应及时按照本程序在《信息资产识别表》和《风险评估表》上予以添加或变更。

6.记录
6.1《信息资产识别表》
6.2《风险评估表》
6.3《风险评估汇总表》
7.相关/支持性文件
7.1《信息安全适用性声明》
7.2《信息安全手册》
7.3《文件控制程序》
风险评估要点示意图。