ISO27001风险评估程序
8页1、ISO27001风险评估程序1目的为了对公司的信息资产进行风险评估和风险控制,评估组织信息资产所面临的风险并对风险实施有效控制,以确保风险被降低或消除,特制定本程序。2适用范围本程序适用于适用于对公司的信息资产进行风险评估和风险控制。3职责与权限3.1信息安全委员会 制定资产评估准则,确定风险评估方法; 负责对控制目标、控制措施的有效性进行监督和评审。 确定风险评估的范围; 指导各部门进行风险评估; 汇总和分析风险评估结果,作出风险评价; 制定风险处理计划,向信息安全委员会提交信息安全风险评估报告。3.3各部门 各部门资产负责人按规定维护相关资产。 识别并列出跟本部门业务有关的资产; 对本部门资产进行风险评估。4风险评估程序和工作流程4.1风险评估与管理4.1.1过程识别在ISMS范围内,各部门识别本部门涉及的主要业务过程及使用的各类信息资产。4.1.2风险评估风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。即风险分析和风险评价的全过程。4.1.3风险管理风险管理是识别、控制、消除、减小可能影响信息系统资
2、源的不确定事件的过程。指导和控制一个组织的风险的协调的活动。4.1.4风险评估方法结合公司在风险评估时投入的时间、人力、成本等各方面的因素,公司采用基本风险评估方法。基本的风险评估方法是指应用直接和简易的方法达到基本的安全水平,就能满足组织及其业务环境的所有要求。公司采用这种方法使得组织在识别和评估基本安全需求的基础上,通过建立相应的信息安全管理体系,获得对信息资产的基本保护。4.1.5风险评估与风险管理的区分风险管理是把整个组织内的风险降低到可接受水平的整个过程。 是一个持续的周期,通常以一定的间隔重新开始来更新流程中各个地区阶段的数据 是一个持续循环、不断上升的过程。风险评估是确定组织面临的风险并确定其优先级的过程,是风险管理流程中最必须、最谨慎的一个过程。 当潜在的与安全相关的事件在企业内发生时,如变动业务方法、发现新的漏洞等,组织都可能会启动风险评估。4.2 风险评估实施流程总要求:组织应根据整体业务活动和风险,建立、实施、运行、监视、评审、保持并改进文件化的ISMS。图 风险评估实施流程4.2.1风险评估准备 确定风险评估的目标;(满足我公司业务持续发展在安全方面的需要及法律
《ISO27001风险评估程序》由会员jiups****uk12分享,可在线阅读,更多相关《ISO27001风险评估程序》请在金锄头文库上搜索。
建立安全生产长效机制-共创和谐平安输气管道
土石方爆破工程设计方案
康师傅百货商场制度汇编之退换货管理办法
庙头中学2012年中考百日誓师大会学生代表发言稿
围堰拆除爆破工程
华能洱源马鞍山风电场工程土石方爆破管理制度
国资委:全面开展管理提升活动-为培育世界一流企业奠定坚实基础
《专业技术人员职业发展与规划》电子书
应收票据审计方案
建筑给水排水与采暖工程质量验收用表
广播电视管理条例行政处罚裁量标准
广东电力系统调度运行操作管理规定
建筑给排水工程名词解释
幼儿园小班安全健康活动教案:宝宝误食后的急救
建业集团房屋建筑工程交房标准内容技术交底
建筑心理学论文(1)
康师傅百货商场制度汇编之工服管理程序009
建筑工程专业一级建造师继续教育培训结业报告20
廉洁风险防控回头看工作汇报材料
平台工作人员服务规范
2024-04-24 10页
2024-04-24 10页
2024-04-24 25页
2024-04-24 10页
2024-04-23 4页
2024-04-23 10页
2024-04-23 19页
2024-04-23 10页
2024-04-23 16页
2024-04-23 5页