ISO27001风险评估程序.doc

ISO27001风险评估程序1目的为了对公司的信息资产进展风险评估和风险控制，评估组织信息资产所面临的风险并对风险实施有效控制，以确保风险被降低或消除，特制定本程序2适用围本程序适用于适用于对公司的信息资产进展风险评估和风险控制3职责与权限3.1信息平安委员会² 制定资产评估准则，确定风险评估方法；² 负责对控制目标、控制措施的有效性进展监视和评审² 确定风险评估的围；² 指导各部门进展风险评估；² 汇总和分析风险评估结果，作出风险评价；² 制定风险处理方案，向信息平安委员会提交信息平安风险评估报告3.3各部门² 各部门资产负责人按规定维护相关资产² 识别并列出跟本部门业务有关的资产；² 对本部门资产进展风险评估4风险评估程序和工作流程4.1风险评估与管理过程识别在ISMS围，各部门识别本部门涉及的主要业务过程及使用的各类信息资产风险评估风险评估是依据有关信息平安技术与管理标准，对信息系统及由其处理、传输和存储的信息的**性、完整性和可用性等平安属性进展评价的过程即风险分析和风险评价的全过程风险管理风险管理是识别、控制、消除、减小可能影响信息系统资源的不确定事件的过程指导和控制一个组织的风险的协调的活动。

风险评估方法结合公司在风险评估时投入的时间、人力、本钱等各方面的因素，公司采用根本风险评估方法根本的风险评估方法是指应用直接和简易的方法到达根本的平安水平，就能满足组织及其业务环境的所有要求公司采用这种方法使得组织在识别和评估根本平安需求的根底上，通过建立相应的信息平安管理体系，获得对信息资产的根本保护风险评估与风险管理的区分风险管理是把整个组织的风险降低到可承受水平的整个过程1048762;² 是一个持续的周期，通常以一定的间隔重新开场来更新流程中各个地区阶段的数据² 是一个持续循环、不断上升的过程风险评估是确定组织面临的风险并确定其优先级的过程，是风险管理流程中最必须、最慎重的一个过程1048762;² 当潜在的与平安相关的事件在企业发生时，如变动业务方法、发现新的漏洞等，组织都可能会启动风险评估4.2风险评估实施流程总要求:组织应根据整体业务活动和风险，建立、实施、运行、监视、评审、保持并改进文件化的ISMS图 风险评估实施流程风险评估准备² 确定风险评估的目标；(满足我公司业务持续开展在平安方面的需要及法律法规)² 确定风险评估的围；(组织全部的信息及与信息处理相关的各类资产、管理机构)² 组建适当的评估管理与实施团队；(由管理层、相关业务骨干、IT技术人员等组成的风险评估小组)² 选择与组织相适应的具体的风险判断方法；(考虑评估的目的、围、时间、效果、人员素质等因素来选择具体的风险判断方法)² 获得最高管理者对风险评估工作的支持。

得到组织的最高管理者的支持、批准)资产识别列出在信息平安管理体系围，与我公司的业务环境、业务运营及信息相关的资产² 资产分类；(人员、实体、软件、文件、数据、效劳、无形、效劳及其他资产)² 资产赋值〔CIA:对资产在**性、完整性和可用性上的达成程度进展综合评定得出〕；² 资产重要性等级确定威胁识别使用与资产相关的通用威胁列表，检查并列出资产的威胁² 威胁分类；² 威胁赋值；脆弱性识别使用与资产相关的通用薄弱点列表，检查并列出资产的脆弱性² 识别方法² 识别容² 脆弱性赋值对现有平安控制的识别识别并整理所有与资产相关联的、现有的或者已经作了方案的控制措施风险分析分析由上述评估产生的有关资产、威胁和脆弱性的信息，以实用的、简单的方法进展风险测量，计算出风险等级把识别分析出来的风险与风险判据进展比较，以判断特定的风险是否可承受或需采取其它措施处置风险分析的结果为具有不同等级的风险列表，并记录在"资产风险评估表"中风险处理对评定后的风险等级进展判定，确定是否能承受，如可承受，则按现有控制措施进展控制，如不可承受，则应选择采取新的平安控制措施，并对需要投入较长时间和较高费用的高风险制定风险处理方案，记录在"资产风险评估表"中，按风险处理方案进展处理后重新评价风险，直至风险降低或可承受为止。

² 确定可承受的剩余风险的水平；² 持续地评审威胁以及薄弱点；² 评审现有的平安控制方法；² 应用ISO/IEC 27001中的其它平安控制方法；² 引入方针和程序剩余风险根据风险评价结果，判断剩余风险是否可承受，是，则实施风险控制；否，则制定风险处理方案风险控制根据风险处理结果，按照确定的风险控制措施和方案进展落实，必要时形成相关控制文件风险控制措施可根据控制费用与风险平衡的原则，参照以下方式进展选择，以降低风险：² 防止风险；² 转移风险；² 减少风险；² 减少薄弱点；² 减少威胁可能的影响程度；² 探测有害事故，对其做出反响并恢复4.3风险值的计算方法风险计算原理风险值=R〔A，T，V〕= R(L(T，V)，F(Ia，Va))其中，R：表示平安风险计算函数；A：表示资产；T：表示威胁；V：表示脆弱性；Ia：表示平安事件所作用的资产重要程度；Va：表示脆弱性严重程度；L：表示威胁利用资产的脆弱性导致平安事件发生的可能性；F：表示平安事件发生后产生的损失风险计算准则资产价值计算方法：资产价值 = **性赋值＋完整性赋值＋可用性赋值风险值计算方法：风险值 = 资产等级＋威胁性赋值＋脆弱性赋值资产等级、风险等级评定方法：见下表表一:**性的要求评价准则表二:完整性的要求评价准则表三:可用性的要求评价准则表四:资产等级的评价准则表五: 脆弱性被威胁利用后的严重性的评价准则表六: 脆弱性被威胁利用后的严重性的评价准则表七: 脆弱性被威胁利用后的严重性的评价准则按风险值的评价准则计算出信息资产风险值后，按上记表七对应获得风险级别。

风险结果判定按风险值的评价准则计算出信息资产风险值后获得的风险级别，对风险进展判定风险评估的时机正常情况下每年进展一次全面的风险评估复查，对风险评估结果尤其是采取的控制措施进展适当的评审遇有特殊情况应该及时对组织风险进展再评估在以下情况下，应及时对组织风险进展重新评估:² 当组织新增信息资产时；² 当系统发生重大变更时；² 发生严重信息平安事故时；² 组织认为有必要时5相关支持性文件无6相关记录"资产风险评估表"教育之通病是教用脑的人不用手，不教用手的人用脑，所以一无所能教育革命的对策是手脑联盟，结果是手与脑的力量都可以大到不可思议教育之通病是教用脑的人不用手，不教用手的人用脑，所以一无所能教育革命的对策是手脑联盟，结果是手与脑的力量都可以大到不可思议 z.。