信息安全風(fēng)險管理控制程序
JSWLS/IP-08-2009
編制:xx
審核:xx
批準:xx
程序iso三體系認證修改控制
序號|版次|修改章節(jié)|修改人|審核人|批準人|修改日期|
信息安全風(fēng)險管理程序
1目的
為了在考慮控制成本與風(fēng)險平衡的前提下選擇合適的控制目標(biāo)和控制方式���,將信息安全風(fēng)險控制在可接受的水平�����,特制定本程序�����。
2范圍
本程序適用信息安全管理體系范圍內(nèi)信息安全風(fēng)險評估活動的管理����。
3職責(zé)
3.1技術(shù)部負責(zé)牽頭成立信息安全委員會。
3.2信息安全委員會負責(zé)編制《信息安全風(fēng)險評估計劃》,確認評估結(jié)果,形成《信息安全風(fēng)險評估報告》�����。
3.3各部門負責(zé)本部門使用或管理的資產(chǎn)的識別和風(fēng)險評估���,并負責(zé)本部門所涉及的資產(chǎn)的具體安全控制工作。
4相關(guān)iso三體系認證
4.1《信息安全管理手冊》
4.2《商業(yè)秘密控制程序》
5程序
5.1風(fēng)險評估前準備
5.
1.1技術(shù)部牽頭成立信息安全委員會���,委員會成員應(yīng)包含信息安全重要責(zé)任部門的成員����。
5.
1.2信息安全委員會制定《信息安全風(fēng)險評估計劃》,下發(fā)各部門����。
5.2資產(chǎn)賦值
5.
2.1信息安全委員會成員識別本部門資產(chǎn)���,并進行資產(chǎn)賦值。
5.
2.2資產(chǎn)賦值的過程是對資產(chǎn)在自身價值���、信息分類�、保密性��、完整性�����、可用性和法規(guī)合同上的達成程度進行分析,并在此基礎(chǔ)上得出綜合結(jié)果的過程�����。
5.
2.7
5.
4.3
5.
7.2
5.
9.4
