XXX 单位信息系统风险管理制度V1.020XX 年 XX 月 XX 日目录1目的........................................................................................................................12适用范围................................................................................................................13管理要求................................................................................................................14风险评估................................................................................................................14.1 评估立项......................................................................................................14.2 评估计划......................................................................................................14.3 评估实施......................................................................................................24.4 评估总结......................................................................................................45风险处置................................................................................................................46附则........................................................................................................................57附录........................................................................................................................61目的为了进一步规范 XXX 单位信息系统风险管理活动,提升风险管理工作的可操纵性和适用性,依据 XXX 单位信息安全目标、策略方针,以及相关规范和标准的规定,编制本管理办法。2适用范围本办法适用于 XXX 单位信息系统风险管理活动。3管理要求信息系统风险管理是信息安全保障工作中的一项基础性工作和重要环节,组织应针对单位系统内外部业务环境及技术条件的变化情况,进行周期性的风险评估,建议每年实施一次信息安全风险管理活动。在物理环境或业务模式发生变化时,应考虑现有信息安全管理控制措施的适宜性,必要时重新实施风险管理活动,组织可根据风险状况及时调整信息安全管理策略和方法。风险管理活动的相关记录(例如风险评估计划、风险评估报告、风险处置计划等)必须文档化。4风险评估4.1评估立项各系统信息安全管理部门应确定被评估对象,批准立项,并指定风险评估小组负责人。4.2评估计划风险评估小组负责人应制定相关风险评估计划,并提交各级系统信息安全管理部门审批。计划中应包括评估目标、评估时间、评估范围、参与人员、评估方法及风险接受准则等内容。风险评估小组负责人应确定评估小组成员及其职责,并进行必要的培训,保证所有评估小组成员掌握评估方法。 1 / 961)确定风险评估目标根据组织的业务战略、业务流程、安全需求等方面,明确风险评估目标。2)确定风险评估范围评估范围可以是整个组织、组织的一部分、单个信息系统、特定的系统部件,也可以是组织接受的服务。3)确定风险评估实施人员风险评估实施人员应覆盖各角色人员,包含但不限于各级系统高级管理者、信息安全管理部门负责人、信息安全管理部门职员、业务负责人、配置管理人员、IT 管理人员、设备管理人员、服务器管理人员等。4)确定风险评估方法应根据评估的目的、范围、时间及预期效果等因素来选择风险评估方法,使之能够与组织环境和安全要求相适应。5)确定风险接收准则根据组织的实际情况,制定风险接受准则。4.3评估实施6)识别资产资产是任何对组织有价值的事务,是要保护的对象,资产一般可以分为以下几类:1)电子数据:指以电子形式存在的各种数据资料,例如数据库中的数据、系统文档、备份文件等; 2 / 962)软件:指应用软件等,例如操作系统、应用程序、工具软件、安全组件、数据库管理系统、源程序等;3)硬件:指网络设备、计算机设备、存储设备、传输线路、保障设备...
