《信息安全风险评估管理规定.docx》由会员分享,可在线阅读,更多相关《信息安全风险评估管理规定.docx(2页珍藏版)》请在第壹文秘上搜索。
1、信息安全风险评估管理规定文件编号:第一章总则第一条为规范科技发展部信息安全风险评估工作,为风险评估工作提供指导和支持,特制定本规定。第二条本规定适用于科技发展部范围内的信息安全风险评估工作。第二章组织与职责第三条信息安全工作指挥小组负责提出信息安全风险评估需求,审批风险评估计划、风险接受的原则、风险评估报告以及风险处理计划。第四条科技发展部风险管理组负责确定信息安全风险评估的方法,制定风险评估的工作流程,根据风险评估需求制定风险评估计划;组织并指导各部门开展风险评估工作。第五条各部门的安全组负责本部门的信息风险评估工作的监督与检查;第六条各部门负责对本部门的信息资产进行识别,对风险进行评估,执
2、行已批准的风险处理计划。第三章信息安全风险评估管理规定第七条科技发展部风险管理组应根据风险评估需求制定风险评估计划,确定风险评估的范围和方法,并组建风险评估团队。第八条各部门应根据风险评估计划对其职责范围内的信息资产进行识别,根据信息资产安全管理规定对信息资产的CIA属性进行赋值(涉及信息系统的各类信息资产均应按系统等级进行赋值,详见附件二:信息系统等级划分准则)并计算信息资产价值,将重要信息资产列为风险评估对象。第九条科技发展部风险管理组应组织各部门对被列为风险评估对象的信息资产所面临的威胁、存在的弱点以及现存的安全控制措施进行识别和评估,根据公式计算得出风险值后依照风险分级准则对风险级别进
3、行定义,具体实施方法详见附件三至六。第十条科技发展部风险管理组应根据风险分级准则对识别出的风险,组织相关部门选择适当的处理方式、制定风险处理计划和实施方案,计划及方案经科技发展部信息安全工作指挥小组审批后执行第十一条科技发展部风险管理组应对风险处理的实施情况进行跟踪,确保控制措施能够在计划时间内完成。第十二条风险处理完成后,科技发展部风险管理组应组织相关部门对残余风险进行再评估,对于不可接受的残余风险采取进一步的控制措施。第十三条科技发展部全面风险评估应至少每年开展一次,对于核心信息系统应每半年开展一次风险评估。第十四条风险评估各阶段的工作内容应形成记录,各阶段工作的描述及应形成的记录文件详见附件七。第四章附则第十五条本规定由科技发展部制定、修订和解释。第十六条本规定自发布之日起生效。第十七条记录文件(一) 风险评估计划(二)信息资产清单(三) 风险评估记录(四) 待处理风险及风险处理计划(五)风险评估报告
