ISO270012013風險評價控制制度

1、【風險評估限制制度】F4-B-總經(jīng)辦-005-V1.0風險評估限制制度目 錄1. 目的和范圍 22. 引用文件23. 責任和權(quán)限24. 風險治理方法34.1. 風險識別442風險估計與評價44.3. 選擇風險處置方式444.4. 剩余風險接受455. 風險評估描述 455.1. 風險評估前準備 455.2. 確定重要業(yè)務過程和活動 455.3. 信息資產(chǎn)的識另U 465.4. 重要信息資產(chǎn)風險等級評估 505.5. 不可接受風險確實定和處理 515.6. 風險定期評估525.7. 風險評估評審526. 相關(guān)記錄 521. 目的和范圍為了規(guī)定公司所采用的信息平安風險評估方法.通過識別信息資產(chǎn)、風

2、險等 級評估本公司的信息平安風險,選擇適宜限制目標和限制方式將信息平安風險控 制在可接受的水平,保持業(yè)務持續(xù)性開展,以滿足信息平安治理方針的要求, 特制訂本制度.本制度適用信息平安治理體系范圍內(nèi)信息平安風險評估活動.2. 引用文件1以下文件中的條款通過本制度的引用而成為本制度的條款.但凡注日期 的引用文件,其隨后所有的修改單不包括勘誤的內(nèi)容或修訂版均不 適用于本制度,然而,鼓勵各部門研究是否可使用這些文件的最新版本. 但凡不注日期的引用文件,其最新版本適用于本制度.2GB/T 22080-2021/ISO/IEC27001:2021 信息技術(shù)-平安技術(shù)-信息安全治理體系要求3GB/T 2208

3、1-2021/ISO/IEC27002:2021 信息技術(shù)-平安技術(shù)-信息安全治理實施細那么4ISO/IEC 27005:2021?信息技術(shù)-平安技術(shù)-風險治理?5?GB/T 20984-2007 信息平安風險評估指南?3. 責任和權(quán)限1信息平安治理領導小組：負責匯總確認?信息平安風險評估表?,并根據(jù) 評估結(jié)果形成?信息平安風險評估報告?和?剩余風險批示報告?.2公司全體員工：在信息平安治理領導小組協(xié)調(diào)下,負責本部門使用或管理的資產(chǎn)的識別和風險評估；負責本部門所涉及的資產(chǎn)的具體平安限制 工作.信息平安治理員在本部門信息資產(chǎn)發(fā)生變更時,需要及時清點和 評估,并報送信息平安治理領導小組更新?信息平安風險評估表?.4.風險治理方法通過定義風險治理方法,明確風險接受準那么與等級,保證能產(chǎn)生可比擬且可 重復的風險評估結(jié)果.如圖1風險治理流程圖風險治理 risk management風險評估 risk assesment風險分析risk analysis風險識別 risk identification風險估計 risk estimation風險評價 risk evaluation風險處理 risk treatment風險躲避 risk avoidanee風險減輕 risk mitigation風險轉(zhuǎn)移risk transfer風險自留 risk retention風險接受