ISO270012013風(fēng)險評價控制制度

1、【風(fēng)險評估限制制度】F4-B-總經(jīng)辦-005-V1.0風(fēng)險評估限制制度目 錄1. 目的和范圍 22. 引用文件23. 責任和權(quán)限24. 風(fēng)險治理方法34.1. 風(fēng)險識別442風(fēng)險估計與評價44.3. 選擇風(fēng)險處置方式444.4. 剩余風(fēng)險接受455. 風(fēng)險評估描述 455.1. 風(fēng)險評估前準備 455.2. 確定重要業(yè)務(wù)過程和活動 455.3. 信息資產(chǎn)的識另U 465.4. 重要信息資產(chǎn)風(fēng)險等級評估 505.5. 不可接受風(fēng)險確實定和處理 515.6. 風(fēng)險定期評估525.7. 風(fēng)險評估評審526. 相關(guān)記錄 521. 目的和范圍為了規(guī)定公司所采用的信息平安風(fēng)險評估方法.通過識別信息資產(chǎn)、風(fēng)

2、險等 級評估本公司的信息平安風(fēng)險,選擇適宜限制目標和限制方式將信息平安風(fēng)險控 制在可接受的水平,保持業(yè)務(wù)持續(xù)性開展,以滿足信息平安治理方針的要求, 特制訂本制度.本制度適用信息平安治理體系范圍內(nèi)信息平安風(fēng)險評估活動.2. 引用文件1以下文件中的條款通過本制度的引用而成為本制度的條款.但凡注日期 的引用文件,其隨后所有的修改單不包括勘誤的內(nèi)容或修訂版均不 適用于本制度,然而,鼓勵各部門研究是否可使用這些文件的最新版本. 但凡不注日期的引用文件,其最新版本適用于本制度.2GB/T 22080-2021/ISO/IEC27001:2021 信息技術(shù)-平安技術(shù)-信息安全治理體系要求3GB/T 2208

3、1-2021/ISO/IEC27002:2021 信息技術(shù)-平安技術(shù)-信息安全治理實施細那么4ISO/IEC 27005:2021?信息技術(shù)-平安技術(shù)-風(fēng)險治理?5?GB/T 20984-2007 信息平安風(fēng)險評估指南?3. 責任和權(quán)限1信息平安治理領(lǐng)導(dǎo)小組：負責匯總確認?信息平安風(fēng)險評估表?,并根據(jù) 評估結(jié)果形成?信息平安風(fēng)險評估報告?和?剩余風(fēng)險批示報告?.2公司全體員工：在信息平安治理領(lǐng)導(dǎo)小組協(xié)調(diào)下,負責本部門使用或管理的資產(chǎn)的識別和風(fēng)險評估；負責本部門所涉及的資產(chǎn)的具體平安限制 工作.信息平安治理員在本部門信息資產(chǎn)發(fā)生變更時,需要及時清點和 評估,并報送信息平安治理領(lǐng)導(dǎo)小組更新?信息平安風(fēng)險評估表?.4.風(fēng)險治理方法通過定義風(fēng)險治理方法,明確風(fēng)險接受準那么與等級,保證能產(chǎn)生可比擬且可 重復(fù)的風(fēng)險評估結(jié)果.如圖1風(fēng)險治理流程圖風(fēng)險治理 risk management風(fēng)險評估 risk assesment風(fēng)險分析risk analysis風(fēng)險識別 risk identification風(fēng)險估計 risk estimation風(fēng)險評價 risk evaluation風(fēng)險處理 risk treatment風(fēng)險躲避 risk avoidanee風(fēng)險減輕 risk mitigation風(fēng)險轉(zhuǎn)移risk transfer風(fēng)險自留 risk retention風(fēng)險接受