保密風(fēng)險(xiǎn)評估與管理制度

保密風(fēng)險(xiǎn)評估與管理制度

第一條本制度規(guī)定了所采用的風(fēng)險(xiǎn)評估方法。通過識別信息資產(chǎn)、風(fēng)險(xiǎn)等級評估，認(rèn)知公司的風(fēng)險(xiǎn)，在考慮控制成本與風(fēng)險(xiǎn)平衡的前提下選擇合適控制目標(biāo)和控制方式將風(fēng)險(xiǎn)控制在可接受的水平，保持公司業(yè)務(wù)持續(xù)性發(fā)展，以滿足管理方針的要求。

第二條本制度適用于第一次完整的風(fēng)險(xiǎn)評估和定期的再評估。在辨識資產(chǎn)時(shí)，本著盡量細(xì)化的原則進(jìn)行，但在評估時(shí)我司又會把資產(chǎn)按照系統(tǒng)進(jìn)行規(guī)劃。辨識與評估的重點(diǎn)是信息資產(chǎn)，不區(qū)分物理資產(chǎn)、軟件和硬件。

第三條技術(shù)部負(fù)責(zé)牽頭成立風(fēng)險(xiǎn)評估小組。

第四條風(fēng)險(xiǎn)評估小組每半年至少一次，或當(dāng)體系、組織、業(yè)務(wù)、技術(shù)、環(huán)境等影響企業(yè)的重大事項(xiàng)發(fā)生變更、重大事故事件發(fā)生后，負(fù)責(zé)編制風(fēng)險(xiǎn)評估計(jì)劃，確認(rèn)評估結(jié)果，形成《風(fēng)險(xiǎn)評估報(bào)告》。

第五條各部門負(fù)責(zé)部門使用或管理的信息資產(chǎn)的識別和風(fēng)險(xiǎn)評估，并負(fù)責(zé)部門所涉及的信息資產(chǎn)的具體安全控制工作。

第六條各部門負(fù)責(zé)人負(fù)責(zé)部門的信息資產(chǎn)識別。技術(shù)部經(jīng)理負(fù)責(zé)匯總、校對全公司的信息資產(chǎn)。

第七條技術(shù)部負(fù)責(zé)風(fēng)險(xiǎn)評估的策劃。

1可編輯修改

.

第八條技術(shù)部牽頭成立風(fēng)險(xiǎn)評估小組，小組成員至少應(yīng)該包含:管理保密部門的成員、重要責(zé)任部門的成員。

第九條信息資產(chǎn)

1)軟件:應(yīng)用軟件、系統(tǒng)軟件和適用程序等。

2)硬件:計(jì)算機(jī)設(shè)備、通訊設(shè)備、可移動介質(zhì)和其他設(shè)備。

3)數(shù)據(jù):數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、計(jì)劃、報(bào)告、用戶手冊、客戶配置策略等

4)服務(wù):培訓(xùn)服務(wù)、租賃服務(wù)、公用設(shè)施(能源、電力)。

5)文檔:紙質(zhì)的各種文件、傳真、電報(bào)、財(cái)務(wù)報(bào)告、發(fā)展計(jì)劃等

6)人員:人員的資格、技能和經(jīng)驗(yàn)。

7)其他:組織的聲譽(yù)、商標(biāo)、形象。

第十條本公司的資產(chǎn)范圍包括:

系統(tǒng)文件、研究信息、用戶手冊、培訓(xùn)教材、培訓(xùn)操作、培訓(xùn)軟件、支持性程序、業(yè)務(wù)連續(xù)性計(jì)劃、應(yīng)變安排、審核記錄、審核的追蹤、歸檔信息。

第十一條評估程序

本評估應(yīng)考慮:范圍、目的、時(shí)間、效果、組織文化、人員素質(zhì)以及具體開展的程度等因素來確定，使之能夠與組織的環(huán)境和安全要求相適應(yīng)。

第十二條資產(chǎn)屬性賦值

2可編輯修改

.

資產(chǎn)賦值是對資產(chǎn)安全價(jià)值的估價(jià)，而不是以資產(chǎn)的賬面價(jià)格來衡量的。在對資產(chǎn)進(jìn)行估價(jià)時(shí)，不僅要考慮資產(chǎn)的成本價(jià)格，更重要的是考慮資產(chǎn)對于組織業(yè)務(wù)的安全重要性，即根據(jù)資產(chǎn)損失所引發(fā)的潛在的商務(wù)影響來決定。為確保資產(chǎn)估價(jià)時(shí)的一致性和準(zhǔn)確性，機(jī)構(gòu)應(yīng)按照上述原則，建立一個(gè)資產(chǎn)價(jià)值尺度(資產(chǎn)評估標(biāo)準(zhǔn))，以明確如何對資產(chǎn)進(jìn)行賦值。

第十三條資產(chǎn)估價(jià)的過程也就是對資產(chǎn)保密性、完整性和可用性影響分析的過程。影響就是由人為或突發(fā)性引起的安全事件對資產(chǎn)破壞的后果。這一后果可能毀滅某些資產(chǎn)，危及信息系統(tǒng)并使其喪失保密性、完整性和可用性，最終還會導(dǎo)致財(cái)產(chǎn)損失、市場份額或公司形象的損失。特別重要的是，即使每一次影響引起的損失并不大，但長期積累的眾多意外事件的影響總和則可造成嚴(yán)重?fù)p失。一般情況下，影響主要從以下幾方面來考慮:

(1)違反了有關(guān)法律或(和)規(guī)章制度

(2)影響了業(yè)務(wù)執(zhí)行

(3)造成了信譽(yù)、聲譽(yù)損失

(4)侵犯了個(gè)人隱私

(5)造成了人身傷害

(6)對法律實(shí)施造成了負(fù)面影響

(7)侵犯了商業(yè)機(jī)密

3可編輯修改

.(8)違反了社會公共準(zhǔn)則

(9)造成了經(jīng)濟(jì)損失

(10)破壞了業(yè)務(wù)活動

(11)危害了公共安全

資產(chǎn)安全屬性的不同通常也意味著安全控制、保護(hù)功能需求的不同。通過考察三種不同安全屬性，可以能夠基本反映資產(chǎn)的價(jià)值。

第十四條保密性賦值:

賦值標(biāo)識定義

指組織最重要的機(jī)密，關(guān)系組織未來發(fā)展5極高的前途命運(yùn)，對組織根本利益有著決定性影響，如果泄漏會造成災(zāi)難性的影響

是指包含組織的重要秘密，其泄露會使組4高

織的安全和利益遭受嚴(yán)重?fù)p害

是指包含組織一般性秘密，其泄露會使組3中等織的安全和利益受到損害

指僅在組織內(nèi)部或在組織某一部門內(nèi)部公2低開,向外擴(kuò)散有可能對組織的利益造成損害

對社會公開的信息，公用的信息處理設(shè)備1可忽略和系統(tǒng)資源等信息資產(chǎn)

4可編輯修改

.第十五條完整性賦值:

賦值標(biāo)識定義

完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破

壞會對評估體造成重大的或無法接受、特別5極高不愿接受的影響，對業(yè)務(wù)沖擊重大，并可能

造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)

完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會4高對評估體造成重大影響，對業(yè)務(wù)沖擊嚴(yán)重，比較難以彌補(bǔ)

完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會3中等對評估體造成影響，對業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)

完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會2低對評估體造成輕微影響，可以忍受，對業(yè)務(wù)沖擊輕微，容易彌補(bǔ)

可忽完整性價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞1略會對評估體造成的影響可以忽略，對業(yè)務(wù)沖擊可以忽略

第十六條可用性賦值:

賦值標(biāo)識定義

5極高可用性價(jià)值非常高，合法使用者對信息系統(tǒng)5可編輯修改

.

及資源的可用度達(dá)到年度99.9%以上

可用性價(jià)值較高，合法使用者對信息系統(tǒng)及

4高

資源的可用度達(dá)到每天99%以上

可用性價(jià)值中等，合法使用者對信息系統(tǒng)及

3中等資源的可用度在正常上班時(shí)間達(dá)到90%以上

可用性價(jià)值較低，合法使用者對信息系統(tǒng)及

2低資源的可用度在正常上班時(shí)間達(dá)到25%以

上

可忽可用性價(jià)值可以忽略，法使用者對信息系統(tǒng)1

略及資源的可用度在正常上班時(shí)間低于25%

第十七條資產(chǎn)賦值

最終資產(chǎn)價(jià)值可以通過違反資產(chǎn)的保密性、完整性和可用性三個(gè)方面的程度綜合確定，資產(chǎn)的賦值采用定性的相對等級的方式。與以上安全屬性的等級相對應(yīng)，資產(chǎn)價(jià)值的等級可分為五級，從1到5由低到高分別代表五個(gè)級別的資產(chǎn)相對價(jià)值，等級越大，資產(chǎn)越重要。具體每一級別的資產(chǎn)價(jià)值定義參見下表。

由于資產(chǎn)最終價(jià)值的等級評估是依據(jù)資產(chǎn)保密性、完整性、可用性的賦值級別，經(jīng)過綜合評定得出的，評定準(zhǔn)則可以根據(jù)企業(yè)自身的特點(diǎn)，選擇以安全三性中要求最高的一種6可編輯修改

.的賦值級別為綜合資產(chǎn)賦值準(zhǔn)則。

等級標(biāo)識資產(chǎn)價(jià)值定義

資產(chǎn)的重要程度很高，其安全屬性破壞后可

5很高

能導(dǎo)致系統(tǒng)受到非常嚴(yán)重的影響

資產(chǎn)的重要程度較高，其安全屬性破壞后可

4高

能導(dǎo)致系統(tǒng)受到比較嚴(yán)重的影響

資產(chǎn)的重要程度較高，其安全屬性破壞后可

3中

能導(dǎo)致系統(tǒng)受到中等程度的影響

資產(chǎn)的重要程度較低，其安全屬性破壞后可

2低

能導(dǎo)致系統(tǒng)受到較低程度的影響

資產(chǎn)的重要程度都很低，其安全屬性破壞后

1很低可能導(dǎo)致系統(tǒng)受到很低程度的影響，甚至忽略不計(jì)

第十八條每半年重新評估一次，以確定是否存在新的威脅或薄弱點(diǎn)及是否需要增加新的控制措施，對發(fā)生以下情況需及時(shí)進(jìn)行風(fēng)險(xiǎn)評估:

a)當(dāng)發(fā)生重大事故時(shí);

b)當(dāng)信息網(wǎng)絡(luò)系統(tǒng)發(fā)生重大更改時(shí);

c)保密工作領(lǐng)導(dǎo)小組確定有必要時(shí)。

第十九條各部門對新增加、轉(zhuǎn)移的或授權(quán)銷毀的資產(chǎn)應(yīng)及時(shí)在《設(shè)備管理臺賬》上予以添加或變更。

7可編輯修改

.第二十條保密風(fēng)險(xiǎn)評估

公司保密辦公室定期對系統(tǒng)集成業(yè)務(wù)、人員、資產(chǎn)、場所等主要管理活動，進(jìn)行保密風(fēng)險(xiǎn)評估。各部門對照業(yè)務(wù)流程對保密風(fēng)險(xiǎn)進(jìn)行識別、分析和評估，做出具體防控措施。

保密意識風(fēng)險(xiǎn)

領(lǐng)導(dǎo)