国产精品免费看_日韩三级电影网_婷婷综合在线观看丁香_久久一本日韩精品中文字幕屁孩,色吊丝国产永久免费网址,日日狠狠久久8888av,国产熟女AA级毛片

1.目的
針對重要信息資產，進行信息安全風險評估，信息安全風險處置，滿足信息安全標準要求。
2.范圍
適用于本公司信息安全管理體系(ISMS)范圍內的信息安全風險管理活動。
3.職責
3.1 信息安全小組組織對重要信息資產進行風險評估。
3.2管理者代表負責審核信息資產識別和信息安全風險評估的結果。
3.3總經理批準信息資產風險評估報告和信息安全風險處置計劃。
4.程序內容
4.1 信息安全風險評估
4.1.1 建立并保持信息安全風險準則
a管理者代表組織信息安全小組，針對公司識別并評價出來的“重要信息資產”，從本公司行業特點、經營規模、長期發展角度出發，按信息資產類別和經濟價值確定風險接受準則草案，報公司總經理批準；
b經批準的信息安全風險準則，是信息安全小組風險評估重復性操作和一致性的依據。
4.1.2識別信息安全風險
a信息安全小組將重要信息資產填入《信息資產風險評估表》，并識別信息資產的威脅和脆弱性，對威脅和脆弱性予以賦值；
b信息安全小組根據公司崗位職責和風險的利益關系，確定風險負責人。
4.1.3 分析信息安全風險
信息安全小組對已有的安全措施進行確認，填寫《安全措施確認表》信息安全小組根據《風險評估準則》，進行風險分析：
a 計算安全事件發生的可能性；
b 計算安全事件發生后造成的損失；
c 根據計算出的安全事件發生的可能性以及安全事件發生后造成的損失，計算風險值；
d信息安全小組根據風險值的大小，按照《風險評估準則》中的《風險等級標準》確定信息安全風險等級，可分為5個等級。4-5級為高風險、3級中度風險、1-2級為低風險。
4.1.4評價信息安全風險
a信息安全小組將風險分析的結果同建立的風險準則進行比較；
b確定已分析風險的優先級別。
4.2 信息安全風險處置
4.2.1 信息安全小組應將風險評估的結果形成《風險評估報告》，報給管理者代表審核、總經理批準。
4.2.2 對于可接受風險，有關部門及工作崗位不需采取進一步的控制活動，可保持原有風險不變，繼續執行原有的規則制度和控制策略。
4.2.3 對于個別的高風險，實施控制措施所付出的成本超出了收益，則規避導致該風險的活動或條件，避免風險。
4.2.4 控制不可接受的高風險，信息安全小組與有關部門選擇適當和合理的控制措施降低風險。
4.3 風險處理計劃
信息安全小組編制《風險處理計劃》，風險處理計劃中應明確采取的彌補脆弱性的安全措施、預期效果、實施條件、進度安排、責任部門等。安全措施的選擇應從管理與技術兩個方面考慮。
4.4 殘余風險
   為確保安全控制措施的有效性，對不可接受的風險采取一定的安全措施后，還應由信息安全小組組織進行再評估，以判斷實施安全措施后的殘余風險是否已經降低到適當水平。對于仍處于不可接受的風險范圍內，應考慮是否接受此風險或增加相應的安全控制措施。
5.相關文件
5.1 《信息安全適用性聲明》
5.2 《信息安全風險評估報告》
5.3 《信息安全不可接受風險處理計劃》
5.4 《風險評估準則》
6.記錄
6.1 《重要信息資產清單》
6.2 《安全措施確認表》
6.3 《信息資產風險評估表》
6.4《殘余風險評估表》