ISO27001风险评估程序.doc

ISO27001风险评估程序是信息安全领域中一套国际标准，旨在帮助企业系统地管理和评估信息资产的风险，确保信息资产的机密性、完整性和可用性。以下是该程序的详细说明： 1. **目的**：制定风险评估程序的目的是为了评估和控制公司的信息资产风险，通过对组织信息资产进行风险分析，确定并实施有效的风险控制措施，以减少或消除潜在威胁，保障信息安全。 2. **适用范围**：该程序适用于公司内部所有涉及信息资产风险评估和控制的部门和过程。 3. **职责与权限**： - 信息安全委员会负责制定评估准则，确定风险评估方法，监督和评审控制目标与措施的有效性。 - 风险评估团队（包括各部门）负责识别和列出各自业务相关的资产，进行风险评估，并将结果上报给信息安全委员会。 4. **风险评估程序和工作流程**： - **风险评估与管理**： - **过程识别**：首先识别ISMS（信息安全管理系统）范围内的关键业务过程和信息资产。 - **风险评估**：根据信息安全相关标准，评估信息资产的安全属性，包括机密性、完整性和可用性。 - **风险管理**：识别、控制、消除或减轻可能影响信息系统的不确定性事件。 - **风险评估方法**：公司通常选择基本风险评估方法，使用直接和简易的方法达到基本安全水平，满足组织需求。 - **风险评估实施流程**： - 准备阶段：明确目标，确定范围，组建评估团队，选择风险判断方法，并获得管理层支持。 - 资产识别：列出所有相关资产，进行分类和赋值。 - 威胁识别：使用通用威胁列表识别可能的威胁并赋值。 - 脆弱性识别：使用通用弱点列表识别资产的脆弱性，并赋值。 - 现有安全控制识别：识别已有的控制措施。 - 风险分析：通过分析威胁、脆弱性和控制，计算风险等级，与风险判据比较。 - 风险处理：确定风险是否可接受，制定风险处理计划，控制和减轻风险。 - 残余风险评估：评估剩余风险，决定是否需要进一步的控制措施。 - 风险控制：执行风险控制措施，形成相关控制文件。 5. **风险控制措施选择**：根据控制费用与风险之间的平衡原则，可参考ISO/IEC 27001中的其他安全控制方法，制定风险处理计划，确保风险降至可接受水平。 这个风险评估程序是一个持续的过程，需要定期更新和评审，以应对业务变化和新出现的安全威胁。通过实施这个程序，企业能够构建一个强大的信息安全管理体系，保护其关键信息资产免受潜在的威胁和损失。