信息安全风险识别与评价管理程序.doc
版权申诉
19 浏览量
2021-12-09
11:02:35
上传
评论
收藏 130KB DOC 举报
有限公司
两化整合管理体系文件(III)
第 1 页 共 14 页
编号
GM-III-B005
版本号
00
题目:
信息安全风险识别与评价管理程序
生效日期
2015.07.20
起草部门
信息中心
颁发部门
总经理办公室
一、目的:
通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的
影响,从而将风险消减到可接受的水平。
二、范围:
适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。
三、责任:
3.1 管理者代表
信息中心执行信息安全风险的识别与评价;审核并批准重大信息安全风险,并负责编制
《信息资产风险评估准则》,执行信息安全风险调查与评价,提出重大信息安全风险报告。
3.2 各部门
协助信息中心的调查,参与讨论重大信息安全风险的管理办法。
四、内容:
4.1 资产识别
保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资
产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时
所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面
临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。
为此,应对组织中的资产进行识别。
在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要
性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首
先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实
际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。根据
资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。
表 1 列出了一种资产分类方法。
表 1 一种基于表现形式的资产分类方法
类别
简称
解释/示例
剩余13页未读,继续阅读
资源评论
wujuhua100020000
- 粉丝: 0
- 资源: 3万+
最新资源
- 数据库管理工具:dbeaver-ce-23.3.3-stable.x86-64.rpm
- 网络安全详细介绍.docx
- 爱普生打印机L805废墨仓清零软件永久版和说明
- 数据库管理工具:dbeaver-ce-23.3.3-macos-x86-64.dmg
- 数据库管理工具:dbeaver-ce-23.3.3-macos-aarch64.dmg
- 神经网络详细介绍.docx
- 数据库管理工具:dbeaver-ce-23.3.2-x86-64-setup.exe
- 小米电视2刷机包55寸48寸通刷包V1.2.15,降级专用
- 数据库管理工具:dbeaver-ce-23.3.2-stable.x86-64.rpm
- 无人驾驶汽车如何处理地图和定位?
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
