风险评估管理程序
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
风险评估管理程序 Revised by Petrel at 2021
风险评估管理程序
历史修订记录
目录
1概述 ....................................................... 错误!未指定书签。2术语与定义.................................................. 错误!未指定书签。
2.1风险管理................................................... 错误!未指定书签。错误!未指定书签。
2.2其他....................................................... 错误!未指定书签。3风险评估框架及流程.......................................... 错误!未指定书签。
3.1风险要素关系............................................... 错误!未指定书签。
3.2风险分析原理............................................... 错误!未指定书签。
3.3实施流程................................................... 错误!未指定书签。4风险评估准备过程............................................ 错误!未指定书签。
4.1确定范围................................................... 错误!未指定书签。
4.2确定目标................................................... 错误!未指定书签。
4.3确定组织结构............................................... 错误!未指定书签。
4.4确定风险评估方法........................................... 错误!未指定书签。
4.5获得最高管理者批准......................................... 错误!未指定书签。5风险评估实施过程............................................ 错误!未指定书签。
5.1资产赋值................................................... 错误!未指定书签。错误!未指定书签。
错误!未指定书签。
错误!未指定书签。
5.2威胁评估................................................... 错误!未指定书签。错误!未指定书签。
错误!未指定书签。
5.3脆弱性评估................................................. 错误!未指定书签。
5.4确定现有控制............................................... 错误!未指定书签。
5.5风险评估................................................... 错误!未指定书签。
错误!未指定书签。
错误!未指定书签。
错误!未指定书签。
6风险管理过程................................................ 错误!未指定书签。
6.1安全控制的识别与选择....................................... 错误!未指定书签。
6.2降低风险................................................... 错误!未指定书签。
6.3接受风险................................................... 错误!未指定书签。
6.4风险管理要求............................................... 错误!未指定书签。7相关文件.................................................... 错误!未指定书签。
概述
目前信息安全管理的发展趋势是将风险管理与信息安全管理紧密结合在一起,将风险概念作为信息安全管理实践的对象和出发点,信息安全管理的控制点以风险出现的可能性作为对象而展开的。ISO27001标准对信息安全管理体系(ISMS)的要求即通过对信息资产的风险管理,确定重要信息资产清单以及风险等级,从而采取相应的控制措施来实现信息资产的安全。
信息安全管理是风险管理的过程,风险评估是风险管理的基础。风险管理是指导和控制组织风险的过程。风险管理遵循管理的一般循环模式—计划(Plan)、执行(Do)、检查(Check)、行动(Action)的持续改进模式。ISO27001标准要求企业设计、实施、维护信息安全管理体系都要依据PDCA循环模式。
术语与定义
风险管理
风险管理是以可接受成本识别、评估、控制、降低可能影响信息系统风险的过程,通过风险评估识别风险,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降低到一个可以被接受的水平,同时考虑控制费用与风险之间的平衡。
风险管理的核心是信息的保护。信息对于组织是一种具有重要价值的资产。建立信息安全管理体系(ISMS)的目的是在最大范围内保护信息资产,确保信息的机密性、完整性和可用性,将风险管理自始至终的贯穿于整个信息安全管理体系中,这种体系并不能完全消除信息安全的风险,只是尽量减少风险,尽量将攻击造成的损失降低到最低限度。
风险评估