原创作者：李柏伦翻版盗卖者必追究责任
2019年GBT220802016信息安全管理体系全套程序文件
f原创作者：李柏伦翻版盗卖者必追究责任
信息安全风险评估管理程序
1适用
本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险评估活动。原创作者：李柏伦翻版盗卖者必追究责任
2目的
本程序规定了本公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。
3范围
本程序适用于第一次完整的风险评估和定期的再评估。在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。
4职责
41成立风险评估小组
办公室负责牵头成立风险评估小组。
42策划与实施
风险评估小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。
f原创作者：李柏伦翻版盗卖者必追究责任
43信息资产识别与风险评估活动
各部门负责本部门使用或管理的信息资产的识别，并负责本部门所涉及的信息资产的具体安全控制工作。
431各部门负责人负责本部门的信息资产识别。
432办公室经理负责汇总、校对全公司的信息资产。
433办公室负责风险评估的策划。
434信息安全小组负责进行第一次评估与定期的再评估。
5程序
51风险评估前准备
511办公室牵头成立风险评估小组，小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。
512风险评估小组制定信息安全风险评估计划，下发各部门内审员。
513必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。
52信息资产的识别
521本公司的资产范围包括：
5211信息资产1数据文档资产：客户和公司数据，各种介质的信息文件包括纸质文件。2软件资产：应用软件、系统软件、开发工具和适用程序。3硬件资产：计算机设备、通讯设备、可移动介质和其他设备。4服务：培训服务、租赁服务、公用设施（能源、电力）。5人员：人员的资格、技能和经验。
f原创作者：李柏伦翻版盗卖者必追究责任
6无形资产：组织的声誉、商标、形象。53资产及其重要度
531识别组织的r