XX有限公司
版本A0
文件编号
XX
生效日期
XX
信息安全风险评估管理程序
版本
更改类型生效日期
更改内容
会签部门：品质：采购：研发：生产：行政：
制作：
审核：
工程：业务：IT：PMC：财务：
批准：
fXX有限公司
版本A0
文件编号
XX
生效日期
XX
1适用适用于本公司信息安全管理体系范围内信息安全风险评估活动。2目的本程序规定了本公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。具体操作步骤，参照《信息安全风险评估指南》具体执行。3范围本程序适用于第一次完整的风险评估和定期的再评估。在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。4职责41成立风险评估小组XX部负责牵头成立风险评估小组。42策划与实施风险评估小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。43信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别和风险评估，并负责本部门所涉及的信息资产的具体安全控制工作。431各部门负责人负责本部门的信息资产识别。432XX部经理负责汇总、校对全公司的信息资产。433XX部负责风险评估的策划。434信息安全委员会负责进行第一次评估与定期的再评估。5程序51风险评估前准备511XX部牵头成立风险评估小组，小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。512风险评估小组制定信息安全风险评估计划，下发各部门内审员。513必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。52信息资产的识别521本公司的资产范围包括：5211信息资产1软件资产：应用软件、系统软件、开发工具和适用程序。2物理资产：计算机设备、通讯设备、可移动介质和其他设备。3服务：培训服务、租赁服务、公用设施（能源、电力）。4人员：人员的资格、技能和经验。5无形资产：组织的声誉、商标、形象。5212本公司的资产范围包括：数据库、数据文件、数据合同、系统文件、研究信息、用户手册r