风险评估管理制度
声明
本制度是思度安全进行汇总和编写,仅供学习、交流、讨论使用,支持付费批量下载
单次赞助 10元 可下载单篇原文联系我们
修订说明
- 烟台王较瘦 第一次编写 2022/5/1
- 思安 修订 2023/6/1
第一章 总则
第一条 目的
为了北京思度文库股份有限公司(以下简称“公司”) 全面识别和评价公司信息安全风险,掌握公司信息安全风险管理状况,为信息安全管理策略制订提供依据,指导信息安全风险评估工作,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》特制定本制度。
第二条 适用范围
本制度适用于公司及子公司、分支机构的信息安全风险评估。
第二章 术语定义
第三条 信息资产
指公司拥有或者控制的能够为公司带来经济利益的信息及信息相关的资源。
第四条 信息安全风险
指信息资产所处特定环境中某个的威胁,利用一项资产或多项资产的脆弱性,对组织造成损害的潜能。
第五条 残余风险
指采取了安全措施后,仍然可能存在的风险。
第三章 岗位职责分工
第六条 信息安全风险管理部门
? 负责制定风险评估计划,定期或不定期组织风险评估工作,监督和跟踪风险处置情况。
第七条 被评估部门
负责配合风险评估实施,根据风险整改要求制订并实施具体的整改措施。
第四章 风险评估流程
第八条 整体流程
由风险评估部门、风险评估小组、被评估部门、信息安全领导小组组成,风险管理部门成立风险评估小组,制定风险评估方案,进行风险评估实施,进行风险评价及报告,风险评估报告经信息安全领导小组审批后,风险评估小组制定风险处置计划,被评估部门进行风险处置,最终风险管理部门负责风险处置监督与跟踪。
第九条 风险评估启动
每年应对公司信息安全进行例行风险评估或当外部监管要求或发生重大信息安全事件时,可根据具体情况展开针对性的专项风险评估。
第十条 评估小组组建
信息安全风险管理部门负责牵头组织成立风险评估小组,实施风险评估工作。风险评估小组应包括公司内部的、具有安全评估经验和熟悉组织运作情况的成员,还应包括公司内部的管理层、业务部门、人力资源、信息系统和用户的代表;如有必要,还可以包括公司外部的风险评估专家。
第十一条 评估方案制订
应根据风险评估的原因和内容,明确风险评估范围,每年例行风险评估工作,其范围应为公司范围内的所有信息资产;专项风险评估,其范围可以仅限于特定范围内的信息资产。风险评估小组根据风险评估范围,从相关责任人处获取信息资产清单。风险评估小组应根据风险评估范围和时间要求,制订《信息安全风险评估方案》。
第十二条 风险评估实施
风险评估小组根据既定的风险评估方案对评估范围内的信息安全风险进行风险评估。风险评估实施过程中,应保留风险评估中间文档,以确保风险评估结果的可证实和可重现。
第十三条 风险评价与报告
风险评估小组会同被评估部门对风险评估实施过程中发现的信息安全风险进行评价,对于不可接受的风险制订相应的风险处置计划。风险评估小组与被评估部门进行沟通后,编制风险评估报告。公司每年例行信息安全风险评估报告应提交给信息安全领导小组审阅。专项风险评估报告由风险评估小组提交给相关单位审阅。
第十四条 风险处置与跟踪
风险评估小组应根据风险评估报告,要求被评估部门或者风险所涉及的相关责任部门进行整改。信息安全风险管理部门负责整改进度跟踪和整改结果复核,必要时可以请风险评估小组成员协助完成。
第十五条 残余风险
对于整改完成后的残余风险仍然较高的,且由于费用或技术等原因无法进一步控制,经信息安全领导小组批准可以决定暂时接受此风险,但是需要采取相应的监控措施,并由风险责任部门积极跟踪相关技术和产品的发展情况,以尽快采取新的技术或方法,降低风险。
第十六条 风险库管理
信息安全风险管理部门应将每次风险评估报告中发现的风险纳入信息安全风险库,进行集中统一归档和管理,并定期进行统计和分析,以发现风险分布、风险关联和发展趋势等,提高风险预警和管理能力。
第五章 附则
本制度的最终解释权归安全部所有,并严格按照章程执行。