保密風(fēng)險評估與管理制度

1、保密風(fēng)險評估與治理制度第一條本制度規(guī)定了所采納的風(fēng)險評估方法；通過識別信息資產(chǎn)、風(fēng)險等級評估，認(rèn)知公司的風(fēng)險，在考慮掌握成本與風(fēng)險平穩(wěn)的前提下挑選合適掌握目標(biāo)和掌握方式將 風(fēng)險掌握在可接受的水平，保持公司業(yè)務(wù)連續(xù)性進(jìn)展，以滿意治理方針的要求；其次條本制度適用于第一次完整的風(fēng)險評估和定期的再評估；在辨識資產(chǎn)時，本著盡量細(xì)化的原就進(jìn)行，但在評估時我司又會把資產(chǎn)依據(jù)系統(tǒng)進(jìn)行規(guī)劃；辨識與評估的重點是信息資產(chǎn)，不區(qū)分物理資產(chǎn)、軟件和硬件；第三條技術(shù)部負(fù)責(zé)牽頭成立風(fēng)險評估小組；第四條風(fēng)險評估小組每半年至少一次，或當(dāng)體系、組織、業(yè)務(wù)、技術(shù)、環(huán)境等影響企業(yè)的重大事項發(fā)生變更、重大事故大事發(fā)生后，負(fù)責(zé)編制風(fēng)險評

2、估量劃，確認(rèn)評估結(jié)果，形成風(fēng)險評估報告 ；第五條各部門負(fù)責(zé)部門使用或治理的信息資產(chǎn)的識別和風(fēng)險評估，并負(fù)責(zé)部門所涉及的信息資產(chǎn)的詳細(xì)安全掌握工作；第六條各部門負(fù)責(zé)人負(fù)責(zé)部門的信息資產(chǎn)識別；技術(shù)部經(jīng)理負(fù)責(zé)匯總、校對全公司的信息資產(chǎn)；第七條技術(shù)部負(fù)責(zé)風(fēng)險評估的策劃；第八條技術(shù)部牽頭成立風(fēng)險評估小組，小組成員至少應(yīng)當(dāng)包含：治理保密部門的成員、重要責(zé)任部門的成員；第九條信息資產(chǎn)1) 軟件：應(yīng)用軟件、系統(tǒng)軟件和適用程序等；2) 硬件：運算機(jī)設(shè)備、 通訊設(shè)備、 可移動介質(zhì)和其他設(shè)備；3) 數(shù)據(jù)：數(shù)據(jù)庫數(shù)據(jù)、 系統(tǒng)文檔、 方案、報告、用戶手冊、客戶配置策略等4) 服務(wù)： 培訓(xùn)服務(wù)、 租賃服務(wù)、 公用設(shè)施 （

3、能源、 電力）；5) 文檔： 紙質(zhì)的各種文件、傳真、 電報、 財務(wù)報告、 進(jìn)展方案等6) 人員：人員的資格、技能和體會；7) 其他：組織的聲譽(yù)、商標(biāo)、形象；第十條本公司的資產(chǎn)范疇包括：系統(tǒng)文件、 討論信息、 用戶手冊、 培訓(xùn)教材、 培訓(xùn)操作、培訓(xùn)軟件、支持性程序、業(yè)務(wù)連續(xù)性方案、應(yīng)變支配、審核記錄、審核的追蹤、歸檔信息；第十一條評估程序本評估應(yīng)考慮：范疇、目的、時間、成效、組織文化、人員素養(yǎng)以及詳細(xì)開展的程度等因素來確定，使之能夠與組織的環(huán)境和安全要求相適應(yīng)；第十二條資產(chǎn)屬性賦值資產(chǎn)賦值是對資產(chǎn)安全價值的估價，而不是以資產(chǎn)的賬面價格來衡量的；在對資產(chǎn)進(jìn)行估價時，不僅要考慮資產(chǎn)的成本價格，更重要

4、的是考慮資產(chǎn)對于組織業(yè)務(wù)的安全重要性， 即依據(jù)資產(chǎn)缺失所引發(fā)的潛在的商務(wù)影響來打算；為確保資 產(chǎn)估價時的一樣性和精確性，機(jī)構(gòu)應(yīng)依據(jù)上述原就，建立一 個資產(chǎn)價值尺度 （資產(chǎn)評估標(biāo)準(zhǔn)） ，以明確如何對資產(chǎn)進(jìn)行賦值；第十三條資產(chǎn)估價的過程也就是對資產(chǎn)保密性、完整性和可用性影響分析的過程；影響就是由人為或突發(fā)性引起 的安全大事對資產(chǎn)破壞的后果；這一后果可能毀滅某些資產(chǎn)，危及信息系統(tǒng)并使其丟失保密性、完整性和可用性，最終仍 會導(dǎo)致財產(chǎn)缺失、市場份額或公司形象的缺失；特殊重要的 是，即使每一次影響引起的缺失并不大，但長期積存的眾多 意外大事的影響總和就可造成嚴(yán)峻缺失；一般情形下，影響 主要從以下幾方面來考

5、慮：（ 1）違反了有關(guān)法律或（和）規(guī)章制度（ 2）影響了業(yè)務(wù)執(zhí)行（ 3）造成了信譽(yù)、聲譽(yù)缺失（ 4）侵害了個人隱私（ 5）造成了人身損害（ 6）對法律實施造成了負(fù)面影響（ 7）侵害了商業(yè)隱秘（ 8）違反了社會公共準(zhǔn)就（ 9）造成了經(jīng)濟(jì)缺失（ 10）破壞了業(yè)務(wù)活動（ 11）危害了公共安全資產(chǎn)安全屬性的不同通常也意味著安全掌握、愛護(hù)功能需求的不同；通過考察三種不同安全屬性，可以能夠基本反映資產(chǎn)的價值；第十四條保密性賦值：賦值標(biāo)識定義指組織最重要的隱秘，關(guān)系組織將來進(jìn)展5極高的前途命運，對組織根本利益有著打算性影響，假如泄漏會造成災(zāi)難性的影響是指包含組織的重要隱秘，其泄露會使組4高織的安全和利益遭受

6、嚴(yán)峻損害是指包含組織一般性隱秘，其泄露會使組3中等織的安全和利益受到損害指僅在組織內(nèi)部或在組織某一部門內(nèi)部公2低開, 向外擴(kuò)散有可能對組織的利益造成損害對社會公開的信息，公用的信息處理設(shè)備1可忽視和系統(tǒng)資源等信息資產(chǎn)第十五條完整性賦值：賦值標(biāo)識定義完整性價值特別關(guān)鍵， 未經(jīng)授權(quán)的修改或破5極高壞會對評估體造成重大的或無法接受、 特殊不愿接受的影響， 對業(yè)務(wù)沖擊重大， 并可能造成嚴(yán)峻的業(yè)務(wù)中斷，難以補(bǔ)償完整性價值較高， 未經(jīng)授權(quán)的修改或破壞會4高對評估體造成重大影響，對業(yè)務(wù)沖擊嚴(yán)峻，比較難以補(bǔ)償完整性價值中等， 未經(jīng)授權(quán)的修改或破壞會3中等對評估體造成影響，對業(yè)務(wù)沖擊明顯， 但可以補(bǔ)償完整性價值

7、較低， 未經(jīng)授權(quán)的修改或破壞會2低對評估體造成稍微影響，可以忍耐， 對業(yè)務(wù)沖擊稍微，簡單補(bǔ)償可忽完整性價值特別低， 未經(jīng)授權(quán)的修改或破壞1略會對評估體造成的影響可以忽視，對業(yè)務(wù)沖擊可以忽視第十六條可用性賦值：賦值標(biāo)識定義5極高可用性價值特別高， 合法使用者對信息系統(tǒng)及資源的可用度達(dá)到年度99.9%以上可用性價值較高， 合法使用者對信息系統(tǒng)及4高資源的可用度達(dá)到每天99%以上可用性價值中等， 合法使用者對信息系統(tǒng)及3中等資源的可用度在正常上班時間達(dá)到90%以上可用性價值較低， 合法使用者對信息系統(tǒng)及2低資源的可用度在正常上班時間達(dá)到25%以上可忽可用性價值可以忽視， 法使用者對信息系統(tǒng)1略及資源

8、的可用度在正常上班時間低于25%第十七條資產(chǎn)賦值最終資產(chǎn)價值可以通過違反資產(chǎn)的保密性、完整性和可 用性三個方面的程度綜合確定，資產(chǎn)的賦值采納定性的相對 等級的方式；與以上安全屬性的等級相對應(yīng)，資產(chǎn)價值的等 級可分為五級，從1 到 5 由低到高分別代表五個級別的資產(chǎn)相對價值，等級越大，資產(chǎn)越重要；詳細(xì)每一級別的資產(chǎn)價 值定義參見下表；由于資產(chǎn)最終價值的等級評估是依據(jù)資產(chǎn)保密性、完整性、可用性的賦值級別，經(jīng)過綜合評定得出的，評定準(zhǔn)就可以依據(jù)企業(yè)自身的特點，挑選以安全三性中要求最高的一種的賦值級別為綜合資產(chǎn)賦值準(zhǔn)就；等級標(biāo)識資產(chǎn)價值定義5很高資產(chǎn)的重要程度很高，其安全屬性破壞后可能導(dǎo)致系統(tǒng)受到特別嚴(yán)

9、峻的影響資產(chǎn)的重要程度較高，其安全屬性破壞后可4高能導(dǎo)致系統(tǒng)受到比較嚴(yán)峻的影響資產(chǎn)的重要程度較高，其安全屬性破壞后可3中能導(dǎo)致系統(tǒng)受到中等程度的影響資產(chǎn)的重要程度較低，其安全屬性破壞后可2低能導(dǎo)致系統(tǒng)受到較低程度的影響資產(chǎn)的重要程度都很低，其安全屬性破壞后1很低可能導(dǎo)致系統(tǒng)受到很低程度的影響，甚至忽視不計第十八條每半年重新評估一次，以確定是否存在新的威逼或薄弱點及是否需要增加新的掌握措施，對發(fā)生以下情形需準(zhǔn)時進(jìn)行風(fēng)險評估：a) 當(dāng)發(fā)生重大事故時；b) 當(dāng)信息網(wǎng)絡(luò)系統(tǒng)發(fā)生重大更換時；c) 保密工作領(lǐng)導(dǎo)小組確定有必要時；第十九條各部門對新增加、轉(zhuǎn)移的或授權(quán)銷毀的資產(chǎn)應(yīng)準(zhǔn)時在設(shè)備治理臺賬上予以添加或變更；其次十條保密風(fēng)險評估公司保密辦公室定期對系統(tǒng)集成業(yè)務(wù)、人員、資產(chǎn)、場所等主要治理活動，進(jìn)行保密風(fēng)險評估；各部門對比業(yè)務(wù)流程對保密風(fēng)險進(jìn)行識別、分析和評估，做