保密風險評估與管理制度

1、保密風險評估與管理制度保密風險評估與管理制度第一條第一條本制度規(guī)定了所采用的風險評估方法。通過識別信息資產(chǎn)、風險等級評估，認知公司的風險，在考慮控制成本與風險平衡的前提下選擇合適控制目標和控制方式將風險控制在可接受的水平，保持公司業(yè)務持續(xù)性發(fā)展，以滿足管理方針的要求。第二條第二條本制度適用于第一次完整的風險評估和定期的再評估。在辨識資產(chǎn)時，本著盡量細化的原則進行，但在評估時我司又會把資產(chǎn)按照系統(tǒng)進行規(guī)劃。辨識與評估的重點是信息資產(chǎn)，不區(qū)

2、分物理資產(chǎn)、軟件和硬件。第三條第三條技術(shù)部負責牽頭成立風險評估小組。第四條第四條風險評估小組每半年至少一次，或當體系、組織、業(yè)務、技術(shù)、環(huán)境等影響企業(yè)的重大事項發(fā)生變更、重大事故事件發(fā)生后，負責編制風險評估計劃，確認評估結(jié)果，形成《風險評估報告》。第五條第五條各部門負責部門使用或管理的信息資產(chǎn)的識別和風險評估，并負責部門所涉及的信息資產(chǎn)的具體安全控制工作。第六條第六條各部門負責人負責部門的信息資產(chǎn)識別。技術(shù)部經(jīng)理負責匯總、校對全公司的信

3、息資產(chǎn)。第七條第七條技術(shù)部負責風險評估的策劃。第十二條第十二條資產(chǎn)屬性賦值資產(chǎn)賦值是對資產(chǎn)安全價值的估價，而不是以資產(chǎn)的賬面價格來衡量的。在對資產(chǎn)進行估價時，不僅要考慮資產(chǎn)的成本價格，更重要的是考慮資產(chǎn)對于組織業(yè)務的安全重要性，即根據(jù)資產(chǎn)損失所引發(fā)的潛在的商務影響來決定。為確保資產(chǎn)估價時的一致性和準確性，機構(gòu)應按照上述原則，建立一個資產(chǎn)價值尺度（資產(chǎn)評估標準），以明確如何對資產(chǎn)進行賦值。第十三條第十三條資產(chǎn)估價的過程也就是對資產(chǎn)保密性、

4、完整性和可用性影響分析的過程。影響就是由人為或突發(fā)性引起的安全事件對資產(chǎn)破壞的后果。這一后果可能毀滅某些資產(chǎn)，危及信息系統(tǒng)并使其喪失保密性、完整性和可用性，最終還會導致財產(chǎn)損失、市場份額或公司形象的損失。特別重要的是，即使每一次影響引起的損失并不大，但長期積累的眾多意外事件的影響總和則可造成嚴重損失。一般情況下，影響主要從以下幾方面來考慮：（1）違反了有關(guān)法律或（和）規(guī)章制度（2）影響了業(yè)務執(zhí)行（3）造成了信譽、聲譽損失（4）侵犯了個人