信息安全风险评估管理规定第一节总则第一条目的为了尽可能的发现企业中存在的信息安全隐患,降低信息安全事件发生的可能性,特制定本规定。第二条适用范围本规定描述了信息安全风险识别、评估过程,适用于信息安全风险识别、评估管理活动。第三条定义信息安全风险:指在信息化建设中,各类应用系统及其赖以运行的基础网络、处理的数据和信息,由于其可能存在的软硬件缺陷、系统集成缺陷等,以及信息安全管理中潜在的薄弱环节,而导致的不同程度的安全风险。第四条角色职责一、信息部负责组织建立风险评估小组,对信息安全风险进行评估、管理。二、风险评估小组负责对公司各信息系统进行风险评估工作。三、其他相关业务部门负责组织对各自分管信息系统的安全风险进行控制。第二节管理规程细则第五条管理规定一、风险评估流程、风险评估准备信息部负责组织各部门做好风险准备工作,包括:(一)确定风险评估方法及接受准则;(二)确定风险评估计划;(三)确定风险评估小组人员。三、风险识别信息安全风险识别包括资产识别、威胁识别、脆弱性识别三部分内容。一)资产的识别1.
