IT信息安全风险评估控制手册
1 目的
本程序规定了DXC所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估认知DXC的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持DXC持续性发展,以满足DXC信息安全管理方针的要求。
2 范围
本程序适用于信息安全管理体系(ISMS)范围内信息安全风险评估活动。
3 相关文件
无
4 职责
4.1 管理者代表负责组织成立风险评估小组。
4.2 风险评估小组负责编制信息安全风险评估计划,确认评估结果,形成《信息安全风险评估报告》。
5 程序
5.1 风险评估前准备
5.1.1 管理者代表牵头成立风险评估小组,小组成员至少应该包含:负责信息安全管理体系的成员。
5.1.2 风险评估小组制定信息安全风险评估计划,下发各内审员。
5.1.3 必要时应对各内审员进行风险评估相关知识和表格填写的培训。
5.2信息资产的识别
5.2.1风险评估小组通过电子邮件向各内审员发放《信息资产分类参考目录》、《重要信息资产判断准则》、《信息资产识别表》,同时提出信息资产识别的要求。
5.2.2 各内审员参考《信息资产分类参考目录》识别DXC信息资产,并填写《信息资产识别表》,根据《重要信息资产判断准则》判断其是否是重要信息资产,经该区域负责人审核确认后,在风险评估计划规定的时间内提交风险评估小组审核汇总。
5.2.3 风险评估小组对各内审员填写的《信息资产识别表》进行审核,确保没有遗漏重要的信息资产,形成DXC的《重要信息资产清单》,并交由文档管理员处存档。
5.3 重要信息资产风险等级评估
5.3.1 应对《重要信息资产清单》中的所有资产进行风险评估, 评估应考虑威胁事件发生的可能性和威胁事件发生后对信息资产造成的影响程度两方面因素。
5.3.2 风险评估小组向各内审员分发《重要信息资产风险评估表》、《信息安全威胁参考表》、《信息安全薄弱点参考表》、《事件发生可能性等级对照表》、《事件可能影响程度等级对照表》。
5.3.3 各内审员根据资产本身所处的环境条件,参考《信息安全威胁参考表》识别每个信息资产所面临的威胁,针对每个威胁,识别目前已有的控制;并参考《信息安全薄弱点参考表》识别可能被该威胁所利用的薄弱点;在考虑现有的控制前提下,参考《事件发生可能性等级对照表》判断每项重要信息资产所面临威胁发生的可能性;参考《事件可能影响程度等级对照表》,判断威胁利用薄弱点可能使信息资产保密性、完整性或可用性丢失所产生的影响程度等级。将结果填写在《重要信息资产风险评估表》上,提交风险评估小组审核汇总。
5.3.4 风险评估小组考虑DXC整体的信息安全要求,对各内审员填写的《重要信息资产风险评估表》进行审核,确保风险评估水平的一致性,确保没有遗漏重要信息安全风险。如果对评估结果进行修改,应该和负责该资产的内审员进行沟通并获得该区域副总经理的确认。5.3.5 风险评估小组根据《信息安全风险矩阵计算表》计算风险等级,完成各内审员识别的《重要信息资产风险评估表》,并递交给文档管理员进行存档。
