保密风险评估及管理制度汇编

范文 销售月计划范文二年级看图写话和范文歌颂党的朗诵稿语文万能作文党代会闭幕式讲话 范例学习参考保密风险评估与 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 第一条本制度规定了所采用的风险评估方法。通过识别信息资产、风险等级评估，认知公司的风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将风险控制在可接受的水平，保持公司业务持续性发展，以满足管理方针的要求。第二条本制度适用于第一次完整的风险评估和定期的再评估。在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。第三条技术部负责牵头成立风险评估小组。第四条风险评估小组每半年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制风险评估 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 ，确认评估结果，形成《风险评估报告》。第五条各部门负责部门使用或管理的信息资产的识别和风险评估，并负责部门所涉及的信息资产的具体安全控制工作。第六条各部门负责人负责部门的信息资产识别。技术部经理负责汇总、校对全公司的信息资产。精品资料整理范文范例学习参考第七条技术部负责风险评估的策划。第八条技术部牵头成立风险评估小组，小组成员至少应该包含：管理保密部门的成员、重要责任部门的成员。第九条信息资产软件：应用软件、系统软件和适用程序等。硬件：计算机设备、通讯设备、可移动介质和其他设备。数据：数据库数据、系统文档、计划、报告、用户手册、客户配置策略等服务： 培训 焊锡培训资料ppt免费下载焊接培训教程 ppt 下载特设培训下载班长管理培训下载培训时间表下载 服务、租赁服务、公用设施（能源、电力）。文档：纸质的各种文件、传真、电报、财务报告、发展计划等人员：人员的资格、技能和经验。其他：组织的声誉、商标、形象。第十条本公司的资产范围包括：系统文件、研究信息、用户手册、培训教材、培训操作、培训软件、支持性程序、业务连续性计划、应变安排、审核记录、审核的追踪、归档信息。第十一条评估程序本评估应考虑：范围、目的、时间、效果、组织文化、精品资料整理范文范例学习参考人员素质以及具体开展的程度等因素来确定，使之能够与组织的环境和安全要求相适应。第十二条资产属性赋值资

产赋值是对资产安全价值的估价，而不是以资产的账面价格来衡量的。在对资产进行估价时，不仅要考虑资产的成本价格，更重要的是考虑资产对于组织业务的安全重要性，即根据资产损失所引发的潜在的商务影响来决定。为确保资产估价时的一致性和准确性，机构应按照上述原则，建立一个资产价值尺度（资产评估 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 ），以明确如何对资产进行赋值。第十三条资产估价的过程也就是对资产保密性、完整性和可用性影响分析的过程。影响就是由人为或突发性引起的安全事件对资产破坏的后果。这一后果可能毁灭某些资产，危及信息系统并使其丧失保密性、完整性和可用性，最终还会导致财产损失、市场份额或公司形象的损失。特别重要的是，即使每一次影响引起的损失并不大，但长期积累的众多意外事件的影响总和则可造成严重损失。一般情况下，影响主要从以下几方面来考虑：1）违反了有关法律或（和）规章制度2）影响了业务执行3）造成了信誉、声誉损失4）侵犯了个人隐私精品资料整理范文范例学习参考5）造成了人身伤害6）对法律实施造成了负面影响7）侵犯了商业机密8）违反了社会公共准则9）造成了经济损失10）破坏了业务活动11）危害了公共安全资产安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以能够基本反映资产的价值。第十四条保密性赋值：赋值标识定义指组织最重要的机密，关系组织未来发展极高的前途命运，对组织根本利益有着决定性影响，如果泄漏会造成灾难性的影响是指包含组织的重要秘密，其泄露会使组4高织的安全和利益遭受严重损害是指包含组织一般性秘密，其泄露会使组中等织的安全和利益受到损害2指仅在组织内部或在组织某一部门内部公低开,向外扩散有可能对组织的利益造成损害1可忽略对社会公开的信息，公用的信息处理设备精品资料整理范文范例学习参考和系统资源等信息资产第十五条完整性赋值：赋值标识定义完整性价值非常关键，未经授权的修改或5破坏会对评估体造成重大的或无法接受、极高特别不愿接受的影响，对业务冲击重大，并可能造成严重的业务

中断，难以弥补完整性价值较高，未经授权的修改或破坏4高会对评估体造成重大影响，对业务冲击严重，比较难以弥补完整性价值中等，未经授权的修改或破坏中等会对评估体造成影响，对业务冲击明显，但可以弥补完整性价值较低，未经授权的修改或破坏2低会对评估体造成轻微影响，可以忍受，对业务冲击轻微，容易弥补可忽完整性价值非常低，未经授权的修改或破1略坏会对评估体造成的影响可以忽略，对业务冲击可以忽略第十六条可用性赋值：精品资料整理范文范例学习参考赋值标识极高4高中等2低可忽1略定义可用性价值非常高，合法使用者对信息系统及资源的可用度达到年度99.9%以上可用性价值较高，合法使用者对信息系统及资源的可用度达到每天99%以上可用性价值中等，合法使用者对信息系统及资源的可用度在正常上班时间达到90%以上可用性价值较低，合法使用者对信息系统及资源的可用度在正常上班时间达到25%以上可用性价值可以忽略，法使用者对信息系统及资源的可用度在正常上班时间低于25%第十七条资产赋值最终资产价值可以通过违反资产的保密性、完整性和可用性三个方面的程度综合确定，资产的赋值采用定性的相对等级的方式。与以上安全属性的等级相对应，资产价值的等级可分为五级，从1到5由低到高分别代表五个级别的资产相对价值，等级越大，资产越重要。具体每一级别的资产价值定义参见下表。精品资料整理范文范例学习参考由于资产最终价值的等级评估是依据资产保密性、完整性、可用性的赋值级别，经过综合评定得出的，评定准则可以根据企业自身的特点，选择以安全三性中要求最高的一种的赋值级别为综合资产赋值准则。等级标识资产价值定义资产的重要程度很高，其安全属性破坏后很高可能导致系统受到非常严重的影响4资产的重要程度较高，其安全属性破坏后高可能导致系统受到比较严重的影响3资产的重要程度较高，其安全属性破坏后中可能导致系统受到中等程度的影响2资产的重要程度较低，其安全属性破坏后低可能导致系统受到较低程度的影响资产的重要程度都很低，其安全属性破坏1很低

后可能导致系统受到很低程度的影响，甚至忽略不计第十八条每半年重新评估一次，以确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施，对发生以下情况需及时进行风险评估：当发生重大事故时；精品资料整理范文范例学习参考b)当信息网络系统发生重大更改时；c)保密工作领导小组确定有必要时。第十九条各部门对新增加、转移的或授权销毁的资产应及时在《设备管理台账》上予以添加或变更。第二十条保密风险评估公司保密办公室定期对系统集成业务、人员、资产、场所等主要管理活动，进行保密风险评估。各部门对照业务流程对保密风险进行识别、分析和评估，做出具体防控措施。保密意识风险领导组织结构风险保密形势分析风险工作方式风险保密环境风险管理制度措施风险涉密资源管理风险第二十一条保密风险防控和监督检查机制精品资料整理范文范例学习参考公司要将保密防控措施融入到管理制度和业务工作流程当中，从日常监督，定期自查等方法，对保密风险进行有效的防范堵漏，逐步完善公司的监督检查机制。欢迎您的光临，Word文档下载后可修改编辑双击可删除页眉页脚谢谢！希望您提出您宝贵的意见，你的意见是我进步的动力。赠语；、如果我们做与不做都会有人笑，如果做不好与做得好还会有人笑，那么我们索性就做得更好，来给人笑吧！、现在你不玩命的学，以后命玩你。、我不知道年少轻狂，我只知道胜者为王。、不要做金钱、权利的奴隶；应学会做金钱、权利的主人。、什么时候离光明最近？那就是你觉得黑暗太黑的时候。、最值得欣赏的风景，是自己奋斗的足迹。、压力不是有人比你努力，而是那些比你牛×几倍的人依然比你努力。宁可累死在路上，也不能闲死在家里！宁可去碰壁，也不能面壁。是狼就要练好牙，是羊就要练好腿。什么是奋斗？奋斗就是每天很难，可一年一年却越来越容易。不奋斗就是每天都很容易，可一年一年越来越难。能干的人，不在情绪上计较，只在做事上认真；无能的人！不在做事上认真，只在情绪上计较。拼一个春夏秋冬！赢一个无悔人生！早安！—————献给所有努力的人精品资料整理