信息安全管理体系信息安全不可接受风险处理计划由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“信息安全风险处理计划”。
信息安全管理体系信息安全不可接受风险处理计划[
一、适用
本计划为按照程序文件 ISMS-2002《信息安全风险管理程序》 要求各部门对本部门不可接受风险做出处理计划,由行政部负责汇总,提交信息安全管理 委员会评审以获得管理层批准实施。
二、目的根据表 ISMS-4024《重要信息资产风险评估表》中风险等级≥4 以上的资产采取控制措施,保证降低其风险等级至可接受风险等级。
三、职责
针对某项不可接受风险的资产责任人即为此计划的编制人和负责人。
四、详细处理计划
对于上述不可接受风险的资产,处理准则为,对面临同样风险的资产采取一类管理方法,举例对技术部公积金扫描验印系统、票据防伪系统、电子 验印系统、票据影像系统、光盘缩微系统、一票一密系统、上门收款原代码的管理方式应考虑通用的控制措施。
处理计划要求包含以下内容:
a)针对不可接受风险资产的范围。
b)风险计划实施部门,编制人,批准人、实施人,编制时间,生效时间。c)对资产的脆弱性和威胁做详细分析和描述。d)权衡成本和收益提出处理策略。对于计划处理效果显著,可以转变为公司的统一管理制度。此次风险评估的处理计划如下:
部集编JC编刘健 制2009-1-1 门 成部 号-001 制人 表时间
风资产名称:交换机、UPS 电源、技术部路由器
险描资产风险:
述
1、交换机:本公司的机房环境差,没有温湿度控制,没有除尘设施,机房布线混乱,交换机没有定期检测。
2、UPS:UPS 使用的时间接近报废时间,若出现 UPS 失效,而不
及时更换,电力供应中断后服务器数据丢失,不可恢复。
3、技术部路由器:技术部每天产生的项目代码需要通过路由器传到
备份服务器,对技术部的路由器的维护措施没有,有 中断业务的风险 目
1、降低交换机发生故障的概率。的2、保障服务器的电力供应。
3、确保技术部的持续工作。
适江苏万佳技术部项目组
用范
围
风置详细策略
险处 交换机:
(1)交换机等放到机房,机房有独立的物理空间。
(2)在机房中配备温湿度计,安装空调,对机房用门隔离,门上贴
警示标识,将机房规定为敏感区域,墙上贴有机房进 去登记表,编制机房管理规定。
(3)定期对交换机功能检查,周期为一周一次。UPS:
(1)向行政部申请购买 2 台全新 UPS,以防止此 UPS 失效。技
术部路由器:
(1)将此路由器放置有保护的装置中,将技术部的合理区域划为设备存放地,贴一标识以防设备被无意损坏。
(2)定期对路由器检查,周期为一周一次。
惩(1)对违反机房管理规定者,首次予以警告,第二次违规罚款 20 罚 元,通报批评教育。
(2)对损坏公司网络硬件设备者,提交行政部视情节予以处理。引
用标
准
