河北艺术职业学院信息安全管理制度-信息系统风险评估管理制度

第一章总则  

第一条为指导河北艺术职业学院（以下简称“河北艺校”）信息系统安全风险评估，识别信息系统的安全弱点，消除潜在的安全风险，制定本制度。  

第二条信息系统风险评估的对象包括服务器、网络和应用系统，以及管理和维护这些对象的流程。  

第二章适用范围  

第三条本制度适用于河北艺术职业学院各部门。  

第三章职责  

第四条安全管理员负责每半年根据上次评估结果，组织对信息系统进行有针对性的风险评估。风险评估可以由第三方安全服务提供商执行，也可由信息系统运维部门执行。  

第五条引入新的业务系统、网络或者业务系统发生重大改变时，需要安全管理员和应用系统管理员进行局部或者整体的风险评估。  

第六条信息安全执行小组负责风险评估总体工作  

1、确保相关部门知晓和理解并遵守本制度。  

2、要求相关部门在接收系统时对系统进行风险评估，并根据评估结果提出相应整改建议。  

第四章风险评估  

第七条风险评估方法  

选定某项信息资产、分析其所属业务的重要性、评估资产价值、挖掘并评估资产面临的威胁、挖掘并评估资产存在的弱点、评估该资产的风险、进而得出整个评估目标的风险。  

第八条风险评估内容  

1、通过网络弱点检测手段，识别信息系统在技术层面存在的安全弱点。  

2、通过采集本地安全信息，获得目前操作系统安全、网络设备、各种安全管理、安全控制、人员、安全策略、应用系统、业务系统等方面的信息，并进行相应的分析。  

3、通过对组织的人员、制度等相关安全管理措施的分析，了解组织现有的信息安全管理状况。通过对以上各种安全风险的分析和汇总，形成组织风险评估报告。  

4、根据风险评估报告，提出相应的安全建议，指导下一步的信息安全建设。  

第九条风险评估流程  

1、分析资产所属业务系统的重要性，判断资产对业务的关键程度。  

2、确定资产价值赋值：在确定的评估范围内识别要保护的资产，并对资产进行分类，根据资产的安全属性进行资产价值评估。  

3、评估对资产的威胁：评估在当前环境中资产能够受到的所有威胁来源和威胁的可能性。  

4、评估资产威胁相关的弱点：评估威胁可能利用的资产的弱点及其严重程度。  

5、评估风险并排列优先级：根据威胁和弱点评估的结果，评估资产面临的风险，并对风险进行优先级排列。  

第十条风险评估执行后，由风险评估的执行者编写并向信息安全执行小组提交《风险评估报告》。  

第十一条信息安全执行小组根据风险评估结果，组织制定控制风险的实施计划。  

第五章相关文件  

第十二条无  

第六章术语解释  

第十三条资产：资产是企事业单位、机构、部门直接赋予了价值因而需要保护的东西。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。它们分别具有不同的价值属性和存在特点，存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。  

第十四条弱点：弱点和资产紧密相连，它可能被威胁利用、引起资产损失或伤害。值得注意的是，弱点本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失。弱点的出现有各种原因，例如可能是软件开发过程中的质量问题，也可能是系统管理员配置方面的，也可能是管理方面的。但是，它们的共同特性就是给攻击者提供了机会。  

第十五条威胁：威胁是对系统和网络引起不期望事件而造成损害的潜在可能性。威胁可能源于对XXXX内部信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。一般来说，威胁总是要利用企事业单位网络中的系统、应用或服务的弱点才可能成功地对资产造成伤害。从宏观上讲，威胁按照产生的来源可以分为非授权蓄意行为、不可抗力、人为错误、以及设施/设备错误等。  

第十六条风险：风险是一种潜在可能性，是指某个威胁利用弱点引起某项资产或一组资产的损害，从而直接地或间接地引起企事业单位或机构的损害。因此，风险和具体的资产、其价值、威胁等级以及相关的弱点直接相关。  

第十七条风险评估：风险评估是识别被保护的资产和评价资产风险的过程。  

第七章附则  

第十八条本制度自发布之日起执行。  

第十九条本制度的解释和修改权属于信息安全领导小组。  

第二十条信息安全领导小组每年统一检查和评估本制度，并做出适当更新。在业务环境和安全需求发生重大变化时，也将对本制度进行检查和更新。