午啪啪夜福利无码亚洲,亚洲欧美suv精品,欧洲尺码日本尺码专线美国,老狼影院成年女人大片

1、公司保密風險評估與管理制度、賦值編 制： 審 核： 批 準： 版 本 號: ESZAQDGF001 編 制： 審 核： 批 準： 版 本 號: 保密風險評估與管理制度第一條 本制度規定了所采用的風險評估方法。通過識別信息資產、風險等級評估，認知公司的風險，在考慮控制成本與風險平衡的前提下選擇合適控制目標和控制方式將風險控制在可接受的水平，保持公司業務持續性發展，以滿足管理方針的要求。 第二條 本制度適用于第一次完整的風險評估和定期的再評估。在辨識資產時，本著盡量細化的原則進行，但在評估時我司又會把資產按照系統進行規劃。辨識與評估的重點是信息資產，不區分物理資產、軟件和硬件。第三條 技術部負責牽2、頭成立風險評估小組。第四條 風險評估小組每半年至少一次，或當體系、組織、業務、技術、環境等影響企業的重大事項發生變更、重大事故事件發生后，負責編制風險評估計劃，確認評估結果，形成風險評估報告。第五條 各部門負責部門使用或管理的信息資產的識別和風險評估，并負責部門所涉及的信息資產的具體安全控制工作。第六條 各部門負責人負責部門的信息資產識別。技術部經理負責匯總、校對全公司的信息資產。第七條 技術部負責風險評估的策劃。第八條 技術部牽頭成立風險評估小組，小組成員至少應該包含：管理保密部門的成員、重要責任部門的成員。第九條 信息資產1) 軟件：應用軟件、系統軟件和適用程序等。2) 硬件：計算機設備、3、通訊設備、可移動介質和其他設備。3) 數據：數據庫數據、系統文檔、計劃、報告、用戶手冊、客戶配置策略等4) 服務：培訓服務、租賃服務、公用設施（能源、電力）。5) 文檔：紙質的各種文件、傳真、電報、財務報告、發展計劃等6) 人員：人員的資格、技能和經驗。7) 其他：組織的聲譽、商標、形象。第十條 本公司的資產范圍包括：系統文件、研究信息、用戶手冊、培訓教材、培訓操作、培訓軟件、支持性程序、業務連續性計劃、應變安排、審核記錄、審核的追蹤、歸檔信息。第十一條 評估程序本評估應考慮：范圍、目的、時間、效果、組織文化、人員素質以及具體開展的程度等因素來確定，使之能夠與組織的環境和安全要求相適應。第十二4、條 資產屬性賦值資產賦值是對資產安全價值的估價，而不是以資產的賬面價格來衡量的。在對資產進行估價時，不僅要考慮資產的成本價格，更重要的是考慮資產對于組織業務的安全重要性，即根據資產損失所引發的潛在的商務影響來決定。為確保資產估價時的一致性和準確性，機構應按照上述原則，建立一個資產價值尺度（資產評估標準），以明確如何對資產進行賦值。第十三條 資產估價的過程也就是對資產保密性、完整性和可用性影響分析的過程。影響就是由人為或突發性引起的安全事件對資產破壞的后果。這一后果可能毀滅某些資產，危及信息系統并使其喪失保密性、完整性和可用性，最終還會導致財產損失、市場份額或公司形象的損失。特別重要的是，即使每5、一次影響引起的損失并不大，但長期積累的眾多意外事件的影響總和則可造成嚴重損失。一般情況下，影響主要從以下幾方面來考慮：（1）違反了有關法律或（和）規章制度（2）影響了業務執行（3）造成了信譽、聲譽損失（4）侵犯了個人隱私（5）造成了人身傷害（6）對法律實施造成了負面影響（7）侵犯了商業機密（8）違反了社會公共準則（9）造成了經濟損失（10）破壞了業務活動（11）危害了公共安全資產安全屬性的不同通常也意味著安全控制、保護功能需求的不同。通過考察三種不同安全屬性，可以能夠基本反映資產的價值。第十四條 保密性賦值：賦值標識定義5極高指組織最重要的機密，關系組織未來發展的前途命運，對組織根本利益有著決6、定性影響，如果泄漏會造成災難性的影響 4高是指包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴重損害3中等是指包含組織一般性秘密，其泄露會使組織的安全和利益受到損害2低指僅在組織內部或在組織某一部門內部公開,向外擴散有可能對組織的利益造成損害1可忽略對社會公開的信息，公用的信息處理設備和系統資源等信息資產第十五條 完整性賦值：賦值標識定義5極高完整性價值非常關鍵，未經授權的修改或破壞會對評估體造成重大的或無法接受、特別不愿接受的影響，對業務沖擊重大，并可能造成嚴重的業務中斷，難以彌補4高完整性價值較高，未經授權的修改或破壞會對評估體造成重大影響，對業務沖擊嚴重，比較難以彌補3中等完整性價值7、中等，未經授權的修改或破壞會對評估體造成影響，對業務沖擊明顯，但可以彌補2低完整性價值較低，未經授權的修改或破壞會對評估體造成輕微影響，可以忍受，對業務沖擊輕微，容易彌補1可忽略完整性價值非常低，未經授權的修改或破壞會對評估體造成的影響可以忽略，對業務沖擊可以忽略第十六條 可用性賦值：賦值標識定義5極高可用性價值非常高，合法使用者對信息系統及資源的可用度達到年度99.9%以上4高可用性價值較高，合法使用者對信息系統及資源的可用度達到每天99%以上3中等可用性價值中等，合法使用者對信息系統及資源的可用度在正常上班時間達到90%以上2低可用性價值較低，合法使用者對信息系統及資源的可用度在正常上班時8、間達到25%以上1可忽略可用性價值可以忽略，法使用者對信息系統及資源的可用度在正常上班時間低于25%第十七條 資產賦值最終資產價值可以通過違反資產的保密性、完整性和可用性三個方面的程度綜合確定，資產的賦值采用定性的相對等級的方式。與以上安全屬性的等級相對應，資產價值的等級可分為五級，從1到5由低到高分別代表五個級別的資產相對價值，等級越大，資產越重要。具體每一級別的資產價值定義參見下表。由于資產最終價值的等級評估是依據資產保密性、完整性、可用性的賦值級別，經過綜合評定得出的，評定準則可以根據企業自身的特點，選擇以安全三性中要求最高的一種的賦值級別為綜合資產賦值準則。等級標識資產價值定義5很高資9、產的重要程度很高，其安全屬性破壞后可能導致系統受到非常嚴重的影響4高資產的重要程度較高，其安全屬性破壞后可能導致系統受到比較嚴重的影響3中資產的重要程度較高，其安全屬性破壞后可能導致系統受到中等程度的影響2低資產的重要程度較低，其安全屬性破壞后可能導致系統受到較低程度的影響1很低資產的重要程度都很低，其安全屬性破壞后可能導致系統受到很低程度的影響，甚至忽略不計第十八條 每半年重新評估一次，以確定是否存在新的威脅或薄弱點及是否需要增加新的控制措施，對發生以下情況需及時進行風險評估：a) 當發生重大事故時；b) 當信息網絡系統發生重大更改時；c) 保密工作領導小組確定有必要時。第十九條 各部門對新增加、轉移的或授權銷毀的資產應及時在設備管理臺賬上予以添加或變更。第二十條 保密風險評估公司保密辦公室定期對系統集成業務、人員、資產、場所等主要管理活動，進行保密風險評估。各部門對照業務流程對保密風險進行識別、分析和評估，做出具體防控措施。保密意識風險領導組織結構風險保密形勢分析風險工作方式風險保密環境風險管理制度措施風險涉密資源管理風險第二十一條 保密風險防控和監督檢查機制公司要將保密防控措施融入到管理制度和業務工作流程當中，從日常監督，定期自查等方法，對保密風險進行有效的防范堵漏，逐步完善公司的監督檢查機制。