信息技术管理体系风险管理流程（8页）.doc-IT风险-保险资料库

信息技术管理体系风险管理流程（8页）.doc

1. 目的和范围
1.1. 目的
规范XX所信息技术管理体系风险评估工作，明确风险评估管理相关人员的职责、风险评估管理的方法和流程。
1.2. 范围
本文档适用于X车XX电力机车研究所有限公司信息管理部、XXX车时代电气股份有限公司信息中心。
XX所各业务主体下属其他IT服务组织参照执行。
2. 制订依据
ISO/IEC20000-1:2011 《信息技术-服务管理-第一部分：服务管理体系要求》
GB/T22080-2008 《信息技术安全技术信息安全管理体系要求》
ISO/IEC27001:2013 《信息技术安全技术信息安全管理体系要求》
3. 定义
参见《XX所信息技术管理体系标准术语表》。
4. 职责
参见《XX所信息技术管理体系组织架构定义》。
5. 具体条款
5.1. 风险评估频率
风险管理规范负责人应按照5.2节“风险评估管理流程”要求，每年定期制定风险评估计划，并组织一次局部或全部的风险评估，以确定是否存在新的风险，从而综合考虑是否需要增加新的控制措施。
在日常工作中，如果出现以下重大变化，风险管理规范负责人在取得管理者代表的同意后将立即组织进行局部或全部的风险识别和评价：
1）有关法律法规更改和增删时；
2）客户等相关方有要求或提议时；
3）业务活动出现重大变更时；
4）资产发生重大变化时；
5）发生重大信息安全事件时；