内部使用 风险评估管理制度 版本号状态拟稿和修改时间说明 V1.0新建 2021/02/10 V2.0修改 2023/4/2第一章总则 第一条目的 为了北京思度文库股份有限公司（以下简称“公司”） 全面识别和评价公 司信息安全风险，掌握公司信息安全风险管理状况，为信息安全管理策略制订 提供依据，指导信息安全风险评估工作，制定本制度。 第二条适用范围 本制度适用于公司及子公司、分支机构的信息安全风险评估。 第二章术语定义 第三条信息资产 指公司拥有或者控制的能够为公司带来经济利益的信息及信息相关的资源 。 第四条信息安全风险 指信息资产所处特定环境中某个的威胁，利用一项资产或多项资产的脆弱 性，对组织造成损害的潜能。 第五条残余风险 指采取了安全措施后，仍然可能存在的风险。第三章岗位职责分工 第六条信息安全风险管理部门 负责制定风险评估计划，定期或不定期组织风险评估工作，监督和跟踪 风险处置情况。 第七条被评估部门 负责配合风险评估实施，根据风险整改要求制订并实施具体的整改措施。第四章风险评估流程 第八条整体流程 由风险评估部门、风险评估小组、被评估部门、信息安全领导小组组成， 风险管理部门成立风险评估小组，制定风险评估方案，进行风险评估实施，进 行风险评价及报告，风险评估报告经信息安全领导小组审批后，风险评估小组 制定风险处置计划，被评估部门进行风险处置，最终风险管理部门负责风险处 置监督与跟踪。 第九条风险评估启动 每年应对公司信息安全进行例行风险评估或当外部监管要求或发生重大信 息安全事件时，可根据具体情况展开针对性的专项风险评估。第十条评估小组组建 信息安全风险管理部门负责牵头组织成立风险评估小组，实施风险评估工 作。风险评估小组应包括公司内部的、具有安全评估经验和熟悉组织运作情况 的成员，还应包括公司内部的管理层、业务部门、人力资源、信息系统和用户 的代表；如有必要，还可以包括公司外部的风险评估专家。 第十一条评估方案制订 应根据风险评估的原因和内容，明确风险评估范围，每年例行风险评估工 作，其范围应为公司范围内的所有信息资产；专项风险评估，其范围可以仅限 于特定范围内的信息资产。风险评估小组根据风险评估范围，从相关责任人处 获取信息资产清单。风险评估小组应根据风险评估范围和时间要求，制订 《信 息安全风险评估方案 》。 第十二条风险评估实施 风险评估小组根据 既定的风险评估方案对评估范围内的信息安全风险进行 风险评估。风险评估实施 过程中，应 保留风险评估中间文 档，以确保风险评估 结果的可证实和可重 现。 第十三条风险评价与报告 风险评估小组 会同被评估部门对风险评估实施 过程中发现的信息安全风险 进行评价，对于不可 接受的风险制订相应的风险处置计划。风险评估小组与被 评估部门进行 沟通后，编制风险评估报告。公司每年例行信息安全风险评估报 告应提交给信息安全领导小组审 阅。专项风险评估报告由风险评估小组提 交给 相关单位审 阅。 第十四条风险处置与跟踪 风险评估小组应根据风险评估报告，要求被评估部门或者风险所 涉及的相关责任部门进行整改。信息安全风险管理部门负责整改进度跟踪和整改 结果复 核，必要时可以 请风险评估小组成员 协助完成。 第十五条残余风险 对于整改 完成后的残余风险仍然 较高的，且由于费用或技术等原因无法进 一步控制，经信息安全领导小组批 准可以决定暂时接受此风险，但是需要采取 相应的监控措施，并由风险责任部门 积极跟踪相关 技术和产品的发展情况，以 尽快采取新的 技术或方法，降低风险。 第十六条风险库管理 信息安全风险管理部门应 将每次风险评估报告中发 现的风险纳入信息安全 风险库，进行 集中统一归档和管理，并定期进行统计和分 析，以发现风险分布、 风险关联和发展趋势等，提高风险预警和管理能力。 第五章附则 本制度的最终 解释权归安全部所有，并 严格按照章程执行。