風(fēng)險評估

管

理

程

序

文件修訂履歷表

修訂日期修改章節(jié)（內(nèi)容）現(xiàn)行版本狀態(tài)

初次發(fā)行

2023-7-1A/0

1目的

為了在考慮控制成本與風(fēng)險平衡的前提下選擇合適的控制目標(biāo)和控制方式、策略，將大數(shù)據(jù)安全風(fēng)險控制在

可接受的水平，并進(jìn)行體系策略及規(guī)劃。

2范圍

本程序適用大數(shù)據(jù)安全服務(wù)體系范圍內(nèi)安全風(fēng)險評估、規(guī)劃和策略活動的管理。

3職責(zé)

3.1管理者代表：

3.1.1負(fù)責(zé)組織成立大數(shù)據(jù)安全管理小組。

3.1.2負(fù)責(zé)編制大數(shù)據(jù)安全風(fēng)險評估計劃，確認(rèn)評估結(jié)果，形成風(fēng)險評估報告及風(fēng)險處理計劃。

各部門

負(fù)責(zé)本部門使用或管理的資產(chǎn)的識別和風(fēng)險評估，并負(fù)責(zé)本部門所涉及的資產(chǎn)的具體安全控制工作。

4定義

4.1資產(chǎn)：指對組織大數(shù)據(jù)有價值的任何東西，無論線上或線下、云外或云中，包括：信息資產(chǎn)，軟件，物

理資產(chǎn)，任務(wù)，人員資格技能經(jīng)驗，無形資產(chǎn)，基礎(chǔ)設(shè)施設(shè)備C」P,個人信息和隱私PII等。

4.2大數(shù)據(jù)：具有休量巨大，來源多樣、生成極快、且多變等特征并且難以用傳統(tǒng)數(shù)據(jù)體系結(jié)構(gòu)有效處理的

包含大量數(shù)據(jù)集的數(shù)據(jù)。

注：國際1二，大數(shù)據(jù)的4個特征普遍不加修飾地直接用volume、variety、velocity和variability予以表

述，并分別賦予了它們在大數(shù)據(jù)語境下的定義：

a）體量volume：構(gòu)成大數(shù)據(jù)的數(shù)據(jù)集的規(guī)模。

b）多樣性variety：數(shù)據(jù)可能來自多個數(shù)據(jù)倉庫，數(shù)據(jù)領(lǐng)域或多種數(shù)據(jù)類型。

c）速度velocity：單位時間的數(shù)據(jù)流量。

d）多變性variability：大數(shù)據(jù)其他特征，即體量、速度和多樣性等特征都處于多變狀態(tài)。

5程序

5.1風(fēng)險評估前準(zhǔn)備

①管理者代表牽頭成立大數(shù)據(jù)安全管理小組，委員會成員應(yīng)包含大數(shù)據(jù)安全重要責(zé)任部門的成員。

②大數(shù)據(jù)安全管理小組制定大數(shù)據(jù)安全風(fēng)險評估計劃，下發(fā)各部門。

③風(fēng)險評估方法-定性綜合風(fēng)險評估方法

5.1.1本項目采用定性的風(fēng)險評估方法。定性風(fēng)險評估并不強求對構(gòu)成風(fēng)險的各個要素（特別是資產(chǎn)、大數(shù)

據(jù)）進(jìn)行精確的量化評價，它有賴于評估者的經(jīng)驗判斷、業(yè)界慣例以及組織自身定義的標(biāo)準(zhǔn)，來對風(fēng)險要素

進(jìn)行相對的等級分化，最終得出的風(fēng)險大小，只需要通過等級差別來分出風(fēng)險處理的優(yōu)先順序即可。

5.1.2綜合評估是先識別資產(chǎn)并對資產(chǎn)進(jìn)行賦值評估，得出重要資產(chǎn)，然后對重要資產(chǎn)進(jìn)行詳組的風(fēng)險評估。

5.1.3可參考從網(wǎng)絡(luò)信息分享論壇及來源接收威脅、脆弱性、風(fēng)險等安全信息。

5.2資產(chǎn)賦值

①各部門大數(shù)據(jù)安全管理小組成員對本部門資產(chǎn)進(jìn)行識別，并進(jìn)行資產(chǎn)賦值。

資產(chǎn)價值計算方法：資產(chǎn)價值;保密性賦值+完整性賦值+可用性賦值

②貨產(chǎn)賦值的過程是對資產(chǎn)在信息和數(shù)據(jù)分類、機密性、完整性、可用性進(jìn)行分析評估，并在比基礎(chǔ)上得出

綜合結(jié)果的過程。

③確定信息和數(shù)據(jù)類別

信息和數(shù)據(jù)分類按“5.9資產(chǎn)識另!參考（資產(chǎn)類別）”進(jìn)行，包括網(wǎng)絡(luò)資產(chǎn)、個人信息和數(shù)據(jù)和隱私PII,

信息和數(shù)據(jù)分類不適用時，可不填寫。

市場部、財務(wù)中心與服務(wù)提供商、供應(yīng)商、分包商溝通、協(xié)助資產(chǎn)的價值、信息和數(shù)據(jù)、分類和標(biāo)識等。

④機密性（C）賦值

根據(jù)資產(chǎn)在機密性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在機密性上的應(yīng)達(dá)成的不同程度

或者機密性缺失時對整個組織的影響。

⑤完整性（I）賦值

根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在完整性上的達(dá)成的不同程度或

者完整性缺失時對整個組織的影響。

素-資產(chǎn)

數(shù)據(jù)存儲、傳

輸及處理設(shè)每次

施在一個工賦中斷斌使用頻使用頻允許離

賦值賦值賦值賦值

作日內(nèi)允許值允許值次要求次崗時間

中斷的次數(shù)時間

或時間比例

每年都每年都

16次以上或10個工

3天以要使用要使用

全部T作時1111作日及1

上至少1至少1

間中斷以上

次次

按資產(chǎn)每個季每個季

9T5次或

使用或1-3度都要度都要6-9工

可1/2工作時22222

允許中天使用至使用至作日

間中斷

斷的時少1次少1次

性

間次數(shù)每個月每個月

3-8次或1/412小

來評估都要使都要使3-5個

工作時間中3時一13333

用至少用至少1工作日

斷天

1次次

每周都每局都

1-2次或1/83小時

要使用要使用2個工

工作時間中4-124444

至少1至。1作日

斷小時

次次

每天都每天都

0-3要使用要使用1個工

不允許55555

小時至少1至少1作日

次次

5.3判定重要資產(chǎn)

①根據(jù)前面的資產(chǎn)機密性、完整性、可用性的賦值相加得到資產(chǎn)的價值，資產(chǎn)價值越高表示資比重要性程度

越高。

要素標(biāo)識相對價值范圍等級

很高15,14,134

高12,11,1()3

資產(chǎn)等級

??般9,8,7,62

低5,4,31

②按資產(chǎn)價值得出重要資產(chǎn)，資產(chǎn)價值為4,3的是重要資產(chǎn)，資產(chǎn)價值為2,1的是非重要資產(chǎn)。

③對個人信息和數(shù)據(jù)和隱私PII資產(chǎn)，法律法規(guī)和標(biāo)準(zhǔn)規(guī)定敏感信息和數(shù)據(jù)的，直接定為4級資產(chǎn)，非敏感

信息和數(shù)據(jù)的直接定為3級。

④大數(shù)據(jù)安全管理小組對各部門資產(chǎn)識別情況進(jìn)行審核，確保沒有遺漏重要資產(chǎn)，形成各部門的資產(chǎn)識別清

單。

⑤各部門的資產(chǎn)識別清單經(jīng)本部門負(fù)責(zé)人審核，報管理者代表確認(rèn)，并分發(fā)各部門存檔。

5.4重要資產(chǎn)風(fēng)險評估

5.4.1應(yīng)對所有的重要資產(chǎn)進(jìn)行風(fēng)險評估，評估應(yīng)考慮威脅、脆弱性、威脅事件發(fā)生的可能性、威脅事件發(fā)

生后對資產(chǎn)造成的影響程度、風(fēng)險的等級、風(fēng)險是否在可接受范圍內(nèi)及已采取的措施等方面因素。

5.4.2識別威脅

①威脅是對組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素，造成威脅的因素可分為人為因素和環(huán)境因素。威脅作

用形式可以是對信息和數(shù)據(jù)系統(tǒng)直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在保密性、完整性

或可用性等方面造成損害；也可能是偶發(fā)的、或蓄意的事件。

②威脅可基于表現(xiàn)形式分類，基于表現(xiàn)形式的威脅分類標(biāo)準(zhǔn)可參考下表：

威脅分類表

種類描述威脅子類

設(shè)備硬件故障、傳輸設(shè)備故障、存儲媒體故障、

對業(yè)務(wù)實施或系統(tǒng)運行產(chǎn)生影響的設(shè)備硬件故

軟硬件故障系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故

障、通iR鏈路中斷、系統(tǒng)本身或軟件缺陷等問題

降、開發(fā)環(huán)境故障等

物理環(huán)境影對信息系統(tǒng)正常運行造成影響的物理環(huán)境問題斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、

響和自然災(zāi)害電磁干擾、洪災(zāi)、火災(zāi)、地震等

無作為或操應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意執(zhí)行了

維護(hù)錯誤、操作失誤等

作失誤錯誤的操作

安全管理無法落實或不到位，從而破壞信息系統(tǒng)管理制度和策略不完善、管理規(guī)程缺失、職責(zé)

管理不到位

正常有序運行不明確、監(jiān)督控管機制不健全等

法毒、特洛伊木馬、端蟲、陷門、間諜軟件、

惡意代碼故意在計算機系統(tǒng)上執(zhí)行惡意任務(wù)的程序代碼

竊聽軟件等

逋過米用一些措施，超越自己的權(quán)限訪問/本來非授權(quán)訪問網(wǎng)絡(luò)資源、非授權(quán)訪問系統(tǒng)資源、

越權(quán)或濫用無權(quán)訪問的資源，或者濫用自己的權(quán)限，做出破淺用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)

壞信息系統(tǒng)的行為限泄露秘密信息等

網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探（帳號、

利用工具和技術(shù)通過網(wǎng)絡(luò)對信息系統(tǒng)進(jìn)行攻擊口令、權(quán)限等）、用戶身份偽造和欺騙、用戶

網(wǎng)絡(luò)攻擊

和入侵或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運行的控制和

破壞等

物理攻擊通過物理的接觸造成對軟件、硬件、數(shù)據(jù)的破壞物理接觸、物理破壞、盜竊等

泄密信息泄露給不應(yīng)了解的他人內(nèi)部信息泄露、外部信息泄露等

筑改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改

非法修改信息，破壞信息的完整性使系統(tǒng)的安全

篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)

性降低或信息不可用

信息等

抵賴不承認(rèn)收到的信息和所作的操作和交易原發(fā)抵賴、接收抵賴、第三方抵賴等

③各部門根據(jù)資產(chǎn)本身所處的環(huán)境條件，識別每個資產(chǎn)所面臨的威脅。

④對個人資產(chǎn)威脅，主要圍繞身份問題，由泄露或盜竊個人信息構(gòu)成。

1）如果一個人的在線身份被盜用或偽裝，會被剝奪使用關(guān)鍵服務(wù)和應(yīng)用程序的權(quán)利，嚴(yán)重的情況下，后果

可能從財務(wù)金融到國家層面的事件，未經(jīng)授權(quán)獲取個人的財務(wù)信息也有可能導(dǎo)致個人資金被盜和欺詐。

2）一個威脅是終端、個人電腦可能變成僵尸或機器人.

3）虛擬世界或在線游戲世界中的資產(chǎn)也會受到攻擊和利用。

4）虛擬盜竊和虛擬搶劫等攻擊

5）由于法規(guī)問題，與虛擬資產(chǎn)有關(guān)的規(guī)則和條例幾乎無效，虛斗貨幣挖礦參與者必須格外小心謹(jǐn)慎，以確

保其虛擬資產(chǎn)得到適當(dāng)保護(hù)。

⑤組織資產(chǎn)威脅

1）組織的在線展示和在線業(yè)務(wù)往往是不法之徒的目標(biāo)，包括惡作劇。

2）如果攻擊成功，雇員、客戶、合作伙伴或提供者提供的個人常息可能被披露，可能導(dǎo)致對組織的司法和

行政制裁。

3）如果以未經(jīng)授權(quán)的方式披露組織結(jié)果，也可能違反金融、財務(wù)申報法規(guī)。

4）各國政府必須保護(hù)其基礎(chǔ)設(shè)施和信息免遭不當(dāng)獲取和利用，政府掌握著國家安全、戰(zhàn)略、軍事、情報等

許多與政府和國家有關(guān)的信息，但也掌握著關(guān)于個人、組織和整個社會的大量信息。

5）攻擊電子政府服務(wù)，可能會對一個國家、其政府及其社會構(gòu)成嚴(yán)重風(fēng)險。

6）攻擊支持互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施以及數(shù)據(jù)，影響有助保障大數(shù)據(jù)安全的基礎(chǔ)設(shè)施的可靠性和可用性。

7）數(shù)據(jù)是恐怖主義猖獗的灰色地帶，原因是數(shù)據(jù)提供了方便的通訊，在界定邊界和邊界方面的很難對其使

用方式進(jìn)行規(guī)范和控制。

8）恐怖組織可以合法地購買、促進(jìn)、保護(hù)其非法活動的應(yīng)用程序、服務(wù)和資源，以避免被發(fā)現(xiàn)和追蹤，如

通過僵尸網(wǎng)絡(luò)。

⑥威脅因素，是在執(zhí)行或支持攻擊中扮演任何角色的個人或組織。

◎透徹了解威脅動機（宗教、政治、經(jīng)濟(jì)等）、能力（知識、資金、規(guī)模等）和意圖（樂趣、犯罪、間諜等）

對于評估漏洞和風(fēng)險以及開發(fā)和部署控制措施至關(guān)重要。

◎意識到相關(guān)方的參與可能在整個數(shù)據(jù)，特別是其他相關(guān)方的信息系統(tǒng)帶來的風(fēng)險。

◎在數(shù)據(jù)，法律和監(jiān)管的界限變得難以區(qū)分，適用的要求有時是矛盾的。

5.4.3識別脆弱性

①脆弱性是對一個或多個資產(chǎn)弱點的總稱。脆弱性是資產(chǎn)本身存在的，如果沒有相應(yīng)的威脅發(fā)生，單純的脆

弱性本身不會對資產(chǎn)造成損害。而且如果系統(tǒng)足夠強健，再嚴(yán)重的威脅也不會導(dǎo)致安全事件，并造成損失。

即，威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。

②資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱性識別中最為困難的

部分。需要注意的是，不正確的、起不到應(yīng)有作用的或沒有正確實施的安全措施本身就可能是一個脆弱性。

③脆弱性識別將針對每一項需要保護(hù)的資產(chǎn)，找出可能被威脅利用的脆弱性，并對脆弱性的嚴(yán)重程度進(jìn)行評

估。脆弱性識別時的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域的專家和軟硬件方面的專業(yè)人

員。

④脆弱性識別主要從技術(shù)和管理兩個方面進(jìn)行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層

面的安全問題。管理脆弱性乂可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動相關(guān)，后者與管理環(huán)

境相關(guān)。

常見脆弱性

序號類別薄弱點威脅

建筑物/門以及窗戶缺少物理保護(hù)例如，可能會被偷竊這一威脅所利用

環(huán)境和

對建筑物'歷問物理進(jìn)入控制不充分，或松懈可能會被故意損宙這一威脅所利用

1.基礎(chǔ)設(shè)

電網(wǎng)不穩(wěn)定可能會被功率波動這一威脅所利用

施

所處位置容易受到洪水襲擊可能會被洪水這一威脅所利用

2硬件缺少定期替換計劃可能會被存儲媒體退化這一威脅所利用

容易受到電壓不穩(wěn)定的侵?jǐn)_可能會被功率波動這?威脅所利用

容易受到溫度變化的侵?jǐn)_可能會溫度的極端變化這一威脅所利用

容易受到濕度、灰塵和污染的侵?jǐn)_可能會被灰塵這一威脅所利用

對電磁輻射的敏感性可能會被電磁輻射這一威脅所利用

不充分的維護(hù)/存儲媒體的錯誤安裝可能會被維護(hù)失誤這一威脅所利用

缺少有效的配置變化控制可能會被操作職員失誤這一威脅所利用

3.軟件開發(fā)人員的說明不清楚或不完整可能會被軟件故障這一威脅所利用

可能會被未經(jīng)授權(quán)許可的用戶使用軟件這一威脅所

沒有軟件測試或軟件測試不充分

利N

復(fù)雜的用戶界面可能會被操作職員失誤這一威脅所利用

缺少識別和鑒定機制，如：用戶鑒定可能會被冒充用戶身份這一威脅所利用

可能會被以未經(jīng)授權(quán)許可的方式使用軟件這一威脅

缺少審核跟蹤

所利用

可能會被軟件未經(jīng)許可的用戶使用軟件這一賊脅所

軟件中存在眾所周知的缺陷

利用

口令表沒有受到保護(hù)可能會被冒充用戶身份這一威脅所利用

口令管理較差（很容易被猜測，公開地存儲口令，

可能會被冒充用戶身份這一威脅所利用

不經(jīng)常更改）

可能會被以未經(jīng)許可的方式使用軟件這一威脅所利

訪問權(quán)的錯誤分派

用

對下載和使用軟件不進(jìn)行控制可能會被惡意軟件這?威脅所利用

離開工作站沒有注銷用戶可能會被未經(jīng)許可的用戶使用軟件這一威脅所利用

缺少有效的變化控制可能會被軟件故障這一威脅所利用

缺少文件編制可能會被操作職員的失誤這一威脅所利用

缺少備份可能會被惡意軟件或火災(zāi)這一威脅所利用

沒有適當(dāng)?shù)牟脸鴮Υ鎯γ襟w進(jìn)行處理或重新

可能會被未經(jīng)許可的用戶使用軟件這一威脅所利用

使用

4.通訊通訊線路沒有保護(hù)可能會被偷聽這一威脅所利用

電纜連接差可能會被通訊滲透這?威脅所利用

對發(fā)件人和收件人缺少識別和鑒定可能會被冒充用戶身份這一威脅所利用

公開傳送口令可能會被未經(jīng)許可的用戶接入網(wǎng)絡(luò)這一威脅所利用

收發(fā)信息缺少驗證可能會被否認(rèn)這一威脅所利用

撥號線路可能會被未經(jīng)許可的用戶接入網(wǎng)絡(luò)這一威脅所利用

對敏感性通信不進(jìn)行保護(hù)可能會被偷聽這一?威脅所利用

網(wǎng)絡(luò)管理不充分（路由的彈性）可能會被通信量超載這一威脅所利用

公共網(wǎng)絡(luò)連接沒有保護(hù)可能會被未經(jīng)許可的用戶使用軟件這一威脅所利用

5.文件存儲沒有保護(hù)可能會被偷竊這一威脅所利用

進(jìn)行處理時缺少關(guān)注可能會被偷竊這?威脅所利用

對拷貝沒有進(jìn)行控制可能會被偷竊這一威脅所利用

6.人員人員缺席可能會被缺少員工這一威脅所利用

對外部人員和清理人員的工作不進(jìn)行監(jiān)督可能會被偷竊這一威脅所利用

不充分的安全培訓(xùn)可能會被操作職員的失誤這一威脅所利用

缺少安全意識可能會被用戶錯誤這一威脅所利用

對軟件和硬件不正確的使用可能會被操作職員的失誤這一威脅所利用

可能會被以未經(jīng)許可的方式使用軟件這一威脅所利

缺少監(jiān)控機制

用

可能會被以未經(jīng)許可的方式使用網(wǎng)絡(luò)設(shè)施這?威脅

在正確使用通訊媒體和信息方面缺乏政策

所利用

增員程序不充分可能會被故意損害這一威脅所利用

一般適某一點上的故障可能會被通訊賬務(wù)故障這一威脅所利用

7.用薄弱

服務(wù)維護(hù)反應(yīng)不足可能會被硬件故障這一威脅所利用

環(huán)節(jié)

脆弱性識別內(nèi)容表

類型識別對象識別內(nèi)容

從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護(hù)、通信

物理環(huán)境

線路的保護(hù)、機房區(qū)域防護(hù)、機房設(shè)備管理等方面進(jìn)行識別

從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配

技術(shù)脆弱性網(wǎng)絡(luò)結(jié)構(gòu)

置等方面進(jìn)行識別

從補丁安裝、物理保護(hù)、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系

系統(tǒng)軟件

統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識別

應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識別

從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護(hù)等方

應(yīng)用系統(tǒng)

面進(jìn)行識別

從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面

技術(shù)管理

管理脆弱性進(jìn)行識別

組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進(jìn)行識別

5.4.4威脅利用脆弱性發(fā)生風(fēng)險之后的影響后果描述

5.4.5風(fēng)險描述

5.4.6識別現(xiàn)有控制措施

5.4.7評估威脅發(fā)生的可能性

①分析威脅利用脆弱性給資產(chǎn)造成損害的可能性。

②確定各個威脅利用脆弱性造成損害的可能性。

③判斷每項重要資產(chǎn)所面臨威脅發(fā)生的可能性時應(yīng)注意:

＞威脅事件本身發(fā)生的可能性；

＞現(xiàn)有的安全控制措施；

＞現(xiàn)存的安全脆弱性。

要素標(biāo)識發(fā)生的頊率等級

出現(xiàn)的頻率很高（或與1次/周）：或在大多數(shù)情況下幾乎不可避免：或可以

很高5

證實經(jīng)常發(fā)生過

出現(xiàn)的頻率較高（或次/月）；或在大多數(shù)情況下很有可能會發(fā)生；或可

威脅利用弱點高4

以證實多次發(fā)生過

導(dǎo)致危害的可

出現(xiàn)的頻率中等（或〉1次/半年）；或在某種情況下可能會發(fā)生：或被證實

能性一般3

曾經(jīng)發(fā)生過

低出現(xiàn)的頻率較小：或一般不太可能發(fā)生；或沒有被證實發(fā)生過2

很低威脅幾乎不可能發(fā)生：僅可能在非常罕見和例外的情況下發(fā)生1

5.4.8影響程度分析

①影響程度指一旦威脅事件實際發(fā)生時，將給資產(chǎn)帶來多大程度的損失。

②在分析時，可以從影響相關(guān)方和影響業(yè)務(wù)連續(xù)性兩個不同維度方面來評估打分。

③如果改風(fēng)險可能引起法律起訴，則影響程度值為最高5分。

要索標(biāo)識嚴(yán)重程度等級

很高如果被威脅利用，將對公司重要資產(chǎn)造成重大損害5

高如果被威脅利用，將對重要資產(chǎn)造成一般損害4

威脅被利用后

一般如果被威脅利用，將對一般資產(chǎn)造成重要損害3

的嚴(yán)市性

低如果被威脅利用，將對?般資產(chǎn)造成?般損害2

很低如果被威脅利用，將對資產(chǎn)造成的損害可以忽略1

5.4.9風(fēng)險的等級

①風(fēng)險值由威脅發(fā)生的可能性、影響程度和資產(chǎn)價值這三個因素共同決定。

②風(fēng)險值計算方法：風(fēng)險值二威脅發(fā)生可能性*（威脅發(fā)生對保密性的影響+威脅發(fā)生對完整性的影響+威脅發(fā)

生對可用性的影響）

③風(fēng)險等級標(biāo)準(zhǔn)見下表：

要素標(biāo)識風(fēng)險值范圍級別可接受準(zhǔn)則

高風(fēng)險>204風(fēng)險不可接受，必須立即采取有效的措施降低風(fēng)險

風(fēng)險

較高風(fēng)險>15且W203風(fēng)險可以接受，但需要采取進(jìn)一步措施降低風(fēng)險

級別

一般風(fēng)險〉10且三152風(fēng)險可以接受

I|低風(fēng)險IwioI1II

5.4.10建議控制措施

①安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致

安全事件發(fā)生的可能性，如入侵檢測系統(tǒng)；保護(hù)性安全措施可以減少因安全事件發(fā)生對信息和數(shù)據(jù)系統(tǒng)造成

的影響，如業(yè)務(wù)持續(xù)性計劃。

②建議控制措施的確認(rèn)與脆弱性識別存在一定的聯(lián)系。一般來說，安全措施的使用將減少脆弱性，但安全措

施的確認(rèn)并不需要與脆弱性識別過程那樣具體到每個資產(chǎn)、組件的脆弱性，而是一類具體措施的集合。

不可接受風(fēng)險的確定

①通過預(yù)制的風(fēng)險的可接受準(zhǔn)則，進(jìn)行風(fēng)險可接受性判定（是否高風(fēng)險），并生成各部門的重要資產(chǎn)調(diào)查與

風(fēng)險評估表表單。

②各部門的重要資產(chǎn)調(diào)查與風(fēng)險評估表經(jīng)本部門負(fù)責(zé)人審核，報管理者代表批準(zhǔn)。

5.5風(fēng)險處理

①對風(fēng)險應(yīng)進(jìn)行處理。對可接受風(fēng)險，可保持已有的安全措施；如果是不可接受風(fēng)險（高風(fēng)險），則需要采

取安全措施以降低、控制風(fēng)險。

②對不可接受風(fēng)險，應(yīng)采取新的風(fēng)險處理的措施，規(guī)定風(fēng)險處理方式、責(zé)任部門和時間進(jìn)度，高風(fēng)險應(yīng)得到

優(yōu)先的考慮。

③大數(shù)據(jù)安全管理小組根據(jù)重要資產(chǎn)調(diào)查與風(fēng)險評估表編制風(fēng)險處置計劃。

④大數(shù)據(jù)安全管理小組根據(jù)重要資產(chǎn)調(diào)查與風(fēng)險評估表編制風(fēng)險評估報告，陳述大數(shù)據(jù)安全管理現(xiàn)狀，分析

存在的大數(shù)據(jù)安全風(fēng)險，提出大數(shù)據(jù)安全管理（控制）的建議與措施。

⑤管理者代表考慮成本與風(fēng)險的關(guān)系，對風(fēng)險評估報告及風(fēng)險處理計劃的相關(guān)內(nèi)容審核，對認(rèn)為不合適的控

制或風(fēng)險處理方式等提出說明，由大數(shù)據(jù)安全管理小組協(xié)同相關(guān)部門重新考慮管理者代表的意見，選擇其他

的控制或風(fēng)險處理方式，并重新提交管理者代表審核批準(zhǔn)實施。

⑥各責(zé)任部門按照批準(zhǔn)后的風(fēng)險處理計劃的要求采取有效安全控制措施，確保所采取的控制措施是有效的。

⑦如果降低風(fēng)險所付出的成本大于風(fēng)險所造成的損失，則選擇接受風(fēng)險。

⑧報告和共享：在發(fā)布、共享有關(guān)風(fēng)險、事件和威脅的報告時，可能需要包括組織外的利益相關(guān)方。

⑨風(fēng)險評估：確定相關(guān)方者在數(shù)據(jù)的行動和在多大程度上成為或促成了另一方的風(fēng)險。

5.6剩余風(fēng)險評估

①采取安仝措施處理后的風(fēng)險，大數(shù)據(jù)安全管理小組進(jìn)行再評估，以判斷實施安全措施后的殘余風(fēng)險是否已

經(jīng)降低到可接受的水平。

②某些風(fēng)險可能在選擇了適當(dāng)?shù)陌踩胧┖笕蕴幱诓豢山邮艿娘L(fēng)險范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險或進(jìn)?步

增加相應(yīng)的安全措施。

③剩余風(fēng)險評估完成后，剩余風(fēng)險報管理者代表審核、總經(jīng)理批準(zhǔn)。

④基于5.8的要求，對剩余風(fēng)險評估應(yīng)進(jìn)行定期評估。

⑤通過組織在關(guān)鍵基礎(chǔ)設(shè)施的角色及行業(yè)特殊分析，向相關(guān)方傳達(dá)剩余風(fēng)險容忍度的決定。

大數(shù)據(jù)安全風(fēng)險的連續(xù)評估

①大數(shù)據(jù)安全管理小組每年應(yīng)組織對安全風(fēng)險重新評估一次，以適應(yīng)資產(chǎn)的變化，確定是否存在新的威脅或

脆弱性，是否需要增加新的控制措施。

②當(dāng)企業(yè)發(fā)生以下情況時需及時進(jìn)行風(fēng)險評估：

>當(dāng)發(fā)生重大大數(shù)據(jù)安全事故時；

>當(dāng)信息網(wǎng)絡(luò)系統(tǒng)發(fā)生重大更改時，如法規(guī)、技術(shù)、業(yè)務(wù)目標(biāo)和過程、客戶用戶要求、社會環(huán)境等；

>大數(shù)據(jù)安全管理小組確定有必要時。

③各部門對新增加、轉(zhuǎn)移或授權(quán)銷毀等變更資產(chǎn)，應(yīng)及時在資產(chǎn)清單中予以添加或變更。

5.7資產(chǎn)識別、分類參考

類別資產(chǎn)名稱

人員資產(chǎn)總經(jīng)理/副總經(jīng)理

人員資產(chǎn)部門總經(jīng)理

人員資產(chǎn)工程師

人員資產(chǎn)項目經(jīng)理

人員資產(chǎn)網(wǎng)管

人員資產(chǎn)職員

軟件資產(chǎn)軟件操倫系統(tǒng)

軟件資產(chǎn)開發(fā)軟件

軟件資產(chǎn)服務(wù)軟件

軟件資產(chǎn)財務(wù)軟件

軟件資產(chǎn)工具類軟件

軟件資產(chǎn)應(yīng)用軟件

軟件費產(chǎn)應(yīng)用程序

文件資產(chǎn)合同

文件資產(chǎn)驗收文檔資料

文件資產(chǎn)工程文件

文件資產(chǎn)財務(wù)報告

文件資產(chǎn)投標(biāo)書

文件