信息安全風(fēng)險(xiǎn)評(píng)估管理程序制定單位：安全部制定日期：2021年11月18日序號(hào)修訂日期修訂條款修訂內(nèi)容12021年11月18日制訂V1.0修訂為2年月日章條款修訂為3年月日章條款修訂為4年月日章條款修訂為5年月日章條款修訂為6年月日章條款修訂為修訂記錄注：制度的修訂直接于正文完成，“修訂記錄”僅記錄修訂痕跡。信息安全風(fēng)險(xiǎn)評(píng)估管理程序文件編號(hào)：ISMS-2006第一條范圍本程序適用于公司信息安全管理體系（ISMS）范圍內(nèi)信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)。第二條目的本程序規(guī)定了公司所采用的信息安全風(fēng)險(xiǎn)評(píng)估方法。通過(guò)識(shí)別信息資產(chǎn)、風(fēng)險(xiǎn)等級(jí)評(píng)估，認(rèn)知公司的信息安全風(fēng)險(xiǎn)，在考慮控制成本與風(fēng)險(xiǎn)平衡的前提下選擇合適控制目標(biāo)和控制方式將信息安全風(fēng)險(xiǎn)控制在可接受的水平，保持公司業(yè)務(wù)持續(xù)性發(fā)展，以滿(mǎn)足公司信息安全管理方針的要求。第三條范圍本程序適用于第一次完整的風(fēng)險(xiǎn)評(píng)估和定期的再評(píng)估。在辨識(shí)信息資產(chǎn)時(shí)，本著盡量細(xì)化的原則進(jìn)行，但在評(píng)估時(shí)可能會(huì)把信息資產(chǎn)按照系統(tǒng)進(jìn)行規(guī)劃。第四條職責(zé)（一）成立風(fēng)險(xiǎn)評(píng)估小組安全部負(fù)責(zé)牽頭成立風(fēng)險(xiǎn)評(píng)估小組。（二）策劃與實(shí)施風(fēng)險(xiǎn)評(píng)估小組每年至少一次，或當(dāng)體系、組織、業(yè)務(wù)、技術(shù)、環(huán)境等影響企業(yè)的重大事項(xiàng)發(fā)生變更、重大事故事件發(fā)生后，負(fù)責(zé)編制信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃，確認(rèn)評(píng)估結(jié)果，形成《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》。（三）信息資產(chǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估活動(dòng)各部門(mén)負(fù)責(zé)部門(mén)使用或管理的信息資產(chǎn)的識(shí)別，并負(fù)責(zé)部門(mén)所涉及的信息資產(chǎn)的具體安全控制工作。1.各部門(mén)負(fù)責(zé)人負(fù)責(zé)部門(mén)的信息資產(chǎn)識(shí)別。2.各群口負(fù)責(zé)匯總、校對(duì)群口的信息資產(chǎn)，全公司信息資產(chǎn)由總裁辦公室匯總、校對(duì)。3.安全部負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估的策劃。4.安全部負(fù)責(zé)進(jìn)行第一次評(píng)估與定期的再評(píng)估，評(píng)估方式包括但不限于如下：。（1）訪(fǎng)談；（2）人工評(píng)審，填寫(xiě)表格，如調(diào)查表、脆弱性核查表等；（3）自動(dòng)化掃描；（4）外部采購(gòu)安全評(píng)估能力；（5）紅藍(lán)演練，紅隊(duì)可進(jìn)行信息資產(chǎn)的收集、踩點(diǎn)、滲透攻擊，等藍(lán)隊(duì)防守以發(fā)現(xiàn)安全監(jiān)控體系的弱點(diǎn)、防守過(guò)程中進(jìn)行相應(yīng)的反制，捕獲攻擊者真人畫(huà)像。第五條程序公司按照《ISO/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》標(biāo)準(zhǔn)，總體風(fēng)險(xiǎn)管理框架，遵照《ISO31000：2009風(fēng)險(xiǎn)管理原則和指南》的原則進(jìn)行，風(fēng)險(xiǎn)評(píng)價(jià)和處置過(guò)程，執(zhí)行《GB/T20984—2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》，結(jié)合公司實(shí)際業(yè)務(wù)狀況和背景，規(guī)定以下風(fēng)險(xiǎn)評(píng)估流程。公司風(fēng)險(xiǎn)管理總體框架如下：注：1）整合在組織過(guò)程中的部分：風(fēng)險(xiǎn)管理不是與組織的主要活動(dòng)和過(guò)程分開(kāi)的孤立活動(dòng)。風(fēng)險(xiǎn)管理是管理職責(zé)的部分和整合在所有組織過(guò)程中的部分，包括戰(zhàn)略規(guī)劃、所有項(xiàng)目、變更管理過(guò)程。2）安全部根據(jù)風(fēng)險(xiǎn)原則，制定公司風(fēng)險(xiǎn)管理方針：落實(shí)風(fēng)險(xiǎn)責(zé)任，切合公司實(shí)際，動(dòng)態(tài)管控風(fēng)險(xiǎn)，有效環(huán)境響應(yīng)。3）風(fēng)險(xiǎn)管理的PDCA過(guò)程，執(zhí)行相應(yīng)的程序文件。安全部負(fù)責(zé)在風(fēng)險(xiǎn)評(píng)價(jià)前，明確公司的狀況，考慮業(yè)務(wù)背景，相關(guān)方要求，法規(guī)要求，公司的文化特點(diǎn)，進(jìn)行初期策劃，形成文件，將策劃內(nèi)容編入《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》中。公司狀況分析，應(yīng)作為風(fēng)險(xiǎn)評(píng)價(jià)的輸入，體現(xiàn)在信息資產(chǎn)清單的范圍，風(fēng)險(xiǎn)要素的識(shí)別，風(fēng)險(xiǎn)處置等方面。風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程中，應(yīng)遵循風(fēng)險(xiǎn)管理方針的要求進(jìn)行。（一）風(fēng)險(xiǎn)評(píng)估前準(zhǔn)備1.安全部牽頭成立風(fēng)險(xiǎn)評(píng)估小組，小組成員至少應(yīng)該包含：信息安全管理體系成員、信息資產(chǎn)管理成員。2.風(fēng)險(xiǎn)評(píng)估小組制定信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃，下發(fā)各部門(mén)對(duì)接人。3.必要時(shí)應(yīng)對(duì)各部門(mén)對(duì)接人進(jìn)行風(fēng)險(xiǎn)評(píng)估相關(guān)知識(shí)和表格填寫(xiě)的培訓(xùn)。（二）信息資產(chǎn)的識(shí)別1.公司的資產(chǎn)范圍包括以下信息資產(chǎn)：1)數(shù)據(jù)文檔：客戶(hù)數(shù)據(jù)，紙質(zhì)文件資料，公司各種數(shù)據(jù)；

2)軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開(kāi)發(fā)工具和適用程序；3)物理資產(chǎn)：計(jì)算機(jī)設(shè)備、通訊設(shè)備、可移動(dòng)介質(zhì)和其他設(shè)備；4)服務(wù)：培訓(xùn)服務(wù)、租賃服務(wù)、公用設(shè)施（能源、電力等）；5)人員：人員的資格、技能和經(jīng)驗(yàn)；6)無(wú)形資產(chǎn)：組織的聲譽(yù)、商標(biāo)、形象、資質(zhì)、知識(shí)產(chǎn)權(quán)。（三）資產(chǎn)及其重要度1.識(shí)別組織的資產(chǎn)識(shí)別在評(píng)估范圍內(nèi)的資產(chǎn)。對(duì)于在范圍內(nèi)的每一項(xiàng)資產(chǎn)都要恰當(dāng)統(tǒng)計(jì)；不在評(píng)估范圍內(nèi)的資產(chǎn)，也要進(jìn)行記錄；按一定的標(biāo)準(zhǔn)，將信息資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸?lèi)，在此基礎(chǔ)上進(jìn)行下一步的風(fēng)險(xiǎn)評(píng)估工作。2.評(píng)估資產(chǎn)的重要度1）對(duì)信息資產(chǎn)的等級(jí)進(jìn)行定義，并表示成相對(duì)等級(jí)的形式。識(shí)別出信息資產(chǎn)之后，必須對(duì)資產(chǎn)的重要度進(jìn)行評(píng)估。評(píng)估的依據(jù)是信息資產(chǎn)的保密性、完整性和可用性在遭受損失之后的后果。不同資產(chǎn)的安全屬性的重要程度是不一樣的，例如：財(cái)務(wù)數(shù)據(jù)的保密性和可核查性是最重要的安全屬性，而操作軟件更強(qiáng)調(diào)可用性。對(duì)資產(chǎn)評(píng)估的過(guò)程本身就是對(duì)信息資產(chǎn)安全屬性損失后果的分析。在本程序中雖然不按照安全屬性分別賦值，但是評(píng)估過(guò)程中要充分考慮本節(jié)中列出的各種安全屬性。信息資產(chǎn)重要度描述如下表。等級(jí)描述重要度賦值1（低）對(duì)這些信息資產(chǎn)的保密性、完整性或可用性等安全屬性的影響（即發(fā)生泄露、損壞、丟失或無(wú)法使用等）將對(duì)組織造成一定的損失，通常其直接或間接的影響范圍僅波及到公司很少部門(mén)。12（中）對(duì)這些信息資產(chǎn)的保密性、完整性或可用性等安全屬性的影響（即發(fā)生泄露、損壞、丟失或無(wú)法使用等）將對(duì)組織造成較重要的損失，通常其直接或間接的影響范圍波及到公司局部。33（高）對(duì)這些信息資產(chǎn)的保密性、完整性或可用性等安全屬性的影響（即發(fā)生泄露、損壞、丟失或無(wú)法使用等）將對(duì)組織造成極嚴(yán)重的或?yàn)?zāi)難性的損失，通常其直接或間接的影響范圍波及到公司整體。5對(duì)于資產(chǎn)重要度評(píng)價(jià)的過(guò)程是對(duì)資產(chǎn)在保密性、完整性、可用性的賦值進(jìn)行分析，并在此基礎(chǔ)上得出綜合結(jié)果的過(guò)程。2）保密性(C)賦值根據(jù)資產(chǎn)在保密性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)信息資產(chǎn)在保密性上的應(yīng)達(dá)成的不同程度或者保密性缺失時(shí)對(duì)整個(gè)組織的影響。保密性分類(lèi)賦值方法級(jí)別價(jià)值分級(jí)描述1很低可對(duì)社會(huì)公開(kāi)的信息公用的信息處理設(shè)備和系統(tǒng)資源等2低組織/部門(mén)內(nèi)公開(kāi)僅能在組織內(nèi)部或在組織某一部門(mén)內(nèi)部公開(kāi)的信息，向外擴(kuò)散有可能對(duì)組織的利益造成輕微損害3中等組織的一般性秘密其泄露會(huì)使組織的安全和利益受到損害4高包含組織的重要秘密其泄露會(huì)使組織的安全和利益遭受?chē)?yán)重?fù)p害5很高包含組織最重要的秘密關(guān)系未來(lái)發(fā)展的前途命運(yùn)，對(duì)組織根本利益有著決定性的影響，如果泄露會(huì)造成災(zāi)難性的損害3）完整性(I)賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在完整性上的達(dá)成的不同程度或者完整性缺失時(shí)對(duì)整個(gè)組織的影響。完整性(I)賦值的方法級(jí)別價(jià)值分級(jí)描述1很低完整性?xún)r(jià)值非常低未經(jīng)授權(quán)的修改或破壞對(duì)組織造成的影響可以忽略，對(duì)業(yè)務(wù)沖擊可以忽略2低完整性?xún)r(jià)值較低未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響，對(duì)業(yè)務(wù)沖擊輕微，容易彌補(bǔ)3中等完整性?xún)r(jià)值中等未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響，對(duì)業(yè)務(wù)沖擊明顯4高完整性?xún)r(jià)值較高未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響，對(duì)業(yè)務(wù)沖擊嚴(yán)重，較難彌補(bǔ)5很高完整性?xún)r(jià)值非常關(guān)鍵未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無(wú)法接受的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)4）可用性(A)賦值根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在可用性上的達(dá)成的不同程度?？捎眯?A)賦值的方法級(jí)別價(jià)值分級(jí)描述1很低可用性?xún)r(jià)值可以忽略合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間低于25%2低可用性?xún)r(jià)值較低合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到25%以上，或系統(tǒng)允許中斷時(shí)間小于60min3中等可用性?xún)r(jià)值中等合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到70%以上，或系統(tǒng)允許中斷時(shí)間小于30min4高可用性?xún)r(jià)值較高合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到每天90%以上，或系統(tǒng)允許中斷時(shí)間小于10min5很高可用性?xún)r(jià)值非常高合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上，或系統(tǒng)不允許中斷5）判定重要資產(chǎn)按照資產(chǎn)賦值的結(jié)果，經(jīng)過(guò)相乘法得出重要性值，從而得出重要性等級(jí)，信息資產(chǎn)重要性劃分為3級(jí)，級(jí)別越高表示資產(chǎn)重要性程度越高。重要度等級(jí)分值=C*I*A信息資產(chǎn)的重要度等級(jí)依據(jù)以下區(qū)間劃分決定：重要性等級(jí)說(shuō)明重要性等級(jí)重要程度重要性值低不重要或不太重要1≤值≤25中重要25<值≤45高很重要45＜值注：高、中等級(jí)資產(chǎn)為重要資產(chǎn)。6）編制信息資產(chǎn)清單和重要信息資產(chǎn)清單?？偛棉k公室負(fù)責(zé)組織各群口編制以群口為單位的信息資產(chǎn)清單，匯總成為公司信息資產(chǎn)清單，公司規(guī)定，中、高級(jí)重要度信息資產(chǎn)為重要信息資產(chǎn)，總裁辦公室負(fù)責(zé)編制《重要信息資產(chǎn)清單》。（四）識(shí)別重要信息資產(chǎn)面臨的威脅公司的風(fēng)險(xiǎn)評(píng)估和計(jì)算方法，對(duì)于低等級(jí)重要度的信息資產(chǎn)，只能得出低等級(jí)可接受風(fēng)險(xiǎn)，故對(duì)于低重要度信息資產(chǎn)不進(jìn)行風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估只針對(duì)重要信息資產(chǎn)。資產(chǎn)實(shí)施風(fēng)險(xiǎn)評(píng)估需要對(duì)要保護(hù)的每一項(xiàng)關(guān)鍵資產(chǎn)進(jìn)行威脅的識(shí)別。威脅可以從資產(chǎn)的所有者、使用者、計(jì)劃書(shū)、信息專(zhuān)家、企業(yè)內(nèi)部及外部負(fù)責(zé)信息安全的組織等處獲得。通常，一個(gè)可能的威脅列表對(duì)完成威脅評(píng)估有所幫助。當(dāng)應(yīng)用威脅目錄（列表）或者以前的威脅評(píng)估結(jié)果時(shí)，必須意識(shí)到，威脅總是不斷變化的，尤其是在業(yè)務(wù)環(huán)境與信息發(fā)生變化時(shí)。(1)分析公司的信息系統(tǒng)存在的威脅種類(lèi)，確定威脅分類(lèi)的標(biāo)準(zhǔn)；(2)綜合威脅來(lái)源、種類(lèi)和其他因素后得出威脅列表；(3)針對(duì)每一項(xiàng)需要保護(hù)的信息資產(chǎn)，找出可能面臨的威脅。在識(shí)別信息資產(chǎn)所面臨的威脅時(shí)，應(yīng)該考慮下面三個(gè)方面的資料和信息來(lái)源：1)通過(guò)歷史的安全事件報(bào)告或記錄，統(tǒng)計(jì)各種發(fā)生過(guò)的威脅和其發(fā)生頻率；2)在評(píng)估對(duì)象的實(shí)際環(huán)境中，通過(guò)IDS等系統(tǒng)獲取的威脅發(fā)生數(shù)據(jù)的統(tǒng)計(jì)和分析，各種日志中威脅發(fā)生的數(shù)據(jù)的統(tǒng)計(jì)和分析；3)過(guò)去一年或兩年來(lái)國(guó)際公司或機(jī)構(gòu)、負(fù)責(zé)信息安全的組織、專(zhuān)業(yè)的負(fù)責(zé)信息安全的組織及公司；企業(yè)內(nèi)部負(fù)責(zé)信息安全的組織、企業(yè)外部負(fù)責(zé)信息安全的組織（例如：病毒防范產(chǎn)品公司）、業(yè)務(wù)關(guān)聯(lián)公司發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)安全威脅及其發(fā)生頻率的統(tǒng)計(jì)數(shù)據(jù)。（五）識(shí)別威脅可以利用的脆弱性1.這一步是評(píng)估容易被攻擊者(或威脅源)攻破(或破壞)的薄弱點(diǎn)，包括基礎(chǔ)設(shè)施中的弱點(diǎn)、控制中的弱點(diǎn)、員工意識(shí)上的弱點(diǎn)、系統(tǒng)中的弱點(diǎn)和設(shè)計(jì)上的弱點(diǎn)等。包括針對(duì)信息資產(chǎn)所關(guān)聯(lián)的物理環(huán)境、組織、人員、管理、硬件、軟件、程序、代碼、通信設(shè)備等多種可能被威脅源所利用并可能導(dǎo)致危害的，由信息資產(chǎn)自身特性導(dǎo)致的弱點(diǎn)。系統(tǒng)脆弱性往往需要與對(duì)應(yīng)的威脅相結(jié)合時(shí)才會(huì)對(duì)系統(tǒng)的安全造成危害。2.一個(gè)沒(méi)有對(duì)應(yīng)威脅的脆弱性一般不會(huì)造成實(shí)際的風(fēng)險(xiǎn)，可以不采取相應(yīng)的防護(hù)措施，但是有必要密切監(jiān)視這種潛在的風(fēng)險(xiǎn)。注意，脆弱性不僅是由于最初購(gòu)置或制造時(shí)的原因產(chǎn)生的，信息資產(chǎn)的應(yīng)用方法、目的的不同、防護(hù)措施的不足都可能造成脆弱性。例如：E2PROM是一種可擦寫(xiě)的存儲(chǔ)設(shè)備，可擦寫(xiě)是其設(shè)計(jì)時(shí)的一項(xiàng)標(biāo)準(zhǔn)，但可擦寫(xiě)屬性意味著E2PROM所存儲(chǔ)的信息未經(jīng)授權(quán)的破壞成為可能，這就是一個(gè)脆弱性。3.有關(guān)威脅和脆弱性的分類(lèi)，本程序直接采用GB/T20984-2007中的相關(guān)內(nèi)容。威脅賦值表等級(jí)識(shí)別定義1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見(jiàn)和例外的情況下發(fā)生2低出現(xiàn)頻率較?。换蛞话悴惶赡馨l(fā)生3中出現(xiàn)頻率中等（>=1次/半年）；或在某種情況下可能會(huì)發(fā)生4高出現(xiàn)頻率較高（>=1次/月）；或在大多數(shù)情況下很有可能發(fā)生5很高出現(xiàn)頻率很高（>=1次/周）；或在大多數(shù)情況下幾乎不可避免脆弱性識(shí)別表類(lèi)型識(shí)別對(duì)象識(shí)別內(nèi)容技術(shù)脆弱性物理環(huán)境從機(jī)房場(chǎng)地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線(xiàn)路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識(shí)別網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪(fǎng)問(wèn)控制策略、內(nèi)部訪(fǎng)問(wèn)控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別系統(tǒng)軟件從補(bǔ)丁安裝、物理保護(hù)、用戶(hù)帳號(hào)、口令策略、資源共享、事件審計(jì)、訪(fǎng)問(wèn)控制、新系統(tǒng)配置、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識(shí)別應(yīng)用系統(tǒng)從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪(fǎng)問(wèn)控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別管理脆弱性技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪(fǎng)問(wèn)控制、系統(tǒng)開(kāi)發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識(shí)別組織管理從安全策略、組織安全、資產(chǎn)分類(lèi)與控制、人員安全、符合性等方面進(jìn)行識(shí)別脆弱性嚴(yán)重程度賦值表等級(jí)標(biāo)識(shí)定義1很低如果被威脅利用，將對(duì)資產(chǎn)造成的損害可以忽略2低如果被威脅利用，將對(duì)資產(chǎn)造成較小損害3中等如果被威脅利用，將對(duì)資產(chǎn)造成一般損害4高如果被威脅利用，將對(duì)資產(chǎn)造成重大損害5很高如果被威脅利用，將對(duì)資產(chǎn)造成完全損害（六）評(píng)估資產(chǎn)在威脅暴露度1.暴露度等級(jí)描述資產(chǎn)或資產(chǎn)安全屬性受損害的程度，以下簡(jiǎn)稱(chēng)暴露度。本評(píng)估方法將暴露度的等級(jí)定義為5級(jí)。如下表所示：等級(jí)描述1對(duì)資產(chǎn)損害的程度幾乎沒(méi)有2對(duì)資產(chǎn)的損害的程度很小3對(duì)資產(chǎn)損害的程度中等4對(duì)資產(chǎn)的損害程度很大5資產(chǎn)被完全損害，或者極其嚴(yán)重2.在評(píng)估時(shí)可參考下面兩個(gè)表的描述，即根據(jù)對(duì)資產(chǎn)的安全屬性（保密性、可用性、完整性）的損害及影響程度評(píng)價(jià)對(duì)應(yīng)的暴露等級(jí)。資產(chǎn)保密性/完整性暴露度的等級(jí)定義等級(jí)信息資產(chǎn)的保密性或完整性1資產(chǎn)有輕微更改或無(wú)更改2低損害或損失，例如，影響內(nèi)部業(yè)務(wù)實(shí)行，無(wú)法評(píng)定成本的增加3中等損壞或損失，例如影響內(nèi)部業(yè)務(wù)實(shí)施，導(dǎo)致運(yùn)作成本增加或利潤(rùn)減少4嚴(yán)重但對(duì)資產(chǎn)造成不完全損害，例如，影響業(yè)務(wù)利潤(rùn)或成敗，可從外部接觸到5資產(chǎn)嚴(yán)重或完全損害，例如，從外部可接觸，并影響業(yè)務(wù)利潤(rùn)或成敗資產(chǎn)可用性暴露度的等級(jí)定義等級(jí)可用性描述1正常業(yè)務(wù)影響不明顯對(duì)支持成本/工作效率或業(yè)務(wù)承諾無(wú)明顯的影響2工作受干擾無(wú)可評(píng)定的影響，支持或基礎(chǔ)結(jié)構(gòu)成本有少量增加3工作延遲對(duì)支持成本或工作效率有顯著的影響，無(wú)可評(píng)定的業(yè)務(wù)影響4工作中斷支持成本或業(yè)務(wù)承諾延遲可量化增長(zhǎng)5停工實(shí)質(zhì)性支持成本或業(yè)務(wù)承諾被取消（七）評(píng)估威脅發(fā)生的可能性1.容易度描述的是威脅利用脆弱性而可能發(fā)生的容易程度。這里所說(shuō)的發(fā)生容易度與具體的信息系統(tǒng)沒(méi)有關(guān)系。當(dāng)與控制措施結(jié)合之后才形成影響的發(fā)生可能性。2.對(duì)于發(fā)生容易度的等級(jí)，需要根據(jù)資產(chǎn)不同的安全屬性分別定義。公司將發(fā)生容易度的等級(jí)定義為5級(jí)。參見(jiàn)下表：發(fā)生容易度等級(jí)定義等級(jí)描述1發(fā)生容易度低2發(fā)生容易度較低3發(fā)生容易度中4發(fā)生容易度較高5發(fā)生容易度高（八）識(shí)別與分析目前控制手段的有效性控制措施可以減少風(fēng)險(xiǎn)發(fā)生可能性或者減輕發(fā)生后的影響。因此，必須識(shí)別出控制措施并對(duì)其有效性進(jìn)行評(píng)估。根據(jù)控制措施的有效性對(duì)控制措施賦值，以下簡(jiǎn)稱(chēng)控制度。公司將控制度的等級(jí)劃分為1-5（5為基本無(wú)效）。每一個(gè)等級(jí)都要對(duì)應(yīng)相應(yīng)的有效性系數(shù)之后參加風(fēng)險(xiǎn)的計(jì)算。如下表：控制措施的控制度與控制措施有效性對(duì)應(yīng)關(guān)系控制度描述1表示控制措施非常有效2表示控制措施有很大程度的效果3表示控制措施基本有效4表示控制措施有一定的效果5表示控制措施基本無(wú)效（九）分析資產(chǎn)在威脅脆弱性下發(fā)生的影響度1.影響是指威脅對(duì)脆弱性一次成功攻擊所產(chǎn)生的負(fù)面影響。2.影響等級(jí)（以下簡(jiǎn)稱(chēng)影響度）是信息資產(chǎn)重要度等級(jí)和暴露等級(jí)的乘積。確定影響度的定義，公司采取以下定義和計(jì)算方式影響度=（信息資產(chǎn)重要度等級(jí)*暴露等級(jí)）*20%。由信息資產(chǎn)重要度等級(jí)值（1-5）與暴露等級(jí)（1-5）相乘，并乘以系數(shù)20%取整后，那么影響度等級(jí)為：1-5。（十）確定信息資產(chǎn)發(fā)生風(fēng)險(xiǎn)的可能性信息資產(chǎn)發(fā)生風(fēng)險(xiǎn)的可能性以下簡(jiǎn)稱(chēng)發(fā)生可能性。發(fā)生可能性=（發(fā)生容易度等級(jí)*控制度）*20%。由發(fā)生容易度等級(jí)值（1-5）與控制措施賦值（1-5）相乘，并乘以系數(shù)20%取整后，那么影響發(fā)生可能性等級(jí)為：1-5。（十一）計(jì)算風(fēng)險(xiǎn)大小1.風(fēng)險(xiǎn)大小量化后稱(chēng)為風(fēng)險(xiǎn)等級(jí)，以下簡(jiǎn)稱(chēng)風(fēng)險(xiǎn)度。風(fēng)險(xiǎn)度=影響度*發(fā)生可能性。2.公司按照風(fēng)險(xiǎn)評(píng)估小組對(duì)風(fēng)險(xiǎn)的接受程度定義為高、中、低3個(gè)風(fēng)險(xiǎn)度的級(jí)別。風(fēng)險(xiǎn)度為15（含）以上時(shí)表示高，5（含）~15表示中，5以下表示低；這包括可接受風(fēng)險(xiǎn)與不可接受風(fēng)險(xiǎn)的劃分，接受與不可接受的界限應(yīng)當(dāng)考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)（機(jī)會(huì)損失成本）的平衡；風(fēng)險(xiǎn)級(jí)別對(duì)應(yīng)風(fēng)險(xiǎn)度風(fēng)險(xiǎn)描述和必要行動(dòng)低<5如果被評(píng)估為低風(fēng)險(xiǎn)，須確定是否還需要采取糾正行動(dòng)或者是否接受風(fēng)險(xiǎn)。中>=5&<15如果被評(píng)估為中風(fēng)險(xiǎn)，那么便要求有糾正行動(dòng)，必須在一個(gè)合理的時(shí)間段內(nèi)制定有關(guān)計(jì)劃來(lái)實(shí)施這些行動(dòng)。高>=15如果被評(píng)估為高風(fēng)險(xiǎn)，那么便強(qiáng)烈要求有糾正措施。一個(gè)現(xiàn)有系統(tǒng)可能要繼續(xù)運(yùn)行，但是必須盡快部署針對(duì)性計(jì)劃。（十二）風(fēng)險(xiǎn)處理和接受準(zhǔn)則公司要求對(duì)“高、中”風(fēng)險(xiǎn)度制定《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》，“低”風(fēng)險(xiǎn)規(guī)定屬于可以接受的風(fēng)險(xiǎn)。單位負(fù)責(zé)人需要決定是否接受風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)并承認(rèn)《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》。（十三）評(píng)估殘余風(fēng)風(fēng)險(xiǎn)：（1）絕對(duì)安全（即零風(fēng)險(xiǎn)）是