ISO27001體系認證01風險評估方法與準則

,,,,,,,,,,,,

風險評估準則,,,,,,,,,,,

"資產(chǎn)價值計算方法：資產(chǎn)價值=保密性賦值＋完整性賦值＋可用性賦值

風險值計算方法：風險值=資產(chǎn)等級＋威脅性賦值＋脆弱性賦值

資產(chǎn)等級、風險等級評定方法：見下",,,,,,,,,,,

,,,,,,,,,,,,

要素,準則,數(shù)據(jù)資產(chǎn),,實體資產(chǎn),,自有軟件/外購軟件/服務/形象,,文件資產(chǎn),,人員資產(chǎn),

保密性,按信息的訪問權限等級或信息的存儲、傳輸及處理設施/人員涉及信息的訪問權限等級來評估資產(chǎn)保密性的要求等級,訪問權限,賦值,存儲、傳輸及處理信息的訪問權限,賦值,存儲、傳輸及處理信息的訪問權限,賦值,存儲、傳輸及處理信息的訪問權限,賦值,崗位接觸信息的訪問權限,賦值

,,對公司及外部都是公開的,1,對公司及外部都是公開的,1,對公司及外部都是公開的,1,對公司及外部都是公開的,1,對公司及外部都是公開的,1

,,對公司內部所有員工是公開的,3,對公司內部所有員工是公開的,3,對公司內部所有員工是公開的,3,對公司內部所有員工是公開的,3,對公司內部所有員工是公開的,3

,,只限于公司某個部門或職能可以訪問的信息,5,只限于公司某個部門或職能可以訪問的信息,5,只限于公司某個部門或職能可以訪問的信息,5,只限于公司某個部門或職能可以訪問的信息,5,只限于公司某個部門或職能可以訪問的信息,5

,,只限于公司中層管理人員以上或部門少數(shù)關鍵人員可以訪問的信息,7,只限于公司中層管理人員以上或部門少數(shù)關鍵人員可以訪問的信息,7,只限于公司中層管理人員以上或部門少數(shù)關鍵人員可以訪問的信息,7,只限于公司中層管理人員以上或部門少數(shù)關鍵人員可以訪問的信息,7,只限于公司中層管理人員以上可以訪問的信息,7

,,只限于公司高層管理人員或公司少數(shù)關鍵人員可以訪問的信息,9,只限于公司高層管理人員或公司少數(shù)關鍵人員可以訪問的信息,9,只限于公司高層管理人員或公司少數(shù)關鍵人員可以訪問的信息,9,只限于公司高層管理人員或公司少數(shù)關鍵人員可以訪問的信息,9,只限于公司高層管理人員或少數(shù)關鍵人員可以訪問的信息,9

,,,,,,,,,,,,

要素,準則,數(shù)據(jù)資產(chǎn),,實體資產(chǎn),,自有軟件/外購軟件/服務/形象,,文件資產(chǎn),,人員資產(chǎn),

完整性,按資產(chǎn)的準確性或完整性受損，而造成組織的業(yè)務持續(xù)或形象聲譽受影響的嚴重程度來評估,影響程度,賦值,影響程度,賦值,影響程度,賦值,文件類別,賦值,崗位范圍,賦值

,,可以忽略,1,可以忽略,1,可以忽略,1,可以忽略,1,實習員工\外聘臨時工,1

,,輕微,3,輕微,3,輕微,3,輕微,3,一般員工,3

,,一般,5,一般,5,一般,5,一般,5,技術、管理、財務等方面的骨干人員,5

,,嚴重,7,嚴重,7,嚴重,7,嚴重,7,中層管理人員,7

,,非常嚴重,9,非常嚴重,9,非常嚴重,9,非常嚴重,9,高層管理人員,9

,,,,,,,,,,,,

要素,準則,數(shù)據(jù)資產(chǎn),,實體/服務資產(chǎn),,文件/軟件資產(chǎn),,形象資產(chǎn),,人員資產(chǎn),

可用性,按資產(chǎn)使用或允許中斷的時間次數(shù)來評估,數(shù)據(jù)存儲、傳輸及處理設施在一個工作日內允許中斷的次數(shù)或時間比例,賦值,每次中斷允許時間,賦值,使用頻次要求,賦值,使用頻次,賦值,允許離崗時間,賦值

,,16次以上或全部工作時間中斷,1,3天以上,1,每年都要使用至少1次,1,每年都要使用至少1次,1,10個工作日及以上,1

,,9-15次或1/2工作時間中斷,3,1－3天,3,每個季度都要使用至少1次,3,每個季度都要使用至少1次,3,6-9工作日,3

,,3-8次或1/4工作時間中斷,5,12小時－1天,5,每個月都要使用至少1次,5,每個月都要使用至少1次,5,3-5個工作日,5

,,1-2次或1/8工作時間中斷,7,3小時－12小時,7,每周都要使用至少1次,7,每周都要使用至少1次,7,2個工作日,7

,,不允許,9,0－3小時,9,每天都要使用至少1次,9,每天都要使用至少1次,9,1個工作日,9

,,,,,,,,,,,,

,,,,,,,,,,,,

,要素,標識,,相對價值范圍,等級,,,,,,

,資產(chǎn)等級,很高,,"23,25,27",4,,,,,,

,,高,,"17,19,21",3,,,,,,

,,一般,,"11,13,15",2,,,,,,

,,低,,"3,5,7,9",1,,,,,,

,,,,,,,,,,,,

,要素,標識,,發(fā)生的頻率,等級,,,,,,

,威脅利用弱點導致危害的可能性,很高,,出現(xiàn)的頻率很高（或≥1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實經(jīng)常發(fā)生過,5,,,,,,

,,高,,出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過,4,,,,,,

,,一般,,出現(xiàn)的頻率中等（或>1次/半年）；或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)生過,3,,,,,,

,,低,,出現(xiàn)的頻率較??；或一般不太可能發(fā)生；或沒有被證實發(fā)生過,2,,,,,,

,,很低,,威脅幾乎不可能發(fā)生；僅可能在非常罕見和例外的情況下發(fā)生,1,,,,,,

,,,,,,,,,,,,

,要素,標識,,嚴重程度,等級,,,,,,

,脆弱性被威脅利用后的嚴重性,很高,,如果被威脅利用，將對公司重要資產(chǎn)造成重大損害,5,,,,,,

,,高,,如果被威脅利用，將對重要資產(chǎn)造成一般損害,4,,,,,,

,,一般,,如果被威脅利用，將對一般資產(chǎn)造成重要損害,3,,,,,,

,,低,,如果被威脅利用，將對一般資產(chǎn)造成一般損害,2,,,,,,

,,很低,,如果被威脅利用，將對資產(chǎn)造成的損害可以忽略,1,,,,,,

,,,,,,,,,,,,

,,,,,,,,,,,,

,,,,,,,,,,,,

,要素,標識,,風險值范圍,級別,可接受準則,,,,,

,風險級別,高風險,,12～14,4,風險不可接受，必須立即