信息安全風(fēng)險(xiǎn)管理方案計(jì)劃程序

1目的

為了在考慮控制成本與風(fēng)險(xiǎn)平衡的前提下選擇合適的控制目標(biāo)和控制方式，將信息安全風(fēng)險(xiǎn)控制在

可接受的水平，特制定本程序。

2范圍

本程序合用信息安全管理體系(ISMS)范圍內(nèi)信息安全風(fēng)險(xiǎn)評估活動(dòng)的管理。

3砥

3.1研發(fā)中心

負(fù)責(zé)牽頭成立信息安全管理委員會(huì)。

3.2信息安全管理委員會(huì)

負(fù)責(zé)編制《信息安全風(fēng)險(xiǎn)評估計(jì)劃》，確認(rèn)評估結(jié)果，形成《風(fēng)險(xiǎn)評估I艮告》及《風(fēng)險(xiǎn)處理計(jì)劃》。

3.3各部門

負(fù)責(zé)本部門使用或者管理的資產(chǎn)的識(shí)別和風(fēng)險(xiǎn)評估，并負(fù)責(zé)本部門所涉及的資產(chǎn)的具體安全控制

工

作。

4相關(guān)文件

《信息安全管理手冊》

《GB-T20984-2022信息安全風(fēng)險(xiǎn)評估規(guī)范》

《信息技術(shù)安全技術(shù)信息技術(shù)安全管理指南第3部份：1T安全管理技術(shù)》

5M

5.1風(fēng)險(xiǎn)評估前準(zhǔn)備

①研發(fā)中心牽頭成立信息安全管理委員會(huì)，委員會(huì)成員應(yīng)包含信息安全重要責(zé)任部門的成員。

②信息安全管理委員會(huì)制定《信息安全風(fēng)險(xiǎn)評估計(jì)劃》，下發(fā)各部門。

③風(fēng)險(xiǎn)評估方法-定性綜合風(fēng)險(xiǎn)評估方法

本項(xiàng)目采用的是定性的風(fēng)險(xiǎn)評估方法。定性風(fēng)險(xiǎn)評估并不強(qiáng)求對構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素（特殊是

資產(chǎn)）進(jìn)行精確的量化評價(jià)，它有賴于評估者的經(jīng)驗(yàn)判斷、業(yè)界慣例以及組織自身定義的標(biāo)準(zhǔn)，來

對風(fēng)瞼要素進(jìn)行相對的等級分化，最終得出的風(fēng)瞼大小，只需要通過等級差別來分出風(fēng)險(xiǎn)處理的優(yōu)

先順序即可。

綜合評估是先識(shí)別資產(chǎn)并對資產(chǎn)進(jìn)行賦值評估，得出重要資產(chǎn)，然后對重要資產(chǎn)進(jìn)行詳細(xì)的風(fēng)

險(xiǎn)的古。

5.2資產(chǎn)賦值

①各部門信息安全管理委員會(huì)成員對本部門資產(chǎn)進(jìn)行識(shí)別，并進(jìn)行資產(chǎn)賦值。

資產(chǎn)價(jià)值計(jì)算方法：資產(chǎn)價(jià)值=保密性賦值+完整性賦值+可用性賦值

②資產(chǎn)賦值的過程是對資產(chǎn)在信息分類、機(jī)密性、完整性、可用性進(jìn)行分析評估，并在此基礎(chǔ)上

得出綜合結(jié)果的過程。

③確定信息類別

信息分類按"5.9資產(chǎn)識(shí)別參考(資產(chǎn)類別)"進(jìn)行，信息分類不合用時(shí)，可不填寫。

④機(jī)密性(C)賦值

a根據(jù)資產(chǎn)在機(jī)密性上的不同要求，將其分為五個(gè)不同的等級，分別對應(yīng)資產(chǎn)在機(jī)密性上的

應(yīng)達(dá)成的不同程度或者機(jī)密性缺失時(shí)對整個(gè)組織的影響。

⑤完整性⑴賦值

a根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個(gè)不同的等級，分別對應(yīng)資產(chǎn)在完整性上的

達(dá)成的不同程度或者完整性缺失時(shí)對整個(gè)組織的影響?

⑥可用性(A)賦值

＞根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個(gè)不同的等級，分別對應(yīng)資產(chǎn)在可用性上的

達(dá)成的不同程度。

資產(chǎn)價(jià)值判斷標(biāo)準(zhǔn)

要

準(zhǔn)則數(shù)據(jù)資產(chǎn)實(shí)體/服務(wù)資產(chǎn)文件/軟件資產(chǎn)無形資產(chǎn)人員資產(chǎn)

素

數(shù)據(jù)存儲(chǔ)、

傳輸及處

理設(shè)施在

一個(gè)工作賦每次中斷允許賦使用頻次要斌賦允許離崗時(shí)賦

使用頻次

日內(nèi)允許值時(shí)間值求值l'1'l間值

中斷的次

數(shù)或者時(shí)間

按資產(chǎn)岬

使用或16次以上

可

者允或者全部每年都要使每年都要使用10個(gè)工作日

用13天以上1111

工廁及以上

許中用至少1次至少1次

性

斷的時(shí)間中

間次數(shù)斷每個(gè)季度都

每個(gè)季度都要

9-15次或21-3天2要使用至少1226-9工作日2

者使用至少1次

次

1/2工作時(shí)

每個(gè)月都要

間中斷每個(gè)月都要使

312小時(shí)?1天3使用至少1333-5個(gè)工作日3

次用至少1次

3-8次

1/4工作時(shí)

3小時(shí)?12小每周都要使每周都要使用

間中斷44442個(gè)工作日4

時(shí)用至少1次至少1次

間中斷

每天都要使每天都要使用

不允許50-3小時(shí)5551個(gè)工作日5

用至少1次至少1次

形成資產(chǎn)清單

各部門的《重要資產(chǎn)調(diào)查與風(fēng)險(xiǎn)評估表》經(jīng)本部門負(fù)責(zé)人審核，報(bào)管理者代表確認(rèn)。

53判定重要資產(chǎn)

①根據(jù)前面的資產(chǎn)機(jī)密性、完整性、可用性的賦值相加得到資產(chǎn)的價(jià)值，資產(chǎn)價(jià)值越高表示資產(chǎn)

重要性程度越高。

要素相對價(jià)值范圍等級

很高15,14,134

高12,11,103

資產(chǎn)等級

普通987,62

低5,4,31

②按資產(chǎn)價(jià)值得出重要資產(chǎn)，資產(chǎn)價(jià)值為4,3的是重要資產(chǎn)，資產(chǎn)價(jià)值為2,1的是非重要資

產(chǎn)。

③信息安全管理委員會(huì)對各部門資產(chǎn)識(shí)別情況進(jìn)行審核，確保沒有遺漏重要資產(chǎn)，形成各部門的

《資產(chǎn)識(shí)別清單》。

④各部門的《資產(chǎn)識(shí)別清單》經(jīng)本部門負(fù)責(zé)人審核，報(bào)管理者代表確認(rèn)，并分發(fā)各部門存檔。

5.4重要資產(chǎn)風(fēng)險(xiǎn)評估

①應(yīng)對所有的重要資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評估，評估應(yīng)考慮威脅、脆弱性、威脅事件發(fā)生的可能性、威脅

事件發(fā)生后對資產(chǎn)造成的影響程度、風(fēng)險(xiǎn)的等級、風(fēng)險(xiǎn)是否在可接受范圍內(nèi)及已采取的措施等

方面因素。

②識(shí)別威脅

A威脅是對組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素，造成威脅的因素可分為人為因素和環(huán)

境因素。威脅作用形式可以是對信息系統(tǒng)直接或者i瞬的攻擊，例如非授權(quán)的泄露、篡改、

刪除等，在保密性、完整性或者可用性等方面造成傷害;也可能是偶發(fā)的、或者蓄意的事

件。

A威脅可基于表現(xiàn)形式分類，基于表現(xiàn)形式的威脅分類標(biāo)準(zhǔn)可參考下表：

威脅分類表

種類描述威脅子類

設(shè)備硬件故障、傳輸設(shè)備故障、

對業(yè)務(wù)實(shí)施或者系統(tǒng)運(yùn)行產(chǎn)生影響的設(shè)備

存儲(chǔ)媒體故障、系統(tǒng)軟件故障、

軟硬件故障硬件故障、通訊鏈路中斷、系統(tǒng)本身或者

軟應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、

件缺陷等問題開辟環(huán)境故障等

斷電、靜電、灰塵、潮濕、溫度、

物理環(huán)境影響對信息系統(tǒng)正常運(yùn)行造成影響的物理環(huán)鼠蟻蟲害、電磁干擾、洪災(zāi)、火

境問題和自然災(zāi)害災(zāi)、地震等

無作為或者操作失誤應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或者無維護(hù)錯(cuò)誤、操作失誤等

意

執(zhí)行了錯(cuò)誤的操作管理制度和策稍不完善、管理規(guī)

管理不到位程缺失、職責(zé)不明確、監(jiān)督控管

安全管理無法落實(shí)或者不到位，從而破壞

信

機(jī)制不健全等

息系統(tǒng)正常有序運(yùn)行

病毒、特洛伊木馬、蠕蟲、陷門、

惡意代碼

間諜軟件、竊聽軟件等

故意在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的程

非授權(quán)訪問網(wǎng)絡(luò)資源、非授權(quán)訪

序代碼

問系統(tǒng)資源、濫用權(quán)限非正常修

越權(quán)或者濫用

通過采用一些措施，超越自己的權(quán)限訪問

改系統(tǒng)配置或者數(shù)據(jù)、濫用權(quán)限泄

了本來無權(quán)訪問的資源，或者濫用自己的

露秘密信息等

權(quán)限，做出破壞信息系統(tǒng)的行為

網(wǎng)絡(luò)探測和信息采集、漏洞探測、

嗅探（帳號(hào)、口令、權(quán)限等）、

網(wǎng)絡(luò)攻擊

用戶身份偽造和欺騙、用戶或者業(yè)

利用工具和技術(shù)通過網(wǎng)絡(luò)對信息系統(tǒng)進(jìn)

務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運(yùn)行

行攻擊和入侵

的控制和破壞等

通過物理的接觸造成對軟件、硬件、數(shù)據(jù)

物理攻擊物理接觸、物理破壞、盜竊等

的破壞

泄密信息泄露哈不應(yīng)了解的他人內(nèi)部信息泄露、外部信息泄露等

篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配

非法修改信息，破壞信息的完整性使系統(tǒng)置信息、篡改安全配置信息、篡

篡改

的安全性降低或者信息不可用改用戶身份信息或者業(yè)務(wù)數(shù)據(jù)信

息

____________________________

不承認(rèn)收到的信息和所作的操作和交易原發(fā)抵賴、接收抵賴、第三方抵

A各部門根據(jù)資產(chǎn)本身所處的環(huán)境條件，識(shí)別每一個(gè)資產(chǎn)所面臨的威脅。

③識(shí)別脆弱性

＞脆弱性是對一個(gè)或者多個(gè)資產(chǎn)弱點(diǎn)的總稱。脆弱性是資產(chǎn)本身存在的，如果沒有相應(yīng)的威脅

發(fā)生，單純的脆弱性本身不會(huì)對資產(chǎn)造成傷害。而且如果系統(tǒng)足夠強(qiáng)健，再嚴(yán)重的威協(xié)

也不會(huì)導(dǎo)致安全事件，并造成損失。即，威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。

A資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性惟獨(dú)在一定條件和環(huán)境下才干顯現(xiàn)，這是脆弱性識(shí)

別中最為艱難的部份。需要注意的是，不正確的、起不到應(yīng)有作用的或者沒有正確實(shí)施

的安全措施本身就可能是一個(gè)脆弱性。

A脆弱性識(shí)別將針對每一項(xiàng)需要保護(hù)的資產(chǎn)，找出可能被威脅利用的脆弱性，并對脆弱性的

嚴(yán)重程度進(jìn)行評估。脆弱性識(shí)別時(shí)的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)

務(wù)領(lǐng)域的專家和軟硬件方面的專業(yè)人員。

脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、

應(yīng)用層等各個(gè)層面的安全問題。管理脆弱性又可分為技術(shù)管理和組織管理兩方面，前者

與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)。

常見脆弱性

序號(hào)類別薄弱點(diǎn)威脅

環(huán)境和基

1.建造物/門以及窗戶缺少物理保護(hù)例如，可能會(huì)被偷竊這一威脅所利用

礎(chǔ)設(shè)施

對建造物'房間物理進(jìn)入控制不充分，

■可能會(huì)被故意傷害這一威脅所利用

或者松懈

■電網(wǎng)不穩(wěn)定可能會(huì)被功率波動(dòng)這一威脅所利用

■所處位置容易受到洪水襲擊可能會(huì)被洪水這一威脅所利用

可能會(huì)被存儲(chǔ)媒體退化這一威脅所利

2.硬件缺少定期替換計(jì)劃

用

■容易受到電壓不穩(wěn)定的侵?jǐn)_可能會(huì)被功率波動(dòng)這一威脅所利用

可能會(huì)溫度的極端變化這一威脅所利

■容易受到溫度變化的侵?jǐn)_

用

■容易受到濕度、灰塵和污染的侵?jǐn)_可能會(huì)被灰塵這一威脅所利用

■對電磁輻射的敏感性可能會(huì)被電磁輻射這一威脅所利用

■不充分的維護(hù)/存儲(chǔ)媒體的錯(cuò)誤安裝可能會(huì)被維護(hù)失誤這一威脅所利用

可能會(huì)被操作職員失誤這一威脅所利

■缺少有效的配置變化控制

用

3.軟件開辟人員的說明不清晰或者不完整可能會(huì)被軟件故障這一威脅所利用

可能會(huì)被未經(jīng)授權(quán)許可的用戶使用軟

■沒有軟件測試或者軟件測試不充分

件這一威脅所利用

可能會(huì)被操作職員失誤這一威脅所利

■復(fù)雜的用戶界面

用

可能會(huì)被冒充用戶身份這一威脅所利

■缺少識(shí)別和鑒定機(jī)制，如：用戶鑒定

用

可能會(huì)被以未經(jīng)授權(quán)許可的方式使用

■缺少審核跟蹤

軟件這一威脅所利用

可能會(huì)被軟件未經(jīng)許可的用戶使用軟

■軟件中存在眾所周知的缺陷

件這一威脅所利用

可能會(huì)被冒充用戶身份這一威脅所利

口令表沒有受到保滬

用

口令管理較差（很容易被猜測，公開可能會(huì)被冒充用戶身份這一威脅所利

■

地存儲(chǔ)口令，不時(shí)常更改）用

可能會(huì)被以未經(jīng)許可的方式使用軟件

■訪問權(quán)的錯(cuò)誤分派

這一威脅所利用

■對下載和使用軟件不進(jìn)行控制可能會(huì)被惡意軟件這一威脅所利用

■離開工作站沒有注銷用戶可能會(huì)被未經(jīng)許可的用戶使用軟件這

一威脅所利用

■缺少有效的變化控制可能會(huì)被軟件故障這一威脅所利用

可能會(huì)被操作職員的失誤這一威脅所

■缺少文件編制

利用

可能會(huì)被惡意軟件或各火災(zāi)這一威脅所

■缺少備份

利用

沒有適當(dāng)?shù)牟脸鴮Υ鎯?chǔ)媒體進(jìn)行處可能會(huì)被未經(jīng)許可的用戶使用軟件這

■

理或者重新使用一威脅所利用

4.通訊通訊路線沒有保護(hù)可能會(huì)被偷聽這一威脅所利用

■電纜連接差可能會(huì)被通訊滲透這一威脅所利用

可能會(huì)被冒充用戶身份這一威脅所利

■對發(fā)件人和收件人缺少識(shí)別和鑒定

用

可能會(huì)被未經(jīng)許可的用戶接入網(wǎng)絡(luò)這

■公開傳送口令

一威脅所利用

■收發(fā)信息缺少驗(yàn)證可能會(huì)被否認(rèn)這一威脅所利用

可能會(huì)被未經(jīng)許可的用戶接入網(wǎng)絡(luò)這

■撥號(hào)路線

一威脅所利用

■對敏感性通信不進(jìn)行保護(hù)可能會(huì)被偷聽這一威脅所利用

■網(wǎng)絡(luò)管理不充分（路由的彈性）可能會(huì)被通信是超載這一威脅所利用

可能會(huì)被未經(jīng)許可的用戶使用軟件這

■公共網(wǎng)絡(luò)連接沒有保護(hù)

一威脅所利用

5.文件存儲(chǔ)沒有保護(hù)可能會(huì)被偷竊這一威脅所利用

■進(jìn)行處理時(shí)缺少關(guān)注可能會(huì)被偷竊這一威脅所利用

■對拷貝沒有進(jìn)行控制可能會(huì)被偷竊這一威脅所利用

6.人員缺席可能會(huì)被缺少員工這一威脅所利用

對外部人員和清理人員的工作不進(jìn)行

■可能會(huì)被偷竊這一威脅所利用

監(jiān)督

可能會(huì)被操作職員的失誤這一威脅所

■不充分的安全培訓(xùn)

利用

■缺少安全意識(shí)可能會(huì)被用戶錯(cuò)誤這一威脅所利用

可能會(huì)被操作職員的失誤這一威脅所

■對軟件和硬件不正確的使用

利用

可能會(huì)被以未經(jīng)許可的方式使用軟件

■缺少監(jiān)控機(jī)制

這一威脅所利用

在正確使用通訊媒體和信息方面缺乏可能會(huì)被以未經(jīng)許可的方式使用網(wǎng)絡(luò)

■

政策設(shè)施這一威脅所利用

■增員程序不充分可能會(huì)被故意傷害這一威脅所利用

普通都適

可能會(huì)被通訊服務(wù)故障這一威脅所利

7.用的薄弱某一點(diǎn)上的故障

用

環(huán)節(jié)

■服務(wù)維護(hù)反應(yīng)不足可能會(huì)被硬件故障這一威脅所利用

脆弱性識(shí)別內(nèi)容表

iRsom語岫容

從機(jī)房場地、機(jī)房防火、機(jī)房供配電、

機(jī)房防靜電、機(jī)房接地與防雷、電磁防

物理環(huán)境

護(hù)、通信路線的保護(hù)、機(jī)房區(qū)域防護(hù)、

機(jī)房設(shè)備管理等方面進(jìn)行識(shí)別

從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問

網(wǎng)絡(luò)結(jié)構(gòu)控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)

備安全配置等方面進(jìn)行識(shí)別

從補(bǔ)丁安裝、物理保護(hù)、用戶帳號(hào)、口

技術(shù)脆弱性

令策略、資源共享、事件審計(jì)、訪問控

系統(tǒng)軟件

制、新系統(tǒng)配置.注冊表加固、網(wǎng)絡(luò)安

全、系統(tǒng)管理等方面進(jìn)行識(shí)別

從協(xié)議安全、交易完整性、數(shù)據(jù)完整性

應(yīng)用中間件

等方面進(jìn)行識(shí)別

從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪?帝制策略、

應(yīng)用系統(tǒng)數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保

護(hù)等方面進(jìn)行識(shí)別

從物理和環(huán)境安全、通信與操作管理、

管理脆弱性技術(shù)管理訪問控制、系統(tǒng)開辟與維護(hù)、業(yè)務(wù)連續(xù)

性等方面進(jìn)行識(shí)別

從安全策略、組織安全、資產(chǎn)分類與控

組織管理

制、人員安全、符合性等方面進(jìn)行識(shí)別

④威脅利用脆弱性發(fā)生風(fēng)險(xiǎn)之后的影響后果描述

⑤風(fēng)險(xiǎn)描述

⑥識(shí)別現(xiàn)有控制措施

⑦評估威脅發(fā)生的可能性

＞分析威脅利用脆弱性給資產(chǎn)造成傷害的可能性。

A確定各個(gè)威脅利用脆弱性造成傷害的可能性。

＞判斷每項(xiàng)重要資產(chǎn)所面臨威脅發(fā)生的可能性時(shí)應(yīng)注意：

今威脅事件本身發(fā)生的可能性；

今現(xiàn)有的安全控制措施；

今現(xiàn)存的安全脆弱性。

要素發(fā)生的頻率等級

浮現(xiàn)的頻率很高（或者

之1

很高次/周）；或者在大多數(shù)5

怙

威脅利用弱

況下幾乎不可避免；或者

可

點(diǎn)導(dǎo)致危害

以證實(shí)時(shí)常發(fā)生過

的可能性

高浮現(xiàn)的頻率較高（或者24

1

次/月）；或者在大多數(shù)

楮

浮現(xiàn)的須率中等（或者

>1

普通次/半年）；或者在某種3

情

況項(xiàng)能會(huì)發(fā)生;或者被

訐

實(shí)曾經(jīng)發(fā)生過

低2

浮現(xiàn)的頻率較??；或者普

通

不太可能發(fā)生；或者沒有

被

很低1

證實(shí)發(fā)生過

GtinhnSEKTTT幺匕七?E

⑧影響程度分析

>影響程度指一旦威脅事件實(shí)際發(fā)生時(shí)，將給資產(chǎn)帶來多大程度的損失。

A在分析時(shí)，可以從影響相關(guān)方和影響業(yè)務(wù)連續(xù)性兩個(gè)不同維度方面來評估打分。

A如果改風(fēng)險(xiǎn)可能引起法律起訴，則影響程度值為最高5分。

要素嚴(yán)重程度等級

威脅被利用如果被威脅利用，將對公

很高5

后的嚴(yán)重性司重要資產(chǎn)造成重大損

害

如果被威脅利用,將對重

高4

要資產(chǎn)造成普通傷害

如果被威脅利用,將對一

普通3

股綾產(chǎn)造成重要傷害

如果被威脅利用，將對一

低2

股資產(chǎn)造成普通傷害

如果被威脅利用，將對資

很低1

產(chǎn)造成的傷害可以忽略

⑨風(fēng)險(xiǎn)的等級

A風(fēng)險(xiǎn)值由威脅發(fā)生的可能性、影響程度和資產(chǎn)價(jià)值這三個(gè)因素共同決定。

A風(fēng)險(xiǎn)值計(jì)算方法：風(fēng)險(xiǎn)值=威脅發(fā)生可能性*（威脅發(fā)生對保密性的影響+威脅

發(fā)生對完整性的影響+威脅發(fā)生對可用性的影響）

A風(fēng)險(xiǎn)等級標(biāo)準(zhǔn)見下表：

要素風(fēng)險(xiǎn)值范圍級別可接受準(zhǔn)則

風(fēng)險(xiǎn)不可接受，必須即將

高風(fēng)險(xiǎn)>204采取有效的措施降低風(fēng)

風(fēng)險(xiǎn)級別險(xiǎn)

風(fēng)險(xiǎn)可以接受，但需要采

較高風(fēng)險(xiǎn)>15且<=203

取進(jìn)一步措施降低風(fēng)險(xiǎn)

普通風(fēng)險(xiǎn)>10且<=152

風(fēng)險(xiǎn)可以接受

低風(fēng)險(xiǎn)<=101

⑩建議控制措施

A安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。預(yù)防性安全措施可以降f氐威脅

利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如入侵檢測系統(tǒng)；保護(hù)性安全措施可以減少因

安全事件發(fā)生對信息系統(tǒng)造成的影響，如業(yè)務(wù)持續(xù)性計(jì)劃。

>建議控制措施的確認(rèn)與脆弱性識(shí)別存在一定的聯(lián)系。普通來說，安全措施的使用將減少脆

弱性，但安全措施的確認(rèn)并不需要與脆弱性識(shí)別過程那樣具體到每一個(gè)資產(chǎn)、組件的潴

弱性，而是一類具體措施的集合。

5.5不可接受風(fēng)險(xiǎn)的確定

①通過預(yù)制的風(fēng)險(xiǎn)的可接受準(zhǔn)則，進(jìn)行風(fēng)險(xiǎn)可接受性判定（是否高風(fēng)險(xiǎn)），并生成各部門的《重

要資產(chǎn)調(diào)直與風(fēng)險(xiǎn)評估表》表單。

②各部門的《重要資產(chǎn)調(diào)查與風(fēng)險(xiǎn)評估表》經(jīng)本部門負(fù)責(zé)人審核，報(bào)管理者代表批準(zhǔn)。

5.6風(fēng)險(xiǎn)處理

①對風(fēng)險(xiǎn)應(yīng)進(jìn)行處理。對可接受風(fēng)險(xiǎn)，可保持已有的安全措施；如果是不可接受風(fēng)險(xiǎn)（高風(fēng)險(xiǎn)），

則需要采取安全措施以降低、控制風(fēng)險(xiǎn)。

②對不可接受風(fēng)險(xiǎn)，應(yīng)采取新的風(fēng)險(xiǎn)處理的措施，規(guī)定風(fēng)險(xiǎn)處理方式、責(zé)任部門和時(shí)間進(jìn)度，高

風(fēng)險(xiǎn)應(yīng)得到優(yōu)先的考慮。

③信息安全管理委員會(huì)根據(jù)《重要資產(chǎn)調(diào)有與風(fēng)險(xiǎn)評估表》編制《風(fēng)險(xiǎn)處置計(jì)劃》。

④信息安全管理委員會(huì)根據(jù)《重要資產(chǎn)調(diào)查與風(fēng)險(xiǎn)評估表》編制《風(fēng)險(xiǎn)評估報(bào)告》，陳述信息安

全管理現(xiàn)狀，分析存在的信息安全風(fēng)險(xiǎn)，提出信息安全管理（控制）的建議與措施。

⑤管理者代表考慮成本與風(fēng)險(xiǎn)的關(guān)系，對《風(fēng)險(xiǎn)評估報(bào)告》及《風(fēng)險(xiǎn)處理計(jì)劃》的相關(guān)內(nèi)容審咳，

對認(rèn)為不合適的控制或者風(fēng)險(xiǎn)處理方式等提出說明，由信息安全管理委員會(huì)協(xié)同相關(guān)部門重新

考慮管理者代表的意見，選擇其他的控制或者風(fēng)險(xiǎn)處理方式，并重新提交管理者代表審核批準(zhǔn)

實(shí)施。

⑥名責(zé)任部門按照批準(zhǔn)后的《風(fēng)險(xiǎn)處理計(jì)劃》的要求采取有效安全控制措施，確保所采取的控制

措施是有效的。

⑦如果降低風(fēng)險(xiǎn)所付出的成本大于風(fēng)險(xiǎn)所造成的損失，則選擇接受風(fēng)險(xiǎn)。

5.7剩余風(fēng)險(xiǎn)評估

①對采取安全措施處理后的風(fēng)險(xiǎn)，信息安全管理委員會(huì)進(jìn)行再評估，以判斷實(shí)施安全措施后的殘

余風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平。

②某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)陌踩胧┖笕蕴幱诓豢山邮艿娘L(fēng)險(xiǎn)范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)

險(xiǎn)或者進(jìn)一步增加相應(yīng)的安全措施。

③剩余風(fēng)險(xiǎn)評估完成后，剩余風(fēng)險(xiǎn)報(bào)管理者代表審核、總經(jīng)理批準(zhǔn)。

5.8信息安全風(fēng)險(xiǎn)的連續(xù)評估

①信息安全管理委員會(huì)每年應(yīng)組織對信息安全風(fēng)險(xiǎn)重新評估一次，以適應(yīng)信息資產(chǎn)的變化，確定

是否存在新的威脅或者脆弱性及是否需要增加新的控制措施。

②當(dāng)企業(yè)發(fā)生以下情況時(shí)需及時(shí)進(jìn)行