信息安全风险识别与评价管理程序

叮叮小文库 题目： 编号 GM-III-B005 00 2015.07.20 信息安全风险识别与评价管理程序 版本号 生效日期 响恶劣 4 3 2 1 高 中等 低 很低 一旦发生将产生较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成损害 一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大 一旦发生造成的影响程度较低，一般仅限于组织内部，通过一定手段很快能解决 一旦发生造成的影响几乎不存在，通过简单的措施就能弥补 表12 风险等级划分

风险值 风险等级 1-5 1 6-11 2

六、残余风险评估:

在对于不可接受的风险选择适当安全措施后，为确保安全措施的有效性，需要进行再评估，以判断实施安全措施后的残余风险是否已经降低到可接受的水平。残余风险的评估可以从脆弱性评估开始，在对照安全措施实施前后的脆弱性状况后，再次计算风险值的大小。 某些风险如果在选择了适当的安全措施后，残余风险的结果仍处于不可接受的风险范围内，那么就应该考虑是否接受此风险或进一步增加相应的安全措施。 七、风险实施流程:

风险评估的实施流程如图1所示： 资产识别 威胁识别 脆弱性识别 风险评估准备 12-35 3 36-79 4 80-125 5 - 已有安全措施的确认 11 叮叮小文库 题目： 信息安全风险识别与评价管理程序 风险值计算 是 保持已有的安全措施 风险是否接受 否 制定风险处理计划并 评估残余风险 否 是否接受残余风险 是 实施风险管理 图1 风险评估实施流程图

八、风险评估文档记录: 《信息资产风险评估准则》 《信息资产清单》

《信息资产风险评估准表》 《风险处理计划》

-

编号 GM-III-B005 版本号 00 生效日期 2015.07.20 评估过程文档 评估过程文档 评估过程文档 12

叮叮小文库 题目： 编号 GM-III-B005 00 2015.07.20 信息安全风险识别与评价管理程序 版本号 生效日期

修订历史： 版本号：00 内容：新制订文件。 生效日期：2015.07.20 - 13