1目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平，特制定本程序。

2范围本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。

3职责3.1研发中心负责牵头成立信息安全管理委员会。

3.2信息安全管理委员会负责编制《信息安全风险评估计划》，确认评估结果，形成《风险评估报告》及《风险处理计划》。

3.3各部门负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制工作。

4相关文件《信息安全管理手册》《GB-T20984-2007信息安全风险评估规范》《信息技术安全技术信息技术安全管理指南第3部分：IT安全管理技术》5程序5.1风险评估前准备①研发中心牵头成立信息安全管理委员会，委员会成员应包含信息安全重要责任部门的成员。

②信息安全管理委员会制定《信息安全风险评估计划》，下发各部门。

③风险评估方法-定性综合风险评估方法本项目采用的是定性的风险评估方法。

定性风险评估并不强求对构成风险的各个要素（特别是资产）进行精确的量化评价，它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准，来对风险要素进行相对的等级分化，最终得出的风险大小，只需要通过等级差别来分出风险处理的优先顺序即可。

综合评估是先识别资产并对资产进行赋值评估，得出重要资产，然后对重要资产进行详细的风险评估。

5.2资产赋值①各部门信息安全管理委员会成员对本部门资产进行识别，并进行资产赋值。

资产价值计算方法：资产价值= 保密性赋值＋完整性赋值＋可用性赋值②资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估，并在此基础上得出综合结果的过程。

③确定信息类别信息分类按“资产识别参考（资产类别）”进行，信息分类不适用时，可不填写。

④机密性(C)赋值根据资产在机密性上的不同要求，将其分为五个不同的等级，分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。

⑤完整性(I)赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。

⑥可用性(A)赋值根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上的达成的不同程度。

资产价值判断标准形成资产清单各部门的《重要资产调查与风险评估表》经本部门负责人审核，报管理者代表确认。

5.3判定重要资产①根据前面的资产机密性、完整性、可用性的赋值相加得到资产的价值，资产价值越高表示资产要素标识相对价值范围等级资产等级很高15,14,134高12,11,103一般9,8,7,62低5,4,31②按资产价值得出重要资产，资产价值为4，3的是重要资产，资产价值为2，1的是非重要资产。

③信息安全管理委员会对各部门资产识别情况进行审核，确保没有遗漏重要资产，形成各部门的《资产识别清单》。

④各部门的《资产识别清单》经本部门负责人审核，报管理者代表确认，并分发各部门存档。

5.4重要资产风险评估①应对所有的重要资产进行风险评估，评估应考虑威胁、脆弱性、威胁事件发生的可能性、威胁事件发生后对资产造成的影响程度、风险的等级、风险是否在可接受范围内及已采取的措施等方面因素。

②识别威胁威胁是对组织及其资产构成潜在破坏的可能性因素，造成威胁的因素可分为人为因素和环境因素。

威胁作用形式可以是对信息系统直接或间接的攻击，例如非授权的泄露、篡改、删除等，在保密性、完整性或可用性等方面造成损害；也可能是偶发的、或蓄意的事件。

威胁可基于表现形式分类，基于表现形式的威胁分类标准可参考下表：威胁分类表抵赖不承认收到的信息和所作的操作和交易原发抵赖、接收抵赖、第三方抵赖等各部门根据资产本身所处的环境条件，识别每个资产所面临的威胁。

③识别脆弱性脆弱性是对一个或多个资产弱点的总称。

脆弱性是资产本身存在的，如果没有相应的威胁发生，单纯的脆弱性本身不会对资产造成损害。

而且如果系统足够强健，再严重的威胁也不会导致安全事件，并造成损失。

即，威胁总是要利用资产的脆弱性才可能造成危害。

资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现，这是脆弱性识别中最为困难的部分。

需要注意的是，不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性。

脆弱性识别将针对每一项需要保护的资产，找出可能被威胁利用的脆弱性，并对脆弱性的严重程度进行评估。

脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域的专家和软硬件方面的专业人员。

脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。

管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关。

序号类别薄弱点威胁1. 环境和基础设施建筑物/门以及窗户缺少物理保护例如,可能会被偷窃这一威胁所利用●对建筑物\房间物理进入控制不充分,或松懈可能会被故意损害这一威胁所利用●电网不稳定可能会被功率波动这一威胁所利用●所处位置容易受到洪水袭击可能会被洪水这一威胁所利用2. 硬件缺少定期替换计划可能会被存储媒体退化这一威胁所利用●容易受到电压不稳定的侵扰可能会被功率波动这一威胁所利用●容易受到温度变化的侵扰可能会温度的极端变化这一威胁所利用●容易受到湿度、灰尘和污染的侵扰可能会被灰尘这一威胁所利用●对电磁辐射的敏感性可能会被电磁辐射这一威胁所利用●不充分的维护/存储媒体的错误安装可能会被维护失误这一威胁所利用●缺少有效的配置变化控制可能会被操作职员失误这一威胁所利用3. 软件开发人员的说明不清楚或不完整可能会被软件故障这一威胁所利用●没有软件测试或软件测试不充分可能会被未经授权许可的用户使用软④威胁利用脆弱性发生风险之后的影响后果描述⑤风险描述⑥识别现有控制措施⑦评估威胁发生的可能性分析威胁利用脆弱性给资产造成损害的可能性。

确定各个威胁利用脆弱性造成损害的可能性。

判断每项重要资产所面临威胁发生的可能性时应注意：威胁事件本身发生的可能性；现有的安全控制措施；现存的安全脆弱性。

要素标识发生的频率等级威胁利用弱点导致危害的可能性很高出现的频率很高（或≥1次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过5高出现的频率较高（或≥ 1次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过4一般出现的频率中等（或> 1次/半年）；或在某种情况下可能会发生；或被证实曾经发生过3低出现的频率较小；或一般不太可能发生；或没有被证实发生过2很低威胁几乎不可能发生；仅可能在非常罕见和例外的情况下发生1⑧影响程度分析影响程度指一旦威胁事件实际发生时，将给资产带来多大程度的损失。

在分析时，可以从影响相关方和影响业务连续性两个不同维度方面来评估打分。

如果改风险可能引起法律起诉，则影响程度值为最高5分。

要素标识严重程度等级威胁被利用后的严重性很高如果被威胁利用，将对公司重要资产造成重大损害5高如果被威胁利用，将对重要资产造成一般损害4一般如果被威胁利用，将对一般资产造成重要损害3低如果被威胁利用，将对一般资产造成一般损害2很低如果被威胁利用，将对资产造成的损害可以忽略1⑨风险的等级风险值由威胁发生的可能性、影响程度和资产价值这三个因素共同决定。

风险值计算方法：风险值= 威胁发生可能性* （威胁发生对保密性的影响+威胁发生对完整性的影响+威胁发生对可用性的影响）风险等级标准见下表：要素标识风险值范围级别可接受准则风险级别高风险>204风险不可接受，必须立即采取有效的措施降低风险较高风险>15 且<=203风险可以接受，但需要采取进一步措施降低风险一般风险>10 且<=152风险可以接受低风险<=101⑩建议控制措施安全措施可以分为预防性安全措施和保护性安全措施两种。

预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统；保护性安全措施可以减少因安全事件发生对信息系统造成的影响，如业务持续性计划。

建议控制措施的确认与脆弱性识别存在一定的联系。

一般来说，安全措施的使用将减少脆弱性，但安全措施的确认并不需要与脆弱性识别过程那样具体到每个资产、组件的脆弱性，而是一类具体措施的集合。

5.5不可接受风险的确定①通过预制的风险的可接受准则，进行风险可接受性判定（是否高风险），并生成各部门的《重要资产调查与风险评估表》表单。

②各部门的《重要资产调查与风险评估表》经本部门负责人审核，报管理者代表批准。

5.6风险处理①对风险应进行处理。

对可接受风险，可保持已有的安全措施；如果是不可接受风险（高风险），则需要采取安全措施以降低、控制风险。

②对不可接受风险，应采取新的风险处理的措施，规定风险处理方式、责任部门和时间进度，高风险应得到优先的考虑。

③信息安全管理委员会根据《重要资产调查与风险评估表》编制《风险处置计划》。

④信息安全管理委员会根据《重要资产调查与风险评估表》编制《风险评估报告》，陈述信息安全管理现状，分析存在的信息安全风险，提出信息安全管理（控制）的建议与措施。

⑤管理者代表考虑成本与风险的关系，对《风险评估报告》及《风险处理计划》的相关内容审核，对认为不合适的控制或风险处理方式等提出说明，由信息安全管理委员会协同相关部门重新考虑管理者代表的意见，选择其他的控制或风险处理方式，并重新提交管理者代表审核批准实施。

⑥各责任部门按照批准后的《风险处理计划》的要求采取有效安全控制措施，确保所采取的控制措施是有效的。

⑦如果降低风险所付出的成本大于风险所造成的损失，则选择接受风险。

5.7剩余风险评估①对采取安全措施处理后的风险，信息安全管理委员会进行再评估，以判断实施安全措施后的残余风险是否已经降低到可接受的水平。

②某些风险可能在选择了适当的安全措施后仍处于不可接受的风险范围内，应考虑是否接受此风险或进一步增加相应的安全措施。

③剩余风险评估完成后，剩余风险报管理者代表审核、总经理批准。

5.8信息安全风险的连续评估①信息安全管理委员会每年应组织对信息安全风险重新评估一次，以适应信息资产的变化，确定是否存在新的威胁或脆弱性及是否需要增加新的控制措施。

②当企业发生以下情况时需及时进行风险评估：当发生重大信息安全事故时；当信息网络系统发生重大更改时；信息安全管理委员会确定有必要时。

③各部门对新增加、转移的或授权销毁的资产应及时在《重要信息资产识别表》及《风险评估表》中予以添加或变更。

5.9资产识别参考◎资产类别类别资产名称人员资产总裁/副总裁人员资产部门总经理人员资产工程师6记录《信息安全风险评估计划》ECP-ISMS-JL-03-01《风险评估报告》ECP-ISMS-JL-03-02《资产识别清单》ECP-ISMS-JL-03-03《重要资产调查与风险评估表》ECP-ISMS-JL-03-04《风险处置计划》ECP-ISMS-JL-03-05。