风险评估方法
等级 5 4 3 2 1
发生的频率
等级
出现的频率很高(或≥
1 次/周);或在大多
数情况下几乎不可避
免;或可以证实经常发
生过
5
出现的频率较高(或≥
1 次/月);或在大多
数情况下很有可能会发
生;或可以证实多次发
生过
4
威胁利用 弱点导致 危害的可
能性
要素
脆弱性被 威胁利用 后的严重
性
一般
低
很低
标识 很高 高 一般 低 很低
对公司及外部都是公开的
对公司内部所有员工是公开 的
只限于公司某个部门或职能 可以访问的信息
赋值
存储、传输及处理信息的访问权 限
赋值
存储、传输及处理 信息的访问权限
1 对公司及外部都是公开的
1
对公司及外部都是 公开的
3 对公司内部所有员工是公开的
3
对公司内部所有员 工是公开的
5
只限于公司某个部门或职能可以 访问的信息
出现的频率中等(或> 1 次/半年);或在某 种情况下可能会发生; 或被证实曾经发生过 3
出现的频率较小;或一
般不太可能发生;或没
有被证实发生过
2
威胁几乎不可能发生;
仅可能在非常罕见和例
外的情况下发生
1
严重程度
等级
如果被威胁利用,将对
公司重要资产造成重大
损害
5
如果被威胁利用,将对
重要资产造成严重损害 4
3
6-9工作日
3
5
每个月都要使用至 少1次
5
3-5个工作日
5
7
每周都要使用至少1 次
7
2个工作日
7
9
每天都要使用至少1 次
9
1个工作日
9
要素 资产等级
要素
威胁利用 弱点导致 危害的可
能性
标识 很高 高 中等 较低 低 标识
很高
高
相对价值范围 25,27 19,21,23 13,15,17 7,9,11 3,5
风险评估准则
资产价值计算方法:资产价值 = 保密性赋值+完整性赋值+可用性赋值 风险值计算方法: 风 险 值 = 资产等级 + 威胁性赋值 + 脆弱性赋值 资产等级、风险等级评定方法:见下
要素 准则
数据资产
实体资产
自有软件/外购软件/服务/形象
文件资产
人员资产
访问权限
保密 性
对公司及外部都
按信息的访 问权限等级 或信息的存 储、传输及
4 风险不可以接受,需要采
3 取进一步措施降低风险
2
风险可以接受
1
保持已有控制措施
7
只限于公司中层管 理人员以上或部门 少数关键人员可以 访问的信息
7
只限于公司中层管理人 员以上可以访问的信息
7
9
只限于公司高层管理人员或 公司少数关键人员可以访问 的信息
只限于公司高层管
9
只限于公司高层管理人员或公司 少数关键人员可以访问的信息
9
理人员或公司少数 关键人员可以访问
的信息
只限于公司高层管理人 9 员或少数关键人员可以
5
只限于公司某个部 门或职能可以访问 的信息
赋值
岗位接触信息的访问权 限
1
对公司及外部都是公开 的
3
对公司内部所有员工是 公开的
5
只限于公司某个部门或 职能可以访问的信息
赋值 1 3
5
7
只限于公司中层管理人员以 上或部门少数关键人员可以 访问的信息
7
只限于公司中层管理人员以上或 部门少数关键人员可以访问的信 息
如果被威胁利用,将对 一般资产造成重要损害 3
如果被威胁利用,将对
一般资产造成一般损害 2
如果被威胁利用,将对
资产造成的损害可以忽
略
1
要素 风险级别
标识
高风险 较高风险 一般风险
低风险 很低风险
风险值范围
14,15 11,12,13
8,9,10
5,6,7 3,4
级别
可接受准则
风险不可接受,必须立即
5 采取有效的措施降低风险
及处理设施在一
个工作日内允许
中断的次数或时
间比例
按资产使用 或允许中断 的时间次数
来评估
16次以上或全部 工作时间中断 9-15次或1/2工 作时间中断
3-8次或1/4工作
时间中断
1-2次或1/8工作
时间中断
赋值
1 3 5 7
每次中断允许时间
3天以上 1-3天 12小时-1天 3小时-12小时
不允许
1 可以忽略
赋值
文件类别
1 可以忽略
赋值
岗位范围
赋值
1 实习员工\ห้องสมุดไป่ตู้聘临时工 1
3 轻微 5 一般
3 轻微 5 一般
3 一般员工
3
5
技术、管理、财务等方 面的骨干人员
5
7 严重
7 严重
7 中层管理人员
7
9 非常严重
9 非常严重
9 高层管理人员
9
要素 准则
数据资产
实体/服务资产
可用 性
数据存储、传输
9 0-3小时
文件/软件资产
形象资产
人员资产
赋值
使用频次要求
1 每年都要使用至少1次 3 每个季度都要使用至少1次 5 每个月都要使用至少1次 7 每周都要使用至少1次 9 每天都要使用至少1次
赋值
使用频次
赋值
允许离岗时间
赋值
1
每年都要使用至少1 次
1
10个工作日及以上
1
3
每个季度都要使用 至少1次
访问的信息
9
要素 准则
数据资产
实体资产
完整 性
影响程度
按资产的准 可以忽略 确性或完整 性受损,而 轻微 造成组织的 业务持续或 一般 形象声誉受 影响的严重 严重 程度来评估
非常严重
赋值
影响程度
1 可以忽略
3 轻微
5 一般
7 严重 9 非常严重
自有软件/外购软件/服务/形象
文件资产
人员资产
赋值
影响程度
是公开的 对公司内部所有 员工是公开的 只限于公司某个 部门或职能可以
处理设施/ 人员涉及信 息的访问权
访问的信息 只限于公司中层 管理人员以上或
限等级来评 部门少数关键人
估资产保密 员可以访问的信
性的要求等 息
级
只限于公司高层
管理人员或公司
少数关键人员可
以访问的信息
赋值 1 3
5
存储、传输及处理信息的访 问权限
