信息安全风险评估控制程序精要.docVIP

信息科技部 信息安全风险评估控制程序 A版 2011年6月1日 发布 2011年6月1日 实施 目录 1 目的 3 2 范围 3 3 相关文件 3 4 职责 3 5 程序 3 6 记录 5 附表1 信息资产分类参考目录 6 附表2 重要信息资产判断准则 10 附表3 信息安全威胁参考表 12 附表4 信息安全薄弱点参考表（按ISO/IEC17799分类） 13 附表5 事件发生可能性等级对照表 16 附表6 事件可能影响程度等级对照表 17 附表7 信息安全风险矩阵计算表 18 附表8 信息安全风险接受准则 19 文件修订历史记录 版本 日期 修订者 修订描述 1.0 1 目的 本程序规定了信息科技部所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估认知信息科技部的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持信息科技部持续性发展，以满足信息科技部信息安全管理方针的要求。 2 范围 本程序适用于信息科技部信息安全管理体系(ISMS)范围内信息安全风险评估活动。 3 相关文件 4 职责 4.1 管理者代表负责组织成立风险评估小组。 4.2 风险评估小组负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险