信息安全风险识别与评价管理程序概述.doc

题目： 信息安全风险识别与评价管理程序 编号 GM-III-B005 版本号 00 生效日期 2015.07.20 起草部门 信息中心 颁发部门 总经理办公室 一、目的： 通过风险评估，采取有效措施，降低威胁事件发生的可能性，或者减少威胁事件造成的影响，从而将风险消减到可接受的水平。 二、范围： 适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。 三、责任： 3.1 管理者代表 信息中心执行信息安全风险的识别与评价；审核并批准重大信息安全风险，并负责编制《信息资产风险评估准则》，执行信息安全风险调查与评价，提出重大信息安全风险报告。 3.2 各部门 协助信息中心的调查，参与讨论重大信息安全风险的管理办法。 四、内容： 4.1 资产识别 保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此，应对组织中的资产进行识别。 在一个组织中，资产有多种表现形式；同样的两个资产也因属于不同的信息系统而重要性不同，而且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相