风险评估指南.doc

xx-logo 风险评估指南 PAGE Copyright ? 北京NTT DATA, All rights reserved [社外秘+修改受限] PAGE ii/ NUMPAGES 16 社外秘+修改 社外秘+修改受限 风险评估指南 （Risk Assessment Guideline） 编 号： xx-INFOSEC-GUID-Risk_Assessment 版 本： 1.1 发布时间：2008 年 09 xx有限公司 Copyright ? xx, All rights reserved [社外秘+修改受限] PAGE 16/ NUMPAGES 16 文档说明 1、变更履历 版本号 变更日期 变更理由/变更内容 变更者 备注 0.1 2008-8-1 初稿 信息安全推进室 1.0 2008-8- 对语法、错别字及标识进行了修正 信息安全推进室 1.1 2008- 增加了选择控制措施和描述风险场景 信息安全推进室 2、文档审批 姓名 职位 签名 日期 3、文档发布对象 总经理 信息安全委员会所有成员 信息安全推进室所有成员 各部部长 安全担当 4、文档维护人员 信息安全推进室 目录 ( Table Of Contents ) TOC \o 1-4 \h \z 1 介绍（Introduction） 4 1.1 目的 4 1.2 范围 4 2 术语与定义(Glossary) 4 3 角色与职责(Roles Responsibility) 4 4 风险评估(Risk Assessment) 5 4.1 风险评估流程 5 4.2 风险可接受准则 5 4.3 风险评估准则 6 4.4 识别资产 6 4.5 识别风险 6 4.5.1 识别现有控制措施 6 4.5.2 识别威胁 6 4.5.3 识别弱点 7 4.6 评价风险 10 4.6.1 描述风险场景 10 4.6.2 评估可能性 10 4.6.3 评估影响 11 4.6.4 确定风险 11 估算风险值 11 风险等级矩阵 12 风险可接受水平 13 4.6.5 应对控制措施 14 4.6.6 预估残留风险 14 4.6.7 制定风险处理计划 14 4.6.8 风险评估结果汇报 14 5 风险评估补充方式（Supplementary Way） 14 5.1 技术评估 14 5.2 外部环境风险评估 15 5.2.1 影响分级 15 5.2.2 可能性分级 15 5.2.3 自然环境的风险分析 15 6 相关记录（Records） 16 7 相关文档（Reference） 16 介绍（Introduction） 目的 本指南的目的是为xx信息安全评估员提供一个科学合理的风险评估方法，通过实施该方法可以全面、准确的了解组织的信息安全现状，清楚地了解重要资产面临的主要威胁及本身的弱点；发现系统的安全问题及其可能的危害，找出目前的安全策略和实际需求的差距，为保护信息资产的安全提供科学依据。 范围 本指南适用于在信息安全管理体系下的所有信息资产的风险评估，且仅仅适用对信息资产的风险识别、评估与管理。企业和部门的业务风险评估不在此范围之内。 术语与定义(Glossary) 术语 定义 资产（Asset） 任何对组织业务具有价值的信息资产，包括计算机硬件、通信设施、IT环境、数据库、软件、文档资料、信息服务和人员等，所有这些资产都需要妥善保护。 信息安全风险评估（本文以下简称“风险评估”）（Risk Assessment） 则是指依据有关标准，对信息资产及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程，它要评估信息资产的脆弱性、信息资产面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。 弱点（Vulnerability） 也被称作漏洞或脆弱性，即资产或资产组中先天具有的特性，这一特性存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。 威胁（Threat） 可能对资产或组织造成损害的某种安全事件发生的潜在原因，通常需要识别出威胁源