信息安全风险自评估教学文案.pdfVIP

文件名称 信息安全风险自评估 密级 文件编号 版 本 号 编写部门 编 写 人 审 批 人 发布时间 信息安全风险自评估 网络运行维护事业部 目录 一 . 概述 1 1.1 目标 1 1.2 术语和定义 1 1.3 风险评估参考依据 1 二 . 信息安全自评估原则 2 2.1 标准性原则 2 2.2 可控性原则 2 2.3 评估人员多样原则 2 2.4 最小影响原则 2 2.5 与第三方评估相结合原则 2 三 . 信息安全自评估实施步骤 3 3.1 确定自评估计划 3 3.2 确定自评估小组人员 3 3.3 评估信息获取 3 3.4 分析与计算风险 4 3.5 生成报告 4 四. 附录 4 4.1 附录 1 安全风险分析计算过程 4 4.2 附录 2 XX 平台风险现状分析报告 4 4.3 附录 3 XX 平台风险评估报告 5 4.4 附录 4 信息安全不可接受风险处置计划 5 一 . 概述 1.1 目标 本文件是业务平台部进行信息安全风险自评估的重要指导依据，依照本文件的要求， 业务平台能够基于自身力量，及时识别信息安全风险、通过对风险的可能性和影响进行评 估，从而最终及时有效地处置风险，最后起到加强内蒙古电信业务平台信息安全保障能力， 提高整体的网络与信息安全水平，保证业务系统的正常运营，提高服务质量的作用。 1.2 术语和定义 信息安全风险 ：某种特定的威胁利用资产或一组资产的脆弱点，导致这些资产受损或 破坏的潜在可能。 信息资产 ：通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力 和赢得的信誉等。 资产价值 ：资产是有价值的，资产价值可通过资产的敏感程度、重要程度或关键程度 来表示。 威胁 ：一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画：威胁的 主体（威胁源） 、能力、资源、动机、途径、可能性和后果等。 脆弱性 ：信息资产及其安全措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。 1.3 风险评估参考依据 电信网和互联网安全风险评估实施指南 ISO/IEC 27005:2008 信息技术–安全技术–信息安全风险管理； ISO/IEC13335-3:1998 《IT 安全管理技术》 ； 二 .