ISO22301：2019程序文件-信息化风险评估控制程序.pdfVIP

文件编号版本号修改号

信息化风险评估控制程序

BCM8.2-02A0

1目的

为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全

风险控制在可接受的水平，特制定本程序。

2范围

本程序适用信息化系统安全风险识别评估活动的管理。

3职责

3.1综合部

负责牵头成立风险评估小组。

3.2风险评估小组

负责编制《信息化风险评估处理计划》，确认评估结果，形成《信息化风险评估报告》。

3.3各部门

负责本部门使用或管理的信息化风险的识别和风险评估，并负责本部门所涉及的资产的

具体安全控制工作。

4定义

无

5程序

5.1风险评估前准备

5.1.1成立风险评估小组

综合部牵头成立风险评估小组，小组成员应包含信息安全重要责任部门的成员。

5.1.2制定计划

风险评估小组制定《信息安全风险评估计划》,下发各部门。

5.2资产赋值

5.2.1部门赋值

各部门风险评估小组成员识别本部门资产，并进行资产赋值。

5.2.2赋值计算

资产赋值的过程是对资产在保密性、完整性、可用性和法律法规合同上的达成程度进行

分析，并在此基础上得出综合结果的过程。

1

5.2.3保密性(C)赋值

根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上

的应达成的不同程度或者保密性缺失时对整个组织的影响。

保密性分类赋值方法

级别价值分级描述

可对社会公开的信

1很低公用的信息处理设备和系统资源等

息

仅能在组织内部或在组织某一部门内部公开的信息，

2低组织/部门内公开

向外扩散有可能对组织的利益造成轻微损害

3中等组织的一般性秘密其泄露会使组织的安全和利益受到损害

包含组织的重要秘

4高其泄露会使组织的安全和利益遭受严重损害

密

包含组织最重要的关系未来发展的前途命运，对组织根本利益有着决

5很高

秘密定性的影响，如果泄露会造成灾难性的损害

5.2.4完整性(I)赋值

根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上

的达成的不同程度或者完整性缺失时对整个组织的影响。

完整性(I)赋值的方法

级别价值分级描述

未经授权的修改或破坏对组织造成的影响可以忽略，

1很低完整性价值非常低

对业务冲击可以忽略

未经授权的修改或破坏会对组织造成轻微影响，对

2低完整性价值较低

业务冲击轻微，容易弥补

未经授权的修改或破坏会对组织造成影响，对业务

3中等完整性价值中等

冲击明显