ITSS记录文件-风险评估报告2 .pdfVIP

ITSS服务管理体系文件

风险评估报告

修改记录

修改时间版本修改内容简述修改人审核人

目录

一、风险评估目的2

二、风险评估日期2

三、评估小组成员2

四、评估方法.2

五、风险评估概况4

六、总结5

附录错误!未定义书签。

1

一、风险评估目的

为本公司依据ISO27001:2013《信息技术-安全技术-信息安全管理体系要求》

和ISO27001:2013《信息技术-安全技术-信息安全管理体系实用规则》标准建立

信息安全管理体系提供策划依据，并为信息安全管理体系的运行提供评审的输入

及管理体系的持续改进提供依据，进行本次风险评估。

二、风险评估日期

2021-10-14——2021-10-18

三、评估小组成员

A、B、C。

四、评估方法

本次信息安全风险评估采用定量的方法对资产进行识别，并对资产自身价值、

信息类别、保密性、完整性、可用性、法律法规合同及其它要求的符合性方面进

行分类赋值，综合考虑资产在自身价值、保密性、完整性、可用性和法律法规合

同上的达成程度，在此基础上得出综合结果，根据制定的重要资产评价准则，确

定重要资产。

对信息资产的威胁及薄弱点进行识别，并对威胁利用薄弱点发生安全事件的

可能性，以及在资产自身价值、保密性、完整性、可用性、法律法规合同的符合

性方面的潜在影响，并考虑现有的控制措施，进行赋值分析，确定风险等级和接

受程度。

2

资产（Asset）是组织要保护的资产，它包括硬件、软件、系统、数据、文

档、服务、人力资源等。

威胁（Threat）是指可能对资产或组织造成损害的事故的潜在原因。它可能

是人为的，也可能是非人为的；可能是无意失误，也可能是恶意攻击。

薄弱点（Vulnerability）是指资产或资产组中能被威胁利用的弱点。它们

不直接对资产造成危害，但薄弱点可能被环境中的威胁所利用从而危害资产的安

全。

风险（Risk）是特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失

或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。资产、威胁、

薄弱点及控制的任何变化都可能带来风险的变化，因此，为了降低安全风险，应

对环境或系统的变化进行监视以便及时采取有效措施加以控制或防范。

控制措施（Controls）是阻止威胁、降低风险、控制事故影响、检测事故及

实施恢复的一系列实践、程序或机制。

在风险计算时，考虑了资产的重要程度，威胁利用薄弱点导致安全事件发生

的可能性，安全事件一旦发生对资产的影响程度，以及已采取控制措施的有效性。

根据所计算的风险值确定风险等级，并对所有风险计算结果进行等级处理。

综合考虑风险控制成本与风险造成的影响，制定了风险接受准则。对可接受

风险，保持已有的安全措施；对不可接受风险，则采取安全措施以降低、控制风

险。