风险评估管理程序 .pdfVIP

风险评估管理程序--第1页

欢迎阅读本文档，希望本文档能对您有所帮助!

风险评估管理程序

历史修订记录

序号更改单号更改说明修订人生效日期现行版次

感谢阅读本文档，希望本文档能对您有所帮助!

风险评估管理程序--第1页

风险评估管理程序--第2页

欢迎阅读本文档，希望本文档能对您有所帮助!

目录

1概述5

2术语与定义5

2.1风险管理5

2.1.1风险评估5

2.2其他6

3风险评估框架及流程7

3.1风险要素关系7

感谢阅读本文档，希望本文档能对您有所帮助!

风险评估管理程序--第2页

风险评估管理程序--第3页

欢迎阅读本文档，希望本文档能对您有所帮助!

3.2风险分析原理9

3.3实施流程9

4风险评估准备过程10

4.1确定范围10

4.2确定目标11

4.3确定组织结构11

4.4确定风险评估方法11

4.5获得最高管理者批准11

5风险评估实施过程11

5.1资产赋值13

5.1.1资产分类14

5.1.2资产价值属性17

5.1.3资产价值属性赋值标准19

5.2威胁评估23

5.2.1威胁分类23

5.2.2威胁赋值26

5.3脆弱性评估27

5.4确定现有控制30

5.5风险评估30

5.5.1风险值计算30

5.5.2风险等级划分31

5.5.3风险评估结果纪录31

6风险管理过程32

6.1安全控制的识别与选择33

6.2降低风险34

6.3接受风险35

6.4风险管理要求35

7相关文件36

感谢阅读本文档，希望本文档能对您有所帮助!

风险评估管理程序--第3页

风险评估管理程序--第4页

欢迎阅读本文档，希望本文档能对您有所帮助!

感谢阅读本文档，希望本文档能对您有所帮助!

风险评估管理程序--第4页

风险评估管理程序--第5页

欢迎阅读本文档，希望本文档能对您有所帮助!

1概述

目前信息安全管理的发展趋势是将风险管理与信息安全管理紧密结合在一起，

将风险概念作为信息安全管理实践的对象和出发点，信息安全管理的控制点以风

险出现的可能性作为对象而展开的。ISO27001标准对信息安全管理体系(ISMS)的

要求即通过对信息资产的风险管理,确定重要信息资产清单以及风险等级,从而采

取相应的控制措施来实现信息资产的安全。

信息安全管理是风险管理的过程，风险评估是风险管理的基础。风险管理是

指导和控制组织风险的过程。风险管理遵循管理的一般循环模式—计划(Plan)、

执行(Do)、检查(Check)、行动(Action)的持续改进模式。ISO27001标准要求

企业设计、实施、维护信息安全管理体系都要依据PDCA