信息安全风险评估手册（执行版）.docxVIP

信息安全风险评估手册（执行版）

第1章风险评估基础与准备

1.1风险评估定义与适用范围

风险评估是指在信息安全管理体系建立或变更过程中，利用定性与定量相结合的方法，对组织的信息系统、网络及数据资产进行系统性识别、分析、评估和报告的过程，旨在确定信息安全风险的大小及其发生概率。适用范围涵盖组织内所有涉及关键信息基础设施的IT系统、办公网络、移动终端以及第三方合作系统的访问控制、数据完整性与保密性保护环节。

风险评估不仅适用于新建系统的立项阶段，也适用于现有系统的年度例行审计、重大变更后的专项评估以及灾难恢复演练后的效果复核。在适用范围界定中，必须明确界定“核心业务系统”与“一般办公系统”的风险等级差异，核心系统需执行最高级别的深度评估，而一般系统可简化为桌面扫描。风险评估的输入材料包括业务需求文档、系统架构设计图纸、现有安全策略清单以及历史安全事件报告，输出结果则是风险矩阵中的风险等级（如高、中、低）及具体风险描述。

风险评估的产出物需经过管理层审批，作为后续制定安全预算、分配安全资源及规划安全建设项目的法定依据，具有不可篡改的法律效力。

1.2风险评估原则与核心流程

风险评估必须遵循“风险与业务价值平衡”的原则，既不能因过度评估而阻碍业务发展，也不能忽视潜在风险导致业务停摆。核心流程包含六个关键步骤：风险识别、风险分析、风险评价、风险登记、风险缓解计划