广 州 海 颐 软 件 有 限 公 司 信息安全风险评估指南 编号:ISMS-3002 状态:受控 编写:行政部 2009 年 12 月 27 日 审核: 2009 年 12 月 28 日 批准: 2009 年 12 月 28 日 发布版次:第 A/0 版 2009 年 12 月 28 日 生效日期 2009 年 12 月 28 日 信息安全风险评估指南 第2页 共 23 页 变 更 记 录 变更日期 版本 变更说明 编写 审核 批准 2010-01-21 A /0 初始版本 行政部 **** **** 信息安全风险评估指南 第3页 共23 页 信息安全风险评估指南 1、 本指南在编制过程中主要依据了国家政策法规、技术标准、规范与管理要求、行业标准并得到了无锡新世纪信息科技有限公司的大力支持。 1.1 政策法规: 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号) 《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(国信办[2006]5 号) 1.2 国际标准: ISO/IEC 17799:2005《信息安全管理实施指南》 ISO/IEC 27001:2005《信息安全管理体系要求》 ISO/IEC TR 13335《信息技术安全管理指南》 1.3 国内标准: 《信息安全风险评估指南》(国信办综[2006]9 号) 《重要信息系统灾难恢复指南》(国务院信息化工作办公室2005 年4 月) GB 17859—1999《计算机信息系统安全保护等级划分准则》 GB/T 18336 1-3:2001《信息技术安全性评估准则》 GB/T 5271.8--2001 《信息技术 词汇 第8 部分: 安全》 GB/T 19715.1—2005 《信息技术安全管理指南 第1 部分:信息技术安全概念和模型》 GB/T 19716—2005 《信息安全管理实用规则》 1.4 其它 《信息安全风险评估方法与应用》(国家863 高技术研究发展计划资助项目(2004AA147070)) 2、 风险评估 2.1、风险评估要素关系模型 风险评估的出发点是对与风险有关的各因素的确认和分析。下图中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性,也是风险评估要素的一部分。风险评估的工作是围绕其基本要素展开的,在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。如下模型表示了各因素的关系: 信息安全风险评估指南 第4页 共 23 页 业务战略资产资产价值安全需求残余风险安全事件脆弱性...
