题目:信息安全风险识别与评价管理程序编号GM-III-B005版本号00生效日期2025
20起草部门信息中心颁发部门总经理办公室一、目的:通过风险评估,实行有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平
二、范围:适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理
三、责任:3
1 管理者代表信息中心执行信息安全风险的识别与评价;审核并批准重大信息安全风险,并负责编制《信息资产风险评估准则》,执行信息安全风险调查与评价,提出重大信息安全风险报告
2 各部门协助信息中心的调查,参加讨论重大信息安全风险的管理办法
四、内容:4
1 资产识别保密性、完整性和可用性是评价资产的三个安全属性
风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的
安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采纳的安全措施都将对资产安全属性的达成程度产生影响
为此,应对组织中的资产进行识别
在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多
这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估
在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握
根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型
表 1 列出了一种资产分类方法
表 1 一种基于表现形式的资产分类方法类别简称解释/示例数据Data存在电子媒介的各种数据资料,包括源代码、数据库数据,各种数据资料、系统文档、运行管理过程、计划、报告、用户手册等
软件Software应用软件、系统软件、开发工
