叮叮小文库 题目: 编号 GM-III-B005 00 2015.07.20 信息安全风险识别与评价管理程序 版本号 生效日期 响恶劣 4 3 2 1 高 中等 低 很低 一旦发生将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害 一旦发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大 一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解决 一旦发生造成的影响几乎不存在,通过简单的措施就能弥补 表12 风险等级划分
风险值 风险等级 1-5 1 6-11 2
六、残余风险评估:
在对于不可接受的风险选择适当安全措施后,为确保安全措施的有效性,需要进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。残余风险的评估可以从脆弱性评估开始,在对照安全措施实施前后的脆弱性状况后,再次计算风险值的大小。 某些风险如果在选择了适当的安全措施后,残余风险的结果仍处于不可接受的风险范围内,那么就应该考虑是否接受此风险或进一步增加相应的安全措施。 七、风险实施流程:
风险评估的实施流程如图1所示: 资产识别 威胁识别 脆弱性识别 风险评估准备 12-35 3 36-79 4 80-125 5 - 已有安全措施的确认 11 叮叮小文库 题目: 信息安全风险识别与评价管理程序 风险值计算 是 保持已有的安全措施 风险是否接受 否 制定风险处理计划并 评估残余风险 否 是否接受残余风险 是 实施风险管理 图1 风险评估实施流程图
八、风险评估文档记录: 《信息资产风险评估准则》 《信息资产清单》
《信息资产风险评估准表》 《风险处理计划》
-
编号 GM-III-B005 版本号 00 生效日期 2015.07.20 评估过程文档 评估过程文档 评估过程文档 12
叮叮小文库 题目: 编号 GM-III-B005 00 2015.07.20 信息安全风险识别与评价管理程序 版本号 生效日期
修订历史: 版本号:00 内容:新制订文件。 生效日期:2015.07.20 - 13
信息安全风险识别与评价管理程序
