1、ISO27001風 險 評 估 程 序1目的 為了對公司的信息資產進行風險評估和風險控制，評估組織信息資產所面臨的風險并對 風險實施有效控制，以確保風險被降低或消除，特制定本程序。2適用范圍 本程序適用于適用于對公司的信息資產進行風險評估和風險控制。3職 責與 權 限3.1信息 安 全委 員會 制定資產評估準則，確定風險評估方法； 負責對控制目標、控制措施的有效性進行監督和評審。 確定風險評估的范圍； 指導各部門進行風險評估； 匯總和分析風險評估結果，作出風險評價； 制定風險處理計劃，向信息安全委員會提交信息安全風險評估報告。3.3各部 門 各部門資產負責人按規定維護相關資產。 識別并列出跟本

2、部門業務有關的資產； 對本部門資產進行風險評估。4風險評估程序和工作流程4.1風險 評 估與 管理4.1.1過 程 識 別在ISMS范圍內，各部門識別本部門涉及的主要業務過程及使用的各類信息資產。4.1.2風 險 評 估風險評估是依據有關信息安全技術與管理標準，對信息系統及由其處理、傳輸和存儲的 信息的保密性、完整性和可用性等安全屬性進行評價的過程。即風險分析和風險評價的全過 程。4.1.3風 險 管理風險管理是識別、控制、消除、減小可能影響信息系統資源的不確定事件的過程。指導 和控制一個組織的風險的協調的活動。4.1.4風 險 評估 方法結合公司在風險評估時投入的時間、人力、成本等各方面的因

3、素，公司采用基本風險評 估方法。基本的風險評估方法是指應用直接和簡易的方法達到基本的安全水平，就能滿足組 織及其業務環境的所有要求。公司采用這種方法使得組織在識別和評估基本安全需求的基礎 上，通過建立相應的信息安全管理體系，獲得對信息資產的基本保護。4.1.5風險 評估與風 險管理的區分是一個持續的周期，通常以一定的間隔重新開始來更新流程中各個地區階段的數據 是一個持續循環、不斷上升的過程。風險評估是確定組織面臨的風險并確定其優先級的過程，是風險管理流程中最必須、最當潛在的與安全相關的事件在企業內發生時，如變動業務方法、發現新的漏洞等， 組織都可能會啟動風險評估。4.2風 險 評估 實施 流程

4、總要求:組織應根據整體業務活動和風險， 建立、 實施、 運行、 監視、 評審、 保持并改進 文件化的ISMS。421風險評估準備確定風險評估的目標；（滿足我公司業務持續發展在安全方面的需要及法律法規）確定風險評估的范圍；（組織全部的信息及與信息處理相關的各類資產、管理機構）組建適當的評估管理與實施團隊；（由管理層、相關業務骨干、IT技術人員等組成的 風險評估小組）選擇與組織相適應的具體的風險判斷方法；（考慮評估的目的、范圍、時間、效果、 人員素質等因素來選擇具體的風險判斷方法）獲得最高管理者對風險評估工作的支持。（得到組織的最高管理者的支持、批準）4.2.2資產識別列出在信息安全管理體系范圍內

5、，與我公司內的業務環境、業務運營及信息相關的資產。資產分類；（人員、實體、軟件、文件、數據、服務、無形、服務及其他資產）資產賦值（CIA:對資產在機密性、完整性和可用性上的達成程度進行綜合評定得出）； 資產重要性等級確定。4.2.3威 脅 識別 使用與資產相關的通用威脅列表，檢查并列出資產的威脅。威脅分類；威脅賦值；4.2.4脆 弱 性識 別 使用與資產相關的通用薄弱點列表，檢查并列出資產的脆弱性。識別方法識別內容脆弱性賦值4.2.5對現 有安全控 制的識別 識別并整理所有與資產相關聯的、現有的或者已經作了計劃的控制措施。4.2.6風 險 分析 分析由上述評估產生的有關資產、威脅和脆弱性的信息

6、，以實用的、簡單的方法進行風 險測量，計算出風險等級。把識別分析出來的風險與風險判據進行比較， 以判斷特定的風險是否可接受或需采取其 它措施處置。風險分析的結果為具有不同等級的風險列表，并記錄在資產風險評估表中。4.2.7風 險 處理 對評定后的風險等級進行判定，確定是否能接受，如可接受，則按現有控制措施進行控 制，如不可接受，則應選擇采取新的安全控制措施，并對需要投入較長時間和較高費用的高 風險制定風險處理計劃，記錄在資產風險評估表中，按風險處理計劃進行處理后重新評 價風險，直至風險降低或可接受為止。確定可接受的殘余風險的水平； 持續地評審威脅以及薄弱點； 評審現有的安全控制方法； 應用IS

7、O/IEC 27001中的其它安全控制方法；資產價值計算方法:資產價值保密性賦值完整性賦值可用性賦值引入方針和程序。4.2.8殘 余 風 險 根據風險評價結果，判斷殘余風險是否可接受，是，則實施風險控制；否，則制定風險 處理計劃。4.2.9風 險 控 制 根據風險處理結果，按照確定的風險控制措施和計劃進行落實，必要時形成相關控制文 件。風險控制措施可根據控制費用與風險平衡的原則， 參照以下方式進行選擇， 以降低風險：避免風險；轉移風險；減少風險；減少薄弱點；減少威脅可能的影響程度； 探測有害事故，對其做出反應并恢復。4.3風險 值 的計 算方 法4.3.1風 險 計算 原理風險值=R( A,T

8、,V)= R(L(T,V),F(Ia,Va)其中，R表示安全風險計算函數；A:表示資產；T:表示威脅；V:表示脆弱性；Ia：表示安全事件所作用的資產重要程度；Va：表示脆弱性嚴重程度；L:表示威脅利用資產的脆弱性導致安全事件發生的可能性；F:表示安全事件發生后產生的損失。4.3.2風 險 計 算 準 則風險值計算方法：風險值=資產等級+威脅性賦值+脆弱性賦值資產等級、風險等級評定方法：見下表表一：保密性的要求評價準則1刃櫛.嚴目點軟ft陶JMXN加務胡.誦玄F賓產人旬宜產e.ff訪i-1柑tr-時、活轅及蚪I艱冊/ ，上:也s隹廳罷過辛mLtie +fr-*, ft囂胃抽理館r?肘訪幣扎i晞於

9、對冃詁昶常訪何収賦龜和禮暗JS氓外H匸申-L和|：.卜0卻廿tt常恒中用就佝再W1BI府吋；*-韶邙*上號的i對StM卜部茹是仝幵前1刃上國熾謁申是 的的1巧雖可.艮”對#篷二奸1寸二疋七館常丐弓二業開的s酎匚司內左所肓眉工卡 的時公可-ir.iiiiT拭匸話處號吋3t-n5-nS工WAfl的3訂司円祥吁有吊工好 盟茹的3部門取血可UraarisA醫m 片千冶=某inri艱能r巧學千臨目奠屮1吧胛1：丄 追創肋常 q號g 于firiw- ftJ臥眄It可0聲間 的僧息5F用干春荀斗-i郁廠或靶膽町以訪閭的荷厲$“；，：員可以厲更的惜T-l.rTf:門1和手匱人冃可口 訪warssT貝Utt郎門

10、屮特糟宀丹可F訪冋的伯 息門.于刃中秀囂畝冋的肓品7只限于菖荀申足胃理人7tr理人凰或醫商 少矢笑分人層 h.ifRLJJ.芋云工爲圧譽魁人貝致P袋訂小他去-腿匕員岡以諾同9n 用千皆旳硏乏已神人鳳貳吃 F士飛羔掘上昌斗&訪閏的逼息9nrfT2HrBf-亞人舟戲卷FMr崔匱人勻厲臥館同B.；.岸一于養可鬲底芒理人 嵐呢一申哉亀1點即.1忙河聃i=.nB表二:完整性的要求評價準則r.i虺則孰犯隹立賓仇吟嚴冃 e?訥丹 RLt.T 晞巧誦文件頂嚴人協資產1完劉注扌汴*肉芯 任址兒W 1T帝療塔建 二也列嚴立第呃?IW3StfiS1WM0t就H可L即轄1可積SS可哄可R間jfiSiT.L祁特

11、3r?fls咅詩3輕奮3-MfiX315EiR6FEFB違f-詐一耳務年冇6時雖77產匚T嚴甲171刖*重11丘嚴肯PIl rg0P表三：可用性的要求評價準則ifE則秋崔覺產兀件甬;件恆嚴羽啟寅廣人貝晦產可n并允許口斷亶時；密示 * 理 誦 帚 幵 一fTfrSrtM*卩稈的亡址威1處直屈幺料嘗先杵時陽威砸ft宴瑩黏花止待關勺叮間諏卩上愍全彳 工初m中忙J狀1)1上11與豐橋壬匡坤三少一131irf L651S- 1盼或1旳工恬可可亡賄3一共*?T季區主已吏用至V淡3旬3置破世甲3F吐作日5日-時吐打：工乍ME51&M天$霞飾戛世JH丟H次&少危6-t-xtrnF.1酣Fl 3

12、1M* -11+M7號只昭槌電融1迭7闖叵需莎便用祗少|7包牛工作日t林許90-企卜st0可巴!?丑便?|至1 !,.9毎氏都莫靈用瑩小L攻01卡匚昨日9表四:資產等級的評價準則要素標識相對價值范圍等級資產重要程度很高23, 25. 27q重更資產資產等級冋17, 19, 213一般資產一股111, 13.15H 2一般資產低3 5.化 91般資產表五：脆弱性被威脅利用后的嚴重性的評價準則要素標識發注的頻率威脅利用弱點導孜危害的可能性很高出現的頻率很高或 12V 周）,或在大多 數情況下幾乎不可避 免；咸可以證発至常發 生過5髙岀現的頻率較高1 次/月）；或在大多 數情況下很有可能會發生；或可

13、以證實多次發生過41 股出現的頻率中等或 1次/半年；或在某 種情況下可能會發生. 或被證實曾經發生過3低出觀的頻率較水；或一般不太可能發生；或沒有被證實垸生過2很低威脅幾乎不可能發生$ 個可能在非常罕見和例 外的情況下發生1表六：脆弱性被威脅利用后的嚴重性的評價準則1_持識嚴重程戻等級脆騎性被 威脅利用 后的產重性很高如果被咸脅利用.特對 笛司車旻廣產造成車大 損害5-高如早被威脅利用，將對 重更資產造威一股按害4一般如果被威脅不Jffl 將對 一般資產造成垂大按害3低如果就威脅利用梓對 一般貴產退:成一般擁害2很低如耒彼威跡刊川，世對誼產造感的掲害可以報 略1表七：脆弱性被威脅利用后的嚴重性的評價準則要素標識風險值范圍級別可接受淮則鳳臉覩別高鳳險12144風險不可接受，必須立即丟取栓制措施降低風瞌牧咼風險9113用險可決搖畫但需要采取進一 步措施降低風險或在威肺發生時 釆取處理措施-般鳳險GS2風臉可以接爰，可以保掙目前的控制措施低風險351按風險值的評價準則計算出信息資產風險值后，按上記表七對應獲得風險級別433風險結果判定按風險值的評價準則計算出信息資產風險值后獲得的風險級別，對風險進行判定等級標識描述5很高一旦發生將使系統遭受非常嚴童破壞.組織利益受到 非常嚴電扌員失4高如果發t將便系統逍邏嚴區破壞 級織利益空到嚴屯 損失3中發牛后將便系統受到較童的