信息安全風(fēng)險識別和評價管理方法20170601

1、資產(chǎn)類風(fēng)險評估與識別準(zhǔn)則資產(chǎn)價值計算方法：資產(chǎn)價值信息安全識別和評價管理方法=保密性賦值＋完整性賦值＋可用性賦值風(fēng)險值計算方法：風(fēng)險值=資產(chǎn)等級＋威脅性賦值＋脆弱性賦值資產(chǎn)等級、風(fēng)險等級評定方法：要素準(zhǔn)則數(shù)據(jù)資產(chǎn)實體資產(chǎn)自有軟件外購軟件服務(wù)形象文件資產(chǎn)人員資產(chǎn)訪問權(quán)限賦值存儲、傳輸及處理信息的訪問權(quán)限賦值存儲、傳輸及處理信息的訪問權(quán)限賦值存儲、傳輸及處理信息的訪問權(quán)限賦值崗位接觸信息的訪問權(quán)限賦值對公司及外部都是公開對公司及外部都是公對

2、公司及外部都是對公司及外部都是對公司及外部都是公的1開的1公開的1公開的1開的1按信息的訪問對公司內(nèi)部所有員工是對公司內(nèi)部所有員工對公司內(nèi)部所有員對公司內(nèi)部所有員對公司內(nèi)部所有員工保密性權(quán)限等級或信息的存儲、傳輸及處理設(shè)施人員涉及信息的訪問權(quán)限等級來評估資產(chǎn)保密性的要求等級公開的只限于公司某個部門或職能可以訪問的信息只限于公司中層管理人員以上或部門少數(shù)關(guān)鍵人員可以訪問的信息只限于公司高層管理人員或公司少數(shù)關(guān)鍵人員可以訪問的信息3579是

3、公開的只限于公司某個部門或職能可以訪問的信息只限于公司中層管理人員以上或部門少數(shù)關(guān)鍵人員可以訪問的信息只限于公司高層管理人員或公司少數(shù)關(guān)鍵人員可以訪問的信息3579工是公開的只限于公司某個部門或職能可以訪問的信息只限于公司中層管理人員以上或部門少數(shù)關(guān)鍵人員可以訪問的信息只限于公司高層管理人員或公司少數(shù)關(guān)鍵人員可以訪問的信息3579工是公開的只限于公司某個部門或職能可以訪問的信息只限于公司中層管理人員以上或部門少數(shù)關(guān)鍵人員可以訪問的信息只

4、限于公司高層管理人員或公司少數(shù)關(guān)鍵人員可以訪問的信息3579是公開的只限于公司某個部門或職能可以訪問的信息只限于公司中層管理人員以上可以訪問的信息只限于公司高層管理人員或少數(shù)關(guān)鍵人員可以訪問的信息3579要素準(zhǔn)則數(shù)據(jù)資產(chǎn)實體資產(chǎn)自有軟件外購軟件服務(wù)形象文件資產(chǎn)人員資產(chǎn)要素標(biāo)識很高高相對價值范圍23271721等級43資產(chǎn)等級一般低11153921要素標(biāo)識發(fā)生的頻率等級出現(xiàn)的頻率很高（或≥常發(fā)生過1次周）；或在大多數(shù)情況下幾乎不可避免；或

5、可以證實經(jīng)較高風(fēng)險，5級高出現(xiàn)的頻率較高（或≥實多次發(fā)生過1次月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證高風(fēng)險，需立即整改，級4威脅利用弱點導(dǎo)致危害的可能性中出現(xiàn)的頻率中等（或生過1次半年）；或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)顯著風(fēng)險，需要整改，級3低出現(xiàn)的頻率較?。换蛞话悴惶赡馨l(fā)生；或沒有被證實發(fā)生過威脅幾乎不可能發(fā)生；僅可能在非常罕見和例外的情況下發(fā)生一般風(fēng)險，要注意，2級稍有風(fēng)險，可以接受，1級要素脆弱性被威標(biāo)識很高嚴(yán)