信息安全--风险评估准则

要素准则访问权限赋值存储、传输及处理信息的访问权限赋值存储、传输及处理信息的访问权限赋值对公司及外部都是公开的1对公司及外部都是公开的1对公司及外部都是公开的1对公司内部所有员工是公开2对公司内部所有员工是公开的2对公司内部所有员工是公开的2只限于公司某个部门或职能可以访问的信6只限于公司某个部门或职能可以访问的信息6只限于公司某个部门或职能可以访问的信息6只限于公司中层管理人员以上或部门少数关键人员可以访问的信息24只限于公司中层管理人员以上或部门少数关键人员可以访问的信息24只限于公司中层管理人员以上或部门少数关键人员可以访问的信息24只限于公司高层管理人员或公司少数关键人员可以访问120只限于公司高层管理人员或公司少数关键人员可以访问的信息120只限于公司高层管理人员或公司少数关键人员可以访问的信息120要素准则影响程度赋值影响程度赋值影响程度赋值可以忽略1可以忽略1可以忽略1轻微2轻微2轻微2一般6一般6一般6严重24严重24严重24非常严重120非常严重120非常严重120要素准则实体/服务资产数据存储、传输及处理设施在一个工作日内允许中断的次数或时间比赋值每次中断允许时间赋值使用频次要求赋值16次以上或全部工作时间中13天以上1每年都要使用至少1次19-15次或1/2工作时间中断21－3天2每个季度都要使用至少1次23-8次或1/4工作时间中断612小时－1天6每个月都要使用至少1次61-2次或1/8工作时间中断243小时－12小时24每周都要使用至少1次24不允许1200－3小时120每天都要使用至少1次120资产价值计算方法：资产价值=保密性赋值＋完整性赋值＋可用性赋值控制措施计算方法：风险值计算方法：风险值=(资产等级×威胁性赋值×脆弱性赋值)×(1-控制措施)资产等级、风险等级评定方法：见下数据资产实体资产自有软件/外购软件/服务/形象保密性按信息的访问权限等级或信息的存储、传输及处理设施/人员涉及信息的访问权限等级来评估资产保密性的要求等级数据资产实体资产自有软件/外购软件/服务/形象完整性按资产的准确性或完整性受损，而造成组织的业务持续或形象声誉受影响数据资产文件/软件资产可用性按资产使用或允许中断的时间次数来评估要素相对价值范围等级资产重要程度3,4,5,6,8,9,10,13,14,185重要资产26,27,27,28,31,32,364重要资产49,50,54,723一般资产122,123,124,127,128,132,145,146,1502一般资产168,241,242,246,264,3601一般资产要素发生的频率等级出现的频率很高（或≥1次/周）；或在大多数情况下几乎不可避免；或可以证实经常发5出现的频率较高（或≥1次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过4出现的频率中等（或1次/半年）；或在某种情况下可能会发生；或被证实曾经发生过3出现的频率较小；或一般不太可能发生；或没有被证实发生过2威胁几乎不可能发生；仅可能在非常罕见和例外的情况下发生1要素严重程度等级如果被威胁利用，将对公司重要资产造成重大损害5如果被威胁利用，将对重要资产造成一般损害4如果被威胁利用，将对一般资产造成重要损害3如果被威胁利用，将对一般资产造成一般损害2如果被威胁利用，将对资产造成的损害可以忽略1要素风险值范围级别可接受准则101~1255标识资产等级很高高中等一般低标识威胁利用弱点导致危害的可能性很高高一般低很低标识脆弱性被威胁利用后的严重性很高高一般低很低标识风险级别很高风险风险不可接受，必须立即采取控制措施降低风险76~100451~753风险可以接受，但需要采取进一步措施降低风险或在威胁发生时采取处理措施26~5021~251风险级别风险不可接受，必须立即采取控制措施降低风险高风险较高风险一般风险风险可以接受，可以保持目前的控制措施低风险存储、传输及处理信息的访问权赋值岗位接触信息的访问权限赋值对公司及外部都是公开的1对公司及外部都是公开的1对公司内部所有员工是公开的2对公司内部所有员工是公开的2只限于公司某个部门或职能可以访问的信息6只限于公司某个部门或职能可以访问的信息6只限于公司中层管理人员以上或部门少数关键人员可以访问的信息24只限于公司中层管理人员以上可以访问的信息24只限于公司高层管理人员或公司少数关键人员可以访问的信息120只限于公司高层管理人员或少数关键人员可以访问的信息120文件类别赋值岗位范围赋值可以忽略1实习员工\外聘临时工1轻微2一般员工2一般6技术、管理、财务等方面的骨干人员6严重24中层管理人员24非常严重120高层管理人员120使用频次赋值允许离岗时间赋值每年都要使用至少1次110个工作日及以上1每个季度都要使用至少1次26-9工作日2每个月都要使用至少1次63-5个工作日6每周都要使用至少1次242个工作日24每天都要使用至少1次1201个工作日120资产价值计算方法：资产价值=保密性赋值＋完整性赋值＋可用性赋值控制措施计算方法：风险值计算方法：风险值=(资产等级×威胁性赋值×脆弱性赋值)×(1-控制措施)资产等级、风险等级评定方法：见下文件资产人员资产人员资产形象资产人员资产文件资产