?

5.2.2.5可用性賦值：

?

5.2.2.6資產(chǎn)賦值

?

最終資產(chǎn)價(jià)值可以通過違反資產(chǎn)的保密性、完整性和可用性三個(gè)方面的程度綜合確定，資產(chǎn)的賦值采用定性的相對等級的方式。與以上安全屬性的等級相對應(yīng)，資產(chǎn)價(jià)值的等級可分為五級，從1到5由低到高分別代表五個(gè)級別的資產(chǎn)相對價(jià)值，等級越大，資產(chǎn)越重要。具體每一級別的資產(chǎn)價(jià)值定義參見下表。

由于資產(chǎn)最終價(jià)值的等級評估是依據(jù)資產(chǎn)保密性、完整性、可用性的賦值級別，經(jīng)過綜合評定得出的，評定準(zhǔn)則可以根據(jù)企業(yè)自身的特點(diǎn)，選擇以安全三性中要求最高的一性的賦值級別為綜合資產(chǎn)賦值準(zhǔn)則。

?

?

5.2.3 風(fēng)險(xiǎn)評估小組向各部門內(nèi)審員發(fā)放《信息資產(chǎn)分類參考目錄》[1]、《信息資產(chǎn)風(fēng)險(xiǎn)評估表》 、《信息資產(chǎn)識別評價(jià)表》，同時(shí)提出信息資產(chǎn)識別的要求。

5.2.4 各部門內(nèi)審員參考《信息資產(chǎn)分類參考目錄》¹識別本部門信息資產(chǎn)，根據(jù)《信息安全風(fēng)險(xiǎn)評估指南》中的“附錄B資產(chǎn)重要性程度判斷準(zhǔn)則”判斷其是否是重要信息資產(chǎn)，并填寫《信息資產(chǎn)識別評價(jià)表》，經(jīng)本部門負(fù)責(zé)人審核確認(rèn)后，在風(fēng)險(xiǎn)評估計(jì)劃規(guī)定的時(shí)間內(nèi)提交風(fēng)險(xiǎn)評估小組審核匯總。

5.2.5 風(fēng)險(xiǎn)評估小組對各部門填寫的《信息資產(chǎn)識別評價(jià)表》進(jìn)行審核，確保沒有遺漏信息資產(chǎn)，形成各部門的《信息資產(chǎn)風(fēng)險(xiǎn)評估表》，并分發(fā)各部門存檔。

5.3 信息資產(chǎn)風(fēng)險(xiǎn)等級評估

5.3.1 應(yīng)對《信息資產(chǎn)風(fēng)險(xiǎn)評估表》中的所有資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評估，評估應(yīng)考慮威脅事件發(fā)生的可能性和威脅事件發(fā)生后對信息資產(chǎn)造成的影響程度兩方面因素。

5.3.2 風(fēng)險(xiǎn)評估小組向各部門內(nèi)審員分發(fā)《信息資產(chǎn)風(fēng)險(xiǎn)評估表》、《信息安全威脅參考表》¹、《信息安全薄弱點(diǎn)參考表》¹、《事件發(fā)生可能性等級對照表》¹、《事件可能影響程度等級對照表》¹。

5.3.3 各部門內(nèi)審員根據(jù)資產(chǎn)本身所處的環(huán)境條件,參考《信息安全威脅參考表》¹識別每個(gè)信息資產(chǎn)所面臨的威脅，針對每個(gè)威脅，識別目前已有的控制；并參考《信息安全薄弱點(diǎn)參考表》¹識別可能被該威脅所利用的薄弱點(diǎn)；在考慮現(xiàn)有的控制前提下，參考《事件發(fā)生可能性等級對照表》¹判斷每項(xiàng)信息資產(chǎn)所面臨威脅發(fā)生的可能性；參考《事件可能影響程度等級對照表》¹，判斷威脅利用薄弱點(diǎn)可能使信息資產(chǎn)保密性、完整性或可用性丟失所產(chǎn)生的影響程度等級。將結(jié)果填寫在《信息資產(chǎn)風(fēng)險(xiǎn)評估表》上，提交風(fēng)險(xiǎn)評估小組審核匯總。

5.3.4 風(fēng)險(xiǎn)評估小組考慮本公司整體的信息安全要求，對各部門填寫的《信息資產(chǎn)風(fēng)險(xiǎn)評估表》進(jìn)行審核，確保風(fēng)險(xiǎn)評估水平的一致性，確保沒有遺漏信息安全風(fēng)險(xiǎn)。如果對評估結(jié)果進(jìn)行修改，應(yīng)該和資產(chǎn)責(zé)任部門進(jìn)行溝通并獲得該部門的確認(rèn)。

5.3.5 風(fēng)險(xiǎn)評估小組根據(jù)《信息安全風(fēng)險(xiǎn)矩陣計(jì)算表》¹計(jì)算風(fēng)險(xiǎn)等級，把風(fēng)險(xiǎn)等級最高的一級或者兩級資產(chǎn)列為《重要信息資產(chǎn)清單》，并存檔。

5.4 不可接受風(fēng)險(xiǎn)的確定和處理

5.4.1 風(fēng)險(xiǎn)評估小組根據(jù)《信息安全風(fēng)險(xiǎn)接受準(zhǔn)則》¹，確定風(fēng)險(xiǎn)的可接受性；針對不可接受風(fēng)險(xiǎn)編制《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》，該計(jì)劃應(yīng)該規(guī)定風(fēng)險(xiǎn)處理方式、責(zé)任部門和時(shí)間進(jìn)度；編制《信息安全風(fēng)險(xiǎn)評估報(bào)告》，陳述本公司信息安全管理現(xiàn)狀，分析存在的信息安全風(fēng)險(xiǎn)，提出信息安全管理（控制）的建議與措施，附《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》提交信息安全管理委員會進(jìn)行審核，由ISMS管理者代表批準(zhǔn)實(shí)施。

5.4.2 各責(zé)任部門按照《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》的要求采取有效安全控制措施后,原評估部門重新評估其計(jì)劃效果，降至可接受為止，確保所采取的控制措施是充分的，該措施直到為再次風(fēng)險(xiǎn)評估的輸入。

5.5 評估時(shí)機(jī)

5.5.1 每年重新評估一次，以確定是否存在新的威脅或薄弱點(diǎn)及是否需要增加新的控制措施，對發(fā)生以下情況需及時(shí)進(jìn)行風(fēng)險(xiǎn)評估：

a) 當(dāng)發(fā)生重大信息安全事故時(shí)；

b) 當(dāng)信息網(wǎng)絡(luò)系統(tǒng)發(fā)生重大更改時(shí)；

c) 信息安全管理委員會確定有必要時(shí)。

5.5.2 各部門對新增加、轉(zhuǎn)移的或授權(quán)銷毀的信息資產(chǎn)應(yīng)及時(shí)按照本程序在ISMS-4023《信息資產(chǎn)識別評價(jià)表》、《重要信息資產(chǎn)清單》上予以添加或變更。

6 相關(guān)/支持性文件

• ISMS-P-2001《信息安全適用性聲明》
• ISMS-1001《信息安全管理手冊》
• ISMS-P-2005《文件和資料管理程序》

7 記錄

?

?