1 適用

本程序適用于本公司信息安全管理體系（ISMS）范圍內信息安全風險評估活動。

2 目的

本程序規定了本公司所采用的信息安全風險評估方法。通過識別信息資產、風險等級評估，認知本公司的信息安全風險，在考慮控制成本與風險平衡的前提下選擇合適控制目標和控制方式將信息安全風險控制在可接受的水平，保持本公司業務持續性發展，以滿足本公司信息安全管理方針的要求。具體操作步驟，參照《信息安全風險評估指南》具體執行。

3 范圍

本程序適用于第一次完整的風險評估和定期的再評估。在辨識資產時，本著盡量細化的原則進行，但在評估時我司又會把資產按照系統進行規劃。辨識與評估的重點是信息資產，不區分物理資產、軟件和硬件。

4 職責

4.1 成立風險評估小組

XX部負責牽頭成立風險評估小組。

4.2 策劃與實施

風險評估小組每年至少一次，或當體系、組織、業務、技術、環境等影響企業的重大事項發生變更、重大事故事件發生后，負責編制信息安全風險評估計劃，確認評估結果，形成《信息安全風險評估報告》。

4.3 信息資產識別與風險評估活動

各部門負責本部門使用或管理的信息資產的識別和風險評估，并負責本部門所涉及的信息資產的具體安全控制工作。

4.3.1 各部門負責人負責本部門的信息資產識別。

4.3.2 XX部經理負責匯總、校對全公司的信息資產。

4.3.3 XX部負責風險評估的策劃。

4.3.4 信息安全委員會負責進行第一次評估與定期的再評估。

5 程序

5.1 風險評估前準備

5.1.1 XX部牽頭成立風險評估小組，小組成員至少應該包含：信息安全管理體系負責部門的成員、信息安全重要責任部門的成員。

5.1.2 風險評估小組制定信息安全風險評估計劃，下發各部門內審員。

5.1.3 必要時應對各部門內審員進行風險評估相關知識和表格填寫的培訓。

5.2 信息資產的識別

5.2.1 本公司的資產范圍包括：

5.2.1.1 信息資產

1. 軟件資產：應用軟件、系統軟件、開發工具和適用程序。
2. 物理資產：計算機設備、通訊設備、可移動介質和其他設備。
3. 服務：培訓服務、租賃服務、公用設施（能源、電力）。
4. 人員：人員的資格、技能和經驗。
5. 無形資產：組織的聲譽、商標、形象。

?

5.2.1.2本公司的資產范圍包括：

數據庫、數據文件、數據合同、系統文件、研究信息、用戶手冊、培訓教材、培訓操作、培訓軟件、支持性程序、業務連續性計劃、應變安排、審核記錄、審核的追蹤、歸檔信息。

?

5.2.1.3 評估程序

本評估應考慮：范圍、目的、時間、效果、組織文化、人員素質以及具體開展的程度等因素來確定，使之能夠與組織的環境和安全要求相適應。

5.2.2 資產屬性賦值

5.2.2.1資產賦值是對資產安全價值的估價，而不是以資產的賬面價格來衡量的。在對資產進行估價時，不僅要考慮資產的成本價格，更重要的是考慮資產對于組織業務的安全重要性，即根據資產損失所引發的潛在的商務影響來決定。為確保資產估價時的一致性和準確性，機構應按照上述原則，建立一個資產價值尺度（資產評估標準），以明確如何對資產進行賦值。

?

5.2.2.2資產估價的過程也就是對資產保密性、完整性和可用性影響分析的過程。影響就是由人為或突發性引起的安全事件對資產破壞的后果。這一后果可能毀滅某些資產，危及信息系統并使其喪失保密性、完整性和可用性，最終還會導致財政損失、市場份額或公司形象的損失。特別重要的是，即使每一次影響引起的損失并不大，但長期積累的眾多意外事件的影響總和則可造成嚴重損失。一般情況下，影響主要從以下幾方面來考慮：

（1）違反了有關法律或（和）規章制度

（2）影響了業務執行

（3）造成了信譽、聲譽損失

（4）侵犯了個人隱私

（5）造成了人身傷害

（6）對法律實施造成了負面影響

（7）侵犯了商業機密

（8）違反了社會公共準則

（9）造成了經濟損失

（10）破壞了業務活動

（11）危害了公共安全

資產安全屬性的不同通常也意味著安全控制、保護功能需求的不同。通過考察三種不同安全屬性，可以能夠基本反映資產的價值。

5.2.2.3保密性賦值：

?

5.2.2.4完整性賦值：