内容发布更新时间 : 2024/5/21 6:43:06星期一 下面是文章的全部内容请认真阅读。

城云科技（杭州）有限公司

信息安全风险管理程序

文档编号 版 本 号 审 核 人 3.1 V2.0 李振华 受控状态 作 者 批 准 人 批准日期

受控 鄂鹏羽 夏敏 2014/12/1 发布日期 2014/12/1

目录

信息安全风险管理程序............................................................................................................................. 1 第一章 目的......................................................................................................................................... 1 第二章 范围......................................................................................................................................... 1 第三章 名词解释 ................................................................................................................................. 1 第四章 风险评估方法 ......................................................................................................................... 2 第五章 风险评估实施 ......................................................................................................................... 5 第六章 风险管理要求 ....................................................................................................................... 19 第七章 附则....................................................................................................................................... 20 第八章 检查要求 ............................................................................................................................... 20

第一章 目的

第一条 目的：指导信息安全组织针对信息系统及其管理开展的信息风险评估工作。本指南定义了风险评估的基本概念、原理及实施流程；对资产、威胁和脆弱性识别要求进行了详细描述。

第二章 范围

第二条 范围：适用于风险评估组开展各项信息安全风险评估工作。

第三章 名词解释

第三条 资产

对组织具有价值的信息或资源，是安全策略保护的对象。 第四条 资产价值

资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。资产价值通过机密性、完整性和可用性三个方面评估计算获得。

（一）机密性（Confidentiality）：确保只有经过授权的人才能访问信息；

（二）完整性（Integrality）：保护信息和信息的处理方法准确而完整；

（三）可用性（Availability）：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。

第五条 威胁

可能导致对系统或组织危害的不希望事故潜在起因。 第六条 脆弱性

可能被威胁所利用的资产或若干资产的弱点。