1-1 风险评估实施流程及规范.docx

《1-1 风险评估实施流程及规范.docx》由会员分享，可在线阅读，更多相关《1-1 风险评估实施流程及规范.docx（38页珍藏版）》请在三一办公上搜索。

1、上海观安信息技术股份有限公司风险评估实施流程及规范TSC-RA-2-01本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属上海观安信息技术股份有限公司所有，受到有关产权及版权法保护。任何个人、机构未经上海观安信息技术股份有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。修订历史记录版本号拟制人/修改人拟制/修改日期审批人更改原因主要更改内容（写要点即可）V1.0陈芳2019-11-18李俊定稿V1.1陈芳2020-02-15李俊完善流程新增5.7、5.8V1.2陈芳2021-01-12李俊完善流程新增5.8V1.3陈芳2021-07-0

2、8李俊完善风险计算方法合并“附件十一、十二”，并新增“附件十一、标准*目录1. 目的52. 范围.53. 参考标准53.1. 风险评估的依据53.2. 风险评估的方法53.2.1. 人员访谈53.2.2. 文档审阅53.2.3. 基线检查53.2.4. 工具扫描54. 风险评估流程55. 具体实施过程85.1. 风险评估的准备85.1.1. 确定目标95.1.2. 确定范围95.1.3. 系统调研95.1.4. 确定依据95.1.5. 交付物清单95.2. 编制实施方案105.2.1. 交付物清单105.3. 资产识别和赋值105.3.1. 资产识别105.3.2. 资产分类105.3.3.

3、资产赋值115.3.4. 交付物清单125.4. 威胁识别125.4.1. 威胁分类125.4.2. 威胁赋值125.4.3. 交付物清单125.5. 脆弱性识别135.5.1. 脆弱性识别内容135.5.2. 脆弱性赋值135.5.3. 交付物清单145.6. 现有安全措施分析145.6.1. 已有安全措施确认145.6.2. 交付物清单145.7. 风险分析155.7.1. 风险计算原理155.7.2. 交付物清单155.8. 风险总体安全评价155.9. 编制风险评估报告155.9.1. 交付物清单155.10. 风险处置155.10.1. 风险处置155.10.2. 交付物清单165.

4、11. 残余风险及风险再评估165.11.1. 交付物清单165.12. 风险评估文件记录165.12.1. 风险评估记录要求165.12.2. 风险评估文件176. 风险评估服务项目管理176.1. 交付物清单177. 附件及表单18附件一：一种基于表现形式的资产分类方法18附件二：资产机密性赋值表19附件三：资产完整性赋值表22附件四：资产可用性赋值表25附件五：资产等级及含义描述28附件六：威胁来源列表29附件七：一种基于表现形式的威胁分类表30附件八：威胁发生的可能性评价标准威胁赋值表31附件九：脆弱性识别内容表32附件十：脆弱性严重程度赋值表33附件十一：信息资产风险值计算公式33附

5、件十二：信息资产风险值计算表及风险等级划分标准34附件十三：信息资产风险评估与处理表361 .目的为规范上海观安信息技术股份有限公司（以下简称“上海观安”）在开展风险识别、评估和处置过程中的工作流程与方法，明确相关人员职责，特制定本规定。2 .范围本规范适用于观安信息风险评估人员实施风险评估活动。3 .参考标准3.1. 风险评估的依据GBT22080-2013/IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求GBT22081-2013/ISO/IEC27002:2013信息技术安全技术信息安全管理实用规贝ijGBT20984-2007信息安全技术信息安全风险评估规范ISO

6、IEC27005:2008信息技术安全技术信息安全风险管理中的定义和缩写，其它定义和缩写可参考。3.2. 风险评估的方法3.2.1 .人员访谈通过安全顾问的访谈调研工作，了解客户在信息安全方面所采取的措施，以及存在的安全问题。32.2.文档审阅通过针对客户现有的各类安全相关文档资料包括管理制度、法规通知、网络拓扑等进行收集分析，发现信息安全问题。323 .基线检查使用基线检查表单，对客户的设备进行安全基线配置检查，并对检查结果进行分析汇总。324 .工具扫描使用扫描工具，对客户的主机系统进行漏洞扫描，并对扫描结果进行分析汇总。325 险评估流程根据观安信息的风险评估模型和实际的工程实践，通用的

7、风险评估基本流程如图所示。图1风险评估实施流程图观安客户公观安职责本阶段输序号流程阶段负责司配合输入可能风险点出物（可角色角色选）资产分类管理资产管各六大类资1.填表人不清楚填写方法先收集已有表资产识别和风险评估方法培格，然后观安根1组负产，资产赋值据现有及识别理员2.遗漏重要资训PPt责人定义产表格辅导XX客户进行资产清单表加工管理安全管威胁安全经验威胁识别2威胁识别组负理人员库，安全平台报告责人威胁库3物理环境（机房）安全评估管理组负,i人机房管理员物理环境检查事项内容1.机房管理员无法按既定时间配合检查2.机房检查列物理机房环境检查表有遗漏表4网络架构安全评估技术组负责人网络管理员网络安

8、全各域安全内容1 .网络拓补图不是最新的2 .网络管理员未能配合访谈时间。网络安全评估报告5脆弱件识别IT设备安全评估技术组负责人主机管理员网络管理员1 .未及时确认抽取的IT设备清单2 .扫描过程存在风险观安提前准备评估方案，以便XX客户清楚风险的情况下，选择设备进行评估IT设备安全评估报告脆弱性报告应用系统6应用系统安全评估技术组负责人应用管理员应用系统检查工具。经验漏洞库。1.应用管理员无法配合了解应用管理情况2.渗透测试存在风险访谈问卷及记录应用系统渗透测试报告7已有安全措施的确认已有安全措施检查记录已有安全措施报告8风险处置风险改善风险处置报告9制定总体风险评估报告管理组负责人项目经

9、理威胁报告、脆弱性报告、资产清单表等内容1.风险评估报告未通过XX客户公司认可1.管理与技术两条线同步进行2.综合技术和管理评估结果分析风险风险评估表风险评估报告风险评估方法论确认单风险可接受水平确认单326 体实施过程326.1. 评估的准备风险评估的准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑，其结果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此，在风险评估实施前，应：（1） 成立风险评估小组；（2） 明确风险评估计划；（3） 明确职责分工；（4） 确定风险评估的目标：（5） 确定风险评估的范围；（6） 进行初步业务沟通；（7） 确定评估

10、依据和方法；（8） 获得最高管理者对风险评估工作的支持。（9） 1.确定目标风险评估的准备阶段应明确风险评估的目标，为风险评估的过程提供导向。信息系统的机密性、完整性和可用性对于维持竞争优势、获利能力、法规要求和组织形象是必要的。组织要面对来自内、外部的安全威胁,信息系统是威胁的主要目标。由于信息化程度不断提高，业务对信息技术的依赖程度日益增加，一个组织可能出现更多的弱点。风险评估的目标是根据满足组织业务持续发展在安全方面的需要、相关方的要求、法律法规的规定等内容，识别现有信息系统及管理上的脆弱性，以及可能造成的风险大小。（10） 2.确定范围基于风险评估目标确定风险评估范围是完成风险评估的前

11、提。风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。（11） 3.系统调研系统调研是确定被评估对象的过程，风险评估小组应进行充分的系统调研，为风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容至少应包括：(1)主要的业务功能和要求(2)网络结构与网络环境，包括内部连接和外部连接；(3)系统边界；(4)主要的硬件、软件；(5)数据和信息；(6)系统和数据的敏感性；(7)支持和使用系统的人员等。系统调研可以采取问卷调查、现场面谈相结合的方式进行。调查问卷是提供一套关于管理或操作控制的问题表格，

12、供系统技术或管理人员填写；现场面谈则是由评估人员到现场观察并收集系统在物理、环境、和操作方面的信息。（12） 4.确定依据根据系统调研结果，确定评估依据和评估方法。评估依据包括(但不限于)：现有国际或国家标准、行业主管机关的业务系统的要求和制度、系统互联单位的安全要求、系统本身的实时性或性能要求等。根据评估依据，应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方法，并依据业务实施对系统安全运行的需求，确定相关的判断依据，使之能够与组织环境和安全要求相适应。（13） 5.交付物清单A项目启动会、系统调研报告、326.2. 实施方案项目所有实施内容确定后，需形成较为完整的风险

13、评估实施方案，并得到组织最高管理者的支持、批准；并对管理层和技术人员进行传达，在组织范围就风险评估相关内容进行培训，以明确有关人员在风险评估中的任务。521.交付物清单上项目实施方案、326.3. 识别和赋值53.1.资产识别围绕客户的业务特点，同时结合等级保护要求相关要求。在资产识别方面主要收集一下6类资产。326.4. ：各部门使用的硬件设施，这些硬件设施或者安装有己识别的软件，或者其上存放有已识别的数据资产，或者是对部门业务有支持作用。2）软件资产：各部门（岗位）安装使用的软件，包括系统软件、应用软件（有后台数据库并存储应用数据的软件系统）、工具软件（支持特定工作的软件工具）、桌面软件（

14、日常办公所需的桌面软件包）等。所列举的软件应该与产生、支持和操作的己识别的数据资产有直接关系。3）数据资产：包括各生产系统相关的电子类及纸质的文件资料，可基本按照岗位并根据岗位业务流程列举。按照业务流程的要求识别其分组或类别，数据资料的列举和分组应该以业务功能和保密性要求为主要考虑，即：识别出的数据资料应该具有某种业务功能，此外，还应该重点考虑其保密性要求。同时各部门或个人按正常流程交付各部门使用的，都在列举范畴内。各部门产生的数据资产列举应尽量清晰，但来自部门以外的数据列举可以适当粗略。4）服务资产：各部门通过购买方式获取的，或者需要后勤部门特别提供的，能够对已识别资产进行支持的服务。5）人

15、员资产：各部门各种对已识别的数据资产、软件资产和实物资产进行使用、对业务系统进行操作支持的人员角色。6）其他资产：其他资产除企业形象、组织声誉等无形资产外，主要针对各种标准木身的运行情况而设立，是直接体现体现建设成熟度的一类资产。53.2.资产分类资产是具有价值的信息或资源，它能够以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、形象等。机密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不仅仅以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面

16、临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此，有必要对组织中的资产进行识别。在一个组织中，资产有多种表现形式；同样的两个资产也因属于不同的信息系统而重要性不同，而且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。在实际工作中，具体的资产分类方法可以根据具体的评估对象和要求，由评估者灵活把握。根据资产的表现形式，可将资产分为数据、软件、实物、服务、人员、其他等类型。附件i列出了一种资产分类方法。53.3资产赋值对资产的赋值不仅要考虑资产的经济价值，更重要的是要

17、考虑资产的安全状况对于系统或组织的重要性，由资产在其三个安全属性上的达成程度决定。为确保资产赋值时的一致性和准确性，组织应建立资产价值的评价尺度，以指导资产赋值。资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析，并在此基础上得出综合结果的过程。达成程度可由安全属性缺失时造成的影响来表示，这种影响可能造成某些资产的损害以至危及信息系统，还可能导致经济效益、市场份额、组织形象的损失。5.331.机密性赋值根据资产在机密性上的不同要求，将其分为五个不同的等级，分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响。附件二提供了一种机密性赋值的参考。5.3.3.2

18、. 完整性赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上缺失时对整个组织的影响。附件三提供了一种完整性赋值的参考。5.3.3.3. 可用性赋值根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上的达成的不同程度。附件四提供了一种可用性赋值的参考。5.3.3.4. 资产重要性等级资产价值应依据资产在机密性、完整性和可用性上的赋值等级，经过综合评定得出。综合评定方法可以根据自身的特点，选择对资产机密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果；也可以根据资产机密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产

19、的最终赋值结果。加权方法可根据组织的业务特点确定。一般在项目实施中采用选择对资产机密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终价值。资产价值=FmaX（C,l,A）o资产共划分为五级，分别标识为很高、高、中、低、很低。级别越高表示资产越重要。附件五中的资产等级划分表明了不同等级的重要性的综合描述。评估者可根据资产赋值结果,确定重要资产的范围，并主要围绕重要资产进行下一步的风险评估。5.3.4.交付物清单上信息资产收集清单、关键业务、数据、系统单元报告、5.4. 威胁识别541.威胁分类威胁是一种对组织及其资产构成潜在破坏的可能性因素，是客观存在的。威胁可以通过威胁主体、资源、

20、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，在机密性、完整性或可用性等方面造成损害；也可能是偶发的、或蓄意的事件。在对威胁进行分类前，应考虑威胁的来源。附件六提供了一种威胁来源的分类方法。对威胁进行分类的方式有多种，针对上表的威胁来源，可以根据其表现形式将威胁分为以下几类。附件七提供了一种基于表现形式的威胁分类方法。542.威胁赋值判断威胁出现的频率是威胁识别的重要内容，评估者应根据经验和（或）有关的统计数据来进行判断。在评估中，

21、需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率：（1）以往安全事件报告中出现过的威胁及其频率的统计；（2）实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；（3）近一两年来国内或国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。可以对威胁出现的频率进行等级化处理，不同等级分别代表威胁出现的频率的而低。等级数值越大，威胁出现的频率越高。附件八提供了威胁出现频率的一种赋值方法。在实际的评估中，威胁频率的判断依据应在评估准备阶段根据历史统计或行业判断予以确定，并得到被评估方的认可。543.交付物清单Ju威胁分析报告、威胁评估报告5.5. 脆弱性

22、识别5.5.1 .脆弱性识别内容脆弱性是对一个或多个资产弱点的总称。脆弱性识别也称为弱点识别，弱点是资产本身存在的，如果没有被相应的威胁利用，单纯的弱点本身不会对资产造成损害。而且如果系统足够强健，严重的威胁也不会导致安全事件发生，并造成损失。即，威胁总是要利用资产的弱点才可能造成危害。资产的脆弱性具有隐蔽性，有些弱点只有在一定条件和环境下才能显现，这是脆弱性识别中最为困难的部分。不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个弱点。脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以以资产为核心，针对每一项需要保护的资产,识别可能被威胁利用的弱点，并对脆弱性的严重程度进行

23、评估；也可以从物理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家安全标准，也可以是行业规范、应用流程的安全要求。对应用在不同环境中的相同的弱点，其脆弱性严重程度是不同的，评估者应从组织安全策略的角度考虑、判断资产的脆弱性及其严重程度。信息系统所采用的协议、应用流程的完备与否、与其他网络的互联等也应考虑在内。脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域和软硬件方面的专业人员等。脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等,脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系

24、统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面，前者与具体技术活动相关，后者与管理环境相关。对不同的识别对象，其脆弱性识别的具体要求应参照相应的技术或管理标准实施。例如，对物理环境的脆弱性识别可以参照GB/T9361-2000计算机场地安全要求中的技术指标实施；对操作系统、数据库可以参照GB17859-1999计算机信息系统安全保护等级划分准则中的技术指标实施。管理脆弱性识别方面可以参照GB/T19716-2005信息技术信息安全管理实用规则的要求对安全管理制度及其执行情况进行检查，发现管理漏洞和不足。附件九提供了一种脆弱性识别内容的参考。552.脆弱

25、性赋值可以根据对资产的损害程度、技术实现的难易程度、弱点的流行程度，采用等级方式对己识别的脆弱性的严重程度进行赋值。由于很多弱点反映的是同一方面的问题，或可能造成相似的后果，赋值时应综合考虑这些弱点，以确定这一方面脆弱性的严重程度。对某个资产，其技术脆弱性的严重程度还受到组织管理脆弱性的影响。因此，资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。脆弱性严重程度可以进行等级化处理，不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大，脆弱性严重程度越高。附件十提供了脆弱性严重程度的一种赋值方法。此外，CVE提供的漏洞分级也可以作为脆弱性严重程度赋值的参考。553.交付物清单X脆弱

26、性评估报告5.6. 现有安全措施分析5.7. 1.已有安全措施确认已有安全措施的实施有助于降低风险影响发生的可能性，因此，评估实施团队应对已有安全措施及其实施效果进行确认，对于风险发生可能性有重要的作用。安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统；保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。己有安全措施确认与弱点识别存在一定的联系。一般来说，安全措施的使用将减少技术或管理上的弱点，但安全措施确认并不需要和弱点识别过程那样具体到每个资产的脆弱性,而是一类具体措施的集合，为风险处理计划的制定提供

27、依据和参考。已有安全措施的有效性可通过抑制系数（表8）体现，弱点评估时，可将弱点最大值（5分）乘以（1抑制系数（）的结果作为弱点值评估的依据。抑制等级描述抑制系数5已有安全措施效果非常明显，能够限制绝大部分影响的发生80%4已有安全措施效果较好，能够较大的降低相关影响发生的可能性60%3已有安全措施起到一定效果，能够在一定程度降低相关影响发生的可能性40%2已有安全措施只能发挥较小作用，只能够较小程度的降低相关影响发生的可能性20%1没有任何相关安全措施，或已有安全措施发挥的作用可以忽略0安全措施抑制系数评估标准表注：计算弱点值时，弱点值可能包含小数，此时可与被评估方商讨，保存小数位；或弱点值

28、采用四舍五入法，以整数方式体现（可通过设置“风险评估表中弱点值栏位的单元格格式”体现）。562.交付物清单上已有安全措施分析报告5.8. 风险分析5.9. 风险计算原理评估实施团队在完成了资产识别、威胁识别、弱点识别，以及已有安全措施确认后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险。信息资产的风险值与信息资产价值(F)、威胁的可能性(T)和弱点的严重性(V)、风险发生的概率、风险发生造成的影响有直接的关系，具体计算过程参见信息资产风险值计算公式(附件十一)。根据计算得出的风险

29、值对风险级别进行判定，从低到高依次分为很低、低、中、高和很高五个风险等级。其等级划分标准具体见信息资产风险值计算及风险等级划分标准(附件十二)。5.10. 付物清单风险处理计划、风险处置评审报告。5.8. 风险总体安全评价评估实施团队结合资产识别、威胁识别、弱点识别及已有安全措施对项目的残余风险进行识别，对风险的按照不同等级进行划分、统计、评价，结合风评的实际情况最终形成安全总体评价。其等级划分标准具体见信息资产风险值计算及风险等级划分标准(附件十二)。5.9. 编制风险评估报告根据前期资产识别与赋值、威胁识别、脆弱性识别、现有安全措施的分析、及风险的整理分析的内容与结果，编制项目整个的风险评

30、估报告。风险评估报告中需包括风险评估的评估过程、评估方法、评估结果、处置建议等内容。591.交付物清单义风险评估报告5.10. 风险处置5.10.1. 风险处置风险识别与评价完成后，应对所有风险项进行综合分析和确认，根据上海观安的信息资产风险接受准则，确定需要列入风险处置计划的风险项。风险接受准则为：（1） 对于“很高”和“高”等级的风险，必须进行控制，列入风险处置计划；（2） 对于“中”级别的风险，可经过内部讨论，经本部门负责人审批之后，决定是否接受，将不可接受的风险列入风险处置计划；（3） 对于“低”级别的风险，经本部门负责人审批之后，作为可接受的风险，不作进一步处理。风险处置计划是根据风

31、险的影响程度和业务的实际情况,对确定需要处置的风险所采取的一系列控制措施的说明，控制措施可以是技术方面的，也可以是管理方面的。风险处置的措施具体包括：（4） 制定相应的信息安全管理策略或制度文件进行控制；（5） 通过实施必要的技术措施或技术方案进行控制；（6） 作为将来持续改善的方向，列入长期改善计划。风险处置过程中风险控制措施的类型包括:风险消减、风险回避、风险转嫁和风险接受。针对风险处置计划中确定的需要处置的每一项风险,选择实施相应的风险控制措施，以控制、削减、转嫁或接受该风险，必要时应制订相应的处置方案。风险处置计划中列出需要针对进行管控每项高风险明确相应的控制措施。交付物清单1.风险处

32、置计划报告5.11. 残余风险及风险再评估 风险处置完成后，须根据风险处置的情况，进行风险再评估工作，来验证这些残余风险是否已解决，评估方法与第一次风险评估的方法一致。 信息资产面临的风险是随着业务、技术的发展进步和环境的变化而不断变化的，为了确保风险评估及风险处置的有效性，各部门应定期组织风险识别和评价，每年至少进行一次覆盖全部信息资产和信息安全管理体系自身的全范围风险评估。 为了使全体员工了解并有效控制信息资产的风险，有效实施风险处置计划和方案，各部门应组织相关培训，提升全员信息安全意识并了解风险评估概念和过程。 .11.1.交付物清单上残余风险处置方案、残余风险再评估5.12. 风险评估

33、文件记录5.12.1. 风险评估记录要求记录风险评估过程的相关文件，应符合以下要求（但不仅限于此）：（1） 确保文件发布前是得到批准的；（2） 确保文件的更改和现行修订状态是可识别的；（3） 确保文件的分发得到适当的控制，并确保在使用时可获得有关版本的适用文件;（4） 防止作废文件的非预期使用，若因任何目的需保留作废文件时，应对这些文件进行适当的标识。对于风险评估过程中形成的相关文件，还应规定其标识、储存、保护、检索、保存期限以及处置所需的控制。相关文件是否需要以及详略程度由组织的管理者来决定。5.12.2. 风险评估文件风险评估文件是指在整个风险评估过程中产生的评估过程文档和评估结果文档，包

34、括（但不仅限于此）：（1） 风险评估方案：阐述风险评估的目标、范围、人员、评估方法、评估结果的形式和实施进度等；（2） 风险评估程序：明确评估的目的、职责、过程、相关的文件要求，以及实施本次评估所需要的各种资产、威胁、脆弱性识别和判断依据；（3） 资产识别清单:根据组织在风险评估程序文件中所确定的资产分类方法进行资产识别，形成资产识别清单，明确资产的责任人/部门；（4） 重要资产清单：根据资产识别和赋值的结果，形成重要资产列表，包括重要资产名称、描述、类型、重要程度、责任人/部门等；（5） 威胁列表：根据威胁识别和赋值的结果，形成威胁列表，包括威胁名称、种类、来源、动机及出现的频率等；（6）

35、脆弱性列表：根据脆弱性识别和赋值的结果，形成脆弱性列表，包括具体弱点的名称、描述、类型及严重程度等；（7） 己有安全措施确认表：根据对己采取的安全措施确认的结果，形成已有安全措施确认表，包括己有安全措施名称、类型、功能描述及实施效果等；（8） 风险评估报告：对整个风险评估过程和结果进行总结，详细说明被评估对象、风险评估方法、资产、威胁、脆弱性的识别结果、风险分析、风险统计和结论等内容；（9） 风险处理计划：对评估结果中不可接受的风险制定风险处理计划，选择适当的控制目标及安全措施，明确责任、进度、资源，并通过对残余风险的评价以确定所选择安全措施的有效性；（10） 风险评估记录：根据风险评估程序，

36、要求风险评估过程中的各种现场记录可复现评估过程，并作为产生歧义后解决问题的依据。6 .风险评估服务项目管理在风险评估服务项目实施中要进行客户要求评审管理、项目技术活动规划管理、项目实施跟踪与监控管理、项目质量保证管理及项目风险管理。6.1. 交付物清单人项目周报、项目质量跟踪报告7 .附件及表单附件一：一种基于表现形式的资产分类方法分类示例人员管理类：部门经理、部门副经理。基础类：综合管理人员、文档管理人员、系统管理人员、系统操作人员、设备维护人员、终端管理人员、网络管理人员、通讯管理人员、安全管理人员、软件开发人员、软件测试人员等。外方类：市场参与者、签约供应商、第三方人员等。数据保存在信息

37、媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等软件系统软件：操作系统、语言包、工具软件、各种库等应用软件：外部购买的应用软件，外包开发的应用软件等源程序：各种共享源代码、自行或合作开发的各种代码等实物网络设备：路由器、网关、交换机等计算机设备：大型机、小型机、服务器、工作站、台式计算机、移动计算机等存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路：光纤、双绞线等保障设备：动力保障设备（UPS、变电设备等）、空调、保险柜、文件柜、门禁、消防设施等安全保障设备：防火墙、入侵检测系统、身份验证等其他：打印机、复印机、扫描仪、传真机等服务办

38、公服务：为提高效率而开发的管理信息系统（MIS）,包括各种内部配置管理、文件流转管理等服务网络服务：各种网络设备、设施提供的网络连接服务信息服务：对外依赖该系统开展的各类服务其它企业形象，客户关系等附件二：资产机密性赋值表人员资产机密性赋值表：资产类别赋值保密性(C)人员1只能了解公司已发布或公开的信息2可以接触/存取内部公开的信息3可以接触/存取公司一般性的秘密信息和内部公开信息4可以接触/存取最高到机密级的信息5可以接触/存取各个级别的信息产机密性赋值表:资产类别赋值保密性(C)实物1机密性价值很低，对该应用系统的潜在影响基本可忽略2机密性价值较低，对该应用系统的潜在影响可以忍受，较容易弥

39、补3机密性价值中等，对该应用系统潜在影响重大，但可以弥补4机密性价值较高，对该应用系统潜在影响严重，将蒙受严重损失，难以弥补5机密性价值非常关键，对该应用系统具有致命性的潜在影响或无法接受、特别不愿接受的影响软件类资产机密性赋值表资产类别赋值保密性(C)软件1机密性价值较低，对该应用系统的潜在影响基本可忽略2机密性价值较低，对该应用系统的潜在影响可以忍受，较容易弥补3机密性价值中等，对该应用系统潜在影响重大，但可以弥补4机密性价值较高，对该应用系统潜在影响严重，将蒙受严重损失，难以弥补5机密性价值非常关键，对该应用系统具有致命性的潜在影响或无法接受、特别不愿接受的影响数据类资产机密性赋值表资产

40、类别赋值保密性(C)数据1对应用系统的访问无需特别授权，获准对外发布2公司内部无需特别授权，并且由于机密性原因造成的损失容易弥补3公司内部可以授权访问，对应用系统潜在未授权访问影响重大，但是造成的损失可以弥补4对应用系统的访问只有必须使用者才予以授权5对应用系统的访问仅授权极少数必须使用者服务类资产机密性赋值表资产类别赋值保密性(C)服务1该服务人员可以接触/存取公开信息，或经授权可接触内部公开信息2该服务人员可以接触/存取内部公开的信息3该服务人员可以接触/存取公司一般性的秘密信息和内部公开信息4该服务人员可以接触/存取最高到机密级的信息5该服务人员可以接触/存取各个级别的信息其他类资产机密

41、性赋值表资产类别赋值保密性(C)其他1可对社会公开的信息，公用的信息处理设备和系统资源等2仅能在组织内部或在组织内某一部门内公开的信息，向外扩散有可能对组织的利益造成轻微损害3组织的一般性秘密，其泄露会使组织的安全和利益受到损害4包含组织的重要秘密，其泄露会使组织的安全和利益受到严重损害5包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害附件三：资产完整性赋值表人员资产完整性赋值表:资产类别赋值完整性（D人员1如果该人员未正确执行其职务内容，对业务运作造成影响可忽略2如果该人员未正确执行其职务内容，对业务运作造成一定影响3如果该人员未正确执

42、行其职务内容，将造成相关工作任务效率降低或停顿4如果该人员未正确执行其职务内容，将造成单位/部门之业务运作效率降低或停顿5如果该人员未正确执行其职务内容，将造成公司级业务运作效率大大降低或停顿实物资产完整性赋值表:资产类别赋值完整性（I）实物1对实物资产未经授权的破坏或修改造成的影响和冲击可忽略2对实物资产未经授权的破坏或修改造成影响，且对实物资产提供的服务冲击轻微3对实物资产未经授权的破坏或修改造成影响，且对实物资产提供的服务有明显冲击4对实物资产的配置未经授权的破坏或修改有重大影响，且对实物资产提供的服务有冲击严重5对实物资产的配置未经授权的破坏或修改有重大影响，且可能导致实物资产提供的服

43、务中断软件资产完整性赋值表:资产类别赋值完整性（D软件1完整性价值较低，对该应用系统的潜在影响基本可忽略2完整性价值较低，对该应用系统的潜在影响可以忍受，较容易弥补3完整性价值中等，对该应用系统潜在影响重大，但可以弥补4完整性价值较高，对该应用系统潜在影响严重，将蒙受严重损失，难以弥补5完整性价值非常关键，对该应用系统具有致命性的潜在影响或无法接受、特别不愿接受的影响数据资产完整恺;赋值表：资产类别赋值完整性（I）数据1对数据的未经授权的破坏或修改不会产生重大影响，且对应用系统冲击可忽略2对数据的未经授权的破坏或修改不会产生重大影响，且对应用系统冲击轻微3对数据的未经授权的破坏或修改不会产生重

44、大影响，且对应用系统冲击有明显冲击4对数据的未经授权的破坏或修改有重大影响，且对应用系统冲击严重5对数据的未经授权的破坏或修改有重大影响，且可能导致应用系统服务中断服务类资产完整性赋值表:资产类别值完整性（I）服务1如果该服务人员未正确执行其职务内容，对业务运作造成的影响可忽略2如果该服务人员未正确执行其职务内容，对业务运作造成一定影响3如果该服务人员未正确执行其职务内容，将造成相关工作任务效率降低或停顿4如果该服务人员未正确执行其职务内容，将造成单位/部门之业务运作效率降低或停顿5如果该服务人员未正确执行其职务内容，将造成公司级业务运作效率大大降低或停顿其他类资产完整性赋值表:资产类别赋值完整性（D其他1完整性价值非常低，未经授权的修改或破坏会对组织造成的影响可以忽略，对业务冲击可疑忽略2完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补3完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补4完整性价值较高，未经授