信息安全風(fēng)險(xiǎn)評(píng)估管理程序

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼：第1頁(yè)共27頁(yè)

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

序號(hào)版本修改內(nèi)容簡(jiǎn)要生效日期

1A0新作成2014/01/05

文

件

修

改

記

錄

序號(hào)分發(fā)單位

文

總頁(yè)數(shù)：8頁(yè)

件

保

編制：_______日期：2014-01-05

管

及審核：____________日期：___________

審

批準(zhǔn)：____________日期：____________

批

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼：第2頁(yè)共27頁(yè)

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

1適用

本程序適用于本公司信息安全管理體系（ISMS）范圍內(nèi)信息安全風(fēng)險(xiǎn)

評(píng)估活動(dòng)。

2目的

本程序規(guī)定了本公司所采用的信息安全風(fēng)險(xiǎn)評(píng)估方法。通過(guò)識(shí)別信息

資產(chǎn)、風(fēng)險(xiǎn)等級(jí)評(píng)估，認(rèn)知本公司的信息安全風(fēng)險(xiǎn)，在考慮控制成本與風(fēng)

險(xiǎn)平衡的前提下選擇合適控制目標(biāo)和控制方式將信息安全風(fēng)險(xiǎn)控制在可接

受的水平，保持本公司業(yè)務(wù)持續(xù)性發(fā)展，以滿(mǎn)足本公司信息安全管理方針

的要求。具體操作步驟，參照《信息安全風(fēng)險(xiǎn)評(píng)估指南》具體執(zhí)行。

3范圍

本程序適用于第一次完整的風(fēng)險(xiǎn)評(píng)估和定期的再評(píng)估。在辨識(shí)資產(chǎn)時(shí),

本著盡量細(xì)化的原則進(jìn)行，但在評(píng)估時(shí)我司又會(huì)把資產(chǎn)按照系統(tǒng)進(jìn)行規(guī)劃。

辨識(shí)與評(píng)估的重點(diǎn)是信息資產(chǎn)，不區(qū)分物理資產(chǎn)、軟件和硬件。

4職責(zé)

4.1成立風(fēng)險(xiǎn)評(píng)估小組

管理部負(fù)責(zé)牽頭成立風(fēng)險(xiǎn)評(píng)估小組。

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼：第3頁(yè)共27頁(yè)

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

4.2策劃與實(shí)施

風(fēng)險(xiǎn)評(píng)估小組每年至少一次，或當(dāng)體系、組織、業(yè)務(wù)、技術(shù)、環(huán)境等

影響企業(yè)的重大事項(xiàng)發(fā)生變更、重大事故事件發(fā)生后，負(fù)責(zé)編制信息安全

風(fēng)險(xiǎn)評(píng)估計(jì)劃，確認(rèn)評(píng)估結(jié)果，形成《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》。

4.3信息資產(chǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估活動(dòng)

各部門(mén)負(fù)責(zé)本部門(mén)使用或管理的信息資產(chǎn)的識(shí)別和風(fēng)險(xiǎn)評(píng)估，并負(fù)責(zé)

本部門(mén)所涉及的信息資產(chǎn)的具體安全控制工作。

4.3.1各部門(mén)負(fù)責(zé)人負(fù)責(zé)本部門(mén)的信息資產(chǎn)識(shí)別。

4.3.2管理部經(jīng)理負(fù)責(zé)匯總、校對(duì)全公司的信息資產(chǎn)。

4.3.3管理部負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估的策劃。

4.3.4信息安全委員會(huì)負(fù)責(zé)進(jìn)行第一次評(píng)估與定期的再評(píng)估。

5程序

5.1風(fēng)險(xiǎn)評(píng)估前準(zhǔn)備

5.1.1管理部牽頭成立風(fēng)險(xiǎn)評(píng)估小組，小組成員至少應(yīng)該包含：信息安全

管理體系負(fù)責(zé)部門(mén)的成員、信息安全重要責(zé)任部門(mén)的成員。

5.1.2風(fēng)險(xiǎn)評(píng)估小組制定信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃，下發(fā)各部門(mén)內(nèi)審員。

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼：第4頁(yè)共27頁(yè)

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

5.2信息資產(chǎn)的識(shí)別

5.2.1本公司的資產(chǎn)范圍包括：

5.2.1.1信息資產(chǎn)

1）軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開(kāi)發(fā)工具和適用程序。

2）物理資產(chǎn)：計(jì)算機(jī)設(shè)備、通訊設(shè)備、可移動(dòng)介質(zhì)和其他設(shè)備。

3）服務(wù)：培訓(xùn)服務(wù)、租賃服務(wù)、公用設(shè)施（能源、電力）。

4）人員：人員的資格、技能和經(jīng)驗(yàn)。

5）無(wú)形資產(chǎn)：組織的聲譽(yù)、商標(biāo)、形象。

5.2.L2本公司的資產(chǎn)范圍包括：

數(shù)據(jù)庫(kù)、數(shù)據(jù)文件、數(shù)據(jù)合同、系統(tǒng)文件、研究信息、培訓(xùn)教材、培

訓(xùn)操作、培訓(xùn)軟件、支持性程序、業(yè)務(wù)連續(xù)性計(jì)劃、應(yīng)變安排、審核記錄、

審核的追蹤、歸檔信息。

5.2.1.3評(píng)估程序

本評(píng)估應(yīng)考慮：范圍、目的、時(shí)間、效果、組織文化、人員素質(zhì)以及

具體開(kāi)展的程度等因素來(lái)確定，使之能夠與組織的環(huán)境和安全要求相適應(yīng)。

5.2.2資產(chǎn)屬性賦值

5.2.2.1資產(chǎn)賦值是對(duì)資產(chǎn)安全價(jià)值的估價(jià)，而不是以資產(chǎn)的賬面價(jià)格來(lái)衡

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼：第5頁(yè)共27頁(yè)

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

量的。在對(duì)資產(chǎn)進(jìn)行估價(jià)時(shí)，不僅要考慮資產(chǎn)的成本價(jià)格，更重要的是考

慮資產(chǎn)對(duì)于組織業(yè)務(wù)的安全重要性，即根據(jù)資產(chǎn)損失所引發(fā)的潛在的商務(wù)

影響來(lái)決定。為確保資產(chǎn)估價(jià)時(shí)的一致性和準(zhǔn)確性，機(jī)構(gòu)應(yīng)按照上述原則,

建立一個(gè)資產(chǎn)價(jià)值尺度（資產(chǎn)評(píng)估標(biāo)準(zhǔn)），以明確如何對(duì)資產(chǎn)進(jìn)行賦值。

5.2.2.2資產(chǎn)估價(jià)的過(guò)程也就是對(duì)資產(chǎn)保密性、完整性和可用性影響分析的

過(guò)程。影響就是由人為或突發(fā)性引起的安全事件對(duì)資產(chǎn)破壞的后果。這一

后果可能毀滅某些資產(chǎn)，危及信息系統(tǒng)并使其喪失保密性、完整性和可用

性，最終還會(huì)導(dǎo)致財(cái)政損失、市場(chǎng)份額或公司形象的損失。特別重要的是,

即使每一次影響引起的損失并不大，但長(zhǎng)期積累的眾多意外事件的影響總

和則可造成嚴(yán)重?fù)p失。一般情況下，影響主要從以下幾方面來(lái)考慮：

（1）違反了有關(guān)法律或（和）規(guī)章制度

（2）影響了業(yè)務(wù)執(zhí)行

（3）造成了信譽(yù)、聲譽(yù)損失

（4）侵犯了個(gè)人隱私

（5）造成了人身傷害

（6）對(duì)法律實(shí)施造成了負(fù)面影響

（7）侵犯了商業(yè)機(jī)密

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼：第6頁(yè)共27頁(yè)

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

（8）違反了社會(huì)公共準(zhǔn)則

（9）造成了經(jīng)濟(jì)損失

（10）破壞了業(yè)務(wù)活動(dòng)

（11）危害了公共安全

資產(chǎn)安全屬性的不同通常也意味著安全控制、保護(hù)功能需求的不同。

通過(guò)考察三種不同安全屬性，可以能夠基本反映資產(chǎn)的價(jià)值。

5.2.2.3保密性賦值:

賦值標(biāo)識(shí)定義

5極高指組織最重要的機(jī)密，關(guān)系組織未來(lái)發(fā)展的前途命

運(yùn)，對(duì)組織根本利益有著決定性影響，如果泄漏會(huì)造

成災(zāi)難性的影響

4高是指包含組織的重要秘密，其泄露會(huì)使組織的安全和

利益遭受?chē)?yán)重?fù)p害

3中等是指包含組織一般性秘密，其泄露會(huì)使組織的安全和

利益受到損害

2低指僅在組織內(nèi)部或在組織某一部門(mén)內(nèi)部公開(kāi)，向外擴(kuò)

散有可能對(duì)組織的利益造成損害

1可忽略對(duì)社會(huì)公開(kāi)的信息，公用的信息處理設(shè)備和系統(tǒng)資源

等信息資產(chǎn)

5.2.2.4完整性賦值:

賦值標(biāo)識(shí)定義

5極高完整性?xún)r(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)

對(duì)評(píng)估體造成重大的或無(wú)法接受、特別不愿接受

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼:第7頁(yè)共27頁(yè)

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)

務(wù)中斷，難以彌補(bǔ)

4高完整性?xún)r(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)

估體造成重大影響，對(duì)業(yè)務(wù)沖擊嚴(yán)重，比較難以

彌補(bǔ)

3中等完整性?xún)r(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)

估體造成影響，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)

2低完整性?xún)r(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)

估體造成輕微影響，可以忍受，對(duì)業(yè)務(wù)沖擊輕微，

容易彌補(bǔ)

1可忽略完整性?xún)r(jià)值非常低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)

評(píng)估體造成的影響可以忽略，對(duì)業(yè)務(wù)沖擊可以忽

略

5.2.2.5可用性賦值:

賦值標(biāo)識(shí)定義

5極11U可用性?xún)r(jià)值非常高，合法使用者對(duì)信息系統(tǒng)及資源的

可用度達(dá)到年度99.9%以上

4高可用性?xún)r(jià)值較高，合法使用者對(duì)信息系統(tǒng)及資源的可

用度達(dá)到每天99%以上

3中等可用性?xún)r(jià)值中等，合法使用者對(duì)信息系統(tǒng)及資源的可

用度在正常上班時(shí)間達(dá)到90%以上

2低可用性?xún)r(jià)值較低，合法使用者對(duì)信息系統(tǒng)及資源的可

用度在正常上班時(shí)間達(dá)到25%以上

1可忽略可用性?xún)r(jià)值可以忽略，法使用者對(duì)信息系統(tǒng)及資源的

可用度在正常上班時(shí)間低于25%

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼：第8頁(yè)共27頁(yè)

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

5.2.2.6資產(chǎn)賦值

最終資產(chǎn)價(jià)值可以通過(guò)違反資產(chǎn)的保密性、完整性和可用性三個(gè)方面

的程度綜合確定，資產(chǎn)的賦值采用定性的相對(duì)等級(jí)的方式。與以上安全屬

性的等級(jí)相對(duì)應(yīng)，資產(chǎn)價(jià)值的等級(jí)可分為五級(jí)，從1到5由低到高分別代

表五個(gè)級(jí)別的資產(chǎn)相對(duì)價(jià)值，等級(jí)越大，資產(chǎn)越重要。具體每一級(jí)別的資

產(chǎn)價(jià)值定義參見(jiàn)下表。

由于資產(chǎn)最終價(jià)值的等級(jí)評(píng)估是依據(jù)資產(chǎn)保密性、完整性、可用性的賦值

級(jí)別，經(jīng)過(guò)綜合評(píng)定得出的，評(píng)定準(zhǔn)則可以根據(jù)企業(yè)自身的特點(diǎn)，選擇以

安全三性中要求最高的一性的賦值級(jí)別為綜合資產(chǎn)賦值準(zhǔn)則。

等級(jí)標(biāo)識(shí)資產(chǎn)價(jià)值定義

資產(chǎn)的重要程度很高，其安全屬性破壞后可能導(dǎo)致系統(tǒng)

5很高

受到非常嚴(yán)重的影響

資產(chǎn)的重要程度較高，其安全屬性破壞后可能導(dǎo)致系統(tǒng)

4高

受到比較嚴(yán)重的影響

資產(chǎn)的重要程度較高，其安全屬性破壞后可能導(dǎo)致系統(tǒng)

3中

受到中等程度的影響

資產(chǎn)的重要程度較低，其安全屬性破壞后可能導(dǎo)致系統(tǒng)

2低

受到較低程度的影響

資產(chǎn)的重要程度都很低，其安全屬性破壞后可能導(dǎo)致系

1很低

統(tǒng)受到很低程度的影響，甚至忽略不計(jì)

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼：第9頁(yè)共27頁(yè)

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

5.2.3風(fēng)險(xiǎn)評(píng)估小組向各部門(mén)內(nèi)審員發(fā)放《信息資產(chǎn)分類(lèi)參考目錄》、《信

息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》、《信息資產(chǎn)識(shí)別評(píng)價(jià)表》，同時(shí)提出信息資產(chǎn)識(shí)別的

要求。

5.2.4各部門(mén)內(nèi)審員參考《信息資產(chǎn)分類(lèi)參考FI錄》識(shí)別本部門(mén)信息資產(chǎn),

根據(jù)《重要信息資產(chǎn)判斷準(zhǔn)則》判斷其是否是重要信息資產(chǎn)，并填寫(xiě)《信

息資產(chǎn)識(shí)別評(píng)價(jià)表》，經(jīng)本部門(mén)負(fù)責(zé)人審核確認(rèn)后，在風(fēng)險(xiǎn)評(píng)估計(jì)劃規(guī)定的

時(shí)間內(nèi)提交風(fēng)險(xiǎn)評(píng)估小組審核匯總。

5.2.5風(fēng)險(xiǎn)評(píng)估小組對(duì)各部門(mén)填寫(xiě)的《信息資產(chǎn)識(shí)別評(píng)價(jià)表》進(jìn)行審核，

確保沒(méi)有遺漏信息資產(chǎn)，形成各部門(mén)的《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》，并分發(fā)各

部門(mén)存檔。

5.3信息資產(chǎn)風(fēng)險(xiǎn)等級(jí)評(píng)估

5.3.1應(yīng)對(duì)《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》中的所有資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，評(píng)估應(yīng)

考慮威脅事件發(fā)生的可能性和威脅事件發(fā)生后對(duì)信息資產(chǎn)造成的影響程度

兩方面因素。

5.3.2風(fēng)險(xiǎn)評(píng)估小組向各部門(mén)內(nèi)審員分發(fā)《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》、《信息

安全威脅參考表》、《信息安全薄弱點(diǎn)參考表》、《事件發(fā)生可能性等級(jí)對(duì)

照表》、《事件可能影響程度等級(jí)對(duì)照表》）

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼：第10頁(yè)共27

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

5.3.3各部門(mén)內(nèi)審員根據(jù)資產(chǎn)本身所處的環(huán)境條件，參考《信息安全威脅參

考表》識(shí)別每個(gè)信息資產(chǎn)所面臨的威脅，針對(duì)每個(gè)威脅，識(shí)別目前已有的

控制；并參考《信息安全薄弱點(diǎn)參考表》?識(shí)別可能被該威脅所利用的薄弱

點(diǎn)；在考慮現(xiàn)有的控制前提下，參考《事件發(fā)生可能性等級(jí)對(duì)照表》判斷

每項(xiàng)信息資產(chǎn)所面臨威脅發(fā)生的可能性；參考《事件可能影響程度等級(jí)對(duì)

照表》，判斷威脅利用薄弱點(diǎn)可能使信息資產(chǎn)保密性、完整性或可用性丟失

所產(chǎn)生的影響程度等級(jí)。將結(jié)果填寫(xiě)在《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》上，提交

風(fēng)險(xiǎn)評(píng)估小組審核匯總。

5.3.4風(fēng)險(xiǎn)評(píng)估小組考慮本公司整體的信息安全要求，對(duì)各部門(mén)填寫(xiě)的《信

息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》進(jìn)行審核，確保風(fēng)險(xiǎn)評(píng)估水平的一致性，確保沒(méi)有遺

漏信息安全風(fēng)險(xiǎn)。如果對(duì)評(píng)估結(jié)果進(jìn)行修改，應(yīng)該和資產(chǎn)責(zé)任部門(mén)進(jìn)行溝

通并獲得該部門(mén)的確認(rèn)。

5.3.5風(fēng)險(xiǎn)評(píng)估小組根據(jù)《信息安全風(fēng)險(xiǎn)矩陣計(jì)算表》?計(jì)算風(fēng)險(xiǎn)等級(jí)，把

風(fēng)險(xiǎn)等級(jí)最高的一級(jí)或者兩級(jí)資產(chǎn)列為《重要信息資產(chǎn)清單》，并存檔。

5.4不可接受風(fēng)險(xiǎn)的確定和處理

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼：第11頁(yè)共27

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

5.4.1風(fēng)險(xiǎn)評(píng)估小組根據(jù)《信息安全風(fēng)險(xiǎn)接受準(zhǔn)則》I確定風(fēng)險(xiǎn)的可接受

性；針對(duì)不可接受風(fēng)險(xiǎn)編制《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》，該計(jì)劃應(yīng)

該規(guī)定風(fēng)險(xiǎn)處理方式、責(zé)任部門(mén)和時(shí)間進(jìn)度；編制《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)

告》，陳述本公司信息安全管理現(xiàn)狀，分析存在的信息安全風(fēng)險(xiǎn)，提出信息

安全管理（控制）的建議與措施，附《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》

提交信息安全管理委員會(huì)進(jìn)行審核，由ISMS管理者代表批準(zhǔn)實(shí)施。

5.4.2各責(zé)任部門(mén)按照《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》的要求采取有

效安全控制措施后，原評(píng)估部門(mén)重新評(píng)估其計(jì)劃效果，降至可接受為止，確

保所采取的控制措施是充分的，該措施直到為再次風(fēng)險(xiǎn)評(píng)估的輸入。

5.5評(píng)估時(shí)機(jī)

5.5.1每年重新評(píng)估一次，以確定是否存在新的威脅或薄弱點(diǎn)及是否需耍

增加新的控制措施，對(duì)發(fā)生以下情況需及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：

a）當(dāng)發(fā)生重大信息安全事故時(shí)；

b）當(dāng)信息網(wǎng)絡(luò)系統(tǒng)發(fā)生重大更改時(shí)；

c）信息安全管理委員會(huì)確定有必要時(shí)。

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼：第12頁(yè)共27

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

5.5.2各部門(mén)對(duì)新增加、轉(zhuǎn)移的或授權(quán)銷(xiāo)毀的信息資產(chǎn)應(yīng)及時(shí)按照本程序

在ISMS-4023《信息資產(chǎn)識(shí)別評(píng)價(jià)表》、《重要信息資產(chǎn)清單》上予以添加或

變更。

6相關(guān)/支持性文件

＜《信息安全適用性聲明》

。《信息安全管理手冊(cè)》

?《文件和資料管理程序》

7附件

7.1信息資產(chǎn)分類(lèi)參考目錄

7.2重要信息資產(chǎn)判斷準(zhǔn)則

7.3信息安全威脅參考表

7.4信息安全薄弱點(diǎn)參考表

7.5事件發(fā)生可能性等級(jí)對(duì)照表

7.6事件可能影響程度等級(jí)對(duì)照表

7.7信息安全風(fēng)險(xiǎn)矩陣計(jì)算表

7.8信息安全風(fēng)險(xiǎn)接受準(zhǔn)則

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼：第13頁(yè)共27

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

附表1信息資產(chǎn)分類(lèi)參考目錄

大類(lèi)詳細(xì)分類(lèi)舉例

中長(zhǎng)期規(guī)劃等

經(jīng)營(yíng)規(guī)劃

經(jīng)營(yíng)計(jì)劃等

組織變更方案等

組織磯構(gòu)圖等

組織情況

組織變更通知等

組織手冊(cè)等

規(guī)章制度各項(xiàng)規(guī)程、業(yè)務(wù)手冊(cè)等

人事方案等

文

檔人事待遇資料等

和

數(shù)

據(jù)錄用計(jì)劃等

離職資料等

人事制度中期人員計(jì)劃等

人員溝成等

人事變動(dòng)通知等

培訓(xùn)計(jì)劃等

培訓(xùn)資料等

預(yù)決算（各類(lèi)投資預(yù)決算）等

財(cái)務(wù)信息

業(yè)績(jī)（財(cái)務(wù)報(bào)告）等

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼:第14頁(yè)共27

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

中期財(cái)務(wù)狀況等

資金計(jì)劃等

成本等

財(cái)務(wù)數(shù)據(jù)的處理方法（成本計(jì)算方法和系統(tǒng)，會(huì)計(jì)管理審查等

經(jīng)營(yíng)分析系統(tǒng)，減稅的方法、規(guī)程）等

市場(chǎng)調(diào)查報(bào)告（市場(chǎng)動(dòng)向，顧客需求，其它公司動(dòng)向及對(duì)這些

情況的分析方法和結(jié)果）等

商談的內(nèi)容、合同等

報(bào)價(jià)等

營(yíng)業(yè)信息客戶(hù)名單等

營(yíng)業(yè)戰(zhàn)略（有關(guān)和其它公司合作銷(xiāo)售、銷(xiāo)假途徑的確定及變更,

時(shí)代理商的政策等情報(bào)）等

返工和投訴處理等

供應(yīng)商信息等

技術(shù)圖紙

試驗(yàn)/分析數(shù)據(jù)（本公司或者委托其它單位進(jìn)行的試驗(yàn)/分析）等

研究成果（本公司或者和其它單位合作研究開(kāi)發(fā)的技術(shù)成果）

等

文科技發(fā)明的內(nèi)容（專(zhuān)利申請(qǐng)書(shū)以及有關(guān)的資料/試驗(yàn)數(shù)據(jù)）等

檔

和開(kāi)發(fā)計(jì)劃書(shū)等

數(shù)技術(shù)信息

據(jù)

新產(chǎn)品開(kāi)發(fā)的體制、組織（新品開(kāi)發(fā)人員的組成，業(yè)務(wù)分擔(dān)，

技術(shù)人員的配置等）

技術(shù)辦助的有關(guān)內(nèi)容（協(xié)作力，協(xié)作內(nèi)容，協(xié)作時(shí)間等）

教育資料等

技術(shù)備忘錄等

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼:第15頁(yè)共27

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

各種生產(chǎn)設(shè)備的配置（針對(duì)產(chǎn)品的最佳配置、特殊配置）等

生產(chǎn)三報(bào)等

生產(chǎn)信息

保全m報(bào)等

客戶(hù)工作計(jì)劃

測(cè)試程序、數(shù)據(jù)等

產(chǎn)品信息

客戶(hù)數(shù)據(jù)等

生產(chǎn)管理系統(tǒng)等

財(cái)務(wù)系統(tǒng)等

設(shè)計(jì)書(shū)等

軟件信息

流程等

文

檔編碼、密碼系統(tǒng)等

和

數(shù)訴訟或其他有爭(zhēng)議案件的內(nèi)容（民事、無(wú)形資產(chǎn)、工傷等糾紛

據(jù)內(nèi)容）

公司基本設(shè)施情況（包括動(dòng)力設(shè)施）等

其他

公司電話(huà)簿等

數(shù)據(jù)庫(kù)

相關(guān)書(shū)面類(lèi)資產(chǎn)的

電子版

Windows等

操作系統(tǒng)

軟

件財(cái)務(wù)系統(tǒng)等

應(yīng)用軟件/系統(tǒng)Office

和

系

統(tǒng)開(kāi)發(fā)工具

實(shí)用程序

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼:第16頁(yè)共27

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

路由器、網(wǎng)關(guān)、交換機(jī)、防火墻、入侵檢測(cè)設(shè)備、加密設(shè)備、

網(wǎng)絡(luò)設(shè)備和服務(wù)器

身分驗(yàn)證設(shè)備以及各類(lèi)服務(wù)器等

臺(tái)式計(jì)算機(jī)、移動(dòng)計(jì)算機(jī)等

計(jì)算機(jī)

磁帶鞏等

存儲(chǔ)設(shè)備

硬

件電話(huà)、手提電話(huà)等

通訊工具

和

設(shè)光纖、雙絞線等

施傳輸線路

磁帶、光盤(pán)、軟盤(pán)、U盤(pán)等

存儲(chǔ)媒體

動(dòng)力供給設(shè)備

打印雙、復(fù)印機(jī)、掃描儀、傳真機(jī)等

其他電子設(shè)備

人力涉密人員市場(chǎng)、財(cái)務(wù)、工程、人事等

資源

特殊人員有特殊技能、知識(shí)、工藝的人員等

計(jì)算機(jī)及網(wǎng)絡(luò)通信

軟件外包服務(wù)、網(wǎng)絡(luò)接入服務(wù)、服務(wù)器托管服務(wù)

服務(wù)

服

務(wù)其它技術(shù)型服務(wù)供電、空調(diào)、動(dòng)力、供暖、其它

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼:第17頁(yè)共27

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

附表2重要信息資產(chǎn)判斷準(zhǔn)則

所識(shí)別的信息資產(chǎn)，當(dāng)出現(xiàn)以下情況時(shí)判為重要信息資產(chǎn)。

分類(lèi)判斷準(zhǔn)則

1、產(chǎn)生或保存的信息屬于企業(yè)秘密的設(shè)備或媒體。

2、如果處理方法不當(dāng)或者設(shè)備故障，對(duì)本公司的生產(chǎn)及管理直

硬件和設(shè)施

接產(chǎn)生不良影響。

3、本部門(mén)認(rèn)為可以列入重要信息資產(chǎn)的其他資產(chǎn)。

1、屬于企業(yè)秘密的應(yīng)用程序、源程序等。

2、如果被篡改或發(fā)生失效時(shí)，對(duì)本公司的生產(chǎn)及管理直接產(chǎn)生

軟件和系統(tǒng)

不良影響。

3、本部門(mén)認(rèn)為可以列入重要信息資產(chǎn)的其他資產(chǎn)。

1、此文檔或數(shù)據(jù)屬于企業(yè)秘密。

2、此文檔或數(shù)據(jù)被篡改、不正當(dāng)使用或缺失會(huì)對(duì)本公司的生產(chǎn)

文檔和數(shù)據(jù)

及管理或商業(yè)信譽(yù)、形象直接產(chǎn)生不良影響。

3、本部門(mén)認(rèn)為可以列入重要信息資產(chǎn)的其他資產(chǎn)。

1、產(chǎn)生或保存企業(yè)秘密信息的人員。

人力資源

2、本部門(mén)認(rèn)為可以列入重要信息資產(chǎn)的其他資產(chǎn)。

1、所依賴(lài)的服務(wù)不可用對(duì)本公司的生產(chǎn)及管理直接產(chǎn)生不良

影響。

服務(wù)

2、本部門(mén)認(rèn)為可以列入重要信息資產(chǎn)的其他服務(wù)。

說(shuō)明企業(yè)秘密的定義和劃分辦法見(jiàn)《保密控制程序》

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼:第18頁(yè)共27

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

附表3信息安全威脅參考表

威脅硬件和設(shè)施軟件和系統(tǒng)文檔和數(shù)據(jù)人力資服務(wù)

源

故障★★——★

惡意軟件★★★（電子文件）——

抵賴(lài)——★（電子商務(wù)信——

息）

通信監(jiān)聽(tīng)★————

通信服務(wù)故障★★———

操作失誤★★★——

未經(jīng)授權(quán)訪問(wèn)、修改★★★——

未經(jīng)授權(quán)復(fù)制—★★——

授權(quán)人員對(duì)信息的濫用★★★——

盜竊★★★——

供電故障★★★——

惡意破壞★★★——

電子存儲(chǔ)媒體故障★★★——

違背知識(shí)產(chǎn)權(quán)相關(guān)法—★★—★

律，法規(guī)

溫度、濕度超限★————

靜電★————

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼:第19頁(yè)共27

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

黑客攻擊★★★——

容量超載★★———

雷擊★————

系統(tǒng)管理員權(quán)限濫用★★———

密鑰泄露、篡改★★（加密設(shè)———

施）

密鑰濫用★————

傷害—★—

不公正待遇——★—

威逼利誘———★—

人員流動(dòng)———★—

火災(zāi)、地震、洪水、臺(tái)★★★★★

風(fēng)、爆炸、雷擊

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼:第20頁(yè)共27

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

附表4信息安全薄弱點(diǎn)參考表

缺乏有力的領(lǐng)導(dǎo)支持

信息安全事務(wù)跨部門(mén)協(xié)調(diào)能力不足

安全責(zé)任不清

缺乏專(zhuān)家支持

信息安全組織

與外部組織缺乏信息安全方案的溝通

信息安全評(píng)審不可靠

對(duì)第三方方問(wèn)的風(fēng)險(xiǎn)缺乏認(rèn)識(shí)和必要控制

對(duì)外包的唁息資產(chǎn)和信息處理過(guò)程缺乏有力的控制

信息資產(chǎn)沒(méi)有記錄清單或者不充分

資產(chǎn)的歸類(lèi)和控

信息資產(chǎn)沒(méi)有歸類(lèi)或者歸類(lèi)不科學(xué)

制

信息資產(chǎn)沒(méi)有清晰的歸類(lèi)標(biāo)志

沒(méi)有人員考察或者考察中沒(méi)有信息安全考慮

工作職責(zé)中沒(méi)有信息安全責(zé)任

沒(méi)有正式的保密協(xié)議

人員安全缺乏信息安全相關(guān)的指導(dǎo)和培訓(xùn)

信息安全意識(shí)不足

缺員

沒(méi)有適當(dāng)?shù)莫?jiǎng)懲規(guī)則

對(duì)建筑，房屋和辦公室實(shí)物訪問(wèn)控制的不充分或疏忽

對(duì)建筑、門(mén)、窗的物理保護(hù)不充分

外來(lái)人員進(jìn)行的無(wú)人監(jiān)督的工作

對(duì)存儲(chǔ)媒缽維護(hù)不當(dāng)/安裝不當(dāng)

設(shè)備定置不合理

易受漏水或風(fēng)雨影響

物理與環(huán)境安全沒(méi)有隔離或者隔離不充分

設(shè)備對(duì)于電壓變化的需要

缺乏定期的設(shè)備更新計(jì)劃

設(shè)備易受溫度、濕度，灰塵影響

舊設(shè)備的處置和再利用缺乏安全控制

沒(méi)有清除桌面和屏幕的制度

可以不經(jīng)愛(ài)權(quán)帶離工作場(chǎng)所

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼:第21頁(yè)共27

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

缺乏操作程序

對(duì)操作的更改缺乏控制

事件應(yīng)對(duì)缺乏規(guī)劃

共享賬號(hào)或共用身份認(rèn)證卡

開(kāi)發(fā)設(shè)備和操作設(shè)備混雜

新系統(tǒng)的引進(jìn)沒(méi)有詳細(xì)的策劃和驗(yàn)收

對(duì)惡意軟件和惡意代碼缺乏對(duì)策或者這策不足

移動(dòng)媒體快乏控制

空閑接入端口

個(gè)別故障點(diǎn)

通信和操作

對(duì)外信息或軟件交換缺乏風(fēng)險(xiǎn)責(zé)任協(xié)議

電子郵件策略不夠

缺乏免責(zé)聲明

缺乏驗(yàn)證和授權(quán)機(jī)制

用一般明文傳輸密碼

發(fā)送和接收信息的身份不能證明或者證明能力和業(yè)務(wù)要求不稱(chēng)

未被保護(hù)的敏感交易

不充分的網(wǎng)絡(luò)管理

未經(jīng)授權(quán)撥號(hào)連接，或撥號(hào)連接保護(hù)不充分

未被控制的備份

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼:第22頁(yè)共27

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

缺乏訪問(wèn)至制策略

沒(méi)有規(guī)范的用戶(hù)申請(qǐng)、注冊(cè)程序

缺乏可靠的驗(yàn)證授權(quán)機(jī)制

對(duì)特權(quán)使用沒(méi)有限制

對(duì)訪問(wèn)權(quán)限缺乏評(píng)審

無(wú)人值守設(shè)備缺乏保護(hù)

網(wǎng)絡(luò)服務(wù)的訪問(wèn)缺乏策略

網(wǎng)絡(luò)路徑失控

診斷端口缺乏保護(hù)

訪問(wèn)控制

網(wǎng)絡(luò)連接缺乏控制

網(wǎng)絡(luò)服務(wù)程序安全性欠佳

離開(kāi)服務(wù)器的時(shí)候保護(hù)措施不充分

缺乏口令管理（輕易便可猜測(cè)的密碼，密碼的存儲(chǔ)，更改的頻率不

夠）

未被控制的下載和使用軟件

未被保護(hù)的密碼表

遠(yuǎn)程工作缺乏足夠的保護(hù)

沒(méi)有足夠的日志記錄和相應(yīng)的管理

開(kāi)發(fā)缺乏安全分析

對(duì)處理信息缺乏驗(yàn)證

加密技術(shù)使用不當(dāng)

加密鍵碼架護(hù)不當(dāng)

程序源庫(kù)的訪問(wèn)控制不充分

系統(tǒng)開(kāi)發(fā)和維護(hù)

系統(tǒng)測(cè)試數(shù)據(jù)保護(hù)不充分

軟件更改沒(méi)有足夠控制

沒(méi)有或缺乏軟件測(cè)驗(yàn)

部分開(kāi)發(fā)說(shuō)明書(shū)不清楚

復(fù)雜的用戶(hù)界面

缺乏業(yè)務(wù)連續(xù)性計(jì)劃

業(yè)務(wù)連續(xù)性管理缺乏應(yīng)急響應(yīng)責(zé)任和方法的策劃

應(yīng)急響應(yīng)計(jì)劃可行性不能保證

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼:第23頁(yè)共27

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

缺乏知識(shí)產(chǎn)權(quán)方面的對(duì)策

法律要求,呆護(hù)的數(shù)據(jù)和個(gè)人信息得不到保護(hù)

加密密碼違反相關(guān)的法律規(guī)定

符合性沒(méi)有足夠的訴訟證據(jù)

組織的信息安全方針得不到貫穿實(shí)施

審核工具的使用失控

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼:第24頁(yè)共27

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

附表5事件發(fā)生可能性等級(jí)對(duì)照表

等級(jí)說(shuō)明發(fā)生可能性

1極低<1次/三年

2低W1次/半年

3中等>1次/半年

4高21次/月

5很高21次/周

說(shuō)明A.威脅事件本身發(fā)生的可能性：這可以根據(jù)以往的統(tǒng)計(jì)數(shù)據(jù)來(lái)判斷。

B.現(xiàn)有的安全控制措施：己有的控制措施可能降低威脅發(fā)生的可能性，

例如良好的避雷系統(tǒng)能夠明顯降低因?yàn)槔讚羰录l(fā)生的可能性。對(duì)于不

可抗力的自然災(zāi)害（地震、恐怖事件），安全控制措施可以減輕威脅造成

的影響程度，但不能改變威脅事件實(shí)際發(fā)生H勺可能性。

C.現(xiàn)存的安全薄弱點(diǎn)：本公司管理上的缺陷或者信息資產(chǎn)本身的薄弱點(diǎn)

越多，被威脅利用的可能性就越大，威脅發(fā)生的可能性越大。

文件編號(hào)：JLH-ISMS-010

制訂日期：2014年01月05日

版本：A1

頁(yè)碼:第25頁(yè)共27

件

文

稱(chēng)

名信息安全風(fēng)險(xiǎn)評(píng)估管理程序

附表6事件可能影響程度等級(jí)對(duì)照表

威脅等級(jí)