城云科技(杭州)有限公司
信息安全风险管理程序
文档编号 版 本 号 审 核 人 3.1 V2.0 李振华 受控状态 作 者 批 准 人 批准日期
受控 鄂鹏羽 夏敏 2014/12/1 发布日期 2014/12/1
目录
信息安全风险管理程序............................................................................................................................. 1 第一章 目的......................................................................................................................................... 1 第二章 范围......................................................................................................................................... 1 第三章 名词解释 ................................................................................................................................. 1 第四章 风险评估方法 ......................................................................................................................... 2 第五章 风险评估实施 ......................................................................................................................... 5 第六章 风险管理要求 ....................................................................................................................... 19 第七章 附则....................................................................................................................................... 20 第八章 检查要求 ............................................................................................................................... 20
第一章 目的
第一条 目的:指导信息安全组织针对信息系统及其管理开展的信息风险评估工作。本指南定义了风险评估的基本概念、原理及实施流程;对资产、威胁和脆弱性识别要求进行了详细描述。
第二章 范围
第二条 范围:适用于风险评估组开展各项信息安全风险评估工作。
第三章 名词解释
第三条 资产
对组织具有价值的信息或资源,是安全策略保护的对象。 第四条 资产价值
资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。资产价值通过机密性、完整性和可用性三个方面评估计算获得。
(一)机密性(Confidentiality):确保只有经过授权的人才能访问信息;
(二)完整性(Integrality):保护信息和信息的处理方法准确而完整;
(三)可用性(Availability):确保经过授权的用户在需要时可以访问信息并使用相关信息资产。
第五条 威胁
可能导致对系统或组织危害的不希望事故潜在起因。 第六条 脆弱性
可能被威胁所利用的资产或若干资产的弱点。