信息安全资产识别与风险评估表

1资产识别
1.1资产数据采集
1.1.1资产采集说明
通过资产调查和现场访谈，对信息系统的相关资产进行调查，形成资产列表。

采集工作在前期调研的基础上开展，以调研所得的设备列表为依据，将所有与信息系统有关的信息资产核查清楚。

1.1.2资产采集检测表
1.2资产分类识别
1.2.1资产分类说明
将所采集的资产数据按照资产形态和用途进行分类，形成资产分类表。

信息系统的资产一般可分为硬件、软件、文档与数据、人力资源、服务和其它资产等几大类。

1.2.1.1 硬件
1.2.1.3文档与数据
一般指保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统
文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等。

1.2.1.4人力资源
人力资源一般包括掌握重要信息和核心业务的人员，如主机维护主管、网络
维护主管及应用项目经理等。

1.2.1.5 服务
1.2.1.6其它资产
其它资产是指一些无形的但同样对于企业本身具有一定的价值，如企业形象、
客户关系等。

1.2.2资产分类检测表
1.3资产赋值
1.3.1资产保密性赋值
1.3.2资产完整性赋值
1.3.3资产可用性赋值
1.3.4资产安全特性综合评定赋值
1.3.5资产脆弱性赋值
1.4资产部分评估实例1.4.1资产分类赋值表
1.4.2资产脆弱性分析
信息资产风险等级判定表如下所示:
依据对该银行系统信息资产风险计算的结果，按信息资产风险值的高低，形成如下风险列表：。

资产的类型、赋值、所处位置相同时，可合在一起进行风险评估。 2.威胁、脆弱性统一赋值原则
资产的类型、所处位置相同，但资产赋值不同时，若采取的控制措施相 同，威胁及脆弱性的赋值基本保持一致。 3.残余风险赋值原则
如果风险可接受，暂不采取除现有控制措施以外的控制措施时，残余风 险与风险值一致。
的参考说明。
附录2-威胁、脆弱性对照表 附录3-风险等级对照表
按照资产类别排序的威胁、脆弱性对照表，用于资产风险 识风别险。计算结果对应风险等级的参照表，用于确定风险级别 。
资产识别 资产赋值 风险评估
注意事项
信息系统包含的资产主要指与信息系统直接相关的资产，如 信息：信息系统上传输的数据、信息系统的设计开发文档 软件：信息系统正常运行所需的应用、中间件、数据库、操作系统等 硬件：信息系统正常运行所需的服务器、小型机、磁盘柜等 关键活动包含的资产主要指活动进行所必须的6类资产，如 硬件：各部门用于存储、处理、传输日常办公及客户信息的各种设备和介 质，例 如移动硬盘、台式机、计算机等。 软件：各种本部门安装使用的软件，包括操作系统、中间件、数据库、应用 软件、工具应用软件、终端安全软件等。 信息：括各种业务相关的电子类及纸质的文件资料，可按照部门现有文件明 细列举。 人员：本部门各种对信息资产进行使用、操作和支持的人员角色，含为部门 提供各种服务的外部人员（例如长期驻场外包人员）。 物理环境：承载硬件资产和信息资产的设施。非计算机硬件类的实体。 服务：各种本部门通过购买方式获取的，或者需要支持部门特别提供的，支 持或协助日常业务进行的服务。
信息安全风险评估清单
编 号1 步骤1-业务影响分析
2 步骤2-资产清单 3 步骤3-风险清单 4 步骤4-风险处置计划
文档目录及说明

1资产识别
1.1资产数据采集
1.1.1资产采集说明
通过资产调查和现场访谈，对信息系统的相关资产进行调查，形成资产列表。

采集工作在前期调研的基础上开展，以调研所得的设备列表为依据，将所有与信息系统有关的信息资产核查清楚。

1.1.2资产采集检测表
1.2资产分类识别
1.2.1资产分类说明
将所采集的资产数据按照资产形态和用途进行分类，形成资产分类表。

信息系统的资产一般可分为硬件、软件、文档与数据、人力资源、服务和其它资产等几大类。

1.2.1.1硬件
1.2.1.2软件
1.2.1.3文档与数据
一般指保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等。

1.2.1.4人力资源
人力资源一般包括掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等。

1.2.1.5服务
1.2.1.6其它资产
其它资产是指一些无形的但同样对于企业本身具有一定的价值，如企业形象、客户关系等。

1.2.2资产分类检测表
1.2.3网络拓扑中常用的硬件资产
1.3资产赋值
1.3.1资产保密性赋值
1.3.2资产完整性赋值
1.3.3资产可用性赋值
1.3.4资产安全特性综合评定赋值
1.3.5资产脆弱性赋值
1.4资产部分评估实例1.4.1资产分类赋值表
1.4.2资产脆弱性分析
信息资产风险等级判定表如下所示：
依据对该银行系统信息资产风险计算的结果，按信息资产风险值的高低，形成如下风险列表：。

深圳市ABC有限公司信息安全风险评估报告ISMS-0105-JL07编制：审核：批准：2023年07月21日一、项目综述1 项目名称：深圳市恒双展业科技有限公司信息安全管理体系认证项目风险评估。

2项目概况：在科技日益发展的今天，信息系统已经成支撑公司业务的重要平台，信息系统的安全与公司安全直接相关。

为提高本公司的信息安全管理水平，保障公司生产、经营、服务和日常管理活动，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的事故，公司开展贯彻ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》标准的工作，建立本公司文件化的信息安全管理体系。

3 ISMS方针：信息安全管理方针：一）信息安全管理机制1．公司采用系统的方法，按照GB/T 22080-2016/ISO/IEC 27001:2013建立信息安全管理体系，全面保护本公司的信息安全。

二）信息安全管理组织1．公司总经理对信息安全工作全面负责，负责批准信息安全方针，确定信息安全要求，提供信息安全资源。

2．公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系，保证信息安全管理体系的持续适宜性和有效性。

3．在公司内部建立信息安全组织机构，信息安全管理委员会和信息安全协调机构，保证信息安全管理体系的有效运行。

4．与上级部门、地方政府、相关专业部门建立定期经常性的联系，了解安全要求和发展动态，获得对信息安全管理的支持。

三）人员安全1．信息安全需要全体员工的参与和支持，全体员工都有保护信息安全的职责，在劳动合同、岗位职责中应包含对信息安全的要求。

特殊岗位的人员应规定特别的安全责任。

对岗位调动或离职人员，应及时调整安全职责和权限。

2．对本公司的相关方，要明确安全要求和安全职责。

3．定期对全体员工进行信息安全相关教育，包括技能、职责和意识等以提高安全意识。

4．全体员工及相关方人员必须履行安全职责，执行安全方针、程序和安全措施。

1资产识别1.1资产数据采集1.1.1资产采集说明通过资产调查和现场访谈，对信息系统的相关资产进行调查，形成资产列表。

采集工作在前期调研的基础上开展，以调研所得的设备列表为依据，将所有与信息系统有关的信息资产核查清楚。

1.1.2资产采集检测表1.2资产分类识别1.2.1资产分类说明将所采集的资产数据按照资产形态和用途进行分类，形成资产分类表。

信息系统的资产一般可分为硬件、软件、文档与数据、人力资源、服务和其它资产等几大类。

1.2.1.1 硬件121.2软件121.3文档与数据一般指保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等。

1.2.1.4人力资源人力资源一般包括掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等。

1.2.1.5 服务1.2.1.6其它资产其它资产是指一些无形的但同样对于企业本身具有一定的价值，如企业形象、客户关系等。

122资产分类检测表检测目的资产分类检杳目的将所米集的资产数据按照资产形态和用途进行分类，形成资产分类表检测依据:资产数据及分类方式检测对象被检测方所有非机密资产检查级别基本配置检测方法:参照资产分类标准进行分类检杳流程（流程图）1. 完成资产数据收集2. 将所有数据按照不冋资产类别进行分类，形成多个资产识别列表预期结果根据资产性质分类，形成多个资产列表检查结果形成多个资产列表123网络拓扑中常用的硬件资产设备名称拓扑图标简介生产厂商路由器路由器是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。

目前路由器已经广泛应用于各行各业，各种不同档次的产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互通业务的主力军思科华为交换机交换机是一种用于电信号转发的网络设备。

它可以为接入交换机的任意两个网络节点提供独享的电信号通路。

信息安全风险评估实施流程资产识别
赵 刚
第五章 信息安全风险评估
实施流程
五.一 风险评估准备
一. 确定风险评估的目标 二. 确定风险评估的范围 三. 组建评估团队 四. 进行系统调研 五. 确定评估依据和方法 六. 制定评估方案 七. 获得最高管理者支持
五.二 资产识别
五.二.一 工作内容 一. 回顾评估范围内的业务 二. 识别信息资产，进行合理分类 三. 确定每类信息资产的安全需求 四. 为每类信息资产的重要性赋值
项目负责人 识别活动中配合人员 或访谈对象
二 脆弱性识别结果整理与展现 脆弱性识别小组
三 脆弱性赋值
脆弱性识别小组
五.四 脆弱性识别
五.四.三 工作方式 四. 脆弱性赋值 五. 脆弱性分类的设计
五.四 脆弱性识别
五.四.四 工具及资料 一. 漏洞扫描工具 二. 各类检查列表 三. 渗透测试 五.四.五 输出结果 一. 原始的识别结果 二. 漏洞分析报告
五.五 已有安全措施确认
五.五.一 工作内容 五.五.二 参与人员
序 号
活动名称
参与人员
来自于评估单位
来自于被评估单位
项目负责人
一
技 术 控 制 措 施 项目负责人 的识别与确认 安全控制措施识别小组
识别活动中配合人员或访谈对 象，主要包括被评估组织的安
全主管负责安全的管理员
二
管理和操作控 制措施的识别 与确认
恶意人员
不满的或有预谋的内部人员对信息系统进行恶意破坏； 采用自主或内外勾结的方式盗窃机密信息或进行篡改，获取利益；
外部人员利用信息系统的脆弱性，对网络或系统的保密性完整性和 可用性进行破坏，以获取利益或炫耀能力
人为 因素

风险评估的工作形式
自评估
• 适用于对自身的信息系统进行安全风险的识别、评价 • 自评估可以委托风险评估服务技术支持方实施，也可以自行实施
检查评估 ：
• 一般由主管机关发起，通常都是定期的、抽样进行的评估模式 • 旨在检查关键领域、或关键点的信息安全风险是否在可接受的范围内
风险评估应以自评估为主，检查评估对自评估过程记录与评估结 果的基础上，验证和确认系统存在的技术、管理和运行风险，以 及用户实施自评估后采取风险控制措施取得的效果。
国外相关信息安全风险评估标准简介（2）
AS/NZS 4360：1999 风险管理 • 澳大利亚和新西兰联合开发的风险管理标准 • 将对象定位在“信息系统”；在资产识别和评估时，采取半定量化的
方法，将威胁、风险发生可能性、造成的影响划分为不同的等级。 • 分为建立环境、风险识别、风险分析、风险评价、风险处置等步骤。
ISO/IEC TR 13335信息技术安全管理指南 • 提出了风险评估的方法、步骤和主要内容。
• 主要步骤包括：资产识别、威胁识别、脆弱性识别、已有控制措施确 认、风险计算等过程。
NIST SP800-30：信息技术系统风险管理指南 • 提出了风险评估的方法论和一般原则， • 风险及风险评估概念：风险就是不利事件发生的可能性。风险管理是
安全措施
风险分析原理
威胁识别 脆弱性识别 资产识别
威胁出现的频率 脆弱性的严重程度
资产价值
安全事件的可能性 安全事件的损失
风险值
- 17 -
All rights reserved © 2006
（1）对资产进行识别，并对资产的价值进行赋值；
（2）对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；

• 本标准还规定了为适应组织需要而定制的信息安全风险评估和处置的要求。 • 本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。 • 组织声称符合本标准时，对于第4 章到第10 章的要求不能删减。
PART 03
标准正文
标准正文
4.组织环境
4.1 理解组织及其环境
• 组织应确定与其意图相关的并影响其实现信息安全管理体系预期结果的能力 的外部和内部事项。
•1） 应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性 有关的风险；（CIA） •2） 识别风险责任人。（资产归属）
6.1 应对风险和机会的措施
• 6.1.2 信息安全风险评估 • d) 分析信息安全风险：
• 1) 评估6.1.2.c) 1) 中所识别的风险发生后将导致的潜在影响；（资产脆弱性被威胁利用后的严重 性）
标准正文
5.领导
5.1 领导和承诺
• 最高管理者应通过以下活动，证实对信息安全管理体系的领导和承诺：
• a) 确保建立了信息安全策略和信息安全目标，并与组织战略方向一致； • b) 确保将信息安全管理体系要求整合到组织的业务过程中； • c) 确保信息安全管理体系所需资源可用； • d) 沟通有效的信息安全管理及符合信息安全管理体系要求的重要性； • e) 确保信息安全管理体系达到预期结果； • f)指导并支持相关人员为信息安全管理体系的有效性做出贡献； • g) 促进持续改进； • h) 支持其他相关管理角色在其职责范围内展现他们的领导力。
完整性 准确和完备的特性。
术语
文件化信息 组织需要控制和维护的信息及其载体。
术语
外部环境
组织寻求实现其目标的外部环境。 注外部环境可以包括如下方面： 文化、社会、政治、法律、法规、金融、技术、经济、自然和竞争环境，无论是国际的、 国家的、地区的或地方的； 影响组织目标的关键驱动力和趋势； 与外部利益相关方的关系及其认知和价值观。

无
无
0
3.5 3.9 13.7
3
其他
网络 全局
网络全局
ASSET35
5
5
5
5
5 很高
未采取技术措施对网络行
1.越权或滥用 2.网络攻击
4
为进行分析，实现对网络 攻击特别是新型网络攻击
3
无
无
0
3.5 3.9 13.7
3
行为的分析
网络采用VNET网路通
信，可有效抵御部分
1.恶意代码 2.网络攻击
4
关键网络节点处无恶意代 码检测和清除措施
无
无
0
3.5 3.3 11.6
3
3.抵赖
要求并定期更换
1.无作为或操 作失误
2.越权或滥用 3.网络攻击
未设置登录失败处理功能 ，未配置并启用结束会话 4 、限制非法登录次数和当 2 登录连接超时自动退出等
相关策略
无
无
0
2.8 2.7 7.6
2
1.越权或滥用 2.网络攻击
4
未采用两种或两种以上组 合的身份鉴别技术
2.网络攻击
4
设备存在共享账户
3
无
无
0
3.5 3.3 11.6
3
3.抵赖
1.越权或滥用
4
未限制用户最小权限，实 现用户的权限分离
3
无
无
0
3.5 3.3 11.6
3
1.抵赖
未启用安全审计功能，无
2.故障检测缺 3 法对重要的用户行为和重 2
无
无
0
2.4 2.7 6.5
2
失
要安全事件进行审计

信息安全记录分类和保存期限
ISO27001信息安全记录的分类和保存期限如下表所示：
记录类别
保管期限
保管部门
合同内容确认的记录
合同
合同结束后3年
行政管理部
质量保证书
合同结束后3年
行政管理部
定单
合同结束后3年
行政管理部
文件管理的记录
信息安全管理文件审批表
5年
行政管理部
信息安全文件一览表
5年
行政管理部
文件发放一览表
第三方工作记录单
3年
行政管理部
第三方服务变更报告
3年
行政管理部
信息分类管理记录
信息资产识别表（文档）
3年
行政管理部
信息资产识别表（硬件）
3年
行政管理部
信息资产识别表（软件）
3年
行政管理部
信息安全重要岗位一览表
5年
行政管理部
信息安全重要岗位员工一览表源自5年行政管理部重要安全区域控制方案一览表
5年
行政管理部
专利及著作产权一览表
5年
行政管理部
商业秘密管理记录
涉密文件复印登记表
5年
行政管理部
涉密文件保管一览表
5年
行政管理部
员工聘用管理记录
招聘申请表
2年
行政管理部
面试记录表
2年
行政管理部
录用决定
2年
行政管理部
雇员保密协议
2年
行政管理部
信息安全奖惩管理记录
惩戒申报单
2年
行政管理部
奖励建议书
2年
行政管理部
员工离职、职务变动管理记录
3年
行政管理部

27.
应对脆弱性进行赋值。
已完成项目的脆弱性赋值列表。
28.
风险识别阶段-威胁识别
应参考国家或国际标准，对威胁进行分类；
威胁分类清单。
29.
应识别所评估信息资产存在的潜在威胁；
已完成项目中的威胁识别清单。
30.
应识别威胁利用脆弱性的可能性；
已完成项目中分析威胁利用脆弱性可能性的证明材料。
31.
应分析威胁利用脆弱性对组织可能造成的影响。
已完成项目的风险评估报告或建议报告中对组织不可接受的风险提出风险处置措施或建议的证明材料。
49.
风险处置阶段-组织评审会
仅一级要求：协助被评估组织召开评审会。
服务提供者协助被评估组织组织评审会的证明材料，如会议通知、专家签到表、专家意见等。
50.
仅一级要求：依据最终的评审意见进行相应的整改，形成最终的整改材料。
25.
仅一级要求：识别处理数据和提供服务所需的关键系统单元和关键系统组件。
已完成项目中对处理数据和提供服务所需的关键系统单元和关键系统组件的识别分析证明材料。
26.
风险识别阶段-脆弱性识别
应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查，并形成安全管理或技术脆弱性列表。
已完成项目中对脆弱性识别时使用的工具列表、管理或技术脆弱性列表。
15.
应根据评估的需求准备必要的工具。
已完成项目的风险评估方案中对评估工具的介绍，工具列表及主要功能描述。
16.
应对评估团队实施风险评估前进行安全教育和技术培训。
项目实施前的安全教育及技术培训的证明材料，如启动会的PPT，PPT中包含培训的内容，以及其他可证明对其安全教育、技术方面培训的材料。
17.

另一个保密及可用性最关注的地方是IT部门；因为IT部门是信息系统的管理者，关系着系统的可用性和稳定 性；而IT部门又储存和保管着桑菲的绝大多数电子文件数据，对保密性的要求也非常高。 电子类数据文件的保存位置即其存放的介质如个人办公电脑、服务器上、移动介质如U盘上。如果有打印件，还 应特别注明。如果数据存储在特定电子流中，应该将该电子流作为保存数据的载体。 软件保存位置即其安装在哪里。 实物保存位置即其安置的物理位置。 某项资产的保存位置可能不止一处，需要全部列举，例如个人电脑、笔记本电脑、服务器、某电子流、打印纸 质件等。 无论某项资产是本部门产生还是源自其他部门，本部门都应该指定责任人，对该资产在本部门的安全负责。如 果是来自外部机构的，责任人应该归到本部门负责人。 如果信息资产在个人电脑上，包括个人电脑/笔记本电脑等实物资产，保管者是个人电脑/笔记本电脑的使用者 。 对于存放在公共平台（公共服务器、电子流、数据库）中的信息资产，保管者为指定的运维支持人员。 对应信息资产在本部门的最终用户。
关注方面
数据资产
软件资产 关于资产类 别的说明 实物资产
人员资产
服务 考） 软件资产的CIA 实物资产的CIA 人员资产的CIA 服务资产的CIA 关于将一组资产 整体考虑的评价
关于CIA确 定的说明
关于资产用途的描述
关于资产的所属部门
关于资产的所属部门
关于资产的保存位置
关于责任人的确定
关于保管者的确定
关于使用者的确定
返回目录 注意事项 包括各种业务相关的电子类及纸质的文件资料，可按照部门现有文件明细列举，或者根据部门业务流程从头至 尾列举。要求识别的是分组或类别，不要具体到特定的单个文件。数据资料的列举和分组应该以业务功能和保 密性要求为主要考虑，也就是说，识别出的数据资料应该具有某种业务功能，此外，还应该重点考虑其保密性 要求。本部门产生的以及其他部门按正常流程交付过来供本部门使用的，都在列举范畴内。本部门尽量清晰， 来自外部门的可以按照比较宽泛的类别来界定。 各种本部门安装使用的软件，包括系统软件、应用软件（有后台数据库并存储应用数据的软件系统）、工具软 件（支持特定工作的软件工具）、桌面软件（日常办公所需的桌面软件包）等。所列举的软件应该与产生、支 持和操作已识别的数据资产有直接关系。 各种本部门使用的硬件设施，这些硬件设施或者安装有已识别的软件，或者其上存放有已识别的数据资产，或 者是对部门业务有支持作用。 本部门各种对已识别的数据资产、软件资产和实物资产进行使用、操作和支持（也就是对业务有支持作用）的 人员角色。 各种本部门通过购买方式获取的，或者需要支持部门特别提供的，能够对其他已识别资产的操作起支持作用 （也就是对业务有支持作用）的服务。 在研发部门，数据资产主要以保密性（C）为衡量标准。同样的数据资产，在不同部门都识别时，其保密性要求 应一样（根据现有密级划分标准确定），而I和A可能会不同。在除研发外的其他一些部门可能更看重I和A。 机密：公司战略经营规划、机密财务信息、源代码，原理图，原则上只有部门级少数文件属于此级别。 秘密：公司一般性秘密资料（大多数敏感数据类资产属于此列）。原则上只可在部门内部使用的文件都属于此 级别。 普通：原则上可在全公司范围内使用的文件都属于此范围。其保密级别为低。 软件资产C值的确定，应该考虑到该软件与哪一级别数据资产直接关联。软件资产的I和A关注程度相对较高。 实物资产C值的确定也是根据直接关联的数据资产，而A值应该是最为关注的。 人员资产的CIA确定也和实物资产有类似考虑。 向相关数据资产、软件、实物或人员关联，产生对应的CIA判断。 对于软件应用系统和硬件服务器系统来说，如果其做为统一容器，保存有批量或成套的数据文件，相应可根据 这些数据文件的级别，将整体系统的保密性等级提升一级。例如，VSS系统保存有最到可达2级的数据文件，则 VSS系统的C可以定为3级。此类统一平台式的系统基本上可以数得清楚，包括VSS、CCS服务器、Notes系统等。 资产表中的“用途”，指的是该资产在本部门内部为支持本部门工作的用途。可以从这个角度来考虑：我们为 什么要产生/使用该资产？ 研发是桑菲信息保密最关注的地方。如果是除研发之外的其他部门，获取到来自研发的资料，其所属部门都应 该归到研发部门，例如研发部们发送给其他部门的图纸及设计就属于研发部门。 在研发部门内部，应该向产品线/项目倾斜，如果是非产品线部门获取到来自产品线数据资料，或者是因为特定 产品开发项目而产生的评审电子流相关文件，因为项目负责人是项目经理，而项目经理又属于特定的产品线部 门，所以数据资料所属部门应该归到产品线。 研发非产品线部门自己产生的与特定产品研发项目无直接关系的数据资料，归该部门自己所属。

50.
仅一级要求：依据最终的评审意见进行相应的整改，形成最终的整改材料。
专家意见、整改措施及其总结。
51.
风险处置阶段-残余风险处置
仅一级要求：对组织提出完整的风险处置方案。
对残余风险提出处置方案，方案至少包含处置措施、工具、时间计划等内容。
52.
仅一级要求：必要时，对残余风险进行再评估。
对残余风险进行再评估的证明材料。
仅二级/一级要求：风险评估报告中应对计算分析出的风险给予比较详细的说明。
风险评估报告对风险给予详细说明。
47.
风险处置阶段-风险处置原则确定
仅二级/一级要求：应协助被评估组织确定风险处置原则，以及风险处置原则适用的范围和例外情况。
风险评估报告或建议报告中对风险处置原则及适用的范围和例外情况的说明。
48.
提供一个已完成项目的合同、用户数、验收的证明材料，包括管理和技术层面脆弱性识别的材料。
3.
仅一级要求：能够在全国范围内，针对5个（含）以上行业开展风险评估服务；至少完成两个风险评估项目，该系统的用户数在100,000以上；具备从业务、管理和技术层面对脆弱性进行识别的能力。具备跟踪、验证、挖掘信息安全漏洞的能力。
单位法人签字（公章）：
时间：年月日
11.
应根据评估的需求准备必要的工具。
风险评估方案明确风险评估工具，检查其工具列表及主要功能描述。
12.
应对评估团队实施风险评估前进行安全教育和技术培训。
项目实施前的安全教育及技术培训的证明材料，如启动会的PPT，PPT中包含培训的内容。
13.
对项目采取文档化管理
项目管理制度中包含文档管理的相关内容。
31.
仅二级/一级要求：依据相关标准中的威胁分类方法对威胁进行分类。

国信办综[2006]9号国务院信息化工作办公室印发《信息安全风险评估指南》（征求意见稿）的通知各省、自治区、直辖市和中央、国务院各部门信息化领导小组办公室：为确保信息安全风险评估工作的顺利开展，现将《信息安全风险评估指南》（征求意见稿）印发你们，供参考。

二〇〇六年二月二十八日信息安全风险评估指南Risk assessment guide for information security(征求意见稿)国务院信息化工作办公室2006年3月目录信息安全风险评估指南 (4)1 范围 (4)2 规范性引用文件 (4)3 术语和定义 (4)4 风险评估框架及流程 (7)4.1 风险要素关系 (7)4.2 风险分析原理 (9)4.3 实施流程 (9)5 风险评估实施 (10)5.1 风险评估的准备 (10)5.2 资产识别 (12)5.3 威胁识别 (16)5.4 脆弱性识别 (18)5.5 已有安全措施确认 (21)5.6 风险分析 (21)5.7 风险评估文件记录 (24)6 信息系统生命周期各阶段的风险评估 (25)6.1 信息系统生命周期概述 (25)6.2 规划阶段的风险评估 (25)6.3 设计阶段的风险评估 (26)6.4 实施阶段的风险评估 (27)6.5 运行维护阶段的风险评估 (28)6.6 废弃阶段的风险评估 (28)7 风险评估的工作形式 (29)7.1 自评估 (29)7.2 检查评估 (30)附录A (32)A.1 使用矩阵法计算风险 (32)A.2 使用相乘法计算风险 (37)附录B (41)B.1 风险评估与管理工具 (41)B.2 系统基础平台风险评估工具 (42)B.3 风险评估辅助工具 (43)信息安全风险评估指南1 范围本指南提出了风险评估的要素、实施流程、评估内容、评估方法及其在信息系统生命周期不同阶段的实施要点，适用于组织开展的风险评估工作。

2 规范性引用文件下列文件中的条款通过本指南的引用而成为本指南的条款。

可用性 有效性
步骤 3：实施成本效益分析
步骤 4：选择安全措施 步骤 5：分配责任和任务
步骤 6：制定安全措施的实现计划
风险及相关风险的级别 优先级排序后的行动 所建议的安全措施 所选择的预期安全措施 责任和任务人员 开始日期 目标完成日期
维护要求
步骤 7：实现所选择的安全措施
由高到底的行动优先 级 可能的安全措施清单 成本效益分析 所选择的安全措施 责任和任务人员清单
威胁－可能对资产或组织造成损害的潜在原因. 脆弱点－可能被威胁利用对资产造成损害的薄弱环节.
风险－人为或自然的威胁利用信息系统及其管理体系中 存在的脆弱性导致安全事件及其对组织造成的影响.
影响－威胁利用资产的脆弱点导致不期望发生事件的后 果.
安全措施－保护资产、抵御威胁、减少脆弱性、降低安 全事件的影响,以及打击信息犯罪而实施的各种实践、 规程和机制的总称.
风险值
安全措施的选取
安全措施可以降低、控制风险.安全措施的 选择应兼顾管理与技术两个方面.
在对于不可接受风险选择适当的安全措施后, 为确保安全措施的有效性,可进行再评估,以 判断实施安全措施后的残余风险是否已经降 低到可接受的水平.
风险评估文件记录（一）
（1）风险评估计划：阐述风险评估的目标、范围、团队、评估方 法、评估结果的形式和实施进度等；
常用风险计算方法
资产值
威胁级别 脆弱性级别
表 9-14 资产风险 中 高 低 中 高 低 中高
0
0 1 2 1 2 3 2 34
1
1 2 3 2 3 4 3 45
2
2 3 4 3 4 5 4 56
3
3 4 5 4 5 6 5 67
4
4 5 6 5 6 7 6 78

风险评估
根据识别的威胁和脆弱性，评估潜在的后果 和可能性，确定风险的等级。
04
风险评价
评价方法
定性评价法
基于专家经验和知识，对风险进行主观评估 。
定量评价法
运用数学模型和统计方法，对风险进行客观 量化的评估。
综合评价法
结合定性评价和定量评价，综合考虑各种因 素，得出全面准确的风险评估结果。
评价工具
保障业务连续性
有效的风险评估有助于降低安全事件发生的可能性，减少业务中断 的风险，保障业务的连续性。
风险评估的流程
确定评估范围
明确评估对象和范围，确定需要评估的信息系统和相关 资产。
收集信息
收集与信息系统相关的各种信息，包括系统架构、安全 配置、安全日志等。
识别威胁和脆弱性
分析信息系统中可能存在的威胁和脆弱性，了解潜在的 安全风险。
05
风险应对
应对策略
检测策略
通过检测机制及时发现和响应信息安全风险 ，降低风险影响程度。
预防策略
通过采取预防措施，降低或消除信息安全风 险的发生概率。
恢复策略
制定和实施恢复计划，以尽快恢复受影响的 信息系统和服务。
应对措施
技术措施
采用先进的安全技术，如加 密、防火墙、入侵检测等， 提高信息系统的安全性。
风ห้องสมุดไป่ตู้评估
对识别出的威胁和脆弱性进行定性和定量评估，确定风 险等级和影响程度。
制定控制措施
根据风险评估结果，制定相应的风险控制措施，降低或 消除风险。
持续监测与改进
对实施控制措施后的信息系统进行持续监测，及时发现 和处理新的风险，不断改进和完善风险评估体系。
02
风险识别
识别方法

ISO27001信息安全体系记录清单ISO规定了信息安全记录的分类和保存期限，具体如下：合同类记录包括合同内容确认的记录、质量保证书等，保存期限为合同结束后3年。

定单类记录包括信息安全管理文件审批表、信息安全文件一览表、文件发放一览表、文件管理的记录等，保存期限为5年。

文件类记录包括文件修改通知单、外来文件清单、文件发布通知单等，保存期限为3年。

信息安全记录类记录包括信息安全记录一览表、记录管理的记录、记录借阅登记表、记录销毁记录表等，保存期限为3年。

信息安全风险评估类记录包括信息安全风险评估计划、信息资产识别与评估表、信息安全风险管理记录等，保存期限为2年。

控制措施有效性测量记录、信息安全测量管理记录、电脑日常检查表、机房环境及设备检查表、个人电脑自检表等记录保存期限为2年。

管理评审类记录包括管理评审记录、管理评审计划、管理评审报告等，保存期限为5年。

会议类记录包括会议签到表、会议记录等，保存期限为2年。

内部审核类记录包括内部审核计划、年度内审核计划、内部审核管理记录、内审检查表、不符合项报告、内部审核实施报告书、纠正措施管理记录、预防措施管理记录、预防措施计划书等，保存期限为3年。

用款申请实施报告书、信息处理设施安装使用管理记录、验收报告、硬件设备登记表等记录保存期限为5年。

第三方服务管理类记录包括第三方保护能力核查表、第三方保密协议、知识产权协议、外部人员入网申请单、第三方工作记录单、第三方服务变更报告等，保存期限为3年。

信息资产识别类记录包括信息资产识别表（文档）、信息资产识别表（硬件）、信息资产识别表（软件）等，保存期限为3年。

信息分类管理记录包括信息安全重要岗位一览表等，保存期限为2年。

以上记录的保存期限和保管部门应严格执行，确保信息安全管理体系的有效运行。

以下是格式正确、删除明显有问题的段落、并进行小幅度改写的文章：信息安全管理制度为确保公司信息安全，保护公司和客户的利益，制定本管理制度。