?

5.2.2.5可用性賦值：

?

5.2.2.6資產(chǎn)賦值

?

最終資產(chǎn)價(jià)值可以通過違反資產(chǎn)的保密性、完整性和可用性三個(gè)方面的程度綜合確定，資產(chǎn)的賦值采用定性的相對(duì)等級(jí)的方式。與以上安全屬性的等級(jí)相對(duì)應(yīng)，資產(chǎn)價(jià)值的等級(jí)可分為五級(jí)，從1到5由低到高分別代表五個(gè)級(jí)別的資產(chǎn)相對(duì)價(jià)值，等級(jí)越大，資產(chǎn)越重要。具體每一級(jí)別的資產(chǎn)價(jià)值定義參見下表。

由于資產(chǎn)最終價(jià)值的等級(jí)評(píng)估是依據(jù)資產(chǎn)保密性、完整性、可用性的賦值級(jí)別，經(jīng)過綜合評(píng)定得出的，評(píng)定準(zhǔn)則可以根據(jù)企業(yè)自身的特點(diǎn)，選擇以安全三性中要求最高的一性的賦值級(jí)別為綜合資產(chǎn)賦值準(zhǔn)則。

?

?

5.2.3 風(fēng)險(xiǎn)評(píng)估小組向各部門內(nèi)審員發(fā)放《信息資產(chǎn)分類參考目錄》[1]、《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》 、《信息資產(chǎn)識(shí)別評(píng)價(jià)表》，同時(shí)提出信息資產(chǎn)識(shí)別的要求。

5.2.4 各部門內(nèi)審員參考《信息資產(chǎn)分類參考目錄》¹識(shí)別本部門信息資產(chǎn)，根據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估指南》中的“附錄B資產(chǎn)重要性程度判斷準(zhǔn)則”判斷其是否是重要信息資產(chǎn)，并填寫《信息資產(chǎn)識(shí)別評(píng)價(jià)表》，經(jīng)本部門負(fù)責(zé)人審核確認(rèn)后，在風(fēng)險(xiǎn)評(píng)估計(jì)劃規(guī)定的時(shí)間內(nèi)提交風(fēng)險(xiǎn)評(píng)估小組審核匯總。

5.2.5 風(fēng)險(xiǎn)評(píng)估小組對(duì)各部門填寫的《信息資產(chǎn)識(shí)別評(píng)價(jià)表》進(jìn)行審核，確保沒有遺漏信息資產(chǎn)，形成各部門的《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》，并分發(fā)各部門存檔。

5.3 信息資產(chǎn)風(fēng)險(xiǎn)等級(jí)評(píng)估

5.3.1 應(yīng)對(duì)《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》中的所有資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，評(píng)估應(yīng)考慮威脅事件發(fā)生的可能性和威脅事件發(fā)生后對(duì)信息資產(chǎn)造成的影響程度兩方面因素。

5.3.2 風(fēng)險(xiǎn)評(píng)估小組向各部門內(nèi)審員分發(fā)《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》、《信息安全威脅參考表》¹、《信息安全薄弱點(diǎn)參考表》¹、《事件發(fā)生可能性等級(jí)對(duì)照表》¹、《事件可能影響程度等級(jí)對(duì)照表》¹。

5.3.3 各部門內(nèi)審員根據(jù)資產(chǎn)本身所處的環(huán)境條件,參考《信息安全威脅參考表》¹識(shí)別每個(gè)信息資產(chǎn)所面臨的威脅，針對(duì)每個(gè)威脅，識(shí)別目前已有的控制；并參考《信息安全薄弱點(diǎn)參考表》¹識(shí)別可能被該威脅所利用的薄弱點(diǎn)；在考慮現(xiàn)有的控制前提下，參考《事件發(fā)生可能性等級(jí)對(duì)照表》¹判斷每項(xiàng)信息資產(chǎn)所面臨威脅發(fā)生的可能性；參考《事件可能影響程度等級(jí)對(duì)照表》¹，判斷威脅利用薄弱點(diǎn)可能使信息資產(chǎn)保密性、完整性或可用性丟失所產(chǎn)生的影響程度等級(jí)。將結(jié)果填寫在《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》上，提交風(fēng)險(xiǎn)評(píng)估小組審核匯總。

5.3.4 風(fēng)險(xiǎn)評(píng)估小組考慮本公司整體的信息安全要求，對(duì)各部門填寫的《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》進(jìn)行審核，確保風(fēng)險(xiǎn)評(píng)估水平的一致性，確保沒有遺漏信息安全風(fēng)險(xiǎn)。如果對(duì)評(píng)估結(jié)果進(jìn)行修改，應(yīng)該和資產(chǎn)責(zé)任部門進(jìn)行溝通并獲得該部門的確認(rèn)。

5.3.5 風(fēng)險(xiǎn)評(píng)估小組根據(jù)《信息安全風(fēng)險(xiǎn)矩陣計(jì)算表》¹計(jì)算風(fēng)險(xiǎn)等級(jí)，把風(fēng)險(xiǎn)等級(jí)最高的一級(jí)或者兩級(jí)資產(chǎn)列為《重要信息資產(chǎn)清單》，并存檔。

5.4 不可接受風(fēng)險(xiǎn)的確定和處理

5.4.1 風(fēng)險(xiǎn)評(píng)估小組根據(jù)《信息安全風(fēng)險(xiǎn)接受準(zhǔn)則》¹，確定風(fēng)險(xiǎn)的可接受性；針對(duì)不可接受風(fēng)險(xiǎn)編制《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》，該計(jì)劃應(yīng)該規(guī)定風(fēng)險(xiǎn)處理方式、責(zé)任部門和時(shí)間進(jìn)度；編制《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》，陳述本公司信息安全管理現(xiàn)狀，分析存在的信息安全風(fēng)險(xiǎn)，提出信息安全管理（控制）的建議與措施，附《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》提交信息安全管理委員會(huì)進(jìn)行審核，由ISMS管理者代表批準(zhǔn)實(shí)施。

5.4.2 各責(zé)任部門按照《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》的要求采取有效安全控制措施后,原評(píng)估部門重新評(píng)估其計(jì)劃效果，降至可接受為止，確保所采取的控制措施是充分的，該措施直到為再次風(fēng)險(xiǎn)評(píng)估的輸入。

5.5 評(píng)估時(shí)機(jī)

5.5.1 每年重新評(píng)估一次，以確定是否存在新的威脅或薄弱點(diǎn)及是否需要增加新的控制措施，對(duì)發(fā)生以下情況需及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：

a) 當(dāng)發(fā)生重大信息安全事故時(shí)；

b) 當(dāng)信息網(wǎng)絡(luò)系統(tǒng)發(fā)生重大更改時(shí)；

c) 信息安全管理委員會(huì)確定有必要時(shí)。

5.5.2 各部門對(duì)新增加、轉(zhuǎn)移的或授權(quán)銷毀的信息資產(chǎn)應(yīng)及時(shí)按照本程序在ISMS-4023《信息資產(chǎn)識(shí)別評(píng)價(jià)表》、《重要信息資產(chǎn)清單》上予以添加或變更。

6 相關(guān)/支持性文件

• ISMS-P-2001《信息安全適用性聲明》
• ISMS-1001《信息安全管理手冊(cè)》
• ISMS-P-2005《文件和資料管理程序》

7 記錄

?

?