版本号 版本日期 编写人 审核人 审批人 说 明 V1.0 文档发布 信息安全风险评估清单 编号 文档目录及说明1 23 步骤1-业务影响分析 步骤2-资产清单 步骤3-风险清单 对评估范围内信息系统及关键活动的业务影响分析和排序。 各信息系统及关键活动所包含的资产清单及资产价值统计。 资产所面临的风险清单和风险计算结果，及相对应的残余风险。 针对已决定进行处理的风险制定的详细的处理计划。 本文档使用过程中进行赋值的参考说明。 4 步骤4-风险处置计划5 67 附录1-赋值说明 附录2-威胁、脆弱性对照表 附录3-风险等级对照表 按照资产类别排序的威胁、脆弱性对照表，用于资产风险识别。 风险计算结果对应风险等级的参照表，用于确定风险级别。 注意事项 信息系统包含的资产主要指与信息系统直接相关的资产，如 信息：信息系统上传输的数据、信息系统的设计开发文档 软件：信息系统正常运行所需的应用、中间件、数据库、操作系统等 硬件：信息系统正常运行所需的服务器、小型机、磁盘柜等 关键活动包含的资产主要指活动进行所必须的6类资产，如 硬件：各部门用于存储、处理、传输日常办公及客户信息的各种设备和介质，例 如 移动硬盘、台式机、计算机等。 软件：各种本部门安装使用的软件，包括操作系统、中间件、数据库、应用软件、工具应用软件、终端安全软件等。 资产识别 信息：括各种业务相关的电子类及纸质的文件欧亿·体育（中国）有限公司，可按照部门现有文件明细列举 。 人员：本部门各种对信息资产进行使用、操作和支持的人员角色，含为部门提供各 种服务的外部人员（例如长期驻场外包人员）。 物理环境：承载硬件资产和信息资产的设施。非计算机硬件类的实体。 服务：各种本部门通过购买方式获取的，或者需要支持部门特别提供的，支持或协 助日常业务进行的服务。 在对资产进行CIA赋值时，需注意以下内容： 1.一般情况下，软件、硬件更多的是考虑可用性，保密性、完整性的赋值可以为1。 2.如果有些数据无法细分，可按照就高原则给出总体评分。 3.一般情况下，人员、服务的保密性、完整性无法衡量，更多的是考虑可用性，保 密性、完整性赋值可以为1。 资产赋值 风险评估 风险评估过程应遵从以下原则： 1.合并同类项原则 资产的类型、赋值、所处位置相同时，可合在一起进行风险评估。 2.威胁、脆弱性统一赋值原则 资产的类型、所处位置相同，但资产赋值不同时，若采取的控制措施相同，威胁 及脆弱性的赋值基本保持一致。 3.残余风险赋值原则 如果风险可接受，暂不采取除现有控制措施以外的控制措施时，残余风险与风险 值一致。 析和排序。 价值统计。 应的残余风险。 划。 资产风险识别。 风险级别。 和介质，例 如 、应用软件、文件明细列举 为部门提供各 。 的，支持或协 赋值可以为1。 虑可用性，保 。 措施相同，威胁 残余风险与风险 业务影响分析 编号 信息系统/关键活动 负责人 业务影响分析 内容描述 业务影响度 备注