ISO27001信息安全风险评估程序
目的
本文件为公司执行信息安全风险评估提供指导和规范。
本程序的运行结果产生《风险评估报告-（加注日期）》。
公司依据风险评估报告编制风险处理计划。
适用范围
本程序适用风险评估所涉及的所有部门。
风险评估工作组成员据此执行风险评估活动。
其他相应员工据此理解风险评估的过程，完成自己职责范围内风险评估相关工作。
风险评估的实施频率及评审
公司规定风险评估活动要定期进行，常规的风险评估每年执行一次，执行风险评估前应对本程序进行评审。
遇到以下情况，公司也将启动风险评估：
增加了大量新的信息资产；
业务环境发生了重大的变化；
发生了重大信息安全事件。
风险评估方法
根据GB/T22080-2008/ISO/IEC27001:2005和ISO/IEC TR 13335-3，公司采用“详细风险分析方法（Detailed Risk Approach）”来实施风险评估，该方法主要包括：
风险分析：识别资产、威胁、脆弱性、影响和可能性
风险评价：风险＝影响×可能性
风险评估流程
公司风险评估流程如下图所示：
欣博友风险评估流程
确定风险评估范围
在执行风险评估前，由信息安全领导小组负责，确定本次风险评估的范围，并明确传达给风险评估工作组。
建立风险评估工作组
在执行风险评估前，由信息安全领导小组负责，建立风险评估工作组，并明确工作组成员职责。
识别风险
识别资产及其责任人，建立信息资产清单（依下表）。
序号
资产名称
责任人
位置
相关说明识别威胁及威胁可利用的脆弱性（依下表）。
序号
资产名称
威胁
脆弱性
风险
分析和评价风险
分析和评价风险发生后对公司的影响（依下表）。
序号
资产名称
风险
影响风险发生后对公司影响的赋值准则
影响的值
描 述
3（高）
风险对该资产的保密性、完整性或可用性等的影响（即发生泄露、损坏、丢失或无法使用等），将对公司造成极严重的或灾难性的损失，通常其直接或间接的影响范围波及到公司整体。
2（中）
风险对该资产的保密性、完整性或可用性等安全属性的影响（即发生泄露、损坏、丢失或无法使用等），将对公司造成较重要的损失，通常其直接或间接的影响范围波及到公司局部。
1（低）
风险对该资产的保密性、完整性或可用性等安全属性的影响（即发生泄露、损坏、丢失或无法使用等），将对公司造成一定的损失，通常其直接或间接的影响范围仅波及到公司很少部门。
分析和评价风险发生的可能性（依下表）。
序号
资产名称
风险
影响
可能性风险发生可能性的赋值准则
可能性的值
描 述
3（高）
考虑公司以往发生的信息安全事件，以及社会上和其它组织的经验，该风险频繁发生。
2（中）
考虑公司以往发生的信息安全事件，以及社会上和其它组织的经验，该风险经常发生。
1（低）
考虑公司以往发生的信息安全事件，以及社会上和其它组织的经验，该风险偶尔发生。
计算风险的大小并排序（依下表）。
风险计算公式：风险值＝影响值×可能性值
序号
资产名称
风险
风险值
编制风险评估报告
由风险评估工作组负责编制风险评估报告，风险评估报告内容应包括：
风险评估起止日期
风险评估工作组组成
风险评估范围
资产、风险和风险值排序表
相关文件
《风险评估报告-（加日期）》
《风险处理计划-（加日期）》