?

5.2.2.5可用性賦值：

?

5.2.2.6資產賦值

?

最終資產價值可以通過違反資產的保密性、完整性和可用性三個方面的程度綜合確定，資產的賦值采用定性的相對等級的方式。與以上安全屬性的等級相對應，資產價值的等級可分為五級，從1到5由低到高分別代表五個級別的資產相對價值，等級越大，資產越重要。具體每一級別的資產價值定義參見下表。

由于資產最終價值的等級評估是依據資產保密性、完整性、可用性的賦值級別，經過綜合評定得出的，評定準則可以根據企業自身的特點，選擇以安全三性中要求最高的一性的賦值級別為綜合資產賦值準則。

?

?

5.2.3 風險評估小組向各部門內審員發放《信息資產分類參考目錄》[1]、《信息資產風險評估表》 、《信息資產識別評價表》，同時提出信息資產識別的要求。

5.2.4 各部門內審員參考《信息資產分類參考目錄》¹識別本部門信息資產，根據《信息安全風險評估指南》中的“附錄B資產重要性程度判斷準則”判斷其是否是重要信息資產，并填寫《信息資產識別評價表》，經本部門負責人審核確認后，在風險評估計劃規定的時間內提交風險評估小組審核匯總。

5.2.5 風險評估小組對各部門填寫的《信息資產識別評價表》進行審核，確保沒有遺漏信息資產，形成各部門的《信息資產風險評估表》，并分發各部門存檔。

5.3 信息資產風險等級評估

5.3.1 應對《信息資產風險評估表》中的所有資產進行風險評估，評估應考慮威脅事件發生的可能性和威脅事件發生后對信息資產造成的影響程度兩方面因素。

5.3.2 風險評估小組向各部門內審員分發《信息資產風險評估表》、《信息安全威脅參考表》¹、《信息安全薄弱點參考表》¹、《事件發生可能性等級對照表》¹、《事件可能影響程度等級對照表》¹。

5.3.3 各部門內審員根據資產本身所處的環境條件,參考《信息安全威脅參考表》¹識別每個信息資產所面臨的威脅，針對每個威脅，識別目前已有的控制；并參考《信息安全薄弱點參考表》¹識別可能被該威脅所利用的薄弱點；在考慮現有的控制前提下，參考《事件發生可能性等級對照表》¹判斷每項信息資產所面臨威脅發生的可能性；參考《事件可能影響程度等級對照表》¹，判斷威脅利用薄弱點可能使信息資產保密性、完整性或可用性丟失所產生的影響程度等級。將結果填寫在《信息資產風險評估表》上，提交風險評估小組審核匯總。

5.3.4 風險評估小組考慮本公司整體的信息安全要求，對各部門填寫的《信息資產風險評估表》進行審核，確保風險評估水平的一致性，確保沒有遺漏信息安全風險。如果對評估結果進行修改，應該和資產責任部門進行溝通并獲得該部門的確認。

5.3.5 風險評估小組根據《信息安全風險矩陣計算表》¹計算風險等級，把風險等級最高的一級或者兩級資產列為《重要信息資產清單》，并存檔。

5.4 不可接受風險的確定和處理

5.4.1 風險評估小組根據《信息安全風險接受準則》¹，確定風險的可接受性；針對不可接受風險編制《信息安全不可接受風險處理計劃》，該計劃應該規定風險處理方式、責任部門和時間進度；編制《信息安全風險評估報告》，陳述本公司信息安全管理現狀，分析存在的信息安全風險，提出信息安全管理（控制）的建議與措施，附《信息安全不可接受風險處理計劃》提交信息安全管理委員會進行審核，由ISMS管理者代表批準實施。

5.4.2 各責任部門按照《信息安全不可接受風險處理計劃》的要求采取有效安全控制措施后,原評估部門重新評估其計劃效果，降至可接受為止，確保所采取的控制措施是充分的，該措施直到為再次風險評估的輸入。

5.5 評估時機

5.5.1 每年重新評估一次，以確定是否存在新的威脅或薄弱點及是否需要增加新的控制措施，對發生以下情況需及時進行風險評估：

a) 當發生重大信息安全事故時；

b) 當信息網絡系統發生重大更改時；

c) 信息安全管理委員會確定有必要時。

5.5.2 各部門對新增加、轉移的或授權銷毀的信息資產應及時按照本程序在ISMS-4023《信息資產識別評價表》、《重要信息資產清單》上予以添加或變更。

6 相關/支持性文件

• ISMS-P-2001《信息安全適用性聲明》
• ISMS-1001《信息安全管理手冊》
• ISMS-P-2005《文件和資料管理程序》

7 記錄

?

?