ISO/IEC27001-2022/GBT22080信息安全管理体系文件范例文件名称：信息安全风险评估管理程序生效日期：2024-02-25文件编号：页数1/12生效版本：A0文件制修订记录NO制/修订日期修订编号制/修订内容版本页次12024-02-25-新制订A0核准审核制订ISO/IEC27001-2022/GBT22080信息安全管理体系文件范例文件名称：信息安全风险评估管理程序生效日期：2024-02-25文件编号：页数2/12生效版本：A01、目的本程序规定了本公司信息安全风险管理的内容和过程。通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。2、范围本指南适用于信息系统风险的初始评估与风险处置、变更评估与变更后的风险处置、定期的风险再评估与风险处置。3、参考文件3.1ISO/IEC27001:2022《信息安全管理体系要求》3.2ISO/IEC27002:2022《信息技术网络安全与隐私保护信息安全控制》4、定义4.1资产通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。4.2资产价值资产是有价值的，资产价值可通过资产的敏感程度、重要程度和关键程度来表示。4.3威胁一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果。4.4脆弱性信息资产及其安全措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。4.5事件如果威胁主体能够产生威胁，利用资产及其安全措施的脆弱性，那么实际产生危害的情况称之为事件。4.6风险由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。风险由安全事件发生的可能性及其造成的影响这两种指标来衡量。4.7残余风险ISO/IEC27001-2022/GBT22080信息安全管理体系文件范例文件名称：信息安全风险评估管理程序生效日期：2024-02-25文件编号：页数3/12生效版本：A0采取安全措施对风险进行处理，提高了信息安全保障能力后，仍然可能存在的风险。4.8安全需求为保证单位的使命能够正常行使，在信息安全保障措施方面提出的要求。4.9措施对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。4.10风险评估通过一定的步骤和技术手段来评估信息系统安全风险的过程，并判断风险的优先级，建议处理风险的措施。风险评估也称为风险分析，是风险管理的一部分。4.11风险处理根据风险评估的结果以及信息安全措施的成本，选择合适的方法来处理风险。4.12风险管理由风险评估、风险处理以及基于风险的决策所组成的完整过程。5、职责风险管理由两个部分组成：风险评估以及基于风险的决策。5.1管理者代表负责牵头成立风险评估小组，风险评估小组成员来自于各部门内审员。风险评估小组每年至少一次，或当企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，全面评估信息系统的资产、威胁、脆弱性以及现有的安全措施，确认评估结果，形成《信息安全风险评估报告》。5.2管理者代表：基于风险评估的结果，考察信息安全措施的成本，选择合适的方法处理风险，将风险控制到可接受的程度，并作为管理评审的输入。5.3最高管理者：基于风险的决策，判断残余风险是否处在可接受的水平之内，决定是否允许信息系统运行。6、风险评估的实施频率及评审风险评估活动应定期进行，常规的风险评估每年执行一次，执行风险评估前应对本程序进行评审。遇到以下情况，公司也将启动风险评估：A)增加了大量新的信息资产；B)业务环境发生了重大的变化；C)发生了重大信息安全事件。ISO/IEC27001-2022/GBT22080信息安全管理体系文件范例文件名称：信息安全风险评估管理程序生效日期：2024-02-25文件编号：页数4/12生效版本：A07、程序7.1资产识别本公司以部门为单位，按照信息资产责任人所在部门为归属地范围，识别信息资产，信息资产包括：硬件、软件、数据、文档、人员、服务和其他7个大类。7.2资产赋值资产赋值的过程就是对资产在机密性、完整性和可用性上的达成程度进行分析，并在此基础上得出综合结果的过程。7.2.2.1机密性赋值（X）根据资产在机密性上的