信息安全風(fēng)險(xiǎn)管理程序文件

目的為了在考慮控制成本與風(fēng)險(xiǎn)平衡的前提下選擇適宜的控制目的和控制方式，將信息安全風(fēng)險(xiǎn)控制在可接受的水平，特制訂本程序。圍本程序合用信息安全管理體系(ISMS)圍信息安全風(fēng)險(xiǎn)評(píng)定活動(dòng)的管理。職責(zé)研發(fā)中心負(fù)責(zé)牽頭成立信息安全管理委員會(huì)。信息安全管理委員會(huì)負(fù)責(zé)編制《信息安全風(fēng)險(xiǎn)評(píng)預(yù)計(jì)劃》，確認(rèn)評(píng)定成果，形成《風(fēng)險(xiǎn)評(píng)定報(bào)告》及《風(fēng)險(xiǎn)解決計(jì)劃》。各部門負(fù)責(zé)本部門使用或管理的資產(chǎn)的識(shí)別和風(fēng)險(xiǎn)評(píng)定，并負(fù)責(zé)本部門所涉及的資產(chǎn)的具體安全控制工作。有關(guān)文獻(xiàn)《信息安全管理手冊(cè)》《GB-T20984-信息安全風(fēng)險(xiǎn)評(píng)定規(guī)》《信息技術(shù)安全技術(shù)信息技術(shù)安全管理指南第3部分：IT安全管理技術(shù)》程序風(fēng)險(xiǎn)評(píng)定前準(zhǔn)備研發(fā)中心牽頭成立信息安全管理委員會(huì)，委員會(huì)組員應(yīng)包含信息安全重要責(zé)任部門的組員。信息安全管理委員會(huì)制訂《信息安全風(fēng)險(xiǎn)評(píng)預(yù)計(jì)劃》，下發(fā)各部門。風(fēng)險(xiǎn)評(píng)定辦法-定性綜合風(fēng)險(xiǎn)評(píng)定辦法本項(xiàng)目采用的是定性的風(fēng)險(xiǎn)評(píng)定辦法。定性風(fēng)險(xiǎn)評(píng)定并不強(qiáng)求對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素（特別是資產(chǎn)）進(jìn)行精確的量化評(píng)價(jià)，它有賴于評(píng)定者的經(jīng)驗(yàn)判斷、業(yè)界慣例以及組織本身定義的原則，來對(duì)風(fēng)險(xiǎn)要素進(jìn)行相對(duì)的等級(jí)分化，最后得出的風(fēng)險(xiǎn)大小，只需要通過等級(jí)差別來分出風(fēng)險(xiǎn)解決的優(yōu)先次序即可。綜合評(píng)定是先識(shí)別資產(chǎn)并對(duì)資產(chǎn)進(jìn)行賦值評(píng)定，得出重要資產(chǎn)，然后對(duì)重要資產(chǎn)進(jìn)行具體的風(fēng)險(xiǎn)評(píng)定。資產(chǎn)賦值各部門信息安全管理委員會(huì)組員對(duì)本部門資產(chǎn)進(jìn)行識(shí)別，并進(jìn)行資產(chǎn)賦值。資產(chǎn)價(jià)值計(jì)算辦法：資產(chǎn)價(jià)值=性賦值＋完整性賦值＋可用性賦值資產(chǎn)賦值的過程是對(duì)資產(chǎn)在信息分類、性、完整性、可用性進(jìn)行分析評(píng)定，并在此基礎(chǔ)上得出綜合成果的過程。擬定信息類別信息分類按“5.9資產(chǎn)識(shí)別參考（資產(chǎn)類別）”進(jìn)行，信息分類不合用時(shí)，可不填寫。性(C)賦值根據(jù)資產(chǎn)在性上的不同規(guī)定，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在性上的應(yīng)達(dá)成的不同程度或者性缺失時(shí)對(duì)整個(gè)組織的影響。完整性(I)賦值根據(jù)資產(chǎn)在完整性上的不同規(guī)定，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在完整性上的達(dá)成的不同程度或者完整性缺失時(shí)對(duì)整個(gè)組織的影響。可用性(A)賦值根據(jù)資產(chǎn)在可用性上的不同規(guī)定，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在可用性上的達(dá)成的不同程度。資產(chǎn)價(jià)值判斷原則要素準(zhǔn)則數(shù)據(jù)資產(chǎn)實(shí)體/服務(wù)資產(chǎn)文獻(xiàn)/軟件資產(chǎn)無形資產(chǎn)人員資產(chǎn)可用性按資產(chǎn)使用或允許中斷的時(shí)間次數(shù)來評(píng)定數(shù)據(jù)存儲(chǔ)、傳輸及解決設(shè)施在一種工作日允許中斷的次數(shù)或時(shí)間比例賦值每次中斷允許時(shí)間賦值使用頻次規(guī)定賦值使用頻次賦值允許離崗時(shí)間賦值16次以上或全部工作時(shí)間中斷13天以上1每年都要使用最少1次1每年都要使用最少1次110個(gè)工作日及以上19-15次或1/2工作時(shí)間中斷21－3天2每個(gè)季度都要使用最少1次2每個(gè)季度都要使用最少1次26-9工作日23-8次或1/4工作時(shí)間中斷312小時(shí)－1天3每月都要使用最少1次3每月都要使用最少1次33-5個(gè)工作日31-2次或1/8工作時(shí)間中斷43小時(shí)－12小時(shí)4每七天都要使用最少1次4每七天都要使用最少1次42個(gè)工作日4不允許50－3小時(shí)5每天都要使用最少1次5每天都要使用最少1次51個(gè)工作日5形成資產(chǎn)清單各部門的《重要資產(chǎn)調(diào)查與風(fēng)險(xiǎn)評(píng)定表》經(jīng)本部門負(fù)責(zé)人審核，報(bào)管理者代表確認(rèn)。鑒定重要資產(chǎn)根據(jù)前面的資產(chǎn)性、完整性、可用性的賦值相加得到資產(chǎn)的價(jià)值，資產(chǎn)價(jià)值越高表達(dá)資產(chǎn)重要性程度越高。要素標(biāo)記相對(duì)價(jià)值圍等級(jí)資產(chǎn)等級(jí)很高15,14,134高12,11,103普通9,8,7,62低5,4,31按資產(chǎn)價(jià)值得出重要資產(chǎn)，資產(chǎn)價(jià)值為4，3的是重要資產(chǎn)，資產(chǎn)價(jià)值為2，1的是非重要資產(chǎn)。信息安全管理委員會(huì)對(duì)各部門資產(chǎn)識(shí)別狀況進(jìn)行審核，確保沒有遺漏重要資產(chǎn)，形成各部門的《資產(chǎn)識(shí)別清單》。各部門的《資產(chǎn)識(shí)別清單》經(jīng)本部門負(fù)責(zé)人審核，報(bào)管理者代表確認(rèn)，并分發(fā)各部門存檔。重要資產(chǎn)風(fēng)險(xiǎn)評(píng)定應(yīng)對(duì)全部的重要資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)定，評(píng)定應(yīng)考慮威脅、脆弱性、威脅事件發(fā)生的可能性、威脅事件發(fā)生后對(duì)資產(chǎn)造成的影響程度、風(fēng)險(xiǎn)的等級(jí)、風(fēng)險(xiǎn)與否在可接受圍及已采用的方法等方面因素。識(shí)別威脅威脅是對(duì)組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素，造成威脅的因素可分為人為因素和環(huán)境因素。威脅作用形式能夠是對(duì)信息系統(tǒng)直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在性、完整性或可用性等方面造成損害；也可能是偶發(fā)的、或蓄意的事件。威脅可基于體現(xiàn)形式分類，基于體現(xiàn)形式的威脅分類原則可參考下表：威脅分類表種類描述威脅子類軟硬件故障對(duì)業(yè)務(wù)實(shí)施或系統(tǒng)運(yùn)行產(chǎn)生影響的設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件缺點(diǎn)等問題設(shè)備硬件故障、傳輸設(shè)備故障、存儲(chǔ)媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障等物理環(huán)境影響對(duì)信息系統(tǒng)正常運(yùn)行造成影響的物理環(huán)境問題和自然災(zāi)害斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等無作為或操作失誤應(yīng)當(dāng)執(zhí)行而沒有執(zhí)行對(duì)應(yīng)的操作，或無意執(zhí)行了錯(cuò)誤的操作維護(hù)錯(cuò)誤、操作失誤等管理不到位安全管理無法貫徹或不到位，從而破壞信息系統(tǒng)正常有序運(yùn)行管理制度和方略不完善、管理規(guī)程缺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全等惡意代碼故旨在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的程序代碼病毒、特洛伊木馬、蠕蟲、陷門、間諜軟件、竊聽軟件等越權(quán)或?yàn)E用通過采用某些方法，超越自己的權(quán)限訪問了原來無權(quán)訪問的資源，或者濫用自己的權(quán)限，做出破壞信息系統(tǒng)的行為非授權(quán)訪問網(wǎng)絡(luò)資源、非授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配備或數(shù)據(jù)、濫用權(quán)限泄露秘密信息等網(wǎng)絡(luò)攻擊運(yùn)用工具和技術(shù)通過網(wǎng)絡(luò)對(duì)信息系統(tǒng)進(jìn)行攻擊和入侵網(wǎng)絡(luò)探測(cè)和信息采集、漏洞探測(cè)、嗅探（、口令、權(quán)限等）、顧客身份偽造和欺騙、顧客或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運(yùn)行的控制和破壞等物理攻擊通過物理的接觸造成對(duì)軟件、硬件、數(shù)據(jù)的破壞物理接觸、物理破壞、盜竊等泄密信息泄露給不應(yīng)理解的別人部信息泄露、外部信息泄露等篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性減少或信息不可用篡改網(wǎng)絡(luò)配備信息、篡改系統(tǒng)配備信息、篡改安全配備信息、篡改顧客身份信息或業(yè)務(wù)數(shù)據(jù)信息等抵賴不承認(rèn)收到的信息和所作的操作和交易原發(fā)抵賴、接受抵賴、第三方抵賴等各部門根據(jù)資產(chǎn)本身所處的環(huán)境條件，識(shí)別每個(gè)資產(chǎn)所面臨的威脅。識(shí)別脆弱性脆弱性是對(duì)一種或多個(gè)資產(chǎn)弱點(diǎn)的總稱。脆弱性是資產(chǎn)本身存在的，如果沒有對(duì)應(yīng)的威脅發(fā)生，單純的脆弱性本身不會(huì)對(duì)資產(chǎn)造成損害。并且如果系統(tǒng)足夠強(qiáng)健，再嚴(yán)重的威脅也不會(huì)造成安全事件，并造成損失。即，威脅總是要運(yùn)用資產(chǎn)的脆弱性才可能造成危害。資產(chǎn)的脆弱性含有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才干顯現(xiàn)，這是脆弱性識(shí)別中最為困難的部分。需要注意的是，不對(duì)的的、起不到應(yīng)有作用的或沒有對(duì)的實(shí)施的安全方法本身就可能是一種脆弱性。脆弱性識(shí)別將針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，找出可能被威脅運(yùn)用的脆弱性，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)定。脆弱性識(shí)別時(shí)的數(shù)據(jù)應(yīng)來自于資產(chǎn)的全部者、使用者，以及有關(guān)業(yè)務(wù)領(lǐng)域的專家和軟硬件方面的專業(yè)人員。脆弱性識(shí)別重要從技術(shù)和管理兩個(gè)方面進(jìn)行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問題。管理脆弱性又可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動(dòng)有關(guān)，后者與管理環(huán)境有關(guān)。常見脆弱性序號(hào)類別單薄點(diǎn)威脅1.

環(huán)境和基礎(chǔ)設(shè)施建筑物/門以及窗戶缺少物理保護(hù)例如,可能會(huì)被盜竊這一威脅所運(yùn)用●對(duì)建筑物\房間物理進(jìn)入控制不充足,或松懈可能會(huì)被故意損害這一威脅所運(yùn)用●電網(wǎng)不穩(wěn)定可能會(huì)被功率波動(dòng)這一威脅所運(yùn)用●所處位置容易受到洪水攻擊可能會(huì)被洪水這一威脅所運(yùn)用2.

硬件缺少定時(shí)替代計(jì)劃可能會(huì)被存儲(chǔ)媒體退化這一威脅所運(yùn)用●容易受到電壓不穩(wěn)定的侵?jǐn)_可能會(huì)被功率波動(dòng)這一威脅所運(yùn)用●容易受到溫度變化的侵?jǐn)_可能會(huì)溫度的極端變化這一威脅所運(yùn)用●容易受到濕度、灰塵和污染的侵?jǐn)_可能會(huì)被灰塵這一威脅所運(yùn)用●對(duì)電磁輻射的敏感性可能會(huì)被電磁輻射這一威脅所運(yùn)用●不充足的維護(hù)/存儲(chǔ)媒體的錯(cuò)誤安裝可能會(huì)被維護(hù)失誤這一威脅所運(yùn)用●缺少有效的配備變化控制可能會(huì)被操作職工失誤這一威脅所運(yùn)用3.

軟件開發(fā)人員的闡明不清晰或不完整可能會(huì)被軟件故障這一威脅所運(yùn)用●沒有軟件測(cè)試或軟件測(cè)試不充足可能會(huì)被未經(jīng)授權(quán)許可的顧客使用軟件這一威脅所運(yùn)用●復(fù)雜的顧客界面可能會(huì)被操作職工失誤這一威脅所運(yùn)用●缺少識(shí)別和鑒定機(jī)制，如：顧客鑒定可能會(huì)被冒充顧客身份這一威脅所運(yùn)用●缺少審核跟蹤可能會(huì)被以未經(jīng)授權(quán)許可的方式使用軟件這一威脅所運(yùn)用●軟件中存在眾所周知的缺點(diǎn)可能會(huì)被軟件未經(jīng)許可的顧客使用軟件這一威脅所運(yùn)用●口令表沒有受到保護(hù)可能會(huì)被冒充顧客身份這一威脅所運(yùn)用●口令管理較差（很容易被猜想，公開地存儲(chǔ)口令，不經(jīng)常更改）可能會(huì)被冒充顧客身份這一威脅所運(yùn)用●訪問權(quán)的錯(cuò)誤分派可能會(huì)被以未經(jīng)許可的方式使用軟件這一威脅所運(yùn)用●對(duì)下載和使用軟件不進(jìn)行控制可能會(huì)被惡意軟件這一威脅所運(yùn)用●離開工作站沒有注銷顧客可能會(huì)被未經(jīng)許可的顧客使用軟件這一威脅所運(yùn)用●缺少有效的變化控制可能會(huì)被軟件故障這一威脅所運(yùn)用●缺少文獻(xiàn)編制可能會(huì)被操作職工的失誤這一威脅所運(yùn)用●缺少備份可能會(huì)被惡意軟件或火災(zāi)這一威脅所運(yùn)用●沒有適宜的擦除而對(duì)存儲(chǔ)媒體進(jìn)行解決或重新使用可能會(huì)被未經(jīng)許可的顧客使用軟件這一威脅所運(yùn)用4.

通訊通訊線路沒有保護(hù)可能會(huì)被偷聽這一威脅所運(yùn)用●電纜連接差可能會(huì)被通訊滲入這一威脅所運(yùn)用●對(duì)發(fā)件人和收件人缺少識(shí)別和鑒定可能會(huì)被冒充顧客身份這一威脅所運(yùn)用●公開傳送口令可能會(huì)被未經(jīng)許可的顧客接入網(wǎng)絡(luò)這一威脅所運(yùn)用●收發(fā)信息缺少驗(yàn)證可能會(huì)被否認(rèn)這一威脅所運(yùn)用●撥號(hào)線路可能會(huì)被未經(jīng)許可的顧客接入網(wǎng)絡(luò)這一威脅所運(yùn)用●對(duì)敏感性通信不進(jìn)行保護(hù)可能會(huì)被偷聽這一威脅所運(yùn)用●網(wǎng)絡(luò)管理不充足（路由的彈性）可能會(huì)被通信量超載這一威脅所運(yùn)用●公共網(wǎng)絡(luò)連接沒有保護(hù)可能會(huì)被未經(jīng)許可的顧客使用軟件這一威脅所運(yùn)用5.

文獻(xiàn)存儲(chǔ)沒有保護(hù)可能會(huì)被盜竊這一威脅所運(yùn)用●進(jìn)行解決時(shí)缺少關(guān)注可能會(huì)被盜竊這一威脅所運(yùn)用●對(duì)拷貝沒有進(jìn)行控制可能會(huì)被盜竊這一威脅所運(yùn)用6.

人員人員缺席可能會(huì)被缺少員工這一威脅所運(yùn)用●對(duì)外部人員和清理人員的工作不進(jìn)行監(jiān)督可能會(huì)被盜竊這一威脅所運(yùn)用●不充足的安全培訓(xùn)可能會(huì)被操作職工的失誤這一威脅所運(yùn)用●缺少安全意識(shí)可能會(huì)被顧客錯(cuò)誤這一威脅所運(yùn)用●對(duì)軟件和硬件不對(duì)的的使用可能會(huì)被操作職工的失誤這一威脅所運(yùn)用●缺少監(jiān)控機(jī)制可能會(huì)被以未經(jīng)許可的方式使用軟件這一威脅所運(yùn)用●在對(duì)的使用通訊媒體和信息方面缺少政策可能會(huì)被以未經(jīng)許可的方式使用網(wǎng)絡(luò)設(shè)施這一威脅所運(yùn)用●增員程序不充足可能會(huì)被故意損害這一威脅所運(yùn)用7.

普通都合用的單薄環(huán)節(jié)某一點(diǎn)上的故障可能會(huì)被通訊服務(wù)故障這一威脅所運(yùn)用●服務(wù)維護(hù)反映局限性可能會(huì)被硬件故障這一威脅所運(yùn)用脆弱性識(shí)別容表類型識(shí)別對(duì)象識(shí)別容技術(shù)脆弱性物理環(huán)境從機(jī)房場(chǎng)地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識(shí)別網(wǎng)絡(luò)構(gòu)造從網(wǎng)絡(luò)構(gòu)造設(shè)計(jì)、邊界保護(hù)、外部訪問控制方略、部訪問控制方略、網(wǎng)絡(luò)設(shè)備安全配備等方面進(jìn)行識(shí)別系統(tǒng)軟件從補(bǔ)丁安裝、物理保護(hù)、顧客、口令方略、資源共享、事件審計(jì)、訪問控制、新系統(tǒng)配備、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別應(yīng)用中間件從合同安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識(shí)別應(yīng)用系統(tǒng)從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問控制方略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別管理脆弱性技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)持續(xù)性等方面進(jìn)行識(shí)別組織管理從安全方略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進(jìn)行識(shí)別威脅運(yùn)用脆弱性發(fā)生風(fēng)險(xiǎn)之后的影響后果描述風(fēng)險(xiǎn)描述識(shí)別現(xiàn)有控制方法評(píng)定威脅發(fā)生的可能性分析威脅運(yùn)用脆弱性給資產(chǎn)造成損害的可能性。擬定各個(gè)威脅運(yùn)用脆弱性造成損害的可能性。判斷每項(xiàng)重要資產(chǎn)所面臨威脅發(fā)生的可能性時(shí)應(yīng)注意：威脅事件本身發(fā)生的可能性；現(xiàn)有的安全控制方法；現(xiàn)存的安全脆弱性。要素標(biāo)記發(fā)生的頻率等級(jí)威脅運(yùn)用弱點(diǎn)造成危害的可能性很高出現(xiàn)的頻率很高（或≥1次/周）；或在大多數(shù)狀況下幾乎不可避免；或能夠證明經(jīng)常發(fā)生過5高出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)狀況下很有可能會(huì)發(fā)生；或能夠證明多次發(fā)生過4普通出現(xiàn)的頻率中檔（或>1次/六個(gè)月）；或在某種狀況下可能會(huì)發(fā)生；或被證明曾經(jīng)發(fā)生過3低出現(xiàn)的頻率較小；或普通不太可能發(fā)生；或沒有被證明發(fā)生過2很低威脅幾乎不可能發(fā)生；僅可能在非常罕見和例外的狀況下發(fā)生1影響程度分析影響程度指一旦威脅事件實(shí)際發(fā)生時(shí)，將給資產(chǎn)帶來多大程度的損失。在分析時(shí)，能夠從影響有關(guān)方和影響業(yè)務(wù)持續(xù)性兩個(gè)不同維度方面來評(píng)定打分。如果改風(fēng)險(xiǎn)可能引發(fā)法律起訴，則影響程度值為最高5分。要素標(biāo)記嚴(yán)重程度等級(jí)威脅被運(yùn)用后的嚴(yán)重性很高如果被威脅運(yùn)用，將對(duì)公司重要資產(chǎn)造成重大損害5高如果被威脅運(yùn)用，將對(duì)重要資產(chǎn)造成普通損害4普通如果被威脅運(yùn)用，將對(duì)普通資產(chǎn)造成重要損害3低如果被威脅運(yùn)用，將對(duì)普通資產(chǎn)造成普通損害2很低如果被威脅運(yùn)用，將對(duì)資產(chǎn)造成的損害能夠無視1風(fēng)險(xiǎn)的等級(jí)風(fēng)險(xiǎn)值由威脅發(fā)生的可能性、影響程度和資產(chǎn)價(jià)值這三個(gè)因素共同決定。風(fēng)險(xiǎn)值計(jì)算辦法：風(fēng)險(xiǎn)值=威脅發(fā)生可能性*（威脅發(fā)生對(duì)性的影響+威脅發(fā)生對(duì)完整性的影響+威脅發(fā)生對(duì)可用性的影響）風(fēng)險(xiǎn)等級(jí)原則見下表：要素標(biāo)記風(fēng)險(xiǎn)值圍級(jí)別可接受準(zhǔn)則風(fēng)險(xiǎn)級(jí)別高風(fēng)險(xiǎn)>204風(fēng)險(xiǎn)不可接受，必須立刻采用有效的方法減少風(fēng)險(xiǎn)較高風(fēng)險(xiǎn)>15且<=203風(fēng)險(xiǎn)能夠接受，但需要采用進(jìn)一步方法減少風(fēng)險(xiǎn)普通風(fēng)險(xiǎn)>10且<=152風(fēng)險(xiǎn)能夠接受低風(fēng)險(xiǎn)<=101建議控制方法安全方法能夠分為防止性安全方法和保護(hù)性安全方法兩種。防止性安全方法能夠減少威脅運(yùn)用脆弱性造成安全事件發(fā)生的可能性，如入侵檢測(cè)系統(tǒng)；保護(hù)性安全方法能夠減少因安全事件發(fā)生對(duì)信息系統(tǒng)造成的影響，如業(yè)務(wù)持續(xù)性計(jì)劃。建議控制方法確實(shí)認(rèn)與脆弱性識(shí)別存在一定的聯(lián)系。普通來說，安全方法的使用將減少脆弱性，但安全方法確實(shí)認(rèn)并不需要與脆弱性識(shí)別過程那樣具體到每個(gè)資產(chǎn)、組件的脆弱性，而是一類具體方法的集合。不可接受風(fēng)險(xiǎn)的擬定通過預(yù)制的風(fēng)險(xiǎn)的可接受準(zhǔn)則，進(jìn)行風(fēng)險(xiǎn)可接受性鑒定（與否高風(fēng)險(xiǎn)），并生成各部門的《重要資產(chǎn)調(diào)查與風(fēng)險(xiǎn)評(píng)定表》表單。各部門的《重要資產(chǎn)調(diào)查與風(fēng)險(xiǎn)評(píng)定表》經(jīng)本部門負(fù)責(zé)人審核，報(bào)管理者代表同意。風(fēng)險(xiǎn)解決對(duì)風(fēng)險(xiǎn)應(yīng)進(jìn)行解決。對(duì)可接受風(fēng)險(xiǎn)，可保持已有的安全方法；如果是不可接受風(fēng)險(xiǎn)（高風(fēng)險(xiǎn)），則需要采用安全方法以減少、控制風(fēng)險(xiǎn)。對(duì)不可接受風(fēng)險(xiǎn)，應(yīng)采用新的風(fēng)險(xiǎn)解決的方法，規(guī)定風(fēng)險(xiǎn)解決方式、責(zé)任部門和時(shí)間進(jìn)度，高風(fēng)險(xiǎn)應(yīng)得到優(yōu)先的考慮。信息安全管理委員會(huì)根據(jù)《重要資產(chǎn)調(diào)查與風(fēng)險(xiǎn)評(píng)定表》編制《風(fēng)險(xiǎn)處置計(jì)劃》。信息安全管理委員會(huì)根據(jù)《重要資產(chǎn)調(diào)查與風(fēng)險(xiǎn)評(píng)定表》編制《風(fēng)險(xiǎn)評(píng)定報(bào)告》，述信息安全管理現(xiàn)狀，分析存在的信息安全風(fēng)險(xiǎn)，提出信息安全管理（控制）的建議與方法。管理者代表考慮成本與風(fēng)險(xiǎn)的關(guān)系，對(duì)《風(fēng)險(xiǎn)評(píng)定報(bào)告》及《風(fēng)險(xiǎn)解決計(jì)劃》的有關(guān)容審核，對(duì)認(rèn)為不適宜的控制或風(fēng)險(xiǎn)解決方式等提出闡明，由信息安全管理委員會(huì)協(xié)同有關(guān)部門重新考慮管理者代表的意見，選擇其它的控制或風(fēng)險(xiǎn)解決方式，并重新提交管理者代表審核同意實(shí)施。各責(zé)任部門按照同意后的《風(fēng)險(xiǎn)解決計(jì)劃》的規(guī)定采用有效安全控制方法，確保所采用的控制方法是有效的。如果減少風(fēng)險(xiǎn)所付出的成本不不大于風(fēng)險(xiǎn)所造成的損失，則選擇接受風(fēng)險(xiǎn)。剩余風(fēng)險(xiǎn)評(píng)定對(duì)采用安全方法解決后的風(fēng)險(xiǎn)，信息安全管理委員會(huì)進(jìn)行再評(píng)定，以判斷實(shí)施安全方法后的殘存風(fēng)險(xiǎn)與否已經(jīng)減少到可接受的水平。某些風(fēng)險(xiǎn)可能在選擇了適宜的安全方法后仍處在不可接受的風(fēng)險(xiǎn)圍，應(yīng)考慮與否接受此風(fēng)險(xiǎn)或進(jìn)一步增加對(duì)應(yīng)的安全方法。剩余風(fēng)險(xiǎn)評(píng)定完畢后，剩余風(fēng)險(xiǎn)報(bào)管理者代表審核、總經(jīng)理同意。信息安全風(fēng)險(xiǎn)的持續(xù)評(píng)定信息安全管理委員會(huì)每年