信息安全风险评估表

资产的类型、赋值、所处位置相同时，可合在一起进行风险评估。 2.威胁、脆弱性统一赋值原则
资产的类型、所处位置相同，但资产赋值不同时，若采取的控制措施相 同，威胁及脆弱性的赋值基本保持一致。 3.残余风险赋值原则
如果风险可接受，暂不采取除现有控制措施以外的控制措施时，残余风 险与风险值一致。
5百度文库6 7
附录1-赋值说明
本文档使用过程中进行赋值的参考说明。
附录2-威胁、脆弱性对照表 附录3-风险等级对照表
按照资产类别排序的威胁、脆弱性对照表，用于资产风险 识风别险。计算结果对应风险等级的参照表，用于确定风险级别 。
资产识别 资产赋值 风险评估
注意事项
信息系统包含的资产主要指与信息系统直接相关的资产，如 信息：信息系统上传输的数据、信息系统的设计开发文档 软件：信息系统正常运行所需的应用、中间件、数据库、操作系统等 硬件：信息系统正常运行所需的服务器、小型机、磁盘柜等 关键活动包含的资产主要指活动进行所必须的6类资产，如 硬件：各部门用于存储、处理、传输日常办公及客户信息的各种设备和介 质，例 如移动硬盘、台式机、计算机等。 软件：各种本部门安装使用的软件，包括操作系统、中间件、数据库、应用 软件、工具应用软件、终端安全软件等。 信息：括各种业务相关的电子类及纸质的文件资料，可按照部门现有文件明 细列举。 人员：本部门各种对信息资产进行使用、操作和支持的人员角色，含为部门 提供各种服务的外部人员（例如长期驻场外包人员）。 物理环境：承载硬件资产和信息资产的设施。非计算机硬件类的实体。 服务：各种本部门通过购买方式获取的，或者需要支持部门特别提供的，支 持或协助日常业务进行的服务。
信息安全风险评估清单
编 号1 步骤1-业务影响分析
2 步骤2-资产清单 3 步骤3-风险清单 4 步骤4-风险处置计划
文档目录及说明
对评估范围内信息系统及关键活动的业务影响分析和排序 。各信息系统及关键活动所包含的资产清单及资产价值统计 。资产所面临的风险清单和风险计算结果，及相对应的残余 风险。 针对已决定进行处理的风险制定的详细的处理计划。
在对资产进行CIA赋值时，需注意以下内容： 1.一般情况下，软件、硬件更多的是考虑可用性，保密性、完整性的赋值可 以为1。 2.如果有些数据无法细分，可按照就高原则给出总体评分。 3.一般情况下，人员、服务的保密性、完整性无法衡量，更多的是考虑可用 性，保密性、完整性赋值可以为1。 风险评估过程应遵从以下原则： 1.合并同类项原则