风险评估简介
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
✓ ISO/IEC 27001:2005《信息安全管理体系 要求》; ✓ ISO/IEC 17799:2005《信息安全管理实用规则》; ✓ GB/T 20984《信息安全风险评估规范》
其它依据
✓ 信息安全等级保护基本要求 ✓ GB/T 9361-2000 计算机场地安全要求 ✓ GB 17859-1999 计算机信息系统安全保护等级划分准则 ✓ GB/T 18336-2001 信息技术 安全技术 信息技术安全性评估准则(ISO/IEC 15408:
资产评价时应该考虑:
✓ 信息资产因为受损而对业务造成的直接损失; ✓ 信息资产恢复到正常状态所付出的代价,包括检测、控制、修复时的人力和物力; ✓ 信息资产受损对其他部门的业务造成的影响; ✓ 组织在公众形象和名誉上的损失; ✓ 因为业务受损导致竞争优势降级而引发的间接损失; ✓ 其他损失,例如保险费用的增加。
平
与风险评估相关的概念
资产(Asset)—— 任何对组织具有价值的东西,包括计算机硬件、通信设
施、建筑物、数据库、文档信息、软件、信息服务和人员等,所有这些资产都需要妥善保 护。
威胁(Threat)—— 可能对资产或组织造成损害的某种安全事件发生的潜
在原因,通常需要识别出威胁源(Threat source)或威胁代理(Threat agent)。
1999) ✓ GB/T 19716-2005 信息技术 信息安全管理实用规则(ISO/IEC 17799:2000,IDT) ✓ …….
风险评估的原则
标准化和规范化 安全性原则 一致性原则 整体性原则 动态性原则 经济性原则
风险评估的流程
风险评估的方法
资产识别>>资产识别及分类
• 技术性(Technical):身份识别与认证、逻辑访问控制、日志审计、加密等。
从功能来看,控制措施类型包威括胁 :
防止
威慑性控制
• 威慑性(Deterrent)
“真正安全的计算机是拔下网线,断 和可用性,以及安全性和成本投入之间做一种平衡。
掉电源,放置在地下掩体的保险柜中, 并在掩体内充满毒气,在掩体外安排 士兵守卫。”
显然,这样的计算机是无法使用的。
关键是实现成本利益的平衡
高
安全事件的损失
/
损安 失全
成 本
低
安全控制的成本
最小化的总
成本
所提供的安全水
高
威胁带来的影响
采取有效措施,降低威胁事件发生的可能性,
或者减小威胁事件造成的影响,从而将风险消减
风险评估与管理的目标
资产
资产
风险
威胁
漏洞
基本的风险
RISK
威胁
漏洞
采取措施后剩余的风险
绝对安全是不存在的!
绝对的零风险是不存在的,要想实现零风险,也 是不现实的;
计算机系统的安全性越高,其可用性越低,需要 在计算机安全领域有一句格言: 付出的成本也就越大,一般 来说,需要在安全性
对资产进行保护是信息安全和风险管理的首要目标。
划入风险评估范围和边界的每项资产都应该被识别和评价。
应该清楚识别每项资产的拥有者、保管者和使用者。
组织应该建立资产清单,可以根据业务流程来识别信息资 产。
信息资产的存在形式有多种,物理的、逻辑的、无形的。
• 数据资产:存在于电子媒介中的各种数据和资料,包括源代码、数据库、数据文件、系统文件等 • 软件资产:应用软件,系统软件,开发工具,公用程序 • 实物资产:计算机和通信设备,磁介质,电源和空调等技术性设备,家具,场所 • 人员:承担特定职能和责任的人员 • 服务:计算和通信服务,其他技术性服务, 例如供暖、照明、水电、UPS等
就是对信息和信息处理设施面临的
威胁、受到的影响、存在的弱点以
及风威险胁发管生理的可能性的风评险估管。理(Risk Management)
就是以可接受的代价,识别、控制、
减少或消除可能影响信息系统的安全
风险评估与管理的目标
威
胁
发
生
低影响
的
高可能性
可
能
性
低影响 低可能性
高影响 高可能性
高影响 低可能性
资产可用性赋值表
资产价值
依据资产在保密性、完整性和可用性上的赋值等级, 经过综合评定方法,结合自身的特点,选择对资产 保密性、完整性和可用性最为重要的一个属性的赋 值等级作为资产的最终赋值结果;
根据资产保密性、完整性和可用性的不同等级对其 赋值进行加权计算得到资产的最终赋值结果。加权 方法可根据组织的业务特点确定。
弱点列表
脆弱性赋值
等级
标识
5
很高
4
高
3
中等
2
低
1
很低
定义 如果被威胁利用,将对资产造成完全损害 如果被威胁利用,将对资产造成重大损害 如果被威胁利用,将对资产造成一般损害 如果被威胁利用,将对资产造成较小损害 如果被威胁利用,将对资产造成的损害可以忽略
脆弱性赋值表
价值(重要性)
资产名称
威胁
CI A
识别威胁的关键在于确认引发威胁的人或物,即威胁源 (威胁代理,Threat Agent)。
威胁可能是蓄意也可能是偶然的因素(不同的性质),通 常包括(来源):
• 人员威胁:故意破坏和无意失误 • 系统威胁:系统、网络或服务出现的故障 • 环境威胁:电源故障、污染、液体泄漏、火灾等 • 自然威胁:洪水、地震、台风、雷电等
威胁对资产的侵害,表现在CIA某方面或者多个方面的受 损上。
威胁赋值
等级 5
4
3 2 1
标识 很高
高
中等 低
很低
定义
出现的频率很高(或≥1 次/周);或在大多数情况下几乎不可避免;或 可以证实经常发生过 出现的频率较高(或≥ 1 次/月);或在大多数情况下很有可能会发生; 或可以证实多次发生过 出现的频率中等(或> 1 次/半年);或在某种情况下可能会发生;或 被证实曾经发生过 出现的频率较小;或一般不太可能发生;或没有被证实发生过 威胁几乎不可能发生;仅可能在非常罕见和例外的情况下发生
定性分析时,我们关心的是资产对组织的重要性或其 敏感程度,即由于资产受损而引发的潜在的业务影响或 后果。
资产赋值
赋值 5
标识 很高
4
高
3
中等
2
低
1
很低
定义 包含组织最重要的秘密,关系未来发展的前途命运,对组织 根本利益有着决定性的影响,如果泄露会造成灾难性的损害
包含组织的重要秘密,其泄露会使组织的安全和利益遭受严 重损害 组织的一般性秘密,其泄露会使组织的安全和利益受到损害 仅能在组织内部或在组织某一部门内部公开的信息,向外扩 散有可能对组织的利益造成轻微损害
2
低
不太重要,其安全属性破坏后可能对组织造成较低的损失
不重要,其安全属性破坏后对组织造成导很小的损失,甚至忽
1
很低
略不计
资产赋值表
资产名称
价值(重要性)
C
I
A
资产价值
威胁识别
内部人员威 胁
黑客渗透
木马后门
病毒和蠕 虫
逻辑炸弹
系统Bug
信息资产
拒绝服务 社会工程
硬件故障
网络通信故障 供电中断 失火
威胁值
弱点
弱点值
已有安全措施确认
从针对性和实施方式来看,控制措施包括三类:
• 管理性(Administrative):对系统的开发、维护和使用实施管理的措施,包括安全策略、程序管 理、风险管理、安全保障、系统生命周期管理等。
• 操作性(Operational):用来保护系统和应用操作的流程和机制,包括人员职责、应急响应、事 件处理、意识培训、系统支持和操作、物理和环境安全等。
未提供或未泄露给非授权的个人、过程或其他实体的程度。
完整性( integrity)——保证信息及信息系统不会被非授权更改或破坏的特
性。包括数据完整性和系统完整性。
可用性(availability)——数据或资源的特性,被授权实体按要求能访问和
使用数据或资源。
风险评估依据及原则
风险评估的依据
主要依据:
接或间接的损失或伤害。
安全措施(Safeguard)—— 控制措施(control)或对策
(countermeasure),即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风 险的机制、方法和措施。
与风险评估相关的概念
保密性(confidentiality)——数据所具有的特性,即表示数据所达到的
威胁赋值表
资产名 称
价值(重要性)
C
I
A
威胁
威胁值
脆弱性识别
在脆弱性识别的时,主要根据ISO27001的11个控制域的要求对< 客户方>信息系统所面临的弱点进行识别,具体包括:
安全方针 信息安全组织 资产管理 人力资源安全 物理和环境安全 通信和操作管理
访问控制 信息系统获取、开发和维 护 信息安全事故管理 业务连续性管理 符合性
风险评估简介
LOGO
风险评估简介
目录
• 风险评估概述 • 风险评估的依据及原则 • 风险评估流程 • 风险评估的方法 • 风险评估的输出结果 • Q&A
风险评估概述
风险
在信息安全领域,风险(Risk)
就是指信息资产遭受损坏并给企业带
来负面影响的潜在可能性。
风险评估(Risk Assessment) 风险评估
雷雨
地震
我们的信息资产面临诸多外在威胁
人是最关键的威胁因素
对威胁来源的定位,其实是综合了人为因素和系
统自身逻辑与物理上诸多因素在一起的,但归根结底,
还是人在起着决定性的作用,无论是系统自身的缺陷,
还是配置管理上的不善,都是因为人的参与(HR访问操
Βιβλιοθήκη Baidu
外胁恶作威意部者或胁人攻。员击威破In坏ter)net,才给网络DZ的M安全带来内了部In种tr人an种e员t 隐R威&MD患a胁Frkine和atinncge
资产登记表图例
资产识别>>资产分析
资产分析主要根据信息资产的三属性对资产的价值进
行分析:
机密性
(Confidentiality)
完整性 (Integrity )
可用性 (Availability)
资产识别>>资产分析
在资产分析分析过程中,除了结合资产具有三属性 进行分析外,还要需结合以下几种方式进行分析:
远程办公
Extranet
其他人员的威胁
供应商
商业伙伴
威胁不仅仅来自内部
黑客虽然可怕,可更多时候,内部人员威胁却更易被 忽略,但却更容易造成危害
据权威部门统计,内部人员犯罪(或于内部人员有关 的犯罪)占到了计算机犯罪总量的70%以上
员工误操作
蓄意破坏
公司资源私用
威胁识别>>威胁分析
识别每项(类)资产可能面临的威胁。一项资产可能面临 多个威胁,一个威胁也可能对不同资产造成影响。
可对社会公开的信息,公用的信息处理设备和系统资源等
资产保密性赋值表
资产赋值
赋值 5
4 3 2 1
标识 很高
高 中等 低 很低
定义 完整性价值非常关键,未经授权的修改或破坏会对组织造成重 大的或无法接受的影响,对业务冲击重大,并可能造成严重的 业务中断,难以弥补 完整性价值较高,未经授权的修改或破坏会对组织造成重大影 响,对业务冲击严重,较难弥补 完整性价值中等,未经授权的修改或破坏会对组织造成影响, 对业务冲击明显,但可以弥补 完整性价值较低,未经授权的修改或破坏会对组织造成轻微影 响,对业务冲击轻微,容易弥补 完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以 忽略,对业务冲击可以忽略
重要资产分析
将资产值划分为5个等级,等级越高,说明资产
越重要,根据资产赋值结果,确定重要资产的范围,
等级
标识
描述
并对重要资产进行重点评估。
5
很高
非常重要,其安全属性破坏后可能对组织造成非常严重的损失
4
高
重要,其安全属性破坏后可能对组织造成比较严重的损失
3
中等 比较重要,其安全属性破坏后可能对组织造成中等程度的损失
弱点(Vulnerability)—— 也被称作漏洞或脆弱性,即资产或资产组中
存在的可被威胁利用的缺点,弱点一旦被利用,就可能对资产造成损害。
可能性(Likelihood)——对威胁发生几率(Probability)或频率
(Frequency)的定性描述。
影响(Impact)—— 后果(Consequence),意外事件发生给组织带来的直
资产完整性赋值表
资产赋值
赋值 5 4 3 2 1
标识 很高 高 中等 低 很低
定义 可用性价值非常高,合法使用者对信息及信息系统的可用度达 到年度99.9%以上,或系统不允许中断 可用性价值较高,合法使用者对信息及信息系统的可用度达到 每天90%以上,或系统允许中断时间小于10min 可用性价值中等,合法使用者对信息及信息系统的可用度在正 常工作时间达到70%以上,或系统允许中断时间小于30min 可用性价值较低,合法使用者对信息及信息系统的可用度在正 常工作时间达到25%以上,或系统允许中断时间小于60min 可用性价值可以忽略,合法使用者对信息及信息系统的可用度 在正常工作时间低于25%
其它依据
✓ 信息安全等级保护基本要求 ✓ GB/T 9361-2000 计算机场地安全要求 ✓ GB 17859-1999 计算机信息系统安全保护等级划分准则 ✓ GB/T 18336-2001 信息技术 安全技术 信息技术安全性评估准则(ISO/IEC 15408:
资产评价时应该考虑:
✓ 信息资产因为受损而对业务造成的直接损失; ✓ 信息资产恢复到正常状态所付出的代价,包括检测、控制、修复时的人力和物力; ✓ 信息资产受损对其他部门的业务造成的影响; ✓ 组织在公众形象和名誉上的损失; ✓ 因为业务受损导致竞争优势降级而引发的间接损失; ✓ 其他损失,例如保险费用的增加。
平
与风险评估相关的概念
资产(Asset)—— 任何对组织具有价值的东西,包括计算机硬件、通信设
施、建筑物、数据库、文档信息、软件、信息服务和人员等,所有这些资产都需要妥善保 护。
威胁(Threat)—— 可能对资产或组织造成损害的某种安全事件发生的潜
在原因,通常需要识别出威胁源(Threat source)或威胁代理(Threat agent)。
1999) ✓ GB/T 19716-2005 信息技术 信息安全管理实用规则(ISO/IEC 17799:2000,IDT) ✓ …….
风险评估的原则
标准化和规范化 安全性原则 一致性原则 整体性原则 动态性原则 经济性原则
风险评估的流程
风险评估的方法
资产识别>>资产识别及分类
• 技术性(Technical):身份识别与认证、逻辑访问控制、日志审计、加密等。
从功能来看,控制措施类型包威括胁 :
防止
威慑性控制
• 威慑性(Deterrent)
“真正安全的计算机是拔下网线,断 和可用性,以及安全性和成本投入之间做一种平衡。
掉电源,放置在地下掩体的保险柜中, 并在掩体内充满毒气,在掩体外安排 士兵守卫。”
显然,这样的计算机是无法使用的。
关键是实现成本利益的平衡
高
安全事件的损失
/
损安 失全
成 本
低
安全控制的成本
最小化的总
成本
所提供的安全水
高
威胁带来的影响
采取有效措施,降低威胁事件发生的可能性,
或者减小威胁事件造成的影响,从而将风险消减
风险评估与管理的目标
资产
资产
风险
威胁
漏洞
基本的风险
RISK
威胁
漏洞
采取措施后剩余的风险
绝对安全是不存在的!
绝对的零风险是不存在的,要想实现零风险,也 是不现实的;
计算机系统的安全性越高,其可用性越低,需要 在计算机安全领域有一句格言: 付出的成本也就越大,一般 来说,需要在安全性
对资产进行保护是信息安全和风险管理的首要目标。
划入风险评估范围和边界的每项资产都应该被识别和评价。
应该清楚识别每项资产的拥有者、保管者和使用者。
组织应该建立资产清单,可以根据业务流程来识别信息资 产。
信息资产的存在形式有多种,物理的、逻辑的、无形的。
• 数据资产:存在于电子媒介中的各种数据和资料,包括源代码、数据库、数据文件、系统文件等 • 软件资产:应用软件,系统软件,开发工具,公用程序 • 实物资产:计算机和通信设备,磁介质,电源和空调等技术性设备,家具,场所 • 人员:承担特定职能和责任的人员 • 服务:计算和通信服务,其他技术性服务, 例如供暖、照明、水电、UPS等
就是对信息和信息处理设施面临的
威胁、受到的影响、存在的弱点以
及风威险胁发管生理的可能性的风评险估管。理(Risk Management)
就是以可接受的代价,识别、控制、
减少或消除可能影响信息系统的安全
风险评估与管理的目标
威
胁
发
生
低影响
的
高可能性
可
能
性
低影响 低可能性
高影响 高可能性
高影响 低可能性
资产可用性赋值表
资产价值
依据资产在保密性、完整性和可用性上的赋值等级, 经过综合评定方法,结合自身的特点,选择对资产 保密性、完整性和可用性最为重要的一个属性的赋 值等级作为资产的最终赋值结果;
根据资产保密性、完整性和可用性的不同等级对其 赋值进行加权计算得到资产的最终赋值结果。加权 方法可根据组织的业务特点确定。
弱点列表
脆弱性赋值
等级
标识
5
很高
4
高
3
中等
2
低
1
很低
定义 如果被威胁利用,将对资产造成完全损害 如果被威胁利用,将对资产造成重大损害 如果被威胁利用,将对资产造成一般损害 如果被威胁利用,将对资产造成较小损害 如果被威胁利用,将对资产造成的损害可以忽略
脆弱性赋值表
价值(重要性)
资产名称
威胁
CI A
识别威胁的关键在于确认引发威胁的人或物,即威胁源 (威胁代理,Threat Agent)。
威胁可能是蓄意也可能是偶然的因素(不同的性质),通 常包括(来源):
• 人员威胁:故意破坏和无意失误 • 系统威胁:系统、网络或服务出现的故障 • 环境威胁:电源故障、污染、液体泄漏、火灾等 • 自然威胁:洪水、地震、台风、雷电等
威胁对资产的侵害,表现在CIA某方面或者多个方面的受 损上。
威胁赋值
等级 5
4
3 2 1
标识 很高
高
中等 低
很低
定义
出现的频率很高(或≥1 次/周);或在大多数情况下几乎不可避免;或 可以证实经常发生过 出现的频率较高(或≥ 1 次/月);或在大多数情况下很有可能会发生; 或可以证实多次发生过 出现的频率中等(或> 1 次/半年);或在某种情况下可能会发生;或 被证实曾经发生过 出现的频率较小;或一般不太可能发生;或没有被证实发生过 威胁几乎不可能发生;仅可能在非常罕见和例外的情况下发生
定性分析时,我们关心的是资产对组织的重要性或其 敏感程度,即由于资产受损而引发的潜在的业务影响或 后果。
资产赋值
赋值 5
标识 很高
4
高
3
中等
2
低
1
很低
定义 包含组织最重要的秘密,关系未来发展的前途命运,对组织 根本利益有着决定性的影响,如果泄露会造成灾难性的损害
包含组织的重要秘密,其泄露会使组织的安全和利益遭受严 重损害 组织的一般性秘密,其泄露会使组织的安全和利益受到损害 仅能在组织内部或在组织某一部门内部公开的信息,向外扩 散有可能对组织的利益造成轻微损害
2
低
不太重要,其安全属性破坏后可能对组织造成较低的损失
不重要,其安全属性破坏后对组织造成导很小的损失,甚至忽
1
很低
略不计
资产赋值表
资产名称
价值(重要性)
C
I
A
资产价值
威胁识别
内部人员威 胁
黑客渗透
木马后门
病毒和蠕 虫
逻辑炸弹
系统Bug
信息资产
拒绝服务 社会工程
硬件故障
网络通信故障 供电中断 失火
威胁值
弱点
弱点值
已有安全措施确认
从针对性和实施方式来看,控制措施包括三类:
• 管理性(Administrative):对系统的开发、维护和使用实施管理的措施,包括安全策略、程序管 理、风险管理、安全保障、系统生命周期管理等。
• 操作性(Operational):用来保护系统和应用操作的流程和机制,包括人员职责、应急响应、事 件处理、意识培训、系统支持和操作、物理和环境安全等。
未提供或未泄露给非授权的个人、过程或其他实体的程度。
完整性( integrity)——保证信息及信息系统不会被非授权更改或破坏的特
性。包括数据完整性和系统完整性。
可用性(availability)——数据或资源的特性,被授权实体按要求能访问和
使用数据或资源。
风险评估依据及原则
风险评估的依据
主要依据:
接或间接的损失或伤害。
安全措施(Safeguard)—— 控制措施(control)或对策
(countermeasure),即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风 险的机制、方法和措施。
与风险评估相关的概念
保密性(confidentiality)——数据所具有的特性,即表示数据所达到的
威胁赋值表
资产名 称
价值(重要性)
C
I
A
威胁
威胁值
脆弱性识别
在脆弱性识别的时,主要根据ISO27001的11个控制域的要求对< 客户方>信息系统所面临的弱点进行识别,具体包括:
安全方针 信息安全组织 资产管理 人力资源安全 物理和环境安全 通信和操作管理
访问控制 信息系统获取、开发和维 护 信息安全事故管理 业务连续性管理 符合性
风险评估简介
LOGO
风险评估简介
目录
• 风险评估概述 • 风险评估的依据及原则 • 风险评估流程 • 风险评估的方法 • 风险评估的输出结果 • Q&A
风险评估概述
风险
在信息安全领域,风险(Risk)
就是指信息资产遭受损坏并给企业带
来负面影响的潜在可能性。
风险评估(Risk Assessment) 风险评估
雷雨
地震
我们的信息资产面临诸多外在威胁
人是最关键的威胁因素
对威胁来源的定位,其实是综合了人为因素和系
统自身逻辑与物理上诸多因素在一起的,但归根结底,
还是人在起着决定性的作用,无论是系统自身的缺陷,
还是配置管理上的不善,都是因为人的参与(HR访问操
Βιβλιοθήκη Baidu
外胁恶作威意部者或胁人攻。员击威破In坏ter)net,才给网络DZ的M安全带来内了部In种tr人an种e员t 隐R威&MD患a胁Frkine和atinncge
资产登记表图例
资产识别>>资产分析
资产分析主要根据信息资产的三属性对资产的价值进
行分析:
机密性
(Confidentiality)
完整性 (Integrity )
可用性 (Availability)
资产识别>>资产分析
在资产分析分析过程中,除了结合资产具有三属性 进行分析外,还要需结合以下几种方式进行分析:
远程办公
Extranet
其他人员的威胁
供应商
商业伙伴
威胁不仅仅来自内部
黑客虽然可怕,可更多时候,内部人员威胁却更易被 忽略,但却更容易造成危害
据权威部门统计,内部人员犯罪(或于内部人员有关 的犯罪)占到了计算机犯罪总量的70%以上
员工误操作
蓄意破坏
公司资源私用
威胁识别>>威胁分析
识别每项(类)资产可能面临的威胁。一项资产可能面临 多个威胁,一个威胁也可能对不同资产造成影响。
可对社会公开的信息,公用的信息处理设备和系统资源等
资产保密性赋值表
资产赋值
赋值 5
4 3 2 1
标识 很高
高 中等 低 很低
定义 完整性价值非常关键,未经授权的修改或破坏会对组织造成重 大的或无法接受的影响,对业务冲击重大,并可能造成严重的 业务中断,难以弥补 完整性价值较高,未经授权的修改或破坏会对组织造成重大影 响,对业务冲击严重,较难弥补 完整性价值中等,未经授权的修改或破坏会对组织造成影响, 对业务冲击明显,但可以弥补 完整性价值较低,未经授权的修改或破坏会对组织造成轻微影 响,对业务冲击轻微,容易弥补 完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以 忽略,对业务冲击可以忽略
重要资产分析
将资产值划分为5个等级,等级越高,说明资产
越重要,根据资产赋值结果,确定重要资产的范围,
等级
标识
描述
并对重要资产进行重点评估。
5
很高
非常重要,其安全属性破坏后可能对组织造成非常严重的损失
4
高
重要,其安全属性破坏后可能对组织造成比较严重的损失
3
中等 比较重要,其安全属性破坏后可能对组织造成中等程度的损失
弱点(Vulnerability)—— 也被称作漏洞或脆弱性,即资产或资产组中
存在的可被威胁利用的缺点,弱点一旦被利用,就可能对资产造成损害。
可能性(Likelihood)——对威胁发生几率(Probability)或频率
(Frequency)的定性描述。
影响(Impact)—— 后果(Consequence),意外事件发生给组织带来的直
资产完整性赋值表
资产赋值
赋值 5 4 3 2 1
标识 很高 高 中等 低 很低
定义 可用性价值非常高,合法使用者对信息及信息系统的可用度达 到年度99.9%以上,或系统不允许中断 可用性价值较高,合法使用者对信息及信息系统的可用度达到 每天90%以上,或系统允许中断时间小于10min 可用性价值中等,合法使用者对信息及信息系统的可用度在正 常工作时间达到70%以上,或系统允许中断时间小于30min 可用性价值较低,合法使用者对信息及信息系统的可用度在正 常工作时间达到25%以上,或系统允许中断时间小于60min 可用性价值可以忽略,合法使用者对信息及信息系统的可用度 在正常工作时间低于25%