ISO27001信息安全风险评估指南

ISO27001风险评估实施流程（详细版）ISO27001风险评估实施流程第⼀章：风险评估概念名词定义：风险：在信息安全领域，风险（Risk），就是指信息遭受损坏并给企业带来负⾯影响的潜在可能性。

风险评估（Risk Assessment）：包括风险识别、风险分析和风险评价在内的全部过程。

风险管理（Risk Management）：就是以可接受的代价、识别、控制、减少或消除可能影响信息的安全风险的过程。

风险的来源：如下图：风险评估的作⽤如下图：风险管理的原则如下图：第⼆章：风险评估的实施步骤1、风险评估过程根据ISO31000或者ISO27005标准进⾏风险评估实施过程的对标，并通过环境构建、风险识别、风险分析、风险评价、风险处置进⾏整个风险评估的过程，具体如下图：2、风险评估过程-环境构建环境构建：建⽴组织，明确风险评估⽬标、界定风险管理应该考虑的外部和内部参数、并设置风险管理过程的范围和风险准则。

主要任务：①确定风险评估的范围及对象②制定组织的风险接受准则评估⽬标信息资产：任何对组织具有价值的包含信息的东西，包括计算机硬件、通讯设施、数据库、⽂件信息、软件、信息服务和⼈员等、所有这些资产都需要妥善保护风险准则评价风险重要程度的依据：- 体现了组织的风险承受度、反映组织的价值观、⽬标和资源；- 风险准则直接或者间接反映了法律和法规要求或其他需要组织遵循的要求；- 风险准则应当与组织的风险管理⽅针⼀致。

2、风险评估过程-风险识别风险识别：风险源单独或联合具有内在的潜在引起危险的因素风险源数据库:提供风险依据，风险源的标准来源于ISO/IEC 27001中的114个控制措施风险识别表通过访谈、调查问卷、现场检查的⽅式来评估各类资产的管控现状，并将调研得到的信息汇总成为风险识别表3、风险评估过程-风险分析风险分析：系统的运⽤相关信息来确认风险的来源并对风险进⾏估计：说明：风险分析要考虑导致风险的原因和风险源，风险事件的正⾯和负⾯的后果及其发⽣的可能性。

1.目的在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估，形成评估报告，描述风险等级，识别和评价供处理风险的可选措施，选择控制目标和控制措施处理风险。

2.范围在ISMS 覆盖范围内主要信息资产3.职责3.1各部门负责部门内部资产的识别，确定资产价值。

3.2ISMS小组负责风险评估和制订控制措施和信息系统运行的批准。

4.内容4.1资产的识别4.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别，确定资产价值。

4.1.2资产分类根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类。

4.1.3资产赋值资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析，选择对资产机密性、完整性和可用性最为重要（分值最高）的一个属性的赋值等级作为资产的最终赋值结果。

资产等级划分为五级，分别代表资产重要性的高低。

等级数值越大，资产价值越高。

1）机密性赋值根据资产在机密性上的不同要求，将其分为五个不同的等级，分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。

2）完整性赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。

3）可用性赋值根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上的达成的不同程度。

3分以上为重要资产，重要信息资产由IT 部门确立清单4.2威胁识别4.2.1威胁分类对重要资产应由ISMS小组识别其面临的威胁。

针对威胁来源，根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。

4.2.2威胁赋值评估者应根据经验和（或）有关的统计数据来判断威胁出现的频率。

威胁频率等级划分为五级，分别代表威胁出现的频率的高低。

等级数值越大，威胁出现的频率越高。

威胁赋值见下表。

风险评估方法指引——信息资产识别&重要性评估
（1）识别关键业务过程
⏹关键业务活动的定义:
Ø本部门的主要业务职能
Ø所提供的主要产品和服务
Ø从事或开展的主要业务活动
（2）识别信息资产&重要性评估
⏹敏感数据流分析的原则：确定为个人隐私数据的信息需要做敏感数据流分析
⏹个人隐私数据：可以定位到具体某个人的一组信息
⏹资产责任岗位：业务过程中承担资产损失后果的岗位
⏹“移动办公设备”中应分开识别台式电脑、手提电脑、私人电脑、智能手机等，不要
写在同一行，否则会不知道是在针对哪个资产做的重要性评估。

其他类别资产同理
⏹做《资产识别评估表》中“【A】客户信息资料”、“【B】公司内部信息资产”的资
产识别时，要把所有“关键业务过程”都罗列进去，分别识别。

若某些“关键业务
过程”没有该类别资产，也不要删除此“关键业务过程”，以此表示此“关键业务
过程”没有该类资产。

⏹《资产识别评估表》中“【C】人员”的“关键信息资产细项”填写信息进行讨论，
最后确定调整修订为“岗位职责说明”。

⏹资产清单中从I到M类的资产各职能部门不用填写，统一由共享服务事业部-员工共享
服务部、IT部梳理。

⏹关于“N支持性服务”的梳理原则：暂时只针对外部供应商提供的服务进行梳理（以
集团为范围），7月认证通过后建议考虑集团内部的支持性服务识别。

（3）个人敏感数据流分析
⏹涉及个人敏感数据、且重要性为中以上（含中等）的信息资产，需要完成敏感数据流
分析。

第2页共2页。

信息安全风险评估报告编号：SR-QP-07-5一、 风险评估目的通过信息安全风险评估能够全面的发现公司及信息系统存在的脆弱性及面临的威胁，并识别出公司存在的信息安全风险，并找到最合适的控制措施来对风险进行控制，以降低风险，达到提高公司信息安全水平的目的。

二、 风险评估范围及时间1、评估涉及的部门本次风险评估是公司组织的第一次风险评估，评估范围涉及信息安全体系范围内的所有相关部门。

2、评估涉及的流程或系统本次风险评估涉及公司研发、销售及信息管理等方面的流程和系统及其信息资产。

3、评估时间本次评估时间为：2020.6.10-2020.6.27。

三、 风险评估小组成员参与本次评估的人员包括各部门负责人、信息安全项目组成员。

四、 风险评估过程及方法评估小组采用定性和定量相结合的方法对公司各方面进行评估。

评估流程如下：1、资产识别：1) 识别在评估范围内的资产。

对于在范围内的每一项资产都要恰当统计；不在本次评估范围内的资产，也要进行记录；2)要注意资产之间的关联，有时候关联和资产本身同等重要；3)按一定的标准，将信息资产进行恰当的分类，在此基础上进行下一步的风险评估工作。

2、资产价值评估：对资产等级进行定义，并表示成相对等级的形式，详细请参见《风险评估方法与准则》。

决定资产重要度时，需要考虑：1)不仅要考虑资产的成本价格，也要考虑资产对于组织业务的安全重要性，即根据资产损失所引发的潜在的影响来决定；2)为确保资产重要度的一致性和准确性，建立一个标准的尺度，以明确如何对资产的重要度进行评估。

3)分析和评价资产受到侵害后的保密性、完整性、可用性、业务影响，通过对四个属性（保密性、完整性、可用性、业务影响）进行赋值，并求和的方式，确定出资产的重要度等级。

3、资产面临的威胁、威胁可以利用的脆弱性的评估：1)分析本公司的信息系统存在威胁。

2)综合威胁来源、种类和其他因素后得出威胁列表；3)针对每一项需要保护的信息资产，找出可能面临的威胁。