信息科技风险评估流程图

网络信息安全风险评估实施方法1评估准备1.1第1步：成立评估工作组在一个评估工作下达后，需要组织人员来实施评估工作的内容。

评估工作组通常包括如下两方面的人员：评估人员：外部专业评估机构的人员，或由内部专业人员组成的评估队伍。

系统管理人员：待评系统的运维管理人员。

以上两部份人员形成一个完整的评估项目组，根据项目组成员的职能，项目组包括如下角色：表5.1 评估工作组人员角色安排1.2第2步：确定评估范围评估范围界定是对待评系统资产的抽样。

在成立了评估工作组后，评估范围可通过评估组的工作会议进行确定。

确定的评估范围应能代表待评估系统的所有关键资产，包括：网络范围、主机范围、应用系统范围、制度与管理范围。

评估范围确定后，待评系统管理人员需要根据选定的内容进行资料的准备工作，包括：网络拓扑结构图、信息资产清单、应用系统的说明稳当、组织机构设置说明等内容。

本实施指南的附件《信息安全风险评估资料准备说明》中给出了评估前需要准备的清单。

1.3第3步：评估动员会议安全评估工作是一个挑毛病、找问题的过程，一般情况下带评估系统的管理和运行维护人员都会有一定的抵触情绪，因此，需要通过评估动员让所有工作人员明白评估的目的和意义。

评估动员会议应由较高层的领导出席，并表明对评估工作的支持态度。

评估动员会议要完成以下的议题：评估的时间和人员安排、评估工作中的风险防范措施。

1.4第4步：信息系统调研为了确保评估工作的全面性、提高评估工作的效率，在评估实施前，组织评估工作组成员对确定的实施范围进行走访。

通过前期快速的调研，评估工作组可以基本掌握评估范围内信息系统和人员的实际情况，并与配合人员进行初步的沟通，确定评估实施中必须具备的技术工具和手段，以及基本的时间安排和必要的工作准备。

1.5第5步：评估工具准备评估工作组根据收到的评估资料，进行评估工具的准备，这包括威胁列表、网络评估工具、主机评估工具、资产统计工具、安全管理访谈表等内容。

修改记录页目录1. 目的 (4)2. 适用范围 (4)3. 职责与分工 (4)3.1 集团公司首席信息官 (4)3.2 集团信息办 (4)3.3 集团公司各部门和各成员公司 (4)3.4 信息技术中心 (4)4. 管理规定 (4)4.1 概述 (4)4.2 角色与职责 (5)4.3 流程图 (6)4.4 识别与分析风险 (6)4.4.1 目的 (6)4.4.2 启动条件 (7)4.4.3 输入 (7)4.4.4 活动内容和步骤 (7)4.4.5 输出 (8)4.4.6 结束条件 (8)4.4.7 度量 (8)4.4.8 剪裁 (8)4.5 风险管理 (8)4.5.1 目的 (8)4.5.2 启动条件 (8)4.5.3 输入 (8)4.5.4 活动内容和步骤 (8)4.5.5 输出 (9)4.5.6 结束条件 (9)4.5.7 度量 (9)4.5.8 剪裁 (9)5. 定义与缩略语 (9)5.1 定义 (9)5.2 缩略语 (9)6. 维护与解释 (9)7. 附件 (9)1.目的识别、预估与跟踪软件项目各阶段的风险，策划应对风险的措施，及时实施应对措施，规避、转移或减轻风险可能带来的不利影响，将风险发生时产生的影响降至最低。

2.适用范围本程序适用于中广核集团范围内所有的软件项目。

3.职责与分工3.1 集团公司首席信息官负责批准本程序。

3.2 集团信息办负责组织编制、审核并发布本程序，检查并监督本程序执行情况，协调解决相关问题。

3.3 集团公司各部门和各成员公司集团公司各部门和各成员公司执行本程序。

各公司信息化职能部门负责配合具体工作的执行和落实。

3.4 信息技术中心受集团信息办委托，负责编制和维护本程序；协助信息办监督、检查和反馈本程序执行情况。

4.管理规定4.1 概述项目组根据风险检查表和项目实际情况识别项目生命周期各阶段的风险，分析和评估风险出现的概率及产生的影响，对风险按严重性和可能性进行排序并制定出应对风险的控制措施。

信息系统安全等级保护法规与依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下：1、《中华人民国计算机信息系统安全保护条例》（国务院147号令）2、《信息安全等级保护管理办法》（公通字[2007]43号）3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

信息安全风险评估是对信息风险加以识别、评估并作出综合分析的过程，是科学地分析和理解信息系统在保密性、完整性、可用性等方面所面临的风险，并在减少、转移、规避等风险控制方法之间做出决策的过程。

近年来，国内外信息安全风险评估的研究工作取得突飞猛进的进展，各种评估方法层出不穷，大大缩短了评估所花费的时间、资源，提高了评估的效率，改善了评估的效果。

无论何种方法，基本上都遵循了风险评估流程，只是在具体实施手段和风险计算方面有所不同，其共同的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距，本文对信息安全风险评估中比较典型的几种方法进行介绍和剖析。

1层次分析法层次分析法是美国运筹学家萨蒂（T.L.Saaty）于20世纪70年代初提出的一种定性与定量分析相结合的多准则决策分析方法。

其基本思想是在决策目标的要求下，将决策对象相对于决策标准的优劣状况进行两两比较，最终获得各个对象的总体优劣状况，为决策和评选优先级别提供依据。

层次分析法通过构造风险矩阵评价总体风险，在风险评估的实际应用中是一种行之有效、可操作性强的方法，其应用性也较为灵活，既适用于机构信息安全风险的自评估，也适用于专门提供安全服务组织的他评估。

但此方法不适合分析风险因素较多的多层次结构模型，另外风险因素比较时专家经验不同易出现一致性检验不符合的情况。

2故障树分析法故障树分析模型是由美国Bell电话试验室的Waston H.A.于1961年提出的，作为分析系统可靠性的数学模型，现已成为比较完善的系统可靠性分析技术。

故障树分析法是一种“下降形”的、演绎的逻辑分析方法，既可以用于定性的情况下，也可以用于定量的情况下。

不仅可以分析由单一构件所引起的系统故障，也可以分析多个构件不同模式故障所产生的系统故障情况。

该方法遵循从结果找原因的原则，即在前期预测和识别各种潜在风险因素的基础上，沿着风险产生的路径，运用逻辑推理的方法，求出风险发生的概率，并最终提出各种控制风险因素的方案。

风险信息收集与风险评估暂行办法1 范围本办法规定了华北电力设计院工程有限公司（以下简称公司）风险管理基本流程活动中的风险信息收集与风险评估环节的相关内容、操作流程与方法，包括风险信息收集的范围、风险评估的方法以及具体操作流程等。

本办法适用于公司各部/中心、分公司、子公司、公司驻外机构及工程总承包项目部（以下简称各单位）风险管理工作。

2 规范性引用文件下列文件中的条款通过本办法引用而成为本办法的条款。

《风险管理术语》（GB/T 23694—2009）《风险管理原则与实施指南》（GB/T 24353—2009）《中央企业全面风险管理指引》（国资发改革[2006]108号）《企业内部控制基本规范》（财会[2008]7号）《公司全面风险管理规定》3 术语和定义下列术语、定义适用于本办法。

3.1 风险评估是指包括风险识别、风险分析和风险评价在内的全部过程。

3.2 风险识别发现、列举和描述风险要素的过程。

3.3 风险分析系统地运用相关信息来确认风险的来源，并对风险进行估计。

3.4 风险评价将估计后的风险与给定的风险准则对比，来决定风险严重性的过程。

3.5 固有风险是指在不考虑内部控制结构的前提下，由于内部因素和客观环境的影响，公司的各项业务发生重大错误的可能性。

3.6 剩余风险是指那些运用了所有的控制和风险管理技术以后而留下来，未被管理的风险，即：未被公司有效控制的各类风险。

3.7 重大风险是指经过风险评估所确定的，在公司当前所有风险中重要性程度为高的风险。

这些风险是公司在风险管理中应该重点应对、提高风险管理水平的风险。

公司的重大风险随着内外环境变化有可能发生变化。

4 信息收集与评估的流程4.1风险信息收集与评估流程图34.2 具体操作流程4.2.1 风险信息收集流程a）公司各单位风险控制矩阵中关键风险点对应岗位人员在日常生产经营过程中，对各类风险源进行充分的风险信息收集 (风险信息收集范围及内容示例详见本办法第5.1款；风险信息收集方法详见本办法第5.2款)；公司风险管理办公室在日常监督、检查、评审过程中发现的问题或风险，可要求相关单位进一步补充收集相关信息；公司监察审计部在日常效能监察、审计或内控评审过程中发现的问题或风险，也可要求相关单位进一步补充收集相关信息。

风险程度分析法(MES)
引言概述：
风险程度分析法（MES）是一种常用的风险评估方法，通过对风险的程度进行综合分析，帮助组织或个人识别、评估和管理风险。

本文将从五个大点来阐述风险程度分析法的相关内容，包括风险定义、风险评估指标、风险分析方法、风险控制措施和风险监控手段。

正文内容：
1. 风险定义
1.1 风险的概念
1.2 风险的分类
1.3 风险程度的重要性
2. 风险评估指标
2.1 风险概率
2.2 风险影响程度
2.3 风险严重程度
2.4 风险优先级
3. 风险分析方法
3.1 事件树分析法
3.2 故障模式与影响分析法（FMEA）
3.3 事件链分析法
3.4 事故树分析法
4. 风险控制措施
4.1 风险避免
4.2 风险减轻
4.3 风险转移
4.4 风险接受
4.5 风险监控
5. 风险监控手段
5.1 风险指标监控
5.2 风险事件追踪
5.3 风险报告
5.4 风险应对措施评估
5.5 风险管理系统建设
总结：
综上所述，风险程度分析法（MES）是一种有效的风险评估方法。

通过对风险
的定义、评估指标、分析方法、控制措施和监控手段的详细阐述，我们可以更好地识别、评估和管理风险。

在实际应用中，需要根据具体情况选择适合的方法和措施，并建立完善的风险管理系统，以降低风险对组织或个人的影响，保障安全和可持续发展。

本程序，作为《WX-WI-IT-001 信息安全管理流程 A0版》的附件，随制度发行，并同步生效。

信息安全风险评估管理程序1.0目的在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估，形成评估报告，描述风险等级，辨认和评价供解决风险的可选措施，选择控制目的和控制措施解决风险。

2.0合用范围在ISMS 覆盖范围内重要信息资产3.0定义（无）4.0职责4.1各部门负责部门内部资产的辨认，拟定资产价值。

4.2IT部负责风险评估和制订控制措施。

4.3财务中心副部负责信息系统运营的批准。

5.0流程图同信息安全管理程序的流程6.0内容6.1资产的辨认6.1.1各部门每年按照管理者代表的规定负责部门内部资产的辨认，拟定资产价值。

6.1.2资产分类根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类。

6.1.3资产（A）赋值资产赋值就是对资产在机密性、完整性和可用性上的达成限度进行分析，选择对资产机密性、完整性和可用性最为重要（分值最高）的一个属性的赋值等级作为资产的最终赋值结果。

资产等级划分为五级，分别代表资产重要性的高低。

等级数值越大，资产价值越高。

1）机密性赋值根据资产在机密性上的不同规定，将其分为五个不同的等级，分别相应资产在机密性上的应达成的不同限度或者机密性缺失时对整个组织的影响。

2）完整性赋值根据资产在完整性上的不同规定，将其分为五个不同的等级，分别相应资产在完整性上的达成的不同限度或者完整性缺失时对整个组织的影响。

3）可用性赋值根据资产在可用性上的不同规定，将其分为五个不同的等级，分别相应资产在可用性上的达成的不同限度。

3分以上为重要资产，重要信息资产由IT部确立清单6.2威胁辨认6.2.1威胁分类对重要资产应由ISMS小组辨认其面临的威胁。

针对威胁来源，根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客袭击技术、物理袭击、泄密、篡改和抵赖等。