信息安全風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則一 概述為確保XXXX公司有效的開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作，結(jié)合公司信息安全現(xiàn)狀及安全需求，特制定本準(zhǔn)則該準(zhǔn)則用于指導(dǎo)XXXX公司在開(kāi)展各類信息安全風(fēng)險(xiǎn)評(píng)估時(shí)的風(fēng)險(xiǎn)評(píng)價(jià)和控制活動(dòng)在開(kāi)展風(fēng)險(xiǎn)評(píng)估活動(dòng)時(shí)，依據(jù)本準(zhǔn)則對(duì)風(fēng)險(xiǎn)進(jìn)行等級(jí)化處理，并根據(jù)風(fēng)險(xiǎn)等級(jí)制定相應(yīng)的風(fēng)險(xiǎn)控制和管理措施二 評(píng)價(jià)依據(jù)2.1 主要依據(jù)的標(biāo)準(zhǔn)：《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法》（GB/T 20984—2022）2.2 其他參考標(biāo)準(zhǔn)：《信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架》（GB/T 20274-2008）《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》（GB/T 31509-2015）《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）《信息安全技術(shù)　信息安全風(fēng)險(xiǎn)處理實(shí)施指南》（GB/T 33132-2016）《信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則》（GB/T 18336-2015）《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》（GB/T 22080-2016）《計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB 17859-1999）《計(jì)算機(jī)場(chǎng)地安全要求》（GB/T 9361-2011）《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》（GB/T 20272-2019）《信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》（GB/T 20273-2019）《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T 20270-2006）《信息安全技術(shù) 網(wǎng)絡(luò)交換機(jī)安全技術(shù)要求》（GB/T 21050-2019）…(行標(biāo)或行業(yè)要求)自行添加三 評(píng)價(jià)準(zhǔn)則信息安全風(fēng)險(xiǎn)評(píng)價(jià)包括系統(tǒng)資產(chǎn)風(fēng)險(xiǎn)評(píng)價(jià)和業(yè)務(wù)風(fēng)險(xiǎn)評(píng)價(jià)。

對(duì)系統(tǒng)資產(chǎn)風(fēng)險(xiǎn)值進(jìn)行等級(jí)化處理，能夠更好的管理和控制信息安全風(fēng)險(xiǎn)風(fēng)險(xiǎn)等級(jí)的劃分標(biāo)準(zhǔn)如下表所示3.1 系統(tǒng)資產(chǎn)風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則表 31系統(tǒng)資產(chǎn)風(fēng)險(xiǎn)等級(jí)劃分表等級(jí)標(biāo)識(shí)風(fēng)險(xiǎn)值等級(jí)劃分描述5很高(4-5]風(fēng)險(xiǎn)發(fā)生的可能性很高，對(duì)系統(tǒng)資產(chǎn)產(chǎn)生很高的影響4高(3-4]風(fēng)險(xiǎn)發(fā)生的可能性很高，對(duì)系統(tǒng)資產(chǎn)產(chǎn)生中等及高影響風(fēng)險(xiǎn)發(fā)生的可能性高，對(duì)系統(tǒng)資產(chǎn)產(chǎn)生高及以上影響風(fēng)險(xiǎn)發(fā)生的可能性中，對(duì)系統(tǒng)資產(chǎn)產(chǎn)生很高影響3中等(2-3]風(fēng)險(xiǎn)發(fā)生的可能性很高，對(duì)系統(tǒng)資產(chǎn)產(chǎn)生低及以下影響風(fēng)險(xiǎn)發(fā)生的可能性高，對(duì)系統(tǒng)資產(chǎn)產(chǎn)生中及以下影響風(fēng)險(xiǎn)發(fā)生的可能性中，對(duì)系統(tǒng)資產(chǎn)產(chǎn)生高、中、低影響2低(1-2]風(fēng)險(xiǎn)發(fā)生的可能性中，對(duì)系統(tǒng)資產(chǎn)產(chǎn)生很低影響風(fēng)險(xiǎn)發(fā)生的可能性低，對(duì)系統(tǒng)資產(chǎn)產(chǎn)生低及以下影響險(xiǎn)發(fā)生的可能性很低，對(duì)系統(tǒng)資產(chǎn)產(chǎn)生中、低影響1很低(0-1]風(fēng)險(xiǎn)發(fā)生的可能性很低，發(fā)生后對(duì)系統(tǒng)資產(chǎn)幾乎無(wú)影響3.2 業(yè)務(wù)風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則表 32業(yè)務(wù)風(fēng)險(xiǎn)等級(jí)劃分表等級(jí)標(biāo)識(shí)風(fēng)險(xiǎn)等級(jí)劃分描述5很高(4-5]社會(huì)影響a）對(duì)國(guó)家安全、社會(huì)秩序和公共利益造成影響；b）對(duì)公民、法人和其他組織的合法性權(quán)益造成嚴(yán)重程度組織影響a）導(dǎo)致職能無(wú)法履行或業(yè)務(wù)無(wú)法開(kāi)展；b）觸犯國(guó)家法律法規(guī)；c）造成非常嚴(yán)重的財(cái)產(chǎn)損失。

4高(3-4]社會(huì)影響對(duì)公民、法人和其他組織的合法權(quán)益造成較大影響組織影響a）導(dǎo)致職能履行或業(yè)務(wù)開(kāi)展受到嚴(yán)重影響；b）造成嚴(yán)重的財(cái)產(chǎn)損失3中等(2-3]社會(huì)影響對(duì)公民、法人和其他組織的合法權(quán)益造成影響組織影響a）導(dǎo)致職能履行或業(yè)務(wù)開(kāi)展受到影響；b）造成較大的財(cái)產(chǎn)損失2低(1-2]組織影響a）導(dǎo)致職能履行或業(yè)務(wù)開(kāi)展受到較小影響；b）造成一定的財(cái)產(chǎn)損失1很低(0-1]組織影響造成較小的財(cái)產(chǎn)損失四 風(fēng)險(xiǎn)控制4.1 風(fēng)險(xiǎn)處置方式降低風(fēng)險(xiǎn)：謀求減低不利風(fēng)險(xiǎn)發(fā)生的可能性和/或影響程度減輕策略的例子：采用不那么復(fù)雜的流程；選擇更可靠的供應(yīng)商；進(jìn)行更系統(tǒng)化的、更徹底的測(cè)試；冗余設(shè)計(jì)；增加資源或時(shí)間規(guī)避風(fēng)險(xiǎn)：改變項(xiàng)目計(jì)劃以消滅風(fēng)險(xiǎn)或保護(hù)項(xiàng)目目標(biāo)免受影響雖然不可能消滅所有的風(fēng)險(xiǎn)，但對(duì)具體風(fēng)險(xiǎn)來(lái)說(shuō)是可以避免的某些風(fēng)險(xiǎn)可以通過(guò)需求再確認(rèn)、獲取更詳細(xì)信息、增強(qiáng)溝通、增派專家等方法得以避免其他風(fēng)險(xiǎn)規(guī)避的例子：縮小項(xiàng)目工作范圍以避免某些高風(fēng)險(xiǎn)的任務(wù)活動(dòng)；采用更成熟的技術(shù)方案而非先進(jìn)但尚未成熟的方案；避免跟不熟悉的服務(wù)提供商簽約轉(zhuǎn)移風(fēng)險(xiǎn)：把風(fēng)險(xiǎn)的影響和責(zé)任轉(zhuǎn)嫁給第三方，并不消滅風(fēng)險(xiǎn)通常要為第三方付費(fèi)用作為承擔(dān)風(fēng)險(xiǎn)的報(bào)酬，采用合同形式。

風(fēng)險(xiǎn)轉(zhuǎn)移的例子：保險(xiǎn)；業(yè)績(jī)獎(jiǎng)罰條款； 維護(hù)保修承諾接受風(fēng)險(xiǎn)：面對(duì)風(fēng)險(xiǎn)選擇不對(duì)項(xiàng)目計(jì)劃作任何改變或干脆無(wú)計(jì)可施積極的接受：制定應(yīng)急計(jì)劃并在風(fēng)險(xiǎn)發(fā)生時(shí)執(zhí)行，風(fēng)險(xiǎn)征兆應(yīng)被監(jiān)視應(yīng)急計(jì)劃可以大大減少處理麻煩的費(fèi)用消極的接受：“默默地承受”對(duì)于高風(fēng)險(xiǎn)的事件可制定“退卻計(jì)劃” ：風(fēng)險(xiǎn)準(zhǔn)備金、備用方案、改變工作范圍最常用的措施是風(fēng)險(xiǎn)儲(chǔ)備（預(yù)留）：費(fèi)用、資源、時(shí)間風(fēng)險(xiǎn)儲(chǔ)備的多少取決于風(fēng)險(xiǎn)的概率、影響和可接受的風(fēng)險(xiǎn)損失4.2 風(fēng)險(xiǎn)處置原則n 風(fēng)險(xiǎn)等級(jí)高于(含)3的，為不可接受風(fēng)險(xiǎn)，采取安全措施予以處理若無(wú)法處理，則需說(shuō)明原因.并通過(guò)專家論證會(huì)的形式予以論證；n 風(fēng)險(xiǎn)等級(jí)為2的需通過(guò)成本分析決定風(fēng)險(xiǎn)是否可以接受；n 風(fēng)險(xiǎn)等級(jí)為1的，為可接受風(fēng)險(xiǎn)，不再予以處理。