安全管理之風險評估實施步驟

啓動準備：
1、參考標準：《GB-T20984-2007 信息安全風險評估規範》《深圳市信息安全風險評估實施指南》
2、啓動大會-《風險評估啓動會議紀要》
3、信息安全風險評估工作計劃-《XXXXX年度信息安全風險評估工作計劃》
4、年度信息安全風險評估方案-《XXXXX年度信息安全風險評估方案》
實施階段：
1、資產識別
資產分類：文檔和數據、軟件資產、硬件資產、人力資源、業務應用、物理環境及組織管理
資產賦值-《XXXXX年資產識別表清單》《XXXXX年重要資產識別表清單》
資產識別會議-《資產識別會議紀要》
2、威脅識別
識別威脅主體-《XXXXX年威脅識別清單》
3、脆弱性識別：
本地核查-《本地核查》
應用層掃描-《應用層掃描報告》
主機層掃描-《主機層掃描報告》
問卷調查-《調查問卷》
產生報告-《XXXXX年脆弱性識別清單》
威脅和脆弱性識別會議-《威脅和脆弱性識別會議紀要》
4、風險分析：
風險分析方法-《威脅風險係數計算矩陣》
風險值=資產重要性*風險係數-
風險係數=發生可能性和影響程度矩陣
風險等級劃分
序號 風險值 風險等級
1 0-99 極低
2 100-199 低
3 200-399 中
4 400-599 高
5 600-1250 極高
不可接受風險劃分
如：大於200爲不可接受風險
風險分析結果-《重要資產的風險值表》
風險處置計劃-《不可接受風險處理計劃》
風險分析和處理計劃會議-《風險分析和處理計劃會議紀要》
結束階段：
生成評估報告-《XXXXX年度信息安全風險評估報告》
生成總結報告-《XXXXX年度信息安全風險評估工作總結》
風險評估工作總結會議-《風險評估工作總結會議紀要》