ISO27001-2013版信息安全管理体系全套制度文件
信息安全风险评估指南
1、本指南在编制过程中主要依据了国家政策法规、技术标准、规范与管理要求。本指南附录A为规
范类附录,附录B、C、D为资料类附录。
1.1政策法规:
?《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
?《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(国信办[2006]5号)
1.2国际标准:
?ISO/IEC 17799:2005《信息安全管理实施指南》
?ISO/IEC 27001:2013《信息安全管理体系要求》
?ISO/IEC TR 13335《信息技术安全管理指南》
?SSE-CMM《系统安全工程能力成熟模型》
1.3国内标准:
?《信息安全风险评估指南》(国信办综[2006]9号)
?《重要信息系统灾难恢复指南》(国务院信息化工作人力资源部2005年4月)
?GB 17859—1999《计算机信息系统安全保护等级划分准则》
?GB/T 18336 1-3:2001《信息技术安全性评估准则》
?GB/T 5271.8--2001 《信息技术词汇第8部分:安全》
?GB/T 19715.1-2005 《信息技术安全管理指南第1部分:信息技术安全概念和模型》
?GB/T 19716-2005 《信息安全管理实用规则》
1.4其它
?《信息安全风险评估方法与应用》(国家863高技术研究发展计划资助项目(2004AA147070))
2、风险评估
2.1、风险评估要素关系模型
风险评估的出发点是对与风险有关的各因素的确认和分析。下图中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性,也是风险评估要素的一部分。风险评估的工作是围绕其基本要素展开的,在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。如下模型表示了各因素的关系:
第3页共130页