精选优质文档-倾情为你奉上题目:信息安全风险识别与评价管理程序编号GM-III-B005版本号00生效日期2015.07.20起草部门信息中心颁发部门总经理办公室一、目的:通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平。二、范围:适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。三、责任:3.1 管理者代表信息中心执行信息安全风险的识别与评价;审核并批准重大信息安全风险,并负责编制信息资产风险评估准则,执行信息安全风险调查与评价,提出重大信息安全风险报告。3.2 各部门协助信息中心的调查,参与讨论重大信息安全风险的管理办法。四、内容:4.1 资产识别保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱
