信息安全風(fēng)險管理程序文件

目的為了在考慮控制成本與風(fēng)險平衡的前提下選擇合適的控制目的和控制方式，將信息安全風(fēng)險控制在可接受的水平，特制定本程序。圍本程序合用信息安全管理體系(ISMS)圍信息安全風(fēng)險評估活動的管理。職責(zé)研發(fā)中心負(fù)責(zé)牽頭成立信息安全管理委員會。信息安全管理委員會負(fù)責(zé)編制《信息安全風(fēng)險評估計劃》，確認(rèn)評估成果，形成《風(fēng)險評估匯報》及《風(fēng)險處理計劃》。各部門負(fù)責(zé)本部門使用或管理的資產(chǎn)的識別和風(fēng)險評估，并負(fù)責(zé)本部門所波及的資產(chǎn)的詳細(xì)安全控制工作。有關(guān)文獻(xiàn)《信息安全管理手冊》《GB-T20984-信息安全風(fēng)險評估規(guī)》《信息技術(shù)安全技術(shù)信息技術(shù)安全管理指南第3部分：IT安全管理技術(shù)》程序風(fēng)險評估前準(zhǔn)備研發(fā)中心牽頭成立信息安全管理委員會，委員會組員應(yīng)包括信息安全重要責(zé)任部門的組員。信息安全管理委員會制定《信息安全風(fēng)險評估計劃》，下發(fā)各部門。風(fēng)險評估措施-定性綜合風(fēng)險評估措施本項目采用的是定性的風(fēng)險評估措施。定性風(fēng)險評估并不強(qiáng)求對構(gòu)成風(fēng)險的各個要素（尤其是資產(chǎn)）進(jìn)行精確的量化評價，它有賴于評估者的經(jīng)驗判斷、業(yè)界通例以及組織自身定義的原則，來對風(fēng)險要素進(jìn)行相對的等級分化，最終得出的風(fēng)險大小，只需要通過等級差異來分出風(fēng)險處理的優(yōu)先次序即可。綜合評估是先識別資產(chǎn)并對資產(chǎn)進(jìn)行賦值評估，得出重要資產(chǎn)，然后對重要資產(chǎn)進(jìn)行詳細(xì)的風(fēng)險評估。資產(chǎn)賦值各部門信息安全管理委員會組員對本部門資產(chǎn)進(jìn)行識別，并進(jìn)行資產(chǎn)賦值。資產(chǎn)價值計算措施：資產(chǎn)價值=性賦值＋完整性賦值＋可用性賦值資產(chǎn)賦值的過程是對資產(chǎn)在信息分類、性、完整性、可用性進(jìn)行分析評估，并在此基礎(chǔ)上得出綜合成果的過程。確定信息類別信息分類按“5.9資產(chǎn)識別參照（資產(chǎn)類別）”進(jìn)行，信息分類不合用時，可不填寫。性(C)賦值根據(jù)資產(chǎn)在性上的不一樣規(guī)定，將其分為五個不一樣的等級，分別對應(yīng)資產(chǎn)在性上的應(yīng)到達(dá)的不一樣程度或者性缺失時對整個組織的影響。完整性(I)賦值根據(jù)資產(chǎn)在完整性上的不一樣規(guī)定，將其分為五個不一樣的等級，分別對應(yīng)資產(chǎn)在完整性上的到達(dá)的不一樣程度或者完整性缺失時對整個組織的影響。可用性(A)賦值根據(jù)資產(chǎn)在可用性上的不一樣規(guī)定，將其分為五個不一樣的等級，分別對應(yīng)資產(chǎn)在可用性上的到達(dá)的不一樣程度。資產(chǎn)價值判斷原則要素準(zhǔn)則數(shù)據(jù)資產(chǎn)實(shí)體/服務(wù)資產(chǎn)文獻(xiàn)/軟件資產(chǎn)無形資產(chǎn)人員資產(chǎn)可用性按資產(chǎn)使用或容許中斷的時間次數(shù)來評估數(shù)據(jù)存儲、傳播及處理設(shè)施在一種工作日容許中斷的次數(shù)或時間比例賦值每次中斷容許時間賦值使用頻次規(guī)定賦值使用頻次賦值容許離崗時間賦值16次以上或所有工作時間中斷13天以上1每年都要使用至少1次1每年都要使用至少1次110個工作日及以上19-15次或1/2工作時間中斷21－3天2每個季度都要使用至少1次2每個季度都要使用至少1次26-9工作日23-8次或1/4工作時間中斷312小時－1天3每月都要使用至少1次3每月都要使用至少1次33-5個工作日31-2次或1/8工作時間中斷43小時－12小時4每周都要使用至少1次4每周都要使用至少1次42個工作日4不容許50－3小時5每天都要使用至少1次5每天都要使用至少1次51個工作日5形成資產(chǎn)清單各部門的《重要資產(chǎn)調(diào)查與風(fēng)險評估表》經(jīng)本部門負(fù)責(zé)人審核，報管理者代表確認(rèn)。鑒定重要資產(chǎn)根據(jù)前面的資產(chǎn)性、完整性、可用性的賦值相加得到資產(chǎn)的價值，資產(chǎn)價值越高表達(dá)資產(chǎn)重要性程度越高。要素標(biāo)識相對價值圍等級資產(chǎn)等級很高15,14,134高12,11,103一般9,8,7,62低5,4,31按資產(chǎn)價值得出重要資產(chǎn)，資產(chǎn)價值為4，3的是重要資產(chǎn)，資產(chǎn)價值為2，1的是非重要資產(chǎn)。信息安全管理委員會對各部門資產(chǎn)識別狀況進(jìn)行審核，保證沒有遺漏重要資產(chǎn)，形成各部門的《資產(chǎn)識別清單》。各部門的《資產(chǎn)識別清單》經(jīng)本部門負(fù)責(zé)人審核，報管理者代表確認(rèn)，并分發(fā)各部門存檔。重要資產(chǎn)風(fēng)險評估應(yīng)對所有的重要資產(chǎn)進(jìn)行風(fēng)險評估，評估應(yīng)考慮威脅、脆弱性、威脅事件發(fā)生的也許性、威脅事件發(fā)生后對資產(chǎn)導(dǎo)致的影響程度、風(fēng)險的等級、風(fēng)險與否在可接受圍及已采用的措施等方面原因。識別威脅威脅是對組織及其資產(chǎn)構(gòu)成潛在破壞的也許性原因，導(dǎo)致威脅的原因可分為人為原因和環(huán)境原因。威脅作用形式可以是對信息系統(tǒng)直接或間接的襲擊，例如非授權(quán)的泄露、篡改、刪除等，在性、完整性或可用性等方面導(dǎo)致?lián)p害；也也許是偶發(fā)的、或蓄意的事件。威脅可基于體現(xiàn)形式分類，基于體現(xiàn)形式的威脅分類原則可參照下表：威脅分類表種類描述威脅子類軟硬件故障對業(yè)務(wù)實(shí)行或系統(tǒng)運(yùn)行產(chǎn)生影響的設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)自身或軟件缺陷等問題設(shè)備硬件故障、傳播設(shè)備故障、存儲媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障等物理環(huán)境影響對信息系統(tǒng)正常運(yùn)行導(dǎo)致影響的物理環(huán)境問題和自然災(zāi)害斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等無作為或操作失誤應(yīng)當(dāng)執(zhí)行而沒有執(zhí)行對應(yīng)的操作，或無意執(zhí)行了錯誤的操作維護(hù)錯誤、操作失誤等管理不到位安全管理無法貫徹或不到位，從而破壞信息系統(tǒng)正常有序運(yùn)行管理制度和方略不完善、管理規(guī)程缺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全等惡意代碼故意在計算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的程序代碼病毒、特洛伊木馬、蠕蟲、陷門、間諜軟件、竊聽軟件等越權(quán)或濫用通過采用某些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的權(quán)限，做出破壞信息系統(tǒng)的行為非授權(quán)訪問網(wǎng)絡(luò)資源、非授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息等網(wǎng)絡(luò)襲擊運(yùn)用工具和技術(shù)通過網(wǎng)絡(luò)對信息系統(tǒng)進(jìn)行襲擊和入侵網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探（、口令、權(quán)限等）、顧客身份偽造和欺騙、顧客或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運(yùn)行的控制和破壞等物理襲擊通過物理的接觸導(dǎo)致對軟件、硬件、數(shù)據(jù)的破壞物理接觸、物理破壞、盜竊等泄密信息泄露給不應(yīng)理解的他人部信息泄露、外部信息泄露等篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性減少或信息不可用篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改顧客身份信息或業(yè)務(wù)數(shù)據(jù)信息等抵賴不承認(rèn)收到的信息和所作的操作和交易原發(fā)抵賴、接受抵賴、第三方抵賴等各部門根據(jù)資產(chǎn)自身所處的環(huán)境條件，識別每個資產(chǎn)所面臨的威脅。識別脆弱性脆弱性是對一種或多種資產(chǎn)弱點(diǎn)的總稱。脆弱性是資產(chǎn)自身存在的，假如沒有對應(yīng)的威脅發(fā)生，單純的脆弱性自身不會對資產(chǎn)導(dǎo)致?lián)p害。并且假如系統(tǒng)足夠強(qiáng)健，再嚴(yán)重的威脅也不會導(dǎo)致安全事件，并導(dǎo)致?lián)p失。即，威脅總是要運(yùn)用資產(chǎn)的脆弱性才也許導(dǎo)致危害。資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱性識別中最為困難的部分。需要注意的是，不對的的、起不到應(yīng)有作用的或沒有對的實(shí)行的安全措施自身就也許是一種脆弱性。脆弱性識別將針對每一項需要保護(hù)的資產(chǎn)，找出也許被威脅運(yùn)用的脆弱性，并對脆弱性的嚴(yán)重程度進(jìn)行評估。脆弱性識別時的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及有關(guān)業(yè)務(wù)領(lǐng)域的專家和軟硬件方面的專業(yè)人員。脆弱性識別重要從技術(shù)和管理兩個方面進(jìn)行，技術(shù)脆弱性波及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的安全問題。管理脆弱性又可分為技術(shù)管理和組織管理兩方面，前者與詳細(xì)技術(shù)活動有關(guān)，后者與管理環(huán)境有關(guān)。常見脆弱性序號類別微弱點(diǎn)威脅1.

環(huán)境和基礎(chǔ)設(shè)施建筑物/門以及窗戶缺乏物理保護(hù)例如,也許會被盜竊這一威脅所運(yùn)用●對建筑物\房間物理進(jìn)入控制不充足,或松懈也許會被故意損害這一威脅所運(yùn)用●電網(wǎng)不穩(wěn)定也許會被功率波動這一威脅所運(yùn)用●所處位置輕易受到洪水襲擊也許會被洪水這一威脅所運(yùn)用2.

硬件缺乏定期替代計劃也許會被存儲媒體退化這一威脅所運(yùn)用●輕易受到電壓不穩(wěn)定的侵?jǐn)_也許會被功率波動這一威脅所運(yùn)用●輕易受到溫度變化的侵?jǐn)_也許會溫度的極端變化這一威脅所運(yùn)用●輕易受到濕度、灰塵和污染的侵?jǐn)_也許會被灰塵這一威脅所運(yùn)用●對電磁輻射的敏感性也許會被電磁輻射這一威脅所運(yùn)用●不充足的維護(hù)/存儲媒體的錯誤安裝也許會被維護(hù)失誤這一威脅所運(yùn)用●缺乏有效的配置變化控制也許會被操作職工失誤這一威脅所運(yùn)用3.

軟件開發(fā)人員的闡明不清晰或不完整也許會被軟件故障這一威脅所運(yùn)用●沒有軟件測試或軟件測試不充足也許會被未經(jīng)授權(quán)許可的顧客使用軟件這一威脅所運(yùn)用●復(fù)雜的顧客界面也許會被操作職工失誤這一威脅所運(yùn)用●缺乏識別和鑒定機(jī)制，如：顧客鑒定也許會被冒充顧客身份這一威脅所運(yùn)用●缺乏審核跟蹤也許會被以未經(jīng)授權(quán)許可的方式使用軟件這一威脅所運(yùn)用●軟件中存在眾所周知的缺陷也許會被軟件未經(jīng)許可的顧客使用軟件這一威脅所運(yùn)用●口令表沒有受到保護(hù)也許會被冒充顧客身份這一威脅所運(yùn)用●口令管理較差（很輕易被猜測，公開地存儲口令，不常常更改）也許會被冒充顧客身份這一威脅所運(yùn)用●訪問權(quán)的錯誤分派也許會被以未經(jīng)許可的方式使用軟件這一威脅所運(yùn)用●對下載和使用軟件不進(jìn)行控制也許會被惡意軟件這一威脅所運(yùn)用●離動工作站沒有注銷顧客也許會被未經(jīng)許可的顧客使用軟件這一威脅所運(yùn)用●缺乏有效的變化控制也許會被軟件故障這一威脅所運(yùn)用●缺乏文獻(xiàn)編制也許會被操作職工的失誤這一威脅所運(yùn)用●缺乏備份也許會被惡意軟件或火災(zāi)這一威脅所運(yùn)用●沒有合適的擦除而對存儲媒體進(jìn)行處理或重新使用也許會被未經(jīng)許可的顧客使用軟件這一威脅所運(yùn)用4.

通訊通訊線路沒有保護(hù)也許會被偷聽這一威脅所運(yùn)用●電纜連接差也許會被通訊滲透這一威脅所運(yùn)用●對發(fā)件人和收件人缺乏識別和鑒定也許會被冒充顧客身份這一威脅所運(yùn)用●公開傳送口令也許會被未經(jīng)許可的顧客接入網(wǎng)絡(luò)這一威脅所運(yùn)用●收發(fā)信息缺乏驗證也許會被否認(rèn)這一威脅所運(yùn)用●撥號線路也許會被未經(jīng)許可的顧客接入網(wǎng)絡(luò)這一威脅所運(yùn)用●對敏感性通信不進(jìn)行保護(hù)也許會被偷聽這一威脅所運(yùn)用●網(wǎng)絡(luò)管理不充足（路由的彈性）也許會被通信量超載這一威脅所運(yùn)用●公共網(wǎng)絡(luò)連接沒有保護(hù)也許會被未經(jīng)許可的顧客使用軟件這一威脅所運(yùn)用5.

文獻(xiàn)存儲沒有保護(hù)也許會被盜竊這一威脅所運(yùn)用●進(jìn)行處理時缺乏關(guān)注也許會被盜竊這一威脅所運(yùn)用●對拷貝沒有進(jìn)行控制也許會被盜竊這一威脅所運(yùn)用6.

人員人員缺席也許會被缺乏員工這一威脅所運(yùn)用●對外部人員和清理人員的工作不進(jìn)行監(jiān)督也許會被盜竊這一威脅所運(yùn)用●不充足的安全培訓(xùn)也許會被操作職工的失誤這一威脅所運(yùn)用●缺乏安全意識也許會被顧客錯誤這一威脅所運(yùn)用●對軟件和硬件不對的的使用也許會被操作職工的失誤這一威脅所運(yùn)用●缺乏監(jiān)控機(jī)制也許會被以未經(jīng)許可的方式使用軟件這一威脅所運(yùn)用●在對的使用通訊媒體和信息方面缺乏政策也許會被以未經(jīng)許可的方式使用網(wǎng)絡(luò)設(shè)施這一威脅所運(yùn)用●增員程序不充足也許會被故意損害這一威脅所運(yùn)用7.

一般都合用的微弱環(huán)節(jié)某一點(diǎn)上的故障也許會被通訊服務(wù)故障這一威脅所運(yùn)用●服務(wù)維護(hù)反應(yīng)局限性也許會被硬件故障這一威脅所運(yùn)用脆弱性識別容表類型識別對象識別容技術(shù)脆弱性物理環(huán)境從機(jī)房場地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識別網(wǎng)絡(luò)構(gòu)造從網(wǎng)絡(luò)構(gòu)造設(shè)計、邊界保護(hù)、外部訪問控制方略、部訪問控制方略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識別系統(tǒng)軟件從補(bǔ)丁安裝、物理保護(hù)、顧客、口令方略、資源共享、事件審計、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識別應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識別應(yīng)用系統(tǒng)從審計機(jī)制、審計存儲、訪問控制方略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識別管理脆弱性技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)持續(xù)性等方面進(jìn)行識別組織管理從安全方略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進(jìn)行識別威脅運(yùn)用脆弱性發(fā)生風(fēng)險之后的影響后果描述風(fēng)險描述識別既有控制措施評估威脅發(fā)生的也許性分析威脅運(yùn)用脆弱性給資產(chǎn)導(dǎo)致?lián)p害的也許性。確定各個威脅運(yùn)用脆弱性導(dǎo)致?lián)p害的也許性。判斷每項重要資產(chǎn)所面臨威脅發(fā)生的也許性時應(yīng)注意：威脅事件自身發(fā)生的也許性；既有的安全控制措施；現(xiàn)存的安全脆弱性。要素標(biāo)識發(fā)生的頻率等級威脅運(yùn)用弱點(diǎn)導(dǎo)致危害的也許性很高出現(xiàn)的頻率很高（或≥1次/周）；或在大多數(shù)狀況下幾乎不可防止；或可以證明常常發(fā)生過5高出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)狀況下很有也許會發(fā)生；或可以證明多次發(fā)生過4一般出現(xiàn)的頻率中等（或>1次/六個月）；或在某種狀況下也許會發(fā)生；或被證明曾經(jīng)發(fā)生過3低出現(xiàn)的頻率較?。换蛞话悴惶苍S發(fā)生；或沒有被證明發(fā)生過2很低威脅幾乎不也許發(fā)生；僅也許在非常罕見和例外的狀況下發(fā)生1影響程度分析影響程度指一旦威脅事件實(shí)際發(fā)生時，將給資產(chǎn)帶來多大程度的損失。在分析時，可以從影響有關(guān)方和影響業(yè)務(wù)持續(xù)性兩個不一樣維度方面來評估打分。假如改風(fēng)險也許引起法律起訴，則影響程度值為最高5分。要素標(biāo)識嚴(yán)重程度等級威脅被運(yùn)用后的嚴(yán)重性很高假如被威脅運(yùn)用，將對企業(yè)重要資產(chǎn)導(dǎo)致重大損害5高假如被威脅運(yùn)用，將對重要資產(chǎn)導(dǎo)致一般損害4一般假如被威脅運(yùn)用，將對一般資產(chǎn)導(dǎo)致重要損害3低假如被威脅運(yùn)用，將對一般資產(chǎn)導(dǎo)致一般損害2很低假如被威脅運(yùn)用，將對資產(chǎn)導(dǎo)致的損害可以忽視1風(fēng)險的等級風(fēng)險值由威脅發(fā)生的也許性、影響程度和資產(chǎn)價值這三個原因共同決定。風(fēng)險值計算措施：風(fēng)險值=威脅發(fā)生也許性*（威脅發(fā)生對性的影響+威脅發(fā)生對完整性的影響+威脅發(fā)生對可用性的影響）風(fēng)險等級原則見下表：要素標(biāo)識風(fēng)險值圍級別可接受準(zhǔn)則風(fēng)險級別高風(fēng)險>204風(fēng)險不可接受，必須立即采用有效的措施減少風(fēng)險較高風(fēng)險>15且<=203風(fēng)險可以接受，但需要采用深入措施減少風(fēng)險一般風(fēng)險>10且<=152風(fēng)險可以接受低風(fēng)險<=101提議控制措施安全措施可以分為防止性安全措施和保護(hù)性安全措施兩種。防止性安全措施可以減少威脅運(yùn)用脆弱性導(dǎo)致安全事件發(fā)生的也許性，如入侵檢測系統(tǒng)；保護(hù)性安全措施可以減少因安全事件發(fā)生對信息系統(tǒng)導(dǎo)致的影響，如業(yè)務(wù)持續(xù)性計劃。提議控制措施確實(shí)認(rèn)與脆弱性識別存在一定的聯(lián)絡(luò)。一般來說，安全措施的使用將減少脆弱性，但安全措施確實(shí)認(rèn)并不需要與脆弱性識別過程那樣詳細(xì)到每個資產(chǎn)、組件的脆弱性，而是一類詳細(xì)措施的集合。不可接受風(fēng)險確實(shí)定通過預(yù)制的風(fēng)險的可接受準(zhǔn)則，進(jìn)行風(fēng)險可接受性鑒定（與否高風(fēng)險），并生成各部門的《重要資產(chǎn)調(diào)查與風(fēng)險評估表》表單。各部門的《重要資產(chǎn)調(diào)查與風(fēng)險評估表》經(jīng)本部門負(fù)責(zé)人審核，報管理者代表同意。風(fēng)險處理對風(fēng)險應(yīng)進(jìn)行處理。對可接受風(fēng)險，可保持已經(jīng)有的安全措施；假如是不可接受風(fēng)險（高風(fēng)險），則需要采用安全措施以減少、控制風(fēng)險。對不可接受風(fēng)險，應(yīng)采用新的風(fēng)險處理的措施，規(guī)定風(fēng)險處理方式、責(zé)任部門和時間進(jìn)度，高風(fēng)險應(yīng)得到優(yōu)先的考慮。信息安全管理委員會根據(jù)《重要資產(chǎn)調(diào)查與風(fēng)險評估表》編制《風(fēng)險處置計劃》。信息安全管理委員會根據(jù)《重要資產(chǎn)調(diào)查與風(fēng)險評估表》編制《風(fēng)險評估匯報》，述信息安全管理現(xiàn)實(shí)狀況，分析存在的信息安全風(fēng)險，提出信息安全管理（控制）的提議與措施。管理者代表考慮成本與風(fēng)險的關(guān)系，對《風(fēng)險評估匯報》及《風(fēng)險處理計劃》的有關(guān)容審核，對認(rèn)為不合適的控制或風(fēng)險處理方式等提出闡明，由信息安全管理委員會協(xié)同有關(guān)部門重新考慮管理者代表的意見，選擇其他的控制或風(fēng)險處理方式，并重新提交管理者代表審核同意實(shí)行。各責(zé)任部門按照同意后的《風(fēng)險處理計劃》的規(guī)定采用有效安全控制措施，保證所采用的控制措施是有效的。假如減少風(fēng)險所付出的成本不小于風(fēng)險所導(dǎo)致的損失，則選擇接受風(fēng)險。剩余風(fēng)險評估對采用安全措施處理后的風(fēng)險，信息安全管理委員會進(jìn)行再評估，以判斷實(shí)行安全措施后的殘存風(fēng)險與否已經(jīng)減少到可接受的水平。某些風(fēng)險也許在選擇了合適的安全措施后仍處在不可接受的風(fēng)險圍，應(yīng)考慮與否接受此風(fēng)險或深入增長對應(yīng)的安全措施。剩余風(fēng)險評估完畢后，剩余風(fēng)險報管理者代表審核、總經(jīng)理同意。信息安全風(fēng)險的持續(xù)評估信息安全管理委員會每年