×风险发生可能性×风险发生的严重性风险等级风险值n高(H)n>=12中(M)12>n>4低(L)n<=4进行风险评估按照风险等级评估,列出信息系统以及相关外部环境,描述可能发生的风险,针对每一个风险制定控制措施,并明确相应责任人,形成《风险评估表》,撰写风险评估报告。个人收集整理勿做商业用途事件分级根据信息系统事件的分级考虑要素,将信息系统事件划分为三个级别:I级事件、II级事件、III级事件。一般(III级):综合分值在1-4分; 较大(II级):综合分值在5-12分; 重大(I级):综合分值在大于12分; 信息系统重要性信息系统的重要性由以下要素决定:信息系统所属类型,即信息系统资产的安全利益主体。信息系统主要处理的业务信息类别。信息系统服务范围,包括服务对象和服务网络覆盖范围。业务对信息系统的依赖程度。其中第1)与2)个要素决定信息系统内信息资产的重要性,第3)与第4)个要素决定信息系统所提供服务的重要性,而信息资产及信息系统服务的重要性决定了信息系统的重要性。个人收集整理勿做商业用途信息系统分级及赋值如下:赋值描述14级信息系统23级信息系统32级信息系统41级信息系统信息系统服务时段信息系统服务时段划分为3级。依据应急事件发生的不同时间,对信息系统恢复正常服务所需的时间要求而确定。赋值描述1非系统服务时段(不含系统服务时段即将开始)2系统服务时段或系统服务时段即将开始3系统处于重点时段保障(业务必须正常运行时间)或处于服务高峰时段信息系统损失程度赋值应急事件造成的信息系统损失程度划分为3级。依据故障发生对信息系统提供的服务能力的下降程度而确定。系统性能系统功能功能无损部分损失全部损失小于阈值—13大于或等于阈值123重点时段保障的损失程度赋值为3事件定级将以上应急事件三个要素的赋值相乘,事件级别如下表所示:范围级别1~6III事件8~18II事件26~36I事件
全文预览
