第一章總則  

第一條為指導河北藝術(shù)職業(yè)學院（以下簡稱“河北藝?！保┬畔⑾到y(tǒng)安全風險評估，識別信息系統(tǒng)的安全弱點，消除潛在的安全風險，制定本制度。  

第二條信息系統(tǒng)風險評估的對象包括服務(wù)器、網(wǎng)絡(luò)和應(yīng)用系統(tǒng)，以及管理和維護這些對象的流程。  

第二章適用范圍  

第三條本制度適用于河北藝術(shù)職業(yè)學院各部門。  

第三章職責  

第四條安全管理員負責每半年根據(jù)上次評估結(jié)果，組織對信息系統(tǒng)進行有針對性的風險評估。風險評估可以由第三方安全服務(wù)提供商執(zhí)行，也可由信息系統(tǒng)運維部門執(zhí)行。  

第五條引入新的業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)或者業(yè)務(wù)系統(tǒng)發(fā)生重大改變時，需要安全管理員和應(yīng)用系統(tǒng)管理員進行局部或者整體的風險評估。  

第六條信息安全執(zhí)行小組負責風險評估總體工作  

1、確保相關(guān)部門知曉和理解并遵守本制度。  

2、要求相關(guān)部門在接收系統(tǒng)時對系統(tǒng)進行風險評估，并根據(jù)評估結(jié)果提出相應(yīng)整改建議。  

第四章風險評估  

第七條風險評估方法  

選定某項信息資產(chǎn)、分析其所屬業(yè)務(wù)的重要性、評估資產(chǎn)價值、挖掘并評估資產(chǎn)面臨的威脅、挖掘并評估資產(chǎn)存在的弱點、評估該資產(chǎn)的風險、進而得出整個評估目標的風險。  

第八條風險評估內(nèi)容  

1、通過網(wǎng)絡(luò)弱點檢測手段，識別信息系統(tǒng)在技術(shù)層面存在的安全弱點。  

2、通過采集本地安全信息，獲得目前操作系統(tǒng)安全、網(wǎng)絡(luò)設(shè)備、各種安全管理、安全控制、人員、安全策略、應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)等方面的信息，并進行相應(yīng)的分析。  

3、通過對組織的人員、制度等相關(guān)安全管理措施的分析，了解組織現(xiàn)有的信息安全管理狀況。通過對以上各種安全風險的分析和匯總，形成組織風險評估報告。  

4、根據(jù)風險評估報告，提出相應(yīng)的安全建議，指導下一步的信息安全建設(shè)。  

第九條風險評估流程  

1、分析資產(chǎn)所屬業(yè)務(wù)系統(tǒng)的重要性，判斷資產(chǎn)對業(yè)務(wù)的關(guān)鍵程度。  

2、確定資產(chǎn)價值賦值：在確定的評估范圍內(nèi)識別要保護的資產(chǎn)，并對資產(chǎn)進行分類，根據(jù)資產(chǎn)的安全屬性進行資產(chǎn)價值評估。  

3、評估對資產(chǎn)的威脅：評估在當前環(huán)境中資產(chǎn)能夠受到的所有威脅來源和威脅的可能性。  

4、評估資產(chǎn)威脅相關(guān)的弱點：評估威脅可能利用的資產(chǎn)的弱點及其嚴重程度。  

5、評估風險并排列優(yōu)先級：根據(jù)威脅和弱點評估的結(jié)果，評估資產(chǎn)面臨的風險，并對風險進行優(yōu)先級排列。  

第十條風險評估執(zhí)行后，由風險評估的執(zhí)行者編寫并向信息安全執(zhí)行小組提交《風險評估報告》。  

第十一條信息安全執(zhí)行小組根據(jù)風險評估結(jié)果，組織制定控制風險的實施計劃。  

第五章相關(guān)文件  

第十二條無  

第六章術(shù)語解釋  

第十三條資產(chǎn)：資產(chǎn)是企事業(yè)單位、機構(gòu)、部門直接賦予了價值因而需要保護的東西。它可能是以多種形式存在，有無形的、有有形的，有硬件、有軟件，有文檔、代碼，也有服務(wù)、企業(yè)形象等。它們分別具有不同的價值屬性和存在特點，存在的弱點、面臨的威脅、需要進行的保護和安全控制都各不相同。  

第十四條弱點：弱點和資產(chǎn)緊密相連，它可能被威脅利用、引起資產(chǎn)損失或傷害。值得注意的是，弱點本身不會造成損失，它只是一種條件或環(huán)境、可能導致被威脅利用而造成資產(chǎn)損失。弱點的出現(xiàn)有各種原因，例如可能是軟件開發(fā)過程中的質(zhì)量問題，也可能是系統(tǒng)管理員配置方面的，也可能是管理方面的。但是，它們的共同特性就是給攻擊者提供了機會。  

第十五條威脅：威脅是對系統(tǒng)和網(wǎng)絡(luò)引起不期望事件而造成損害的潛在可能性。威脅可能源于對XXXX內(nèi)部信息直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機密性、完整性或可用性等方面造成損害。威脅也可能源于偶發(fā)的、或蓄意的事件。一般來說，威脅總是要利用企事業(yè)單位網(wǎng)絡(luò)中的系統(tǒng)、應(yīng)用或服務(wù)的弱點才可能成功地對資產(chǎn)造成傷害。從宏觀上講，威脅按照產(chǎn)生的來源可以分為非授權(quán)蓄意行為、不可抗力、人為錯誤、以及設(shè)施/設(shè)備錯誤等。  

第十六條風險：風險是一種潛在可能性，是指某個威脅利用弱點引起某項資產(chǎn)或一組資產(chǎn)的損害，從而直接地或間接地引起企事業(yè)單位或機構(gòu)的損害。因此，風險和具體的資產(chǎn)、其價值、威脅等級以及相關(guān)的弱點直接相關(guān)。  

第十七條風險評估：風險評估是識別被保護的資產(chǎn)和評價資產(chǎn)風險的過程。  

第七章附則  

第十八條本制度自發(fā)布之日起執(zhí)行。  

第十九條本制度的解釋和修改權(quán)屬于信息安全領(lǐng)導小組。  

第二十條信息安全領(lǐng)導小組每年統(tǒng)一檢查和評估本制度，并做出適當更新。在業(yè)務(wù)環(huán)境和安全需求發(fā)生重大變化時，也將對本制度進行檢查和更新。