基本填表信息 部 门 记 录 者 记录日期 复 审 者 复审日期 当前版本 目 录1填表须知 数据2 3 软件4 实物5 人员6 服务8 威胁列表 弱点列表 威胁值-弱点值标准 风险级别 威胁库9 10 11 12 13 14 15 弱点库 控制列表 风险处理措施 密级：内部公开 HRBank-ISMS-02-03C-V1.0 基本填表信息 目 录 关于填写本表格的各项注意事项和提示 数据资产风险评估表（需填表） 软件资产风险评估表（需填表） 实物资产风险评估表（需填表） 人员资产风险评估表（需填表） 服务资产风险评估表（需填表） 对应各类资产的威胁列表 对应各类资产的弱点列表 威胁可能性和弱点严重性的评判标准 风险等级的评判标准 资产面临的潜在威胁清单 资产可能存在的弱点清单 ISO27001信息安全管理控制项列表 风险处理措施的选项以及介绍 关注方面 威胁值 弱点值 资产值 风险值 总体说明 返回目录 注意事项 威胁值的评定需要考虑两个因素，一个是威胁源的动机，另一个是威胁源的能力。动机可能和资产价值有关系，通常来讲，资产 价值越高，威胁源越有动机实施侵害。威胁源能力则和当前控制有关，当前控制越得力，威胁源能力也就越弱。 动机和能力两个因素应该是“或”的关系，对于人员无意识行为或者非人员威胁，可能没有动机，但能力却存在，威胁值同样是 存在的。 威胁值最终体现了风险发生的可能性。 弱点值的评定需要考虑两个因素，一个是弱点的严重程度，即一旦发生，对资产本身的破坏程度。另一个是弱点的暴露程度，这 和当前的控制有关，如果控制得力，弱点暴露程度则会比较低。 严重程度和暴露程度应该是“与”的关系，如果没有任何暴露，弱点值可能为0，如果弱点被利用后对资产不构成任何侵害，弱点 值也会为1。 弱点值最终体现了风险发生的后果。 资产值引用自已经识别的资产表，主要针对关键资产进行评估。 风险值是资产价值与威胁值、弱点值的乘积。 评估威胁值和弱点值时都要结合现有控制来进行考虑。 威胁值和弱点值的评定标准参见后面的取值标准。 关键资产表 -- 实物 资产价值要素 序号 类别 资产名称 C I A1 234 56 78 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44