文档编号 XX_2_COM_信息资产风险评估规范 版 本 号 V1. 密 级 内部公开 信息资产风险评估规范 XXX信息技术有限公司 文档信息 发布版本：V1. 最后发布时间： XX 编写人：XX 审核人：XX 版本控制 编号 修订人 修订时间 版本号 修订内容说明  目 录 1. 目标、范围与术语定义 2. 风险评估前期准备 2.1. 人员准备 2.2. 计划制定与实施启动 3. 风险评估实施阶段 3.1. 信息资产识别与赋值 3.1.1. 信息资产统计 3.1.2. 资产和资产组赋值 3.2. 风险分析与控制阶段 3.2.1. 风险识别与分析 3.2.2. 风险评价 3.2.3. 确定风险可接受标准 3.2.4. 风险控制措施的选择和实施 1 4. 风险评估后续阶段 1 5. 附则 1 目标、范围与术语定义 本文件的目标是为了规范XXX信息技术有限公司 （以下简称“XXX”）信息资产风险评估的实施方法，指导风险评估的实施及风险控制措施的落实与改善工作。 本文件对XXX信息资产风险评估前期准备、实施阶段及处置阶段提出要求，制定了信息资产识别、分组与登记、资产和资产组赋值、风险识别与分析、风险评价、确定风险可接受标准、风险控制措施的选择和实施、控制措施有效性测量、残余风险处置等内容。 本文件所规范的风险评估方法是针对信息资产的风险评估方法，适用于XXX的信息资产风险评估工作，也可以用于信息资产生命周期各阶段的风险评估工作，评估周期原则上要求至少每年一次。 下列术语和定义适用于本文件： 资产，即信息资产，对组织具有价值的信息或资源，是安全策略保护的对象。 资产组，又称资产组合，是指具有相同或相近的业务功能的资产组合；如由硬件、软件、配置信息等组成的应用系统资产组，由电子文件、纸质文档组成的信息资产组。 资产价值，资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。 机密性，数据所具有的特性，即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。 完整性，保证信息及信息系统不会被非授权更改或破坏的特性，包括数据完整性和系统完整性。 可用性，数据或资源的特性，被授权实体按要求能访问和使用数据或