风险评估控制制度
目 录
1. 目的和范围 2
2. 引用文件 2
3. 职责和权限 2
4. 风险管理方法 3
4.1. 风险识别 4
4.2. 风险估计与评价 4
4.3. 选择风险处置方式 44
4.4. 残余风险接受 45
5. 风险评估描述 45
5.1. 风险评估前准备 45
5.2. 确定重要业务过程和活动 45
5.3. 信息资产的识别 46
5.4. 重要信息资产风险等级评估 50 5.5. 不可接受风险的确定和处理 51
5.6. 风险定期评估 52
5.7. 风险评估评审 52
6. 相关记录 52
目的和范围
为了规定公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估本公司的信息安全风险，选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持业务持续性发展，以满足信息安全管理方针的要求，特制订本制度。
本制度适用信息安全管理体系范围内信息安全风险评估活动。
引用文件
下列文件中的条款通过本制度的引用而成为本制度的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本制度，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件