信息安全

(1) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值；赋值应该有一个统一认识，形成一个

合理的参考范围；

(2) 针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判定安全失效发生的可能性，并进行赋值；

(3) 根据《信息安全风险评估规范》计算信息安全风险等级；

(4) 根据《信息安全风险评估规范》及风险接受准则，判断风险为可接受或需要处理。根据信息安全方针、业务发展要求及风险

评估的结果，组织有关部门选择／制定了信息安全目标，根据风险评估的结果，形成《风险处理计划》，该计划明确了风险处理

责任部门、负责人、处理方法及起始、完成时间。

安全与隐私

建立有效信息安全管理体系

信息安全管理体系的建立，需要在信息安全风险评估的基础上，根据企业的发展战略和实际情况，设计一个好的框架，基本明确

体系需要由哪些文件(程序)组成，体系必须符合IS0/27001标准。一个企业，存在大量的管理制度、规范及标准，它们对提高企业

的科学管理都具有现实的意义，在建立信息安全管理体系时，有必要先对原有的企业制度、标准进行归纳和整理，合理继承以前

的成果，推陈出新，实现企业管理的提升。

首先，体系文件必须齐全，应包括方针和目标、范围、程序、风险评估方法、评估报告、风险处理计划、过程控制文件、过程记

录、适用性声明等九大方面；

其次，体系过程必须完整，信息安全管理体系的建立，需要有严格的控制和完整的记录。体系文件的建立不能凭空想象，体系文

件的修改、更新、增删必须有严格的控制和完整的记录，所有涉及体系文件的修改，必须得到管理者的许可，确保文件保持清晰

、易于识别，确保整个管理体系是充分的；

最后，体系文件必须有效，要根据企业的实际情况建立，它既不是高不可及，也不是企业现状的一种简单描述，它必须与企业的

发展战略相适应，能够正确指导企业信息安全管理。

体系文件建立后，应在企业广泛宣传，让信息安全管理体系深入企业管理工作中，指导企业开展信息安全管理，并根据工作实际

的变化，不断修改、完善信息安全体系，确保信息安全管理体系与信息安全方针、控制目标一致。同时，企业应根据管理体系，

对企业的信息安全风险进行处理，不断整改存在的缺陷和不足，进一步降低企业信息安全风险，提高企业信息安全应急处置能力

，提高企业信息安全管理水平，确保信息应用系统安全、可靠、稳定运行。