文档介绍：HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
信息系统安全风险评估管理规定
信息系统安全风险评估管理办法
总则
公司安全评估管理办法是指导公司进行周期性的信息安全评估，目的是评估出公司信息网络范围内的弱点，并指导进一步的安全修补，从而消除潜在的危险，使整个公司的信息安全水平保持在一个较高的水平。
安全评估的范围包括公司范围内所有的信息资产，并包括与公司签订有第三方协议的外部信息资产。安全评估的具体对象包括服务器、网络和应用系统，以及管理和维护这些对象的过程。
风险的概念
资产：资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。它们分别具有不同的价值属性和存在特点，存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。
弱点：弱点和资产紧密相连，它可能被威胁（威胁的定义参见威胁一章）利用、引起资产损失或伤害。值得注意的是，弱点本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失。弱点的出现有各种原因，例如可能是软件开发过程中的质量问题，也可能是系统管理员配置方面的，也可能是管理方面的。但是，它们的共同特性就是给攻击者提供了机会。
威胁：威胁是对系统和企业网的资产引起不期望事件而造成的损害的潜在可能性。威胁可能源于对企业信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。一般来说，威胁总是要利用企业网络中的系统、应用或服务的弱点（弱点的定义参见弱点一章）才可能成功地对资产造成伤害。从宏观上讲，威胁按照产生的来源可以分为非授权蓄意行为、不可抗力、人为错误、以及设施/设备错误等。鉴于本项目的特点，将威胁的评估专注于非授权蓄意行为上面。
风险：风险是一种潜在可能性，是指某个威胁利用弱点引起某项资产或一组资产的损害，从而直接地或间接地引起企业或机构的损害。因此，风险和具体的资产、其价值、威胁等级以及相关的弱点直接相关。
安全评估：安全评估是识别被保护的资产和评价资产风险的过程。
安全评估过程
安全评估的方法是首先选定某项资产、评估资产价值、挖掘并评估资产面临的威胁、挖掘并评估资产存在的弱点、评估该资产的风险、进而得出整个评估目标的风险。
安全评估的过程包含以下4个步骤：
识别资产并进行确定资产价值赋值：在确定的评估范围内识别要保护的资产，并对资产进行分类，根据资产的安全属性进行资产价值评估。
评估对资产的威胁：评估在当前安全环境中资产能够受到的威胁来源和威