关于信息安全管理系统来说，危险评价是系统运转的重中之重，是系统运转的根底。

　　1、建立危险评价小组：管理层牵头建立危险评价小组，小组成员应包含信息安全重要职责部分的成员。

　　3、财物辨认：各部分提交辨认后的信息财物至信息安全危险评价小组，由信息安全危险评价小组对各部分提交的财物进行检查，保证各部分财物被100%辨认。

　　小咨点评：信息财物辨认需求每个部分的参加，究竟只要在部分作业的人，才最清楚了解自己部分的构成和作业流程，并且在后续的评价作业中，代表部分去评价危险。

　　信息财物是对安排有价值的常识或数据，至于信息财物的详细分类，将会在之后的课程中解说。

　　2、赋值核算：财物赋值的进程是对财物在保密性、完整性、可用性和法令法规合同上的达到程度进行剖析，并在此根底上得出归纳成果的进程。

　　3、赋值：赋值包含保密性(C)赋值、完整性(I)赋值、可用性(A)赋值、法规合同契合性(L)赋值四个方面。

　　小咨点评：依据整理出来的信息财物清单，评价小组从4个维度对财物进行评分，用来断定财物在某个方面的重要性，是危险评价前很重要的一步！

　　重要性值=保密性（赋值）+完整性（赋值）+可用性（赋值）+法令与法规契合性（赋值）

　　2、审阅承认：危险评价小组对各部分财物辨认状况进行审阅，保证没有遗失重要财物，导出《重要财物清单》，报总经理承认。

　　小咨点评：依据上一环节评判出的各个维度的分数，核算出这个财物的赋值，终究得出这个财物的重要性等级。

　　要求：应对一切的重要财物进行危险评价，评价应考虑要挟、脆弱性、要挟事情产生的可能性和要挟事情产生后对财物形成的影响程度及现已采纳的办法等方面要素。

　　小咨点评：关于咱们剖析出来的重要财物，要从要挟和脆弱性两个方面进行评价，评价的时分要结合企业现有的操控办法，若现有操控办法有用，则在对要挟和脆弱性打分时，能够下降相关方面的分值，防止影响下一步中关于危险等级的评价。

　　1、危险核算原理：在完成了财物辨认、要挟辨认、脆弱性辨认，以及已有安全办法承认后，将选用恰当的办法与东西确认要挟使用脆弱性导致安全事情产生的可能性。归纳安全事情所效果的财物价值及脆弱性的严峻程度，判别安全事情形成的丢失对安排的影响，即安全危险。包含三个要害核算环节：核算安全事情产生的可能性、核算安全事情产生后形成的丢失、核算危险值。

　　依据危险等级，以本公司确认的高危险等级为不行承受的危险。导出《信息安全危险评价表》，报总经理同意。

　　对可承受危险，可坚持已有的安全办法；假如是不行承受危险（高危险），则需求采纳安全办法以下降、操控危险。

　　2、陈说：导出《信息安全危险评价陈说》，陈说现状，剖析危险，提出主张与办法，提交管理层审阅。

　　3、审阅：管理层对《信息安全危险评价陈说》及《危险处理方案》的内容审阅，对以为不合适的操控或危险处理方式等提出阐明，由危险评价小组协同相关部分从头考虑管理层的定见，挑选其他的操控或危险处理方式，并从头提交管理层审阅，由信息安全管理员同意施行。

　　4、施行：各职责部分依照同意后的《危险处理方案》的要求采纳有用安全操控办法，保证所采纳的操控办法是有用的。

　　小咨点评：关于高危险的处理，有多种手段能够下降危险等级，企业需求依据本身的条件，投入恰当的人力物力去下降危险。当投入本钱过高时，能够采纳搬运等办法，将危险转嫁。假如公司出于一些原因不采纳办法，挑选承受危险也是能够的，可是需求最高领导者审批同意哦！

　　1、再评价：对采纳安全办法处理后的危险，管理层应进行再评价，以判别施行安全办法后的剩下危险是否现已下降到可承受的水平。

　　2、再处理：某些危险可能在挑选了恰当的安全办法后仍处于不行承受的危险范围内，应考虑是否承受此危险或进一步添加相应的安全办法。

　　3、审阅同意：剩下危险评价完成后，导出《剩下危险评价陈说》，报管理者代表审阅、最高管理者同意。

　　小咨点评：剩下危险若悉数都已下降到低危险，处于可承受水平，则能够不采纳进一步办法。若危险仍较高，则需求考虑是否持续下降危险或挑选承受危险，不管采纳哪种办法，都需求管理层同意！