5.2.2.5可用性赋值：

5.2.2.6资产赋值

最终资产价值可以通过违反资产的保密性、完整性和可用性三个方面的程度综合确定，资产的赋值采用定性的相对等级的方式。与以上安全属性的等级相对应，资产价值的等级可分为五级，从1到5由低到高分别代表五个级别的资产相对价值，等级越大，资产越重要。具体每一级别的资产价值定义参见下表。

由于资产最终价值的等级评估是依据资产保密性、完整性、可用性的赋值级别，经过综合评定得出的，评定准则可以根据企业自身的特点，选择以安全三性中要求最高的一性的赋值级别为综合资产赋值准则。

5.2.3 风险评估小组向各部门内审员发放《信息资产分类参考目录》[1]、《信息资产风险评估表》 、《信息资产识别评价表》，同时提出信息资产识别的要求。

5.2.4 各部门内审员参考《信息资产分类参考目录》¹识别本部门信息资产，根据《信息安全风险评估指南》中的“附录B资产重要性程度判断准则”判断其是否是重要信息资产，并填写《信息资产识别评价表》，经本部门负责人审核确认后，在风险评估计划规定的时间内提交风险评估小组审核汇总。

5.2.5 风险评估小组对各部门填写的《信息资产识别评价表》进行审核，确保没有遗漏信息资产，形成各部门的《信息资产风险评估表》，并分发各部门存档。

5.3 信息资产风险等级评估

5.3.1 应对《信息资产风险评估表》中的所有资产进行风险评估，评估应考虑威胁事件发生的可能性和威胁事件发生后对信息资产造成的影响程度两方面因素。

5.3.2 风险评估小组向各部门内审员分发《信息资产风险评估表》、《信息安全威胁参考表》¹、《信息安全薄弱点参考表》¹、《事件发生可能性等级对照表》¹、《事件可能影响程度等级对照表》¹。

5.3.3 各部门内审员根据资产本身所处的环境条件,参考《信息安全威胁参考表》¹识别每个信息资产所面临的威胁，针对每个威胁，识别目前已有的控制；并参考《信息安全薄弱点参考表》¹识别可能被该威胁所利用的薄弱点；在考虑现有的控制前提下，参考《事件发生可能性等级对照表》¹判断每项信息资产所面临威胁发生的可能性；参考《事件可能影响程度等级对照表》¹，判断威胁利用薄弱点可能使信息资产保密性、完整性或可用性丢失所产生的影响程度等级。将结果填写在《信息资产风险评估表》上，提交风险评估小组审核汇总。

5.3.4 风险评估小组考虑本公司整体的信息安全要求，对各部门填写的《信息资产风险评估表》进行审核，确保风险评估水平的一致性，确保没有遗漏信息安全风险。如果对评估结果进行修改，应该和资产责任部门进行沟通并获得该部门的确认。

5.3.5 风险评估小组根据《信息安全风险矩阵计算表》¹计算风险等级，把风险等级最高的一级或者两级资产列为《重要信息资产清单》，并存档。

5.4 不可接受风险的确定和处理

5.4.1 风险评估小组根据《信息安全风险接受准则》¹，确定风险的可接受性；针对不可接受风险编制《信息安全不可接受风险处理计划》，该计划应该规定风险处理方式、责任部门和时间进度；编制《信息安全风险评估报告》，陈述本公司信息安全管理现状，分析存在的信息安全风险，提出信息安全管理（控制）的建议与措施，附《信息安全不可接受风险处理计划》提交信息安全管理委员会进行审核，由ISMS管理者代表批准实施。

5.4.2 各责任部门按照《信息安全不可接受风险处理计划》的要求采取有效安全控制措施后,原评估部门重新评估其计划效果，降至可接受为止，确保所采取的控制措施是充分的，该措施直到为再次风险评估的输入。

5.5 评估时机

5.5.1 每年重新评估一次，以确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施，对发生以下情况需及时进行风险评估：

a) 当发生重大信息安全事故时；

b) 当信息网络系统发生重大更改时；

c) 信息安全管理委员会确定有必要时。

5.5.2 各部门对新增加、转移的或授权销毁的信息资产应及时按照本程序在ISMS-4023《信息资产识别评价表》、《重要信息资产清单》上予以添加或变更。

6 相关/支持性文件

• ISMS-P-2001《信息安全适用性声明》
• ISMS-1001《信息安全管理手册》
• ISMS-P-2005《文件和资料管理程序》

7 记录