11、政务数据安全风险评估规范

)安全保障性原则。不应因风险评估造成基础地理信息数据的泄露、篡改和删除，保障数据的安全性：b)人员可控性原则。所有参与评估人员应签署保密协议，以保证项目信息的安全：c)信息可控性原则。评估方应对工作过程数据和结果数据严格管理，未经授权不得泄露给任何单位和个人：d)过程可控性原则。按照项目管理要求，成立风险评估项目实施团队，并实行项目组长负责制，达到项目过程的可控：e)工具可控性原则。评估人员所使用的评估工具应事先告知用户，并在评估实施前获得被评估方的许可。5风险评估框架及流程5.1风险要素关系风险评估中基本要素的关系如图1所示。风险评估基本要素包括资产、威胁、脆弱性和安全措施，并基于以上要素开展风险评估。产存在潜在影响风验安全措导致降低抵智脆到性一利用威助图1风险评估基本要素之间关系5.2风险分析原理风险分析原理如下：)根据威胁的来源、种类、动机等，并结合威胁相关安全事件、日志等历史数据统计，确定威胁的能力和频率：b)根据脆弱性访问路径、触发要求等，以及已实施的安全措施及其有效性确定脆弱性被利用难易程度：c)确定脆弱性被威助利用导致安全事件发生后对资产所造成的影响程度：d)根据威助的能力和频率，结合脆弱性被利用难易程度，确定安全事件发生的可能性：e)根据资产在发展规划中所处的地位和资产的属性，确定资产价值：f)根据影响程度和资产价值，确定安全事件发生后对评估对象造成的损失：g)根据安全事件发生的可能性以及安全事件造成的损失，确定评估对象的风险值：)依据风险评价准则，确定风险等级，用于风险决策。5.3风险评估流程风险评估的实施流程如图2所示。风险评估流程应包括如下内容。2