风险评估的依据主要包括以下几点:
国家相关法律、法规、标准及有关规定
《中华人民共和国突发事件应对法》
《中华人民共和国安全生产法》
《中华人民共和国消防法》
《生产安全事故隐患排查治理暂行规定》
《安全生产事故应急预案管理办法》
《企业安全生产费用提取和使用管理办法》
《关于规范生产安全事故应急预案评审备案工作的通知》
行业标准与指南
《生产经营单位生产安全事故应急预案编制导则》(GB/T 29639)
《危险化学品单位应急物资配备要求》(GB 30077)
《生产经营单位生产安全事故应急预案评估指南》(AQ/T 9011)
《生产安全事故应急演练评估规范》(AQ/T 9009)
《生产安全事故应急演练基本规范》(AQ/T 9007)
项目特定因素
项目的类型和进展情况
项目的性质和规模
数据的准确性和可靠性
风险的重要性水平
信息系统安全风险因素
使命:单位通过信息技术手段实现的工作任务及其对信息系统和信息的依赖程度
资产:信息系统、信息、生产或服务能力、人员能力和赢得的信誉
资产价值:资产的敏感程度、重要程度和关键程度
威胁:信息资产可能受到的侵害,包括威胁的主体、能力、资源、动机、途径、可能性和后果
脆弱性:信息资产及其安全措施的不足和弱点
事件:威胁主体利用资产及其安全措施的脆弱性实际产生危害的情况
