注:服务类型分为风险评估、安全咨询与培训、系统集成、安全管理服务、安全外包、应急响应与应急恢复以及其他安全服务(如系统运营、工程服务、报警服务、专业招聘服务等)。
附表4:威胁分析表
┌────┬────┬───────┬───────┬───────┬────────┐
│威胁来源│ 子项 │ 威胁编号 │ 可能影响 │ 严重程度 │ 说 明 │
│ │ │ │ 的资产 │ │ │
├────┼────┼───────┼───────┼───────┼────────┤
│环境因素│ │ │ │ │ │
├────┼────┼───────┼───────┼───────┼────────┤
│人为因素│ │ │ │ │ │
└────┴────┴───────┴───────┴───────┴────────┘
附表5:威胁赋值方法
┌─────┬──────┬────────────────────────────┐
│ 等级 │ 标识 │ 定义 │
├─────┼──────┼────────────────────────────┤
│5 │很高 │出现的频率很高(或≥1次/周);或在大多数情况下几乎不可避│
│ │ │免;或可以证实经常发生过。 │
├─────┼──────┼────────────────────────────┤
│4 │高 │出现的频率较高(或≥1次/月);或在大多数情况下很有可能会│
│ │ │发生;或可以证实多次发生过。 │
├─────┼──────┼────────────────────────────┤
│3 │中 │出现的频率中等(或> 1次/半年);或在某种情况下可能会 │
│ │ │发生;或被证实曾经发生过。 │
├─────┼──────┼────────────────────────────┤
│2 │低 │出现的频率较小;或一般不太可能发生;或没有被证实发生过。│
├─────┼──────┼────────────────────────────┤
│1 │很低 │威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。│
└─────┴──────┴────────────────────────────┘
