【正文】 風(fēng)險評估風(fēng)險評估第七講第七講 信息安全管理之信息安全管理之 風(fēng)險評估信息安全風(fēng)險評估概述信息安全風(fēng)險評估策略信息安全風(fēng)險評估流程信息安全風(fēng)險評估方法風(fēng)險評估案例風(fēng)險評估概述信息安全風(fēng)險評估概述風(fēng)險評估概述A風(fēng)險因風(fēng)險因子子B風(fēng)險因風(fēng)險因子子隱患：隱患： 內(nèi)部失控內(nèi)部失控事故事故外部作用外部作用產(chǎn)生了產(chǎn)生了人們不人們不期望的期望的后果后果超出超出設(shè)定設(shè)定安全安全界限界限的狀的狀態(tài)、態(tài)、行為行為風(fēng)險評估概述系統(tǒng)系統(tǒng)減少：人的減少：人的不安全行為不安全行為改變：環(huán)境改變：環(huán)境不安全條件不安全條件減少：物的減少：物的不安全狀態(tài)不安全狀態(tài)消除：管消除：管理缺陷理缺陷預(yù)防減少事故預(yù)防減少事故降低事故損失降低事故損失安全風(fēng)險管理目標(biāo)安全風(fēng)險管理目標(biāo)風(fēng)險評估概述企業(yè)風(fēng)險管理框架? 一個基礎(chǔ)? 三道防線管理層CEO第三道防線 第二道防線第一道防線業(yè)務(wù)部門董事會風(fēng)險管理內(nèi)部審計(jì)審計(jì)委員會 風(fēng)險管理委員會風(fēng)險評估概述一個基礎(chǔ)：公司治理結(jié)構(gòu)216。 建立一個健全的、以董事會為首的公司治理結(jié)構(gòu)216。 訂立 企業(yè) 的 目標(biāo)和戰(zhàn)略，包括企業(yè)的 風(fēng)險 政策和 極限216。 貫徹一套重視風(fēng)險管理的企業(yè)文化和價值觀風(fēng)險評估概述第一道防線：業(yè)務(wù)單位防線(風(fēng)險宇宙 TM )資信制度 知識產(chǎn)權(quán)財務(wù)流動資產(chǎn)與信貸 資本結(jié)構(gòu)市場 財務(wù)報告營運(yùn)法律生產(chǎn)程序營商環(huán)境市場結(jié)構(gòu) 民風(fēng)與文化管治策略 董事會活動交易并購變賣聲譽(yù)道德社區(qū)責(zé)任 風(fēng)險管理董事會及管理層業(yè)績組織結(jié)構(gòu)監(jiān)察與溝通執(zhí)行籌劃與開發(fā)利益有關(guān)方供應(yīng)商政府顧客股東經(jīng)濟(jì)情況國家情況市場變化競爭對手人才資源雇員溝通有形資產(chǎn)機(jī)器、廠房與土地其他有形資產(chǎn)負(fù)債合約法規(guī)市場與銷售生產(chǎn)及流通商品 /服務(wù)開發(fā)流程估值與選擇買家評估與甄選盡職調(diào)查并購后整合資信管理運(yùn)營組織與監(jiān)察硬件軟件網(wǎng)絡(luò)無形資產(chǎn)知識管理信息現(xiàn)金管理對沖融資股東資本債務(wù)商品利率外匯稅務(wù)會計(jì)合規(guī)風(fēng)險評估概述216。 企業(yè)建立的第一道防線，就是要各業(yè)務(wù)單位就其戰(zhàn)略性風(fēng)險、信貸風(fēng)險、市場風(fēng)場和 操作風(fēng)險 等等 ，系統(tǒng)化地進(jìn)行分析、確認(rèn)、度量、管理和監(jiān)控216。 企業(yè)需要把評估風(fēng)險與內(nèi)控措施的結(jié)果進(jìn)行記錄和存檔，對內(nèi)控措施的有效性不斷進(jìn)行測試和更新第一道防線：總結(jié)管理層CEO第三道防線 第二道防線第一道防線業(yè)務(wù)部門董事會風(fēng)險管理內(nèi)部審計(jì)審計(jì)委員會 風(fēng)險管理委員會風(fēng)險評估概述第二道防線：風(fēng)險管理單位防線216。 第二道防線是在業(yè)務(wù)單位之上建立一個更高層次的風(fēng)險管理功能，它的組成部份可能包括風(fēng)險管理部門、信貸審批委員會、投資審批委員會216。 風(fēng)險管理部的責(zé)任是領(lǐng)導(dǎo)和協(xié)調(diào)公司內(nèi)各單位在管理風(fēng)險方面的工作，它的職責(zé)包括：? 編制規(guī)章制度? 對各業(yè)務(wù)單位的風(fēng)險進(jìn)行組合管理? 度量風(fēng)險和評估風(fēng)險的界限? 建立風(fēng)險信息系統(tǒng)和預(yù)警系統(tǒng) 、厘定關(guān)鍵風(fēng)險指標(biāo)? 負(fù)責(zé)風(fēng)險信息披露、溝通、協(xié)調(diào)員工培訓(xùn)和學(xué)習(xí)的工作? 按風(fēng)險與回報的分析，為各業(yè)務(wù)單位分配經(jīng)濟(jì)資本金風(fēng)險評估概述“內(nèi)部審計(jì)是一項(xiàng)獨(dú)立、客觀的審查和咨詢活動，其目的在于增加企業(yè)的價值和改進(jìn)經(jīng)營。內(nèi)審?fù)ㄟ^系統(tǒng)的方法，評價和改進(jìn)企業(yè)的風(fēng)險管理、控制和治理流程的效益，幫助企業(yè)實(shí)現(xiàn)其目標(biāo)。 ” 美國內(nèi)部審計(jì)師協(xié)會第三道防線：內(nèi)審單位防線216。 第三道防線涉及一個獨(dú)立于業(yè)務(wù)單位的部門，監(jiān)控企業(yè)內(nèi)控和其他企業(yè)關(guān)心的問題216。 內(nèi)部審計(jì)的定義 ：風(fēng)險評估概述內(nèi)部審計(jì)的 三大功能216。 財務(wù)監(jiān)督? 財務(wù)帳的可用性? 內(nèi)部管理和制度的執(zhí)行? 典型例子 ： 檢查分、子公司上報總部的財務(wù)報表的準(zhǔn)確性以及執(zhí)行財務(wù)管理政策的情況216。 經(jīng)營診斷? 管理審計(jì)以及效率和效益審計(jì)? 檢查和診斷經(jīng)營和管理過程中的偏差和失誤? 典型例子 ： 企業(yè)對某業(yè)務(wù)單位或某部門執(zhí)行效益審計(jì)(一個輸入與產(chǎn)出的關(guān)系 ) 風(fēng)險評估概述216。 咨詢顧問? 企業(yè)風(fēng)險管理和發(fā)展策略方面的咨詢? 調(diào)查領(lǐng)導(dǎo)關(guān)心的熱點(diǎn)問題和管理薄弱環(huán)節(jié)? 典型例子 ： 兼并收購時調(diào)查被投資公司的內(nèi)部管理和流程操作，了解薄弱環(huán)節(jié)或其他影響并購交易的重大事項(xiàng)，從而確定管理方法和并購策略風(fēng)險評估概述風(fēng)險管理過程風(fēng)險管理是對項(xiàng)目風(fēng)險進(jìn)行識別、分析、和應(yīng)對的系統(tǒng)的過程。規(guī)劃風(fēng)險管理 識別風(fēng)險實(shí)施定性風(fēng)險分析實(shí)施定量風(fēng)險分析 監(jiān)控風(fēng)險規(guī)劃風(fēng)險應(yīng)對計(jì)劃過程 監(jiān)控過程風(fēng)險評估概述規(guī)劃風(fēng)險管理流程項(xiàng)目范圍說明書成本管理計(jì)劃進(jìn)度管理計(jì)劃溝通管理計(jì)劃事業(yè)環(huán)境因素風(fēng)險態(tài)度風(fēng)險承受度既定的風(fēng)險管理方法規(guī)劃會議、分析風(fēng)險管理計(jì)劃依據(jù) 工具、技術(shù) 結(jié)果風(fēng)險評估概述識別風(fēng)險流程依據(jù)依據(jù) 工具、技術(shù) 結(jié)果結(jié)果項(xiàng)目范圍說明書事業(yè)環(huán)境因素組織過程資產(chǎn)風(fēng)險管理計(jì)劃集成管理計(jì)劃 框架分析法頭腦風(fēng)暴法要素分析法情景分析法流程分析法潛在風(fēng)險風(fēng)險征兆風(fēng)險來源風(fēng)險清單風(fēng)險風(fēng)險登記冊登記冊風(fēng)險評估概述實(shí)施定性風(fēng)險分析流程依據(jù)依據(jù) 工具、技術(shù)工具、技術(shù) 結(jié)果結(jié)果風(fēng)險登記冊風(fēng)險數(shù)據(jù)質(zhì)量評估概率影響矩陣風(fēng)險概率和影響評估定性分析結(jié)果的趨勢低優(yōu)先觀察清單進(jìn)一步分析的風(fēng)險需近期處理的風(fēng)險風(fēng)險成因及需關(guān)注領(lǐng)域按類別分類的風(fēng)險優(yōu)先級清單風(fēng)險登記冊（更新）組織過程資產(chǎn)風(fēng)險管理計(jì)劃項(xiàng)目范圍說明書風(fēng)險分類風(fēng)險緊迫性評估專家判斷風(fēng)險評估概述實(shí)施定量風(fēng)險分析流程依據(jù)依據(jù) 工具、技術(shù)工具、技術(shù) 結(jié)果結(jié)果風(fēng)險登記冊風(fēng)險管理計(jì)劃成本管理計(jì)劃進(jìn)度管理計(jì)劃專家判斷定量風(fēng)險分析和建模數(shù)據(jù)收集與表現(xiàn)技術(shù)*定量風(fēng)險分析結(jié)果中反應(yīng)的趨勢*實(shí)現(xiàn)成本和時間目標(biāo)的概率*項(xiàng)目的概率分析*量化風(fēng)險優(yōu)先級清單風(fēng)險登記冊（更新）組織過程資產(chǎn)風(fēng)險評估概述規(guī)劃風(fēng)險應(yīng)對流程依據(jù)依據(jù) 工具或技術(shù)工具或技術(shù) 結(jié)果結(jié)果風(fēng)險登記冊風(fēng)險管理計(jì)劃消極風(fēng)險或威脅的應(yīng)對策略積極風(fēng)險或機(jī)會的應(yīng)對策略應(yīng)急應(yīng)對策略專家判斷風(fēng)險登記冊（更新）與風(fēng)險相關(guān)的合同決策項(xiàng)目管理計(jì)劃（更新）項(xiàng)目文件（更新）風(fēng)險評估概述監(jiān)控風(fēng)險流程依據(jù) 工具或技術(shù) 結(jié)果風(fēng)險登記冊儲備分析技術(shù)績效測量偏差和趨勢分析風(fēng)險審計(jì)風(fēng)險再評估項(xiàng)目文件（更新）項(xiàng)目管理計(jì)劃（更新）變更請求組織過程資產(chǎn)風(fēng)險登記冊（更新）項(xiàng)目管理計(jì)劃工作績效信息績效報告狀態(tài)審查會風(fēng)險評估概述信息安全風(fēng)險評估 信 息安全 風(fēng)險評 估，是從 風(fēng)險 管理角度，運(yùn)用科學(xué)的方法和手段，系 統(tǒng) 地分析網(wǎng) 絡(luò) 與信息系統(tǒng) 所面 臨 的威 脅 及其存在的脆弱性， 評 估安全事件一旦 發(fā) 生可能造成的危害程度，提出有 針對 性的抵御威 脅 的防 護(hù)對 策和整改措施。并 為 防范和化解信息安全 風(fēng)險 ，或者將 風(fēng)險 控制在可接受的水平，從而最大限度地保障網(wǎng) 絡(luò) 和信息安全提供科學(xué)依據(jù) （國信 辦 [2022]5號文件 ） 。風(fēng)險評估概述信息安全風(fēng)險評估 信息安全風(fēng)險評估是指 依據(jù) 有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn) ，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機(jī)密性、完整性和可用性等 安全屬性進(jìn)行評價 的過程。它要評估資產(chǎn)面臨的 威脅 以及威脅利用 脆弱點(diǎn) 導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。 狹義的風(fēng)險評估包括：評估前準(zhǔn)備、 資產(chǎn) 識別與評估、 威脅 識別與評估、 脆弱點(diǎn) 識別與評估、當(dāng)前 安全措施 的識別與評估、 風(fēng)險分析 以及根據(jù)風(fēng)險評估的結(jié)果選取適當(dāng)?shù)陌踩胧┮越档惋L(fēng)險的過程。 風(fēng)險評估概述信息安全風(fēng)險評估 信息安全風(fēng)險評估的基本思路是在信息安全事件發(fā)生之前，通過有效的手段對組織面臨的信息安全風(fēng)險進(jìn)行識別、分析，并在此基礎(chǔ)上選取相應(yīng)的安全措施，將組織面臨的信息安全風(fēng)險控制在可接受范圍內(nèi)，以此達(dá)到保護(hù)信息系統(tǒng)安全的目的。風(fēng)險評估概述信息安全風(fēng)險評估相關(guān)要素 信息安全風(fēng)險評估的對象是信息系統(tǒng)，信息系統(tǒng)的資產(chǎn)、信息系統(tǒng)可能面對的威脅、系統(tǒng)中存在的弱點(diǎn)（脆弱點(diǎn)）、系統(tǒng)中已有的安全措施等是影響信息安全風(fēng)險的基本要素，它們和安全風(fēng)險、安全風(fēng)險對業(yè)務(wù)的影響以及系統(tǒng)安全需求等構(gòu)成信息安全風(fēng)險評估的要素。1. 資產(chǎn)2. 威脅3. 脆弱點(diǎn)4. 安全措施5. 安全風(fēng)險6. 影響7. 需求風(fēng)險評估概述 根據(jù) ISO/IEC 133351,資產(chǎn)是指任何對組織有價值的東西，資產(chǎn)包括：物理資產(chǎn)、信息 /數(shù)據(jù) 、軟件、提供產(chǎn)品和服務(wù)的能力、人員、無形資產(chǎn)。 我國的 《 信息安全風(fēng)險評估指南 》 則認(rèn)為，資產(chǎn)是指對組織具有價值的信息資源，是安全策略保護(hù)的對象。它能夠以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有服務(wù)、形象等。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類。風(fēng)險評估要素風(fēng)險評估概述分 類 示例數(shù)據(jù) 存在信息媒介上的各種數(shù)據(jù) 資 料 ，包括源代 碼 、數(shù)據(jù) 庫 數(shù)據(jù)、系 統(tǒng) 文檔、運(yùn)行管理 規(guī) 程、 計(jì) 劃、 報 告、用 戶 手冊等軟 件系 統(tǒng)軟 件 ：操作系 統(tǒng) 、 語 言包、工具 軟 件、各種 庫 等應(yīng) 用 軟 件 ：外部 購買 的 應(yīng) 用 軟 件，外包開 發(fā) 的 應(yīng) 用 軟 件等源程序 ：各種共享源代 碼 、可 執(zhí) 行程序、自行或合作開 發(fā) 的各種程序等硬件網(wǎng) 絡(luò)設(shè)備 ：路由器、網(wǎng)關(guān)、交 換 機(jī)等計(jì) 算機(jī) 設(shè)備 ：大型機(jī)、服 務(wù) 器、工作站、臺式 計(jì) 算機(jī)、移 動計(jì) 算機(jī)等存 儲設(shè)備 ：磁 帶 機(jī)、磁 盤陣 列等移 動 存 儲設(shè)備 ：磁 帶 、光 盤 、 軟盤 、 U盤 、移 動 硬 盤 等傳輸線 路 ：光 纖 、雙 絞線 等保障 設(shè)備 ： 動 力保障 設(shè)備 （ UPS、 變電設(shè)備 等）、空 調(diào) 、保 險 柜、文件柜、門 禁、消防 設(shè) 施等安全保障 設(shè)備 ：防火 墻 、入侵 檢測 系 統(tǒng) 、身份 驗(yàn)證 等其他 電 子 設(shè)備 ：打印機(jī)、復(fù)印機(jī)、 掃 描 儀 、 傳 真機(jī)等服 務(wù)辦 公服 務(wù) ： 為 提高效率而開 發(fā) 的管理信息系 統(tǒng) （ MIS），它包括各種內(nèi)部配置管理、文件流 轉(zhuǎn) 管理等服 務(wù)網(wǎng) 絡(luò) 服 務(wù) ：各種網(wǎng) 絡(luò)設(shè)備 、 設(shè) 施提供的網(wǎng) 絡(luò)連 接服 務(wù)信息服 務(wù) ： 對 外依 賴該 系 統(tǒng) 開展服 務(wù) 而取得 業(yè)務(wù) 收入的服 務(wù)文檔 紙質(zhì) 的各種文件、 傳 真、 電報 、 財務(wù)報 告、 發(fā) 展 計(jì) 劃等人 員 掌握重要信息和核心 業(yè)務(wù) 的人 員 ，如主機(jī) 維護(hù) 主管、網(wǎng) 絡(luò)維護(hù) 主管及 應(yīng) 用 項(xiàng)目 經(jīng) 理及網(wǎng) 絡(luò) 研 發(fā) 人 員 等其它 企 業(yè) 形象，客 戶 關(guān)系等風(fēng)險評估概述風(fēng)險評估要素 威脅是可能對資產(chǎn)或組織造成損害的潛在原因。威脅有潛力導(dǎo)致不期望發(fā)生的事件發(fā)生，該事件可能對系統(tǒng)或組織及其資產(chǎn)造成損害。這些損害可能是蓄意的對信息系統(tǒng)和服務(wù)所處