【正文】 ，分別對應(yīng)資產(chǎn)在完整性上的達(dá)成的不同程度或者完整性缺失時對整個組織的影響。資產(chǎn)賦值的過程也就是對資產(chǎn)在機(jī)密性、完整性和可用性上的達(dá)成程度進(jìn)行分析，并在此基礎(chǔ)上得出一個綜合結(jié)果的過程。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類。為此，有必要對組織中的資產(chǎn)進(jìn)行識別。它能夠以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有服務(wù)、形象等。評估團(tuán)隊?wèi)?yīng)能夠保證風(fēng)險評估工作的有效開展。風(fēng)險評估的目標(biāo)是滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要，或符合相關(guān)方的要求，或遵守法律法規(guī)的規(guī)定等?！?確定目標(biāo)風(fēng)險評估的準(zhǔn)備階段應(yīng)明確風(fēng)險評估的目標(biāo)，為風(fēng)險評估的過程提供導(dǎo)向。 　 實施流程圖3給出風(fēng)險評估的實施流程，第6章將圍繞風(fēng)險評估流程闡述風(fēng)險評估各具體實施步驟。有些殘余風(fēng)險來自于安全措施可能不當(dāng)或無效,在以后需要繼續(xù)控制，而有些殘余風(fēng)險則是在綜合考慮了安全成本與效益后未控制的風(fēng)險，是可以被接受的；（11）殘余風(fēng)險應(yīng)受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件。風(fēng)險評估要識別資產(chǎn)相關(guān)要素的關(guān)系，從而判斷資產(chǎn)面臨的風(fēng)險大小。第二部分：附錄部分。管理機(jī)構(gòu)：本標(biāo)準(zhǔn)可以作為信息系統(tǒng)所有者的上級主管部門或業(yè)務(wù)管理機(jī)構(gòu)的信息安全管理手段之一，對信息系統(tǒng)及其管理進(jìn)行安全檢查，推動行業(yè)或地區(qū)信息安全風(fēng)險管理的實施。系統(tǒng)所有者可以基于本標(biāo)準(zhǔn)的評估結(jié)果來決定信息系統(tǒng)是否滿足他們的安全需求，是否將重要資產(chǎn)的風(fēng)險降低到可接受的范圍內(nèi)。信息安全風(fēng)險評估是信息系統(tǒng)安全保障機(jī)制建立過程中的一種評價方法，其結(jié)果為信息安全風(fēng)險管理提供依據(jù)。　檢查評估 Inspection Assessment由被評估組織的上級主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的，依據(jù)國家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對信息系統(tǒng)及其管理進(jìn)行的具有強(qiáng)制性的檢查活動?！“踩录? Security Event 威脅利用脆弱性產(chǎn)生的危害情況?！C(jī)密性 Confidentiality使信息不泄露給未授權(quán)的個人、實體、過程或不使信息為其利用的特性。信息安全風(fēng)險 Information Security Risk人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件及其對組織造成的影響。資產(chǎn)價值是資產(chǎn)的屬性，也是進(jìn)行資產(chǎn)識別的主要內(nèi)容。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)主要起草人：范紅等人。本標(biāo)準(zhǔn)介紹了信息安全風(fēng)險評估的基本概念、原則和要求，提出了信息安全風(fēng)險評估的一般方法。本標(biāo)準(zhǔn)由國務(wù)院信息化工作辦公室提出。信息安全風(fēng)險評估指南1　 范圍本標(biāo)準(zhǔn)提出了信息安全風(fēng)險評估的實施流程、評估內(nèi)容、評估方法及其在信息系統(tǒng)生命周期各階段的不同要求，適用于組織開展的信息安全風(fēng)險評估工作。ISO/IEC 177992000 Information security management —Part 1:Code of practice for information security management ISO/IEC TR Information technologyGuidelines for the management of IT SecurityPart 1:Concepts and models of IT SecurityGB　17859－1999 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則　GB/T 197162005 信息技術(shù) 信息安全管理實用規(guī)則GB/T 信息技術(shù) 信息技術(shù)安全管理指南 第1部分：信息技術(shù)安全概念和模型GB/T9361－2000　計算機(jī)場地安全要求3　 術(shù)語和定義下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。威脅 Threat可能對資產(chǎn)或組織造成損害的潛在原因?！⌒畔踩L(fēng)險評估 Information Security Risk Assessment依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評價的過程。完整性Integrality保證信息及信息系統(tǒng)不會被有意地或無意地更改或破壞的特性。　安全需求 Security Requirement為保證組織業(yè)務(wù)戰(zhàn)略的正常運作而在安全措施方面提出的要求。4　 概述　 目的與意義信息安全風(fēng)險是由于資產(chǎn)的重要性，人為或自然的威脅利用信息系統(tǒng)及其管理體系的脆弱性，導(dǎo)致安全事件一旦發(fā)生所造成的影響。本標(biāo)準(zhǔn)以下條款中所指的“風(fēng)險評估”，其含義均為“信息安全風(fēng)險評估”。系統(tǒng)所有者在信息系統(tǒng)的運行、管理中，可以依據(jù)本標(biāo)準(zhǔn)進(jìn)行持續(xù)性評估，以不斷識別系統(tǒng)面臨的風(fēng)險，為改進(jìn)策略的實施提供依據(jù)。本標(biāo)準(zhǔn)也可以作為對信息安全感興趣或有責(zé)任的組織和個人的參考資料。包括信息安全風(fēng)險評估的方法和工具的介紹，目的是使用戶了解到具體風(fēng)險判別手段的多樣性和靈活性?！　　　　　★L(fēng)險評估中各要素的關(guān)系如圖1所示：安全措施 抵御業(yè)務(wù)戰(zhàn)略脆弱性安全需求威脅風(fēng)險殘余風(fēng)險安全事件依賴具有被滿足利用暴露降低增加加依賴增加導(dǎo)出演變 未被滿足未控制可能誘發(fā)殘留成本資產(chǎn)資產(chǎn)價值圖1 風(fēng)險要素關(guān)系圖圖1中方框部分的內(nèi)容為風(fēng)險評估的基本要素，橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性。　 風(fēng)險分析示意圖風(fēng)險分析示意圖如下所示：威脅識別脆弱性識別威脅出現(xiàn)的頻率脆弱性的嚴(yán)重程度資產(chǎn)的重要性安全事件的損失風(fēng)險值資產(chǎn)識別圖2 風(fēng)險分析示意圖風(fēng)險分析中要涉及資產(chǎn)、威脅、脆弱性等基本要素。否是否圖3風(fēng)險評估實施流程圖是風(fēng)險評估準(zhǔn)備已有安全措施的確認(rèn)風(fēng)險計算風(fēng)險是否接受保持已有的安全措施施施施選擇適當(dāng)?shù)陌踩胧┎⒃u估殘余風(fēng)險實施風(fēng)險管理脆弱性識別威脅識別資產(chǎn)識別是否接受殘余風(fēng)險 風(fēng)險分析評估過程文檔評估過程文檔風(fēng)險評估文件記錄評估結(jié)果文檔…………………6　 風(fēng)險評估實施　 風(fēng)險評估的準(zhǔn)備風(fēng)險評估的準(zhǔn)備是整個風(fēng)險評估過程有效性的保證。信息系統(tǒng)是重要的資產(chǎn)，其機(jī)密性、完整性和可用性對于維持競爭優(yōu)勢、獲利能力、法規(guī)要求和組織形象是必要的?！?確定范圍基于風(fēng)險評估目標(biāo)確定風(fēng)險評估范圍是完成風(fēng)險評估的前提?！?選擇方法應(yīng)考慮評估的目的、范圍、時間、效果、人員素質(zhì)等因素來選擇具體的風(fēng)險判斷方法，使之能夠與組織環(huán)境和安全要求相適應(yīng)。機(jī)密性、完整性和可用性是評價資產(chǎn)的三個安全屬性?！?資產(chǎn)分類風(fēng)險評估中，資產(chǎn)大多屬于不同的信息系統(tǒng)，如OA系統(tǒng)、網(wǎng)管系統(tǒng)、業(yè)務(wù)生產(chǎn)系統(tǒng)等，而且對于提供多種業(yè)務(wù)的組織，其支持業(yè)務(wù)持續(xù)運行的系統(tǒng)數(shù)量可能更多。表1列出了一種資產(chǎn)分類方法。達(dá)成程度可由安全屬性缺失時造成的影響來表示，這種影響可能造成某些資產(chǎn)的損害以至危及信息系統(tǒng)，還可能導(dǎo)致經(jīng)濟(jì)效益、市場份額或組織形象的損失。表3提供了一種完整性賦值的參考。綜合評定方法可以根據(jù)組織自身的特點，選擇對資產(chǎn)機(jī)密性、完整性和可用性最為重要的一個屬性的賦值等級作為資產(chǎn)的最終賦值結(jié)果，也可以根據(jù)資產(chǎn)機(jī)密性、完整性和可用性的不同重要程度對其賦值進(jìn)行加權(quán)計算而得到資產(chǎn)的最終賦值。表5提供了一種資產(chǎn)重要性等級劃分的參考。根據(jù)威脅的動機(jī)，人為因素又可分為惡意和無意兩種。表6提供了一種威脅來源的分類方法。在風(fēng)險評估過程中，還需要綜合考慮以下三個方面，以形成在某種評估環(huán)境中各種威脅出現(xiàn)的頻率：（1) 以往安全事件報告中出現(xiàn)過的威脅及其頻率的統(tǒng)計；（2) 實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計；（3) 近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計，以及發(fā)布的威脅　　　　　　預(yù)警。表8　威脅賦值表等級標(biāo)識定義5很高威脅出現(xiàn)的頻率很高，在大多數(shù)情況下幾乎不可避免或者可以證實經(jīng)常發(fā)生過4高威脅出現(xiàn)的頻率較高，在大多數(shù)情況下很有可能會發(fā)生或者可以證實多次發(fā)生過3中威脅出現(xiàn)的頻率中等，在某種情況下可能會發(fā)生或被證實曾經(jīng)發(fā)生過2低威脅出現(xiàn)的頻率較小，一般不太可能發(fā)生，也沒有被證實發(fā)生過1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生　 脆弱性識別脆弱性是對一個或多個資產(chǎn)弱點的總稱。資產(chǎn)的脆弱性具有隱蔽性，有些弱點只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱性識別中最為困難的部分。脆弱性識別所采用的方法主要有：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。對不同的識別對象，其脆弱性識別的具體要求應(yīng)參照相應(yīng)的技術(shù)或管理標(biāo)準(zhǔn)實施。表9　脆弱性識別內(nèi)容表類型　識別對象識別內(nèi)容技術(shù)脆弱性物理環(huán)境從機(jī)房場地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識別。應(yīng)用系統(tǒng)審計機(jī)制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識別。對某個資產(chǎn)，其技術(shù)脆弱性的嚴(yán)重程度受到組織的管理脆弱性的影響。表10提供了脆弱性嚴(yán)重程度的一種賦值方法。預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如入侵檢測系統(tǒng)；保護(hù)性安全措施可以減少因安全事件發(fā)生對信息系統(tǒng)造成的影響，如業(yè)務(wù)持續(xù)性計劃。　 風(fēng)險分析 風(fēng)險計算原理在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及對已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴(yán)重程度判斷安全事件造成的損失對組織的影響，即安全風(fēng)險。在計算某個安全事件的損失時，應(yīng)將對組織的影響也考慮在內(nèi)。 風(fēng)險結(jié)果判定風(fēng)險等級劃分為五級，等級越高，風(fēng)險越高。對某些風(fēng)險，如果評估值小于或等于可接受風(fēng)險閾值，是可接受風(fēng)險，可保持已有的安全措施；如果評估值大于可接受風(fēng)險閾值，是不可接受風(fēng)險，則需要采取安全措施以降低、控制風(fēng)險。某些風(fēng)險可能在選擇了適當(dāng)?shù)陌踩胧┖笕蕴幱诓豢山邮艿娘L(fēng)險范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險或進(jìn)一步增加相應(yīng)的安全措施。 風(fēng)險評估文件風(fēng)險評估文件包括在整個風(fēng)險評估過程中產(chǎn)生的評估過程文檔和評估結(jié)果文檔，包括（但不僅限于此）：（1）風(fēng)險評估計劃：闡述風(fēng)險評估的目標(biāo)、范圍、團(tuán)隊、評估方法、評估結(jié)果的形式和實施進(jìn)度等；（2）風(fēng)險評估程序：明確評估的目的、職責(zé)、過程、相關(guān)的文件要求，并且準(zhǔn)備實施評估需要的文檔；（3）資產(chǎn)識別清單：根據(jù)組織在風(fēng)險評估程序文件中所確定的資產(chǎn)分類方法進(jìn)行資產(chǎn)識別，形成資產(chǎn)識別清單，清單中應(yīng)明確各資產(chǎn)的責(zé)任人/部門；（4）重要資產(chǎn)清單：根據(jù)資產(chǎn)識別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類型、重要程度、責(zé)任人/部門等； （5）威脅列表：根據(jù)威脅識別和賦值的結(jié)果，形成威脅列表，包括威脅名稱、種類、來源、動機(jī)及出