【正文】 ，分別對應(yīng)資產(chǎn)在完整性上的達成的不同程度或者完整性缺失時對整個組織的影響。資產(chǎn)賦值的過程也就是對資產(chǎn)在機密性、完整性和可用性上的達成程度進行分析，并在此基礎(chǔ)上得出一個綜合結(jié)果的過程。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類。為此，有必要對組織中的資產(chǎn)進行識別。它能夠以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有服務(wù)、形象等。評估團隊應(yīng)能夠保證風險評估工作的有效開展。風險評估的目標是滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要，或符合相關(guān)方的要求，或遵守法律法規(guī)的規(guī)定等?！?確定目標風險評估的準備階段應(yīng)明確風險評估的目標，為風險評估的過程提供導向。 　 實施流程圖3給出風險評估的實施流程，第6章將圍繞風險評估流程闡述風險評估各具體實施步驟。有些殘余風險來自于安全措施可能不當或無效,在以后需要繼續(xù)控制，而有些殘余風險則是在綜合考慮了安全成本與效益后未控制的風險，是可以被接受的；（11）殘余風險應(yīng)受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件。風險評估要識別資產(chǎn)相關(guān)要素的關(guān)系，從而判斷資產(chǎn)面臨的風險大小。第二部分：附錄部分。管理機構(gòu)：本標準可以作為信息系統(tǒng)所有者的上級主管部門或業(yè)務(wù)管理機構(gòu)的信息安全管理手段之一，對信息系統(tǒng)及其管理進行安全檢查，推動行業(yè)或地區(qū)信息安全風險管理的實施。系統(tǒng)所有者可以基于本標準的評估結(jié)果來決定信息系統(tǒng)是否滿足他們的安全需求，是否將重要資產(chǎn)的風險降低到可接受的范圍內(nèi)。信息安全風險評估是信息系統(tǒng)安全保障機制建立過程中的一種評價方法，其結(jié)果為信息安全風險管理提供依據(jù)。　檢查評估 Inspection Assessment由被評估組織的上級主管機關(guān)或業(yè)務(wù)主管機關(guān)發(fā)起的，依據(jù)國家有關(guān)法規(guī)與標準，對信息系統(tǒng)及其管理進行的具有強制性的檢查活動?！“踩录? Security Event 威脅利用脆弱性產(chǎn)生的危害情況?！C密性 Confidentiality使信息不泄露給未授權(quán)的個人、實體、過程或不使信息為其利用的特性。信息安全風險 Information Security Risk人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件及其對組織造成的影響。資產(chǎn)價值是資產(chǎn)的屬性，也是進行資產(chǎn)識別的主要內(nèi)容。凡是不注日期的引用文件，其最新版本適用于本標準。本標準主要起草人：范紅等人。本標準介紹了信息安全風險評估的基本概念、原則和要求，提出了信息安全風險評估的一般方法。本標準由國務(wù)院信息化工作辦公室提出。信息安全風險評估指南1　 范圍本標準提出了信息安全風險評估的實施流程、評估內(nèi)容、評估方法及其在信息系統(tǒng)生命周期各階段的不同要求，適用于組織開展的信息安全風險評估工作。ISO/IEC 177992000 Information security management —Part 1:Code of practice for information security management ISO/IEC TR Information technologyGuidelines for the management of IT SecurityPart 1:Concepts and models of IT SecurityGB　17859－1999 計算機信息系統(tǒng)安全保護等級劃分準則　GB/T 197162005 信息技術(shù) 信息安全管理實用規(guī)則GB/T 信息技術(shù) 信息技術(shù)安全管理指南 第1部分：信息技術(shù)安全概念和模型GB/T9361－2000　計算機場地安全要求3　 術(shù)語和定義下列術(shù)語和定義適用于本標準。威脅 Threat可能對資產(chǎn)或組織造成損害的潛在原因?！⌒畔踩L險評估 Information Security Risk Assessment依據(jù)有關(guān)信息安全技術(shù)與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行評價的過程。完整性Integrality保證信息及信息系統(tǒng)不會被有意地或無意地更改或破壞的特性?！“踩枨? Security Requirement為保證組織業(yè)務(wù)戰(zhàn)略的正常運作而在安全措施方面提出的要求。4　 概述　 目的與意義信息安全風險是由于資產(chǎn)的重要性，人為或自然的威脅利用信息系統(tǒng)及其管理體系的脆弱性，導致安全事件一旦發(fā)生所造成的影響。本標準以下條款中所指的“風險評估”，其含義均為“信息安全風險評估”。系統(tǒng)所有者在信息系統(tǒng)的運行、管理中，可以依據(jù)本標準進行持續(xù)性評估，以不斷識別系統(tǒng)面臨的風險，為改進策略的實施提供依據(jù)。本標準也可以作為對信息安全感興趣或有責任的組織和個人的參考資料。包括信息安全風險評估的方法和工具的介紹，目的是使用戶了解到具體風險判別手段的多樣性和靈活性?！　　　　　★L險評估中各要素的關(guān)系如圖1所示：安全措施 抵御業(yè)務(wù)戰(zhàn)略脆弱性安全需求威脅風險殘余風險安全事件依賴具有被滿足利用暴露降低增加加依賴增加導出演變 未被滿足未控制可能誘發(fā)殘留成本資產(chǎn)資產(chǎn)價值圖1 風險要素關(guān)系圖圖1中方框部分的內(nèi)容為風險評估的基本要素，橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性。　 風險分析示意圖風險分析示意圖如下所示：威脅識別脆弱性識別威脅出現(xiàn)的頻率脆弱性的嚴重程度資產(chǎn)的重要性安全事件的損失風險值資產(chǎn)識別圖2 風險分析示意圖風險分析中要涉及資產(chǎn)、威脅、脆弱性等基本要素。否是否圖3風險評估實施流程圖是風險評估準備已有安全措施的確認風險計算風險是否接受保持已有的安全措施施施施選擇適當?shù)陌踩胧┎⒃u估殘余風險實施風險管理脆弱性識別威脅識別資產(chǎn)識別是否接受殘余風險 風險分析評估過程文檔評估過程文檔風險評估文件記錄評估結(jié)果文檔…………………6　 風險評估實施　 風險評估的準備風險評估的準備是整個風險評估過程有效性的保證。信息系統(tǒng)是重要的資產(chǎn)，其機密性、完整性和可用性對于維持競爭優(yōu)勢、獲利能力、法規(guī)要求和組織形象是必要的?！?確定范圍基于風險評估目標確定風險評估范圍是完成風險評估的前提?！?選擇方法應(yīng)考慮評估的目的、范圍、時間、效果、人員素質(zhì)等因素來選擇具體的風險判斷方法，使之能夠與組織環(huán)境和安全要求相適應(yīng)。機密性、完整性和可用性是評價資產(chǎn)的三個安全屬性?！?資產(chǎn)分類風險評估中，資產(chǎn)大多屬于不同的信息系統(tǒng)，如OA系統(tǒng)、網(wǎng)管系統(tǒng)、業(yè)務(wù)生產(chǎn)系統(tǒng)等，而且對于提供多種業(yè)務(wù)的組織，其支持業(yè)務(wù)持續(xù)運行的系統(tǒng)數(shù)量可能更多。表1列出了一種資產(chǎn)分類方法。達成程度可由安全屬性缺失時造成的影響來表示，這種影響可能造成某些資產(chǎn)的損害以至危及信息系統(tǒng)，還可能導致經(jīng)濟效益、市場份額或組織形象的損失。表3提供了一種完整性賦值的參考。綜合評定方法可以根據(jù)組織自身的特點，選擇對資產(chǎn)機密性、完整性和可用性最為重要的一個屬性的賦值等級作為資產(chǎn)的最終賦值結(jié)果，也可以根據(jù)資產(chǎn)機密性、完整性和可用性的不同重要程度對其賦值進行加權(quán)計算而得到資產(chǎn)的最終賦值。表5提供了一種資產(chǎn)重要性等級劃分的參考。根據(jù)威脅的動機，人為因素又可分為惡意和無意兩種。表6提供了一種威脅來源的分類方法。在風險評估過程中，還需要綜合考慮以下三個方面，以形成在某種評估環(huán)境中各種威脅出現(xiàn)的頻率：（1) 以往安全事件報告中出現(xiàn)過的威脅及其頻率的統(tǒng)計；（2) 實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計；（3) 近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計，以及發(fā)布的威脅　　　　　　預(yù)警。表8　威脅賦值表等級標識定義5很高威脅出現(xiàn)的頻率很高，在大多數(shù)情況下幾乎不可避免或者可以證實經(jīng)常發(fā)生過4高威脅出現(xiàn)的頻率較高，在大多數(shù)情況下很有可能會發(fā)生或者可以證實多次發(fā)生過3中威脅出現(xiàn)的頻率中等，在某種情況下可能會發(fā)生或被證實曾經(jīng)發(fā)生過2低威脅出現(xiàn)的頻率較小，一般不太可能發(fā)生，也沒有被證實發(fā)生過1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生　 脆弱性識別脆弱性是對一個或多個資產(chǎn)弱點的總稱。資產(chǎn)的脆弱性具有隱蔽性，有些弱點只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱性識別中最為困難的部分。脆弱性識別所采用的方法主要有：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。對不同的識別對象，其脆弱性識別的具體要求應(yīng)參照相應(yīng)的技術(shù)或管理標準實施。表9　脆弱性識別內(nèi)容表類型　識別對象識別內(nèi)容技術(shù)脆弱性物理環(huán)境從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通信線路的保護、機房區(qū)域防護、機房設(shè)備管理等方面進行識別。應(yīng)用系統(tǒng)審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護等方面進行識別。對某個資產(chǎn)，其技術(shù)脆弱性的嚴重程度受到組織的管理脆弱性的影響。表10提供了脆弱性嚴重程度的一種賦值方法。預(yù)防性安全措施可以降低威脅利用脆弱性導致安全事件發(fā)生的可能性，如入侵檢測系統(tǒng)；保護性安全措施可以減少因安全事件發(fā)生對信息系統(tǒng)造成的影響，如業(yè)務(wù)持續(xù)性計劃?！?風險分析 風險計算原理在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及對已有安全措施確認后，將采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導致安全事件發(fā)生的可能性，考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴重程度判斷安全事件造成的損失對組織的影響，即安全風險。在計算某個安全事件的損失時，應(yīng)將對組織的影響也考慮在內(nèi)。 風險結(jié)果判定風險等級劃分為五級，等級越高，風險越高。對某些風險，如果評估值小于或等于可接受風險閾值，是可接受風險，可保持已有的安全措施；如果評估值大于可接受風險閾值，是不可接受風險，則需要采取安全措施以降低、控制風險。某些風險可能在選擇了適當?shù)陌踩胧┖笕蕴幱诓豢山邮艿娘L險范圍內(nèi)，應(yīng)考慮是否接受此風險或進一步增加相應(yīng)的安全措施。 風險評估文件風險評估文件包括在整個風險評估過程中產(chǎn)生的評估過程文檔和評估結(jié)果文檔，包括（但不僅限于此）：（1）風險評估計劃：闡述風險評估的目標、范圍、團隊、評估方法、評估結(jié)果的形式和實施進度等；（2）風險評估程序：明確評估的目的、職責、過程、相關(guān)的文件要求，并且準備實施評估需要的文檔；（3）資產(chǎn)識別清單：根據(jù)組織在風險評估程序文件中所確定的資產(chǎn)分類方法進行資產(chǎn)識別，形成資產(chǎn)識別清單，清單中應(yīng)明確各資產(chǎn)的責任人/部門；（4）重要資產(chǎn)清單：根據(jù)資產(chǎn)識別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類型、重要程度、責任人/部門等； （5）威脅列表：根據(jù)威脅識別和賦值的結(jié)果，形成威脅列表，包括威脅名稱、種類、來源、動機及出