【正文】 風(fēng)險評估管理程序 歷史修訂記錄序號 更改單號 更改說明 修訂人 生效日期 現(xiàn)行版次2 / 37目 錄1 概述 .........................................................................52 術(shù)語與定義 ...................................................................5 風(fēng)險管理 ....................................................................5 風(fēng)險評估 .................................................................5 其他 ........................................................................63 風(fēng)險評估框架及流程 ...........................................................7 風(fēng)險要素關(guān)系 ................................................................73 / 37 風(fēng)險分析原理 ................................................................9 實施流程 ....................................................................94 風(fēng)險評估準(zhǔn)備過程 ............................................................10 確定范圍 ...................................................................10 確定目標(biāo) ...................................................................11 確定組織結(jié)構(gòu) ...............................................................11 確定風(fēng)險評估方法 ...........................................................11 獲得最高管理者批準(zhǔn) .........................................................115 風(fēng)險評估實施過程 ............................................................11 資產(chǎn)賦值 ...................................................................13 資產(chǎn)分類 ................................................................14 資產(chǎn)價值屬性 ............................................................17 資產(chǎn)價值屬性賦值標(biāo)準(zhǔn) ....................................................19 威脅評估 ...................................................................23 威脅分類 ................................................................23 威脅賦值 ................................................................26 脆弱性評估 .................................................................27 確定現(xiàn)有控制 ...............................................................30 風(fēng)險評估 ...................................................................30 風(fēng)險值計算 ..............................................................30 風(fēng)險等級劃分 ............................................................31 風(fēng)險評估結(jié)果紀(jì)錄 ........................................................316 風(fēng)險管理過程 ................................................................32 安全控制的識別與選擇 .......................................................33 降低風(fēng)險 ...................................................................34 接受風(fēng)險 ...................................................................35 風(fēng)險管理要求 ...............................................................357 相關(guān)文件 ....................................................................364 / 375 / 371 概述目前信息安全管理的發(fā)展趨勢是將風(fēng)險管理與信息安全管理緊密結(jié)合在一起，將風(fēng)險概念作為信息安全管理實踐的對象和出發(fā)點，信息安全管理的控制點以風(fēng)險出現(xiàn)的可能性作為對象而展開的。風(fēng)險管理遵循管理的一般循環(huán)模式—計劃 (Plan)、執(zhí)行 (Do)、檢查 (Check)、行動 (Action)的持續(xù)改進(jìn)模式。信息對于組織是一種具有重要價值的資產(chǎn)。風(fēng)險評估是對信息和信息處理設(shè)施的威脅、脆弱性和風(fēng)險的評估，它包含以下元素：6 / 37風(fēng)險是被特定威脅利用的資產(chǎn)的一種或一組脆弱性，導(dǎo)致資產(chǎn)丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。安全控制措施是降低風(fēng)險的措施、程序或機(jī)制。3. 機(jī)密性 confidentiality：數(shù)據(jù)所具有的特性，即表示數(shù)據(jù)所達(dá)到的未提供或未泄露給未授權(quán)的個人、過程或其他實體的程度。6. 數(shù)據(jù)完整性 data integrity ：數(shù)據(jù)所具有的特性，即無論數(shù)據(jù)形式作何變化，數(shù)據(jù)的準(zhǔn)確性和一致性均保持不變。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。12. 組織 anization：由作用不同的個體為實施共同的業(yè)務(wù)目標(biāo)而建立的結(jié)構(gòu)。15. 安全事件 security event ：指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別狀態(tài)的發(fā)生，它可能是對信息安全策略的違反或防護(hù)措施的失效，或未預(yù)知的不安全狀況。 vulnerability：可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的弱點。風(fēng)險評估中各要素的關(guān)系如圖 31 所示：8 / 37脆弱性 資產(chǎn)價值威脅資產(chǎn)風(fēng)險 安全需求業(yè)務(wù)戰(zhàn)略安全事件 殘余風(fēng)險 安全措施利用暴露 具有成本被滿足未控制可能誘發(fā)演變增加 導(dǎo)出依賴增加降低抵御未被滿足圖 31 風(fēng)險要素關(guān)系圖圖 31 中方框部分的內(nèi)容為風(fēng)險評估的基本要素，橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性。 風(fēng)險分析原理 風(fēng)險分析原理如圖 32 所示：威脅出現(xiàn)的頻率脆弱性的嚴(yán)重程度資產(chǎn)價值安全事件的可能性安全事件的損失風(fēng)險值威脅識別脆弱性識別資產(chǎn)識別圖 32 風(fēng)險分析原理圖風(fēng)險分析中要涉及資產(chǎn)、威脅、脆弱性等基本要素。10 / 37圖 33 風(fēng)險評估實施流程圖4 風(fēng)險評估準(zhǔn)備過程風(fēng)險評估的準(zhǔn)備過程是運維中心進(jìn)行風(fēng)險評估的基礎(chǔ)，是整個風(fēng)險評估過程有效性的保證。此項工作11 / 37需要在資產(chǎn)識別和分類工作基礎(chǔ)上進(jìn)行。 確定組織結(jié)構(gòu)在風(fēng)險評估過程中，應(yīng)建立適合的組織結(jié)構(gòu)，以推進(jìn)評估過程，成立由管理層、相關(guān)業(yè)務(wù)骨干、IT 技術(shù)人員等組成的風(fēng)險評估小組，以保證能夠滿足風(fēng)險評估的范圍、目標(biāo)。通過識別資產(chǎn)的風(fēng)險并將風(fēng)險降低到可接受水平，來證明管理者所采用的安全控制是適當(dāng)?shù)摹４_定現(xiàn)有控制 識別與記錄所有與資產(chǎn)相關(guān)聯(lián)的、現(xiàn)有的控制。 資產(chǎn)賦值資產(chǎn)賦值就是要識別影響信息系統(tǒng)的信息資產(chǎn)（以下簡稱資產(chǎn)） ，并評估其價值，包括資產(chǎn)識別與資產(chǎn)賦值兩部分。 在信息安全體系范圍內(nèi)識別資產(chǎn)并為資產(chǎn)編制清單是一項重要工作，每項資產(chǎn)都應(yīng)該清晰地定義，在組織中明確資產(chǎn)所有權(quán)關(guān)系，進(jìn)行安全分類，并以文件方式詳細(xì)記錄在案。但采用精確的方式給資產(chǎn)賦值是較困難的一件事，一般采用定性的方式，按照事前建立的資產(chǎn)的價值評估標(biāo)準(zhǔn)將資產(chǎn)的價值劃分為不同等級。通過考察三種不同安全屬性，可以得出一個能夠基本反映資產(chǎn)價值的數(shù)值。例如，資產(chǎn)價值越大，由于泄露、修改、損害、不可用等安全事件對組織業(yè)務(wù)的潛在影響就越大。 在對資產(chǎn)賦予價值時，一方面要考慮資產(chǎn)購買成本及維護(hù)成本，另一方面主要考慮當(dāng)這種資產(chǎn)的機(jī)密性、完整性、可用性受到損害時，對業(yè)務(wù)運營的負(fù)面影響程度。3. 系統(tǒng)對業(yè)務(wù)的重要程度：用于衡量業(yè)務(wù)系統(tǒng)對業(yè)務(wù)的重要性，其值由系統(tǒng)服務(wù)范圍和業(yè)務(wù)對系統(tǒng)的依賴程度確定。7. 資產(chǎn)信息重要性：用于衡量信息資產(chǎn)本身或硬件、系統(tǒng)服務(wù)類資產(chǎn)所包含信息的信息價值，其值由信息保密性、信息完整性和信息可用性確定。11. 花費：用于衡量購買或恢復(fù)被破壞的資產(chǎn)所需要的花消，評估人員可以19 / 37人工分析并選擇花費值。2 面向開發(fā)基地。2整個業(yè)務(wù)處理流程可以通過手工方式或其他方式完成，但這些替代方式對組織業(yè)務(wù)的開展有較大的影響。2 信息的未授權(quán)泄露對運維中心的業(yè)務(wù)以及利益帶來21 / 37信息保密性賦值 描述一定的損失或破壞。表 57 信息保密性賦值表? 信息完整性賦值信息完整性賦值 描述1 信息的未授權(quán)的修改或破壞對運維中心的業(yè)務(wù)以及利益基本不會受到影響或損害極小。5 信息的未授權(quán)的修改或破壞會對運維中心