【正文】 風(fēng)險(xiǎn)評(píng)估案例風(fēng)險(xiǎn)標(biāo)識(shí) 資產(chǎn) 威 脅 風(fēng)險(xiǎn) 等 級(jí) 安全措施R1 多媒體 系 統(tǒng) 供 電 中斷 中 配置 備 用 電 源R2 誤 操作 很高 多媒體系 統(tǒng) 操作培 訓(xùn)R4硬件 盜竊、物理破壞很高 加 強(qiáng) 安全保 衛(wèi) 工作R5 火災(zāi) 中 配 備滅 火 設(shè)備R7 硬件故障 中 技 術(shù) 支持R8 軟 件 軟 件故障 高 加 強(qiáng) 權(quán) 限管理，采用系 統(tǒng) “一 鍵還 原 ”機(jī)制。此處為簡單起見影響風(fēng)險(xiǎn)主要依據(jù)脆弱點(diǎn)評(píng)估的結(jié)果。 風(fēng)險(xiǎn)評(píng)估案例2 資產(chǎn)識(shí)別與評(píng)估 通過分析多媒體教學(xué)系統(tǒng)在硬件、軟件、信息、有關(guān)人員等方面的資產(chǎn)信息，并考察這些資產(chǎn)的價(jià)值以及對(duì)信息系統(tǒng)的關(guān)鍵程度。方法也可由用戶在使用過程中確定。從資產(chǎn)的識(shí)別開始，接著識(shí)別威脅以及對(duì)應(yīng)安全事件發(fā)生的可能性。在確定影響值和可能性之后，計(jì)算風(fēng)險(xiǎn)值。 查表 可知風(fēng)險(xiǎn)值為 5。(3)風(fēng)險(xiǎn)綜合評(píng)價(jià)這種方法中風(fēng)險(xiǎn)由 威脅導(dǎo)致的安全事件發(fā)生的可能性、對(duì)資產(chǎn)的影響程度以及已經(jīng)存在的控制措施 三個(gè)方面來確定。風(fēng)險(xiǎn)評(píng)估方法2．基于期望損失效用的風(fēng)險(xiǎn)評(píng)估方法若經(jīng)過風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)事件 E造成的相對(duì)損失為 loss，其發(fā)生的可能性為 L， loss和 L均為取值在 [0,1]區(qū)間定量值。層次分析法的決策過程如下： a)分析各影響因素間的關(guān)系，建立層次模型 b)構(gòu)建兩兩比較判斷矩陣 c)計(jì)算單個(gè)判斷矩陣對(duì)應(yīng)的權(quán)重向量 d)計(jì)算各層元素對(duì)目標(biāo)層的合成權(quán)重向量(5) 主成分分析是一種多元統(tǒng)計(jì)分析方法，對(duì)于多指標(biāo)的復(fù)雜評(píng)價(jià)系統(tǒng)，由于指標(biāo)多，數(shù)據(jù)處理相當(dāng)復(fù)雜，由于指標(biāo)之間存在一定的關(guān)系，可以適當(dāng)簡化。（ 4）灰色系統(tǒng)理論 部分信息已知、部分信息未知的系統(tǒng)稱為灰色系統(tǒng)。 從理論上看，風(fēng)險(xiǎn)評(píng)估方法的理論基礎(chǔ)包括： 概率風(fēng)險(xiǎn)分析方法、模糊決策方法、人工智能、定性推理方法、灰色決策理論、綜合評(píng)價(jià)方法 等。 根據(jù)威脅源的分類，引起安全事件發(fā)生的原因可能是自然災(zāi)害、環(huán)境及系統(tǒng)威脅、人員無意行為、人員故意行為等。而風(fēng)險(xiǎn)則可表示為可能性 L和影響 F的函數(shù)，簡單的處理就是 將安全事件發(fā)生的可能性 L與安全事件的影響 F相乘 得到風(fēng)險(xiǎn)值，實(shí)際就是平均損失，即 VR= L(A,T,V)F(A,T,V)。這可以通過兩個(gè)方面的作用來實(shí)現(xiàn) ， （ 1）減少 威脅出現(xiàn)的頻率，如通過立法或健全制度加大對(duì)員工惡意行為的懲罰，可以減少員工故意行為威脅出現(xiàn)的頻率，通過安全培訓(xùn)可以減少無意行為導(dǎo)致安全事件出現(xiàn)的頻率 ； （ 2）減少 脆弱點(diǎn)，如及時(shí)為系統(tǒng)打補(bǔ)丁、對(duì)硬件設(shè)備定期檢查能夠減少系統(tǒng)的技術(shù)脆弱點(diǎn)等。組織 管理 安全策略、 組織 安全、 資產(chǎn) 分 類 與控制、人 員 安全、符合性風(fēng)險(xiǎn)評(píng)估流程脆弱點(diǎn)識(shí)別 資產(chǎn)的脆弱點(diǎn) 具有隱蔽性 ，有些弱點(diǎn)只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱點(diǎn)識(shí)別中最為困難的部分。 脆弱點(diǎn)識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行， 技術(shù)脆弱點(diǎn) 涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問題。 通常信息資產(chǎn)的 機(jī)密性、完整性、可用性、可審計(jì)性和不可抵賴性 等是評(píng)價(jià)資產(chǎn)的安全屬性。其工作主要包括：1．確定風(fēng)險(xiǎn)評(píng)估目標(biāo)（滿足業(yè)務(wù)持續(xù)性需要）2．確定風(fēng)險(xiǎn)評(píng)估的對(duì)象和范圍3．組建團(tuán)隊(duì)。 這種方法的缺點(diǎn)是需要更多的時(shí)間、努力和專業(yè)知識(shí)。 風(fēng)險(xiǎn)評(píng)估策略基線評(píng)估的優(yōu)點(diǎn)是 ： (1)風(fēng)險(xiǎn)分析和每個(gè)防護(hù)措施的實(shí)施管理只需要最少數(shù)量的資源，并且在選擇防護(hù)措施時(shí)花費(fèi)更少的時(shí)間和努力； (2)如果組織的大量系統(tǒng)都在普通環(huán)境下運(yùn)行并且如果安全需要類似，那么很多系統(tǒng)都可以采用相同或相似的基線防護(hù)措施而不需要太多的努力。有些殘余風(fēng)險(xiǎn)來自于安全措施可能不當(dāng)或無效 ,在以后需要繼續(xù)控制，而有些殘余風(fēng)險(xiǎn)則是在綜合考慮了安全成本與效益后未控制的風(fēng)險(xiǎn)，是可以被接受的；殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它可能會(huì)在將來誘發(fā)新的安全事件 。 風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估要素 安全需求是指為保證組織業(yè)務(wù)戰(zhàn)略的正常運(yùn)作而在安全措施方面提出的要求。在信息安全領(lǐng)域，直接的損失往往容易估計(jì)且損失較小，間接的損失難易估計(jì)且常常比直接損失更為嚴(yán)重。 風(fēng)險(xiǎn)評(píng)估概述脆弱點(diǎn)主要表現(xiàn)在從技術(shù)和管理兩個(gè)方面 技術(shù)脆弱點(diǎn) 是指信息系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、運(yùn)行時(shí)在技術(shù)方面存在的缺陷或弱點(diǎn)。風(fēng)險(xiǎn)評(píng)估概述威 脅 源 常 見 表 現(xiàn) 形式自然威 脅地震 、 颶風(fēng) 、火山 、洪水、海 嘯 、泥石流、暴 風(fēng) 雪 、雪崩 、雷電 、其他環(huán) 境威 脅火災(zāi) 、 戰(zhàn) 爭、重大疫情 、恐怖主 義 、供 電 故障、供水故障 、其他公共 設(shè) 施中斷 、危 險(xiǎn) 物 質(zhì) 泄漏、重大事故（如交通工具碰撞等）、 污 染、溫度或濕度、其他系 統(tǒng) 威 脅網(wǎng) 絡(luò) 故障、硬件故障 、 軟 件故障 、 惡 意代 碼 、存 儲(chǔ) 介 質(zhì) 的老化 、其他外部人 員網(wǎng) 絡(luò) 竊聽、拒 絕 服 務(wù) 攻 擊 、用 戶 身份仿冒、系 統(tǒng) 入侵、盜竊、物理破壞、信息 篡 改、泄密、抵 賴 、其他。 我國的 《 信息安全風(fēng)險(xiǎn)評(píng)估指南 》 則認(rèn)為，資產(chǎn)是指對(duì)組織具有價(jià)值的信息資源，是安全策略保護(hù)的對(duì)象。規(guī)劃風(fēng)險(xiǎn)管理 識(shí)別風(fēng)險(xiǎn)實(shí)施定性風(fēng)險(xiǎn)分析實(shí)施定量風(fēng)險(xiǎn)分析 監(jiān)控風(fēng)險(xiǎn)規(guī)劃風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃過程 監(jiān)控過程風(fēng)險(xiǎn)評(píng)估概述規(guī)劃風(fēng)險(xiǎn)管理流程項(xiàng)目范圍說明書成本管理計(jì)劃進(jìn)度管理計(jì)劃溝通管理計(jì)劃事業(yè)環(huán)境因素風(fēng)險(xiǎn)態(tài)度風(fēng)險(xiǎn)承受度既定的風(fēng)險(xiǎn)管理方法規(guī)劃會(huì)議、分析風(fēng)險(xiǎn)管理計(jì)劃依據(jù) 工具、技術(shù) 結(jié)果風(fēng)險(xiǎn)評(píng)估概述識(shí)別風(fēng)險(xiǎn)流程依據(jù)依據(jù) 工具、技術(shù) 結(jié)果結(jié)果項(xiàng)目范圍說明書事業(yè)環(huán)境因素組織過程資產(chǎn)風(fēng)險(xiǎn)管理計(jì)劃集成管理計(jì)劃 框架分析法頭腦風(fēng)暴法要素分析法情景分析法流程分析法潛在風(fēng)險(xiǎn)風(fēng)險(xiǎn)征兆風(fēng)險(xiǎn)來源風(fēng)險(xiǎn)清單風(fēng)險(xiǎn)風(fēng)險(xiǎn)登記冊(cè)登記冊(cè)風(fēng)險(xiǎn)評(píng)估概述實(shí)施定性風(fēng)險(xiǎn)分析流程依據(jù)依據(jù) 工具、技術(shù)工具、技術(shù) 結(jié)果結(jié)果風(fēng)險(xiǎn)登記冊(cè)風(fēng)險(xiǎn)數(shù)據(jù)質(zhì)量評(píng)估概率影響矩陣風(fēng)險(xiǎn)概率和影響評(píng)估定性分析結(jié)果的趨勢(shì)低優(yōu)先觀察清單進(jìn)一步分析的風(fēng)險(xiǎn)需近期處理的風(fēng)險(xiǎn)風(fēng)險(xiǎn)成因及需關(guān)注領(lǐng)域按類別分類的風(fēng)險(xiǎn)優(yōu)先級(jí)清單風(fēng)險(xiǎn)登記冊(cè)（更新）組織過程資產(chǎn)風(fēng)險(xiǎn)管理計(jì)劃項(xiàng)目范圍說明書風(fēng)險(xiǎn)分類風(fēng)險(xiǎn)緊迫性評(píng)估專家判斷風(fēng)險(xiǎn)評(píng)估概述實(shí)施定量風(fēng)險(xiǎn)分析流程依據(jù)依據(jù) 工具、技術(shù)工具、技術(shù) 結(jié)果結(jié)果風(fēng)險(xiǎn)登記冊(cè)風(fēng)險(xiǎn)管理計(jì)劃成本管理計(jì)劃進(jìn)度管理計(jì)劃專家判斷定量風(fēng)險(xiǎn)分析和建模數(shù)據(jù)收集與表現(xiàn)技術(shù)*定量風(fēng)險(xiǎn)分析結(jié)果中反應(yīng)的趨勢(shì)*實(shí)現(xiàn)成本和時(shí)間目標(biāo)的概率*項(xiàng)目的概率分析*量化風(fēng)險(xiǎn)優(yōu)先級(jí)清單風(fēng)險(xiǎn)登記冊(cè)（更新）組織過程資產(chǎn)風(fēng)險(xiǎn)評(píng)估概述規(guī)劃風(fēng)險(xiǎn)應(yīng)對(duì)流程依據(jù)依據(jù) 工具或技術(shù)工具或技術(shù) 結(jié)果結(jié)果風(fēng)險(xiǎn)登記冊(cè)風(fēng)險(xiǎn)管理計(jì)劃消極風(fēng)險(xiǎn)或威脅的應(yīng)對(duì)策略積極風(fēng)險(xiǎn)或機(jī)會(huì)的應(yīng)對(duì)策略應(yīng)急應(yīng)對(duì)策略專家判斷風(fēng)險(xiǎn)登記冊(cè)（更新）與風(fēng)險(xiǎn)相關(guān)的合同決策項(xiàng)目管理計(jì)劃（更新）項(xiàng)目文件（更新）風(fēng)險(xiǎn)評(píng)估概述監(jiān)控風(fēng)險(xiǎn)流程依據(jù) 工具或技術(shù) 結(jié)果風(fēng)險(xiǎn)登記冊(cè)儲(chǔ)備分析技術(shù)績效測(cè)量偏差和趨勢(shì)分析風(fēng)險(xiǎn)審計(jì)風(fēng)險(xiǎn)再評(píng)估項(xiàng)目文件（更新）項(xiàng)目管理計(jì)劃（更新）變更請(qǐng)求組織過程資產(chǎn)風(fēng)險(xiǎn)登記冊(cè)（更新）項(xiàng)目管理計(jì)劃工作績效信息績效報(bào)告狀態(tài)審查會(huì)風(fēng)險(xiǎn)評(píng)估概述信息安全風(fēng)險(xiǎn)評(píng)估 信 息安全 風(fēng)險(xiǎn)評(píng) 估，是從 風(fēng)險(xiǎn) 管理角度，運(yùn)用科學(xué)的方法和手段，系 統(tǒng) 地分析網(wǎng) 絡(luò) 與信息系統(tǒng) 所面 臨 的威 脅 及其存在的脆弱性， 評(píng) 估安全事件一旦 發(fā) 生可能造成的危害程度，提出有 針對(duì) 性的抵御威 脅 的防 護(hù)對(duì) 策和整改措施。 風(fēng)險(xiǎn)管理部的責(zé)任是領(lǐng)導(dǎo)和協(xié)調(diào)公司內(nèi)各單位在管理風(fēng)險(xiǎn)方面的工作，它的職責(zé)包括：? 編制規(guī)章制度? 對(duì)各業(yè)務(wù)單位的風(fēng)險(xiǎn)進(jìn)行組合管理? 度量風(fēng)險(xiǎn)和評(píng)估風(fēng)險(xiǎn)的界限? 建立風(fēng)險(xiǎn)信息系統(tǒng)和預(yù)警系統(tǒng) 、厘定關(guān)鍵風(fēng)險(xiǎn)指標(biāo)? 負(fù)責(zé)風(fēng)險(xiǎn)信息披露、溝通、協(xié)調(diào)員工培訓(xùn)和學(xué)習(xí)的工作? 按風(fēng)險(xiǎn)與回報(bào)的分析，為各業(yè)務(wù)單位分配經(jīng)濟(jì)資本金風(fēng)險(xiǎn)評(píng)估概述“內(nèi)部審計(jì)是一項(xiàng)獨(dú)立、客觀的審查和咨詢活動(dòng)，其目的在于增加企業(yè)的價(jià)值和改進(jìn)經(jīng)營。風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估第七講第七講 信息安全管理之信息安全管理之 風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估概述信息安全風(fēng)險(xiǎn)評(píng)估策略信息安全風(fēng)險(xiǎn)評(píng)估流程信息安全風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估案例風(fēng)險(xiǎn)評(píng)估概述信息安全風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估概述A風(fēng)險(xiǎn)因風(fēng)險(xiǎn)因子子B風(fēng)險(xiǎn)因風(fēng)險(xiǎn)因子子隱患：隱患： 內(nèi)部失控內(nèi)部失控事故事故外部作用外部作用產(chǎn)生了產(chǎn)生了人們不人們不期望的期望的后果后果超出超出設(shè)定設(shè)定安全安全界限界限的狀的狀態(tài)、態(tài)、行為行為風(fēng)險(xiǎn)評(píng)估概述系統(tǒng)系統(tǒng)減少：人的減少：人的不安全行為不安全行為改變：環(huán)境改變：環(huán)境不安全條件不安全條件減少：物的減少：物的不安全狀態(tài)不安全狀態(tài)消除：管消除：管理缺陷理缺陷預(yù)防減少事故預(yù)防減少事故降低事故損失降低事故損失安全風(fēng)險(xiǎn)管理目標(biāo)安全風(fēng)險(xiǎn)管理目標(biāo)風(fēng)險(xiǎn)評(píng)估概述企業(yè)風(fēng)險(xiǎn)管理框架? 一個(gè)基礎(chǔ)? 三道防線管理層CEO第三道防線 第二道防線第一道防線業(yè)務(wù)部門董事會(huì)風(fēng)險(xiǎn)管理內(nèi)部審計(jì)審計(jì)委員會(huì) 風(fēng)險(xiǎn)管理委員會(huì)風(fēng)險(xiǎn)評(píng)估概述一個(gè)基礎(chǔ)：公司治理結(jié)構(gòu)216。內(nèi)審?fù)ㄟ^系統(tǒng)的方法，評(píng)價(jià)和改進(jìn)企業(yè)的風(fēng)險(xiǎn)管理、控制和治理流程的效益，幫助企業(yè)實(shí)現(xiàn)其目標(biāo)。并 為 防范和化解信息安全 風(fēng)險(xiǎn) ，或者將 風(fēng)險(xiǎn) 控制在可接受的水平，從而最大限度地保障網(wǎng) 絡(luò) 和信息安全提供科學(xué)依據(jù) （國信 辦 [2022]5號(hào)文件 ） 。它能夠以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有服務(wù)、形象等。內(nèi)部人 員未 經(jīng) 授 權(quán) 信息 發(fā) 布、未 經(jīng) 授 權(quán) 的信息 讀 寫、抵 賴 、 電 子攻 擊 （如利用系 統(tǒng) 漏洞提升 權(quán) 限）、物理破壞（系 統(tǒng) 或存 儲(chǔ) 介 質(zhì)損 壞）、盜竊、 越 權(quán) 或 濫 用 、 誤 操作風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估要素 脆弱點(diǎn)是一個(gè)或一組資產(chǎn)所具有的，可能被威脅利用對(duì)資產(chǎn)造成損害的 薄弱環(huán)節(jié) 。 管理脆弱點(diǎn) 則是指組織管理制度、流程等方面存在的缺陷或不足。如某公司信息系統(tǒng)中一路由器因雷擊而破壞，其直接的損失表現(xiàn)為路由器本身的價(jià)值、修復(fù)所需的人力物力等；而間接損失則較為復(fù)雜，由于路由器不能正常工作，信息系統(tǒng)不能提供正常的服務(wù)，導(dǎo)致公司業(yè)務(wù)量的損失、企業(yè)形象的損失等，若該路由器為金融、電力、軍事等重要部門提供服務(wù)，其間接損失更為巨大。 安全需求可體現(xiàn)在技術(shù)、組織管理等多個(gè)方面。風(fēng)險(xiǎn)評(píng)估概述為什么要做風(fēng)險(xiǎn)評(píng)估 安 全源于 風(fēng)險(xiǎn) 。 基線評(píng)估的的缺點(diǎn)是： (1)基線水平難以設(shè)置，如果基線水平設(shè)置的過高，有些 IT系統(tǒng)可能會(huì)有過高的安全等級(jí)；如果基線水平設(shè)置的過低，有些 IT系統(tǒng)可能會(huì)缺少安全，導(dǎo)致更高層次的暴露； (2)風(fēng)險(xiǎn)評(píng)估不全面、不透徹，且不易處理變更。目前，世界各國推出的風(fēng)險(xiǎn)評(píng)估方法多屬于這一類，如 AS/NZS 4360、 NISTSP800 OCTAVE以及我國的 《 信息安全風(fēng)險(xiǎn)