【正文】 組完成該過程必不可少的確定的基本實(shí)踐（BP）。,3．保證過程 保證是指安全需求得到滿足的信任程度。,3級(jí)：完好定義的過程。可以準(zhǔn)確地度量過程的持續(xù)改善所收到的效益。 6．將結(jié)果形成文件并建立活動(dòng)計(jì)劃。脆弱性識(shí)別可以以資產(chǎn)為核心，也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)別，然后與資產(chǎn)、威脅對(duì)應(yīng)起來。下面將從不同的角度比較現(xiàn)有的信息安全風(fēng)險(xiǎn)評(píng)估方法。 ——常用的定性評(píng)估方法有故障分析樹（FTA）、事件樹分析（ETA）、德爾菲法（DELPHI）。 優(yōu)點(diǎn)：能夠直接提供推薦的保護(hù)措施、結(jié)構(gòu)框架和實(shí)施計(jì)劃。 ——使用本方法需要首先確定資產(chǎn)、威脅和脆弱性的賦值，要完成這些賦值，需要組織內(nèi)部的管理人員、技術(shù)人員、后勤人員等方面的配合。 例2：假設(shè)系統(tǒng)S有3個(gè)重要資產(chǎn)，資產(chǎn)A資產(chǎn)A2和資產(chǎn)A3，資產(chǎn)所面臨的威脅以及威脅可利用資產(chǎn)的脆弱性見表53，括號(hào)內(nèi)是其相應(yīng)的資產(chǎn)值或等級(jí)值。 表54 風(fēng)險(xiǎn)計(jì)算表 經(jīng)過計(jì)算后，風(fēng)險(xiǎn)被分為25個(gè)等級(jí)。當(dāng)風(fēng)險(xiǎn)測(cè)度只被用于劃分極為嚴(yán)重活動(dòng)和較小付出即可實(shí)現(xiàn)安全情況下的活動(dòng)時(shí)，可采用此方法。 目的 ：識(shí)別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，用以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。重點(diǎn)分析來自物理環(huán)境和自然的威脅，以及由于內(nèi)、外部入侵等造成的威脅； 3．設(shè)計(jì)方案中的安全需求是否符合規(guī)劃階段的安全目標(biāo)，并基于威脅的分析，制定信息系統(tǒng)的總體安全策略； 4．設(shè)計(jì)方案是否采取了一定的手段來應(yīng)對(duì)系統(tǒng)可能的故障； 5．設(shè)計(jì)方案是否對(duì)設(shè)計(jì)原型中的技術(shù)實(shí)現(xiàn)以及人員、組織管理等各方面的脆弱性進(jìn)行評(píng)估，包括設(shè)計(jì)過程中的管理脆弱性和技術(shù)平臺(tái)固有的脆弱性；,6．設(shè)計(jì)方案是否考慮隨著其他系統(tǒng)接入而可能產(chǎn)生的風(fēng)險(xiǎn)； 7．系統(tǒng)性能是否滿足用戶需求，并考慮到峰值的影響，是否在技術(shù)上考慮了滿足系統(tǒng)性能要求的方法； 8．應(yīng)用系統(tǒng)（含數(shù)據(jù)庫）是否根據(jù)業(yè)務(wù)需要進(jìn)行了安全設(shè)計(jì)； 9．設(shè)計(jì)方案是否根據(jù)開發(fā)的規(guī)模、時(shí)間及系統(tǒng)的特點(diǎn)選擇開發(fā)方法，并根據(jù)設(shè)計(jì)開發(fā)計(jì)劃及用戶需求，對(duì)系統(tǒng)涉及的軟件、硬件與網(wǎng)絡(luò)進(jìn)行分析和選型； 10．設(shè)計(jì)活動(dòng)中所采用的安全控制措施、安全技術(shù)保障手段對(duì)風(fēng)險(xiǎn)結(jié)果的影響。,——系統(tǒng)交付實(shí)施過程的評(píng)估要點(diǎn)包括： 1．根據(jù)實(shí)際建設(shè)的系統(tǒng)，詳細(xì)分析資產(chǎn)、面臨的威脅和脆弱性； 2．根據(jù)系統(tǒng)建設(shè)目標(biāo)和安全需求，對(duì)系統(tǒng)的安全功能進(jìn)行驗(yàn)收測(cè)試；評(píng)價(jià)安全措施能否抵御安全威脅； 3．評(píng)估是否建立了與整體安全策略一致的組織管理制度； 4．對(duì)系統(tǒng)實(shí)現(xiàn)的風(fēng)險(xiǎn)控制效果與預(yù)期設(shè)計(jì)的符合性進(jìn)行判斷，如存在較大的不符合，應(yīng)重新進(jìn)行信息系統(tǒng)安全策略的設(shè)計(jì)與調(diào)整。,運(yùn)維階段的信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)定期執(zhí)行；當(dāng)組織的業(yè)務(wù)流程、系統(tǒng)狀況發(fā)生重大變化時(shí)，也應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。 信息系統(tǒng)的維護(hù)工作的技術(shù)人員和管理人員均應(yīng)該參與此階段的評(píng)估。 實(shí)驗(yàn)環(huán)境：計(jì)算機(jī)，OCTAVE Method、OCTAVES。使用風(fēng)險(xiǎn)矩陣測(cè)量法，計(jì)算系統(tǒng)風(fēng)險(xiǎn)總值。 ——廢棄階段信息安全風(fēng)險(xiǎn)評(píng)估著重在以下幾個(gè)方面： 1．確保硬件或軟件等資產(chǎn)及殘留信息得到了適當(dāng)?shù)奶幹茫⒋_保系統(tǒng)組件被合理地丟棄或更換； 2．如果被廢棄的系統(tǒng)是某個(gè)系統(tǒng)的一部分，或與其他系統(tǒng)存在物理或邏輯上的連接，還應(yīng)考慮系統(tǒng)廢棄后與其他系統(tǒng)的連接是否被關(guān)閉； 3．如果在系統(tǒng)變更中廢棄，除對(duì)廢棄部分外，還應(yīng)對(duì)變更的部分進(jìn)行評(píng)估，以確保是否會(huì)增加風(fēng)險(xiǎn)或引入新的風(fēng)險(xiǎn)； 4．是否建立了流程，確保更新過程在一個(gè)安全、系統(tǒng)化的狀態(tài)下完成。 1．資產(chǎn)評(píng)估：對(duì)真實(shí)環(huán)境下較為細(xì)致的評(píng)估。,8 信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估,8.3 實(shí)施階段的信息安全風(fēng)險(xiǎn)評(píng)估 ——在信息系統(tǒng)實(shí)施階段，按照實(shí)施方案，購買和檢測(cè)設(shè)備，開發(fā)定制功能，集成、部署、配置和測(cè)試系統(tǒng)，培訓(xùn)人員等。 規(guī)劃階段的評(píng)估結(jié)果應(yīng)體現(xiàn)在信息系統(tǒng)整體規(guī)劃或項(xiàng)目建議書中。評(píng)估中，首先識(shí)別要評(píng)估的資產(chǎn)，接著對(duì)影響資產(chǎn)的完整性、保密性和可用性的威脅進(jìn)行識(shí)別，形成一個(gè)風(fēng)險(xiǎn)列表（風(fēng)險(xiǎn)矩陣），然后再根據(jù)這個(gè)風(fēng)險(xiǎn)矩陣形成控制措施的矩陣，如圖553所示。 ——風(fēng)險(xiǎn)值=影響值控制措施 求出風(fēng)險(xiǎn)值。 2．評(píng)價(jià)威脅發(fā)生的可能性 用等級(jí)1～5來表示。,例1：如果某資產(chǎn)的資產(chǎn)值為3，威脅等級(jí)為“高”，脆弱性等級(jí)為“低”。,2．基于模型的評(píng)估 ——可以分析出系統(tǒng)自身內(nèi)部機(jī)制中存在的危險(xiǎn)性因素，同時(shí)又可以發(fā)現(xiàn)系統(tǒng)與外界環(huán)境交互中的不正常并有害的行為，從而完成系統(tǒng)脆弱點(diǎn)和安全威脅的定性分析，比較熱門的基于建模的安全風(fēng)險(xiǎn)評(píng)估方法主要有基于圖的建模方法和模型檢測(cè)等。此外，控制和對(duì)策措施可以減小威脅事件發(fā)生的可能性，而這些威脅事件之間又是相互關(guān)聯(lián)的，這使得定量評(píng)估過程非常耗時(shí)和困難。這些多角度的評(píng)估試圖按照業(yè)務(wù)驅(qū)動(dòng)程序或者目標(biāo)對(duì)安全風(fēng)險(xiǎn)進(jìn)行排列，關(guān)注的焦點(diǎn)主要集中在安全的以下4個(gè)方面： ① 檢查與安全相關(guān)的組織實(shí)踐，標(biāo)識(shí)當(dāng)前安全實(shí)踐的優(yōu)點(diǎn)和弱點(diǎn)； ② 對(duì)系統(tǒng)進(jìn)行技術(shù)分析、對(duì)政策進(jìn)行評(píng)審，以及對(duì)物理安全進(jìn)行審查； ③ 檢查IT的基礎(chǔ)結(jié)構(gòu)，以確定技術(shù)上的弱點(diǎn)； ④ 幫助決策制訂者綜合平衡風(fēng)險(xiǎn)以選擇成本效益對(duì)策。綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn)。在這個(gè)階段要完成以下任務(wù)：確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)和范圍，組建評(píng)估團(tuán)隊(duì)，進(jìn)行系統(tǒng)調(diào)研，確定評(píng)估依據(jù)和方法，并獲得最高管理者對(duì)評(píng)估工作的支持。,5.3.2 風(fēng)險(xiǎn)評(píng)估過程的基本要素,風(fēng)險(xiǎn)評(píng)估過程通常要包括下列要素： 1．識(shí)別可能危害關(guān)鍵運(yùn)作和資產(chǎn)并對(duì)其造成負(fù)面影響的威脅。能夠?qū)?shí)施隊(duì)伍的表現(xiàn)進(jìn)行定量的度量和預(yù)測(cè)。僅僅要求一個(gè)過程域的所有基本實(shí)踐都被執(zhí)行，而對(duì)執(zhí)行的結(jié)果并無明確要求。 安全機(jī)制在系統(tǒng)中存在的根本目的是將風(fēng)險(xiǎn)控制在可接受的程度內(nèi)，SSECMM模型定義了四種風(fēng)險(xiǎn)過程：評(píng)估威脅過程（PA04），評(píng)估脆弱性過程（PA05），評(píng)估風(fēng)險(xiǎn)事件影響過程（PA02）以及在前三種過程基礎(chǔ)上的評(píng)估安全風(fēng)險(xiǎn)過程（PA03）。過程S5：開發(fā)保護(hù)策略和風(fēng)險(xiǎn)降低計(jì)劃。 過程S1：收集組織信息。,第三階段：開發(fā)安全策略和計(jì)劃 第3階段旨在理解迄今為止在評(píng)估過程中收集到的信息，即分析風(fēng)險(xiǎn)。參與者是組織的一般員工，信息技術(shù)部門的員工通常與一般的員工分開，參與一個(gè)獨(dú)立的討論會(huì)； OCTAVE包括兩種具體方法：面向大型組織的OCTAVE Method和面向小型組織的OCTAVES。詳細(xì)風(fēng)險(xiǎn)評(píng)估的缺點(diǎn)是非常耗費(fèi)資源。 4.3 信息安全風(fēng)險(xiǎn)評(píng)估的兩種方式 根據(jù)風(fēng)險(xiǎn)評(píng)估發(fā)起者的不同，信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估、檢查評(píng)估兩種形式。 2．信息安全風(fēng)險(xiǎn)評(píng)估是信息安全建設(shè)的起點(diǎn)和基礎(chǔ) 所有信息安全建設(shè)應(yīng)該基于信息安全風(fēng)險(xiǎn)評(píng)估，只有正確地、全面地識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)，才能在預(yù)防風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)、減少風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)之間作出正確的決策，決定調(diào)動(dòng)多少資源、以什么樣的代價(jià)、采取什么樣的應(yīng)對(duì)措