【正文】 資產(chǎn) 威 脅 影響 評(píng) 估 可能性 評(píng)估風(fēng)險(xiǎn)值 風(fēng)險(xiǎn) 等 級(jí)R1 多媒體 系 統(tǒng) 供 電 中斷 4 3 12 中R2 誤 操作 5 5 25 很高R3 自然威 脅 5 1 5 低R4 硬件 盜竊、物理破壞 5 4 20 很高R5 火災(zāi) 5 2 10 中R6 極端溫度及濕度 3 2 6 低R7 硬件故障 4 2 8 中R8 軟 件 軟 件故障 4 4 16 高R9 惡 意代 碼 2 5 10 中R10 人 員 疾病或其他原因 導(dǎo) 致不能及時(shí) 到 崗4 3 12 中R11 3 3 9 中風(fēng)險(xiǎn)評(píng)估案例風(fēng)險(xiǎn)等級(jí)劃分方法風(fēng)險(xiǎn) 可能性可忽略 :1 低： 2 中： 3 高： 4 極高： 5影響程度 極高 5 5 10 15 20 25高 4 4 8 12 16 20中 3 3 6 9 12 15低 2 2 4 6 8 10可忽略 1 1 2 3 4 5風(fēng)險(xiǎn)評(píng)估案例6 安全措施的選取 風(fēng)險(xiǎn)評(píng)估的結(jié)果表明，用戶(hù)誤操作、盜竊及硬件物理破壞導(dǎo)致的風(fēng)險(xiǎn)等級(jí)為 “很高 ”，由于軟件安裝、卸載權(quán)限管理不嚴(yán)導(dǎo)致的軟件故障對(duì)應(yīng)的安全風(fēng)險(xiǎn)為 “高 ”，自然威脅及極端溫度和適度導(dǎo)致的風(fēng)險(xiǎn)級(jí)別為 “低 ”，其余風(fēng)險(xiǎn)級(jí)別為 “中 ”。評(píng)估結(jié)果如下表所示。 風(fēng)險(xiǎn)計(jì)算方法威 脅類(lèi)型可能性對(duì) 人的影響對(duì)財(cái)產(chǎn)的影響對(duì)業(yè)務(wù)的影響影響 值 已采用的控制措施 風(fēng)險(xiǎn) 度量?jī)?nèi)部 外部威 脅 A 4 1 1 2 8 2 2 4風(fēng)險(xiǎn)評(píng)估案例風(fēng)險(xiǎn)評(píng)估案例1 案例介紹 2 資產(chǎn)識(shí)別與評(píng)估 3 威脅識(shí)別與評(píng)估 4 脆弱點(diǎn)識(shí)別與評(píng)估 5 風(fēng)險(xiǎn)分析與等級(jí)劃分 6 安全措施的選取 風(fēng)險(xiǎn)評(píng)估案例1 案例介紹 多媒體教學(xué)系統(tǒng)是學(xué)校常用的信息系統(tǒng)，它為課堂教學(xué)提供信息化平臺(tái)。比如，本例中將可能性分為 5級(jí)： 1— 5；影響也分為 5級(jí)： 1— 5。風(fēng)險(xiǎn)計(jì)算方法3 風(fēng)險(xiǎn)綜合評(píng)價(jià)法 這種方法中風(fēng)險(xiǎn)由 威脅導(dǎo)致的安全事件發(fā)生的可能性、對(duì)資產(chǎn)的影響程度以及已經(jīng)存在的控制措施三個(gè)方面 來(lái)確定。識(shí)別威脅的過(guò)程可以通過(guò)兩種方法完成。資產(chǎn)風(fēng)險(xiǎn)判別矩陣如表 39所示。(1)風(fēng)險(xiǎn)矩陣測(cè)量這種方法的特點(diǎn)是事先建立資產(chǎn)價(jià)值、威脅等級(jí)和脆弱點(diǎn)等級(jí)的一個(gè)對(duì)應(yīng)矩陣，預(yù)先將風(fēng)險(xiǎn)等級(jí)進(jìn)行了確定。1．基于期望損失的風(fēng)險(xiǎn)評(píng)估方法 類(lèi)似的定義還有期望年損失 ALE（ Annual Loss Expectancy），它是以組織在目前安全狀態(tài)下平均年損失作為風(fēng)險(xiǎn)度量的標(biāo)準(zhǔn)。 1）綜合指數(shù)法是多指標(biāo)系統(tǒng)的一種評(píng)價(jià)方法。 模糊決策理論不是把問(wèn)題變成模糊不清的東西，相反，它具有數(shù)學(xué)的共性：條理分明、一絲不茍，它是通過(guò)規(guī)范化的理論體系來(lái)描述模糊的對(duì)象，使模糊對(duì)象能清晰的呈現(xiàn)在決策者面前，這是經(jīng)典的數(shù)學(xué)理論所不能做到的。 如前所述，安全措施可以 降低 安全事件造成的 影響，也可以 降低 安全事件發(fā)生的 可能性 ，在對(duì)組織面臨的安全風(fēng)險(xiǎn)有全面認(rèn)識(shí)后，應(yīng)根據(jù)風(fēng)險(xiǎn)的性質(zhì)選取合適的安全措施，并對(duì)對(duì) 可能的殘余風(fēng)險(xiǎn) 進(jìn)行分析，直到殘余風(fēng)險(xiǎn)為可接受風(fēng)險(xiǎn)為止。風(fēng)險(xiǎn)事件可能導(dǎo)致一定的法律責(zé)任，如由于安全故障導(dǎo)致機(jī)密信息的未授權(quán)發(fā)布、未能履行合同規(guī)定的義務(wù)或違反有關(guān)法律、規(guī)章制度的規(guī)定，這些可用由于應(yīng)承擔(dān)應(yīng)有的法律責(zé)任可能支付賠償金額來(lái)表示經(jīng)濟(jì)損失，當(dāng)然其中有很多不確定因素，實(shí)際應(yīng)用時(shí)可參考慣例、合同本身、有關(guān)法律法規(guī)的規(guī)定。 綜 合安全事件所作用的 資產(chǎn) 價(jià) 值 及脆弱性的 嚴(yán) 重程度，判斷安全事件造成的 損 失 對(duì)組織 的影響，即安全 風(fēng)險(xiǎn) 。也可以對(duì)脆弱點(diǎn)被利用后 對(duì)資產(chǎn)的損害程度 以及被利用的可能性 分別評(píng)估，然后以一定方式綜合。數(shù)據(jù) 庫(kù) 從 補(bǔ) 丁安裝、 鑒別 機(jī)制、口令機(jī)制、 訪(fǎng)問(wèn) 控制、網(wǎng) 絡(luò) 和服 務(wù)設(shè) 置、 備 份恢復(fù)機(jī)制、 審計(jì) 機(jī)制等方面 進(jìn) 行 識(shí)別 。評(píng)估者應(yīng)根據(jù) 經(jīng)驗(yàn)和（或）有關(guān)的 統(tǒng)計(jì)數(shù)據(jù)來(lái)分析 威脅出現(xiàn)的頻率及其強(qiáng)度或破壞能力。 資產(chǎn)識(shí)別的方法主要有 訪(fǎng)談、現(xiàn)場(chǎng)調(diào)查、問(wèn)卷、文檔查閱 等。當(dāng)然，綜合評(píng)估也有缺點(diǎn)：如果初步的高級(jí)風(fēng)險(xiǎn)分析不夠準(zhǔn)確，某些本來(lái)需要詳細(xì)評(píng)估的系統(tǒng)也許會(huì)被忽略，最終導(dǎo)致某些嚴(yán)重的風(fēng)險(xiǎn)未被發(fā)現(xiàn)。 風(fēng)險(xiǎn)評(píng)估策略2 詳細(xì)風(fēng)險(xiǎn)評(píng)估 詳細(xì)風(fēng)險(xiǎn)評(píng)估要求對(duì)資產(chǎn)、威脅和脆弱點(diǎn)進(jìn)行詳細(xì)識(shí)別和評(píng)價(jià)，并對(duì)可能引起風(fēng)險(xiǎn)的水平進(jìn)行評(píng)估，這通過(guò)不期望事件的潛在負(fù)面業(yè)務(wù)影響評(píng)估和他們發(fā)生的可能性來(lái)完成。 影響風(fēng)險(xiǎn)評(píng)估進(jìn)展的某些因素，包括評(píng)估時(shí)間、力度、展開(kāi)幅度和深度，都應(yīng)與組織的環(huán)境和安全要求相符合。風(fēng)險(xiǎn)評(píng)估概述 圖 中方框部分的內(nèi)容 為風(fēng)險(xiǎn)評(píng) 估的基本要素 。風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估要素 安全措施可能實(shí)現(xiàn)一個(gè)或多個(gè)下列功能：保護(hù)、震懾、檢測(cè)、限制、糾正、恢復(fù)、監(jiān)視、安全意識(shí)等。 風(fēng)險(xiǎn)可以形式化的表示為： R=(A,T,V)，其中 R表示風(fēng)險(xiǎn)、 A表示資產(chǎn)、 T表示威脅、 V表示脆弱點(diǎn)。即： 威脅總是要利用資產(chǎn)的弱點(diǎn)才可能造成危害 。這些損害可能是蓄意的對(duì)信息系統(tǒng)和服務(wù)所處理信息的直接或間接攻擊。 風(fēng)險(xiǎn)評(píng)估概述信息安全風(fēng)險(xiǎn)評(píng)估 信息安全風(fēng)險(xiǎn)評(píng)估的基本思路是在信息安全事件發(fā)生之前，通過(guò)有效的手段對(duì)組織面臨的信息安全風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析，并在此基礎(chǔ)上選取相應(yīng)的安全措施，將組織面臨的信息安全風(fēng)險(xiǎn)控制在可接受范圍內(nèi)，以此達(dá)到保護(hù)信息系統(tǒng)安全的目的。 財(cái)務(wù)監(jiān)督? 財(cái)務(wù)帳的可用性? 內(nèi)部管理和制度的執(zhí)行? 典型例子 ： 檢查分、子公司上報(bào)總部的財(cái)務(wù)報(bào)表的準(zhǔn)確性以及執(zhí)行財(cái)務(wù)管理政策的情況216。 企業(yè)建立的第一道防線(xiàn)，就是要各業(yè)務(wù)單位就其戰(zhàn)略性風(fēng)險(xiǎn)、信貸風(fēng)險(xiǎn)、市場(chǎng)風(fēng)場(chǎng)和 操作風(fēng)險(xiǎn) 等等 ，系統(tǒng)化地進(jìn)行分析、確認(rèn)、度量、管理和監(jiān)控216。 貫徹一套重視風(fēng)險(xiǎn)管理的企業(yè)文化和價(jià)值觀(guān)風(fēng)險(xiǎn)評(píng)估概述第一道防線(xiàn)：業(yè)務(wù)單位防線(xiàn)(風(fēng)險(xiǎn)宇宙 TM )資信制度 知識(shí)產(chǎn)權(quán)財(cái)務(wù)流動(dòng)資產(chǎn)與信貸 資本結(jié)構(gòu)市場(chǎng) 財(cái)務(wù)報(bào)告營(yíng)運(yùn)法律生產(chǎn)程序營(yíng)商環(huán)境市場(chǎng)結(jié)構(gòu) 民風(fēng)與文化管治策略 董事會(huì)活動(dòng)交易并購(gòu)變賣(mài)聲譽(yù)道德社區(qū)責(zé)任 風(fēng)險(xiǎn)管理董事會(huì)及管理層業(yè)績(jī)組織結(jié)構(gòu)監(jiān)察與溝通執(zhí)行籌劃與開(kāi)發(fā)利益有關(guān)方供應(yīng)商政府顧客股東經(jīng)濟(jì)情況國(guó)家情況市場(chǎng)變化競(jìng)爭(zhēng)對(duì)手人才資源雇員溝通有形資產(chǎn)機(jī)器、廠(chǎng)房與土地其他有形資產(chǎn)負(fù)債合約法規(guī)市場(chǎng)與銷(xiāo)售生產(chǎn)及流通商品 /服務(wù)開(kāi)發(fā)流程估值與選擇買(mǎi)家評(píng)估與甄選盡職調(diào)查并購(gòu)后整合資信管理運(yùn)營(yíng)組織與監(jiān)察硬件軟件網(wǎng)絡(luò)無(wú)形資產(chǎn)知識(shí)管理信息現(xiàn)金管理對(duì)沖融資股東資本債務(wù)商品利率外匯稅務(wù)會(huì)計(jì)合規(guī)風(fēng)險(xiǎn)評(píng)估概述216。 內(nèi)部審計(jì)的定義 ：風(fēng)險(xiǎn)評(píng)估概述內(nèi)部審計(jì)的 三大功能216。 狹義的風(fēng)險(xiǎn)評(píng)估包括：評(píng)估前準(zhǔn)備、 資產(chǎn) 識(shí)別與評(píng)估、 威脅 識(shí)別與評(píng)估、 脆弱點(diǎn) 識(shí)別與評(píng)估、當(dāng)前 安全措施 的識(shí)別與評(píng)估、 風(fēng)險(xiǎn)分析 以及根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果選取適當(dāng)?shù)陌踩胧┮越档惋L(fēng)險(xiǎn)的過(guò)程。威脅有潛力導(dǎo)致不期望發(fā)生的事件發(fā)生，該事件可能對(duì)系統(tǒng)或組織及其資產(chǎn)造成損害。另一方面如果系統(tǒng)足夠強(qiáng)健，再?lài)?yán)重的威脅也不會(huì)導(dǎo)致安全事件，并造成損失。沒(méi)有資產(chǎn)，威脅就沒(méi)有攻擊或損害的對(duì)象；沒(méi)有威脅，盡管資產(chǎn)很有價(jià)值，脆弱點(diǎn)很?chē)?yán)重，安全事件也不會(huì)發(fā)生；系統(tǒng)沒(méi)有脆弱點(diǎn)，威脅就沒(méi)有可利用的環(huán)節(jié)，安全事件也不會(huì)發(fā)生。例如，應(yīng)用于計(jì)算機(jī)的訪(fǎng)問(wèn)控制機(jī)制應(yīng)被審計(jì)控制、人員管理、培訓(xùn)和物理安全所支持。 ISO/IEC 133351對(duì)它們之間的關(guān)系描述如圖所示風(fēng)險(xiǎn)評(píng)估概述 我國(guó)的 《 信息安全風(fēng)險(xiǎn)評(píng)估指南 》 對(duì) ISO/IEC 133351提出風(fēng)險(xiǎn)要素關(guān)系模型進(jìn)行了擴(kuò)展。風(fēng)險(xiǎn)評(píng)估策略信息安全風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估策略 不同的組織有不同的安全需求和安全戰(zhàn)略，風(fēng)險(xiǎn)評(píng)估的操作范圍可以是整個(gè)組織，也可以是組織中的某一部門(mén)，或者獨(dú)立的信息系統(tǒng)、特定系統(tǒng)組件和服務(wù)。 目前世界上還沒(méi)有全面、統(tǒng)一的、能符合組織目標(biāo)的、值得信賴(lài)的安全基線(xiàn)，因而基線(xiàn)評(píng)估方法開(kāi)展并不普遍。風(fēng)險(xiǎn)評(píng)估策略ISO/IEC 133353提出了綜合風(fēng)險(xiǎn)評(píng)估方法，其實(shí)施流程如圖所示：風(fēng)險(xiǎn)評(píng)估策略 綜合評(píng)估方法將基線(xiàn)和詳細(xì)風(fēng)險(xiǎn)評(píng)估的優(yōu)勢(shì)結(jié)合起來(lái)，既節(jié)省了評(píng)估所耗費(fèi)的資源，又能確保獲得一個(gè)全面系統(tǒng)的評(píng)估結(jié)果，而且，組織的資源和資金能夠應(yīng)用到最能發(fā)揮作用的地方，具有高風(fēng)險(xiǎn)的信息系統(tǒng)能夠被預(yù)先關(guān)注。資產(chǎn)識(shí)別過(guò)程中要特別注意無(wú)形資產(chǎn)的遺漏，同時(shí)還應(yīng)注意 不同資產(chǎn)間的相互依賴(lài)關(guān)系 ，關(guān)系緊密的資產(chǎn)可作為一個(gè)整體來(lái)考慮，同一中類(lèi)型的資產(chǎn)也應(yīng)放在一起考慮。威脅評(píng)估就是對(duì) 威脅出現(xiàn)的頻率及強(qiáng)度 進(jìn)行評(píng)估，這是風(fēng)險(xiǎn)評(píng)估的重要環(huán)節(jié)。網(wǎng) 絡(luò)結(jié) 構(gòu) 從網(wǎng) 絡(luò)結(jié) 構(gòu) 設(shè)計(jì) 、 邊 界保 護(hù) 、外部 訪(fǎng)問(wèn) 控制策略、內(nèi)部 訪(fǎng)問(wèn)控制策略、網(wǎng) 絡(luò)設(shè)備 安全配置等方面 進(jìn) 行 識(shí)別 。 風(fēng)險(xiǎn)評(píng)估流程（ 2）脆弱點(diǎn)評(píng)估 脆弱點(diǎn)評(píng)估就是是對(duì)脆弱點(diǎn)被利用后 對(duì)資產(chǎn)損害程度、 技術(shù)實(shí)現(xiàn)的難易程度 、 弱點(diǎn)流行程度 進(jìn)行評(píng)估，評(píng)估的結(jié)果一般都是定性等級(jí)劃分形式，綜合的標(biāo)識(shí)脆弱點(diǎn)的嚴(yán)重程度。1） 風(fēng)險(xiǎn)計(jì) 算2） 風(fēng)險(xiǎn) 等 級(jí)3） 風(fēng)險(xiǎn)處 理 計(jì) 劃風(fēng)險(xiǎn)評(píng)估流程（ 1）風(fēng)險(xiǎn)計(jì)算 在完成了 資產(chǎn)識(shí)別 、威 脅識(shí)別 、脆弱性 識(shí)別，以及 對(duì) 已有安全措施確 認(rèn) 后， 應(yīng) 采用適當(dāng)?shù)姆椒ㄅc工具確定威 脅 利用脆弱性 導(dǎo) 致安全事件 發(fā) 生的可能性。 風(fēng)險(xiǎn)評(píng)估流程影響分析 p法律責(zé)任 。風(fēng)險(xiǎn)評(píng)估流程7. 安全措施的選取 風(fēng)險(xiǎn)評(píng)估的目的不僅是獲取組織面臨的有關(guān)風(fēng)險(xiǎn)信息，更重要的是采取適當(dāng)?shù)拇胧?將安全風(fēng)險(xiǎn)控制在可接受的范圍內(nèi) 。 （ 2）模糊決策方法 風(fēng)險(xiǎn)評(píng)估的對(duì)象以及信息系統(tǒng)的狀態(tài)具有不確定性，經(jīng)典的數(shù)學(xué)模型由于其精確性特點(diǎn)使得它很難很好的把握問(wèn)題的實(shí)質(zhì)，模糊決策方法填補(bǔ)了這方面的不足。不同綜合評(píng)價(jià)方法有不同的處理方法，常用的綜合評(píng)價(jià)方法有 綜合指數(shù)法、功效評(píng)分法、 TOPSIS法、層次分析法、主成份分析法、聚類(lèi)分析法 等。風(fēng)險(xiǎn)評(píng)估方法3 定量方法 定量方法試圖用具體的貨幣表示形式的損失值來(lái)分析和度量風(fēng)險(xiǎn)，定量方法主要有基于期望損失的風(fēng)險(xiǎn)評(píng)估方法與基于期望損失效用的風(fēng)險(xiǎn)評(píng)估方法等。典型的定性風(fēng)險(xiǎn)分析與評(píng)價(jià)方法有風(fēng)險(xiǎn)矩陣測(cè)量、威脅分級(jí)法、風(fēng)險(xiǎn)綜合評(píng)價(jià)等。使用本方法需要首先確定資產(chǎn)、威脅和脆弱點(diǎn)的賦值，要完成這些賦值，需要組織內(nèi)部的管理人員、技術(shù)人員、后勤人員等方面的配合。 使用這種方法時(shí)，首先確定威脅導(dǎo)致的安全事件對(duì)資產(chǎn)產(chǎn)生的影響，可用等級(jí)來(lái)表示。 在具體評(píng)估中，可以根據(jù)這種方法明確表示“資產(chǎn) —— 威脅 —— 風(fēng)險(xiǎn) ”的對(duì)應(yīng)關(guān)系。將以上各值相加添入數(shù)值表中。在此基礎(chǔ)上再求出總值，即風(fēng)險(xiǎn)值，本例采用 “影響值－控制措施賦值 ”來(lái)計(jì)算。為提高效率，脆弱點(diǎn)識(shí)別還應(yīng)結(jié)合威脅識(shí)別的結(jié)果，重點(diǎn)考察可能導(dǎo)致安全事件的威脅 脆弱點(diǎn)對(duì)，在脆弱點(diǎn)識(shí)別后，再依據(jù)脆弱點(diǎn)的嚴(yán)重程度對(duì)脆弱點(diǎn)進(jìn)行評(píng)估。風(fēng)險(xiǎn)評(píng)估的結(jié)果