【正文】 風(fēng)險(xiǎn)評(píng)估的結(jié)果如表所示。在此基礎(chǔ)上再求出總值，即風(fēng)險(xiǎn)值，本例采用 “影響值－控制措施賦值 ”來(lái)計(jì)算。 在具體評(píng)估中，可以根據(jù)這種方法明確表示“資產(chǎn) —— 威脅 —— 風(fēng)險(xiǎn) ”的對(duì)應(yīng)關(guān)系。使用本方法需要首先確定資產(chǎn)、威脅和脆弱點(diǎn)的賦值，要完成這些賦值，需要組織內(nèi)部的管理人員、技術(shù)人員、后勤人員等方面的配合。風(fēng)險(xiǎn)評(píng)估方法3 定量方法 定量方法試圖用具體的貨幣表示形式的損失值來(lái)分析和度量風(fēng)險(xiǎn)，定量方法主要有基于期望損失的風(fēng)險(xiǎn)評(píng)估方法與基于期望損失效用的風(fēng)險(xiǎn)評(píng)估方法等。 （ 2）模糊決策方法 風(fēng)險(xiǎn)評(píng)估的對(duì)象以及信息系統(tǒng)的狀態(tài)具有不確定性，經(jīng)典的數(shù)學(xué)模型由于其精確性特點(diǎn)使得它很難很好的把握問(wèn)題的實(shí)質(zhì)，模糊決策方法填補(bǔ)了這方面的不足。 風(fēng)險(xiǎn)評(píng)估流程影響分析 p法律責(zé)任 。 風(fēng)險(xiǎn)評(píng)估流程（ 2）脆弱點(diǎn)評(píng)估 脆弱點(diǎn)評(píng)估就是是對(duì)脆弱點(diǎn)被利用后 對(duì)資產(chǎn)損害程度、 技術(shù)實(shí)現(xiàn)的難易程度 、 弱點(diǎn)流行程度 進(jìn)行評(píng)估，評(píng)估的結(jié)果一般都是定性等級(jí)劃分形式，綜合的標(biāo)識(shí)脆弱點(diǎn)的嚴(yán)重程度。威脅評(píng)估就是對(duì) 威脅出現(xiàn)的頻率及強(qiáng)度 進(jìn)行評(píng)估，這是風(fēng)險(xiǎn)評(píng)估的重要環(huán)節(jié)。風(fēng)險(xiǎn)評(píng)估策略ISO/IEC 133353提出了綜合風(fēng)險(xiǎn)評(píng)估方法，其實(shí)施流程如圖所示：風(fēng)險(xiǎn)評(píng)估策略 綜合評(píng)估方法將基線和詳細(xì)風(fēng)險(xiǎn)評(píng)估的優(yōu)勢(shì)結(jié)合起來(lái)，既節(jié)省了評(píng)估所耗費(fèi)的資源，又能確保獲得一個(gè)全面系統(tǒng)的評(píng)估結(jié)果，而且，組織的資源和資金能夠應(yīng)用到最能發(fā)揮作用的地方，具有高風(fēng)險(xiǎn)的信息系統(tǒng)能夠被預(yù)先關(guān)注。風(fēng)險(xiǎn)評(píng)估策略信息安全風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估策略 不同的組織有不同的安全需求和安全戰(zhàn)略，風(fēng)險(xiǎn)評(píng)估的操作范圍可以是整個(gè)組織，也可以是組織中的某一部門，或者獨(dú)立的信息系統(tǒng)、特定系統(tǒng)組件和服務(wù)。例如，應(yīng)用于計(jì)算機(jī)的訪問(wèn)控制機(jī)制應(yīng)被審計(jì)控制、人員管理、培訓(xùn)和物理安全所支持。另一方面如果系統(tǒng)足夠強(qiáng)健，再嚴(yán)重的威脅也不會(huì)導(dǎo)致安全事件，并造成損失。 狹義的風(fēng)險(xiǎn)評(píng)估包括：評(píng)估前準(zhǔn)備、 資產(chǎn) 識(shí)別與評(píng)估、 威脅 識(shí)別與評(píng)估、 脆弱點(diǎn) 識(shí)別與評(píng)估、當(dāng)前 安全措施 的識(shí)別與評(píng)估、 風(fēng)險(xiǎn)分析 以及根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果選取適當(dāng)?shù)陌踩胧┮越档惋L(fēng)險(xiǎn)的過(guò)程。 貫徹一套重視風(fēng)險(xiǎn)管理的企業(yè)文化和價(jià)值觀風(fēng)險(xiǎn)評(píng)估概述第一道防線：業(yè)務(wù)單位防線(風(fēng)險(xiǎn)宇宙 TM )資信制度 知識(shí)產(chǎn)權(quán)財(cái)務(wù)流動(dòng)資產(chǎn)與信貸 資本結(jié)構(gòu)市場(chǎng) 財(cái)務(wù)報(bào)告營(yíng)運(yùn)法律生產(chǎn)程序營(yíng)商環(huán)境市場(chǎng)結(jié)構(gòu) 民風(fēng)與文化管治策略 董事會(huì)活動(dòng)交易并購(gòu)變賣聲譽(yù)道德社區(qū)責(zé)任 風(fēng)險(xiǎn)管理董事會(huì)及管理層業(yè)績(jī)組織結(jié)構(gòu)監(jiān)察與溝通執(zhí)行籌劃與開發(fā)利益有關(guān)方供應(yīng)商政府顧客股東經(jīng)濟(jì)情況國(guó)家情況市場(chǎng)變化競(jìng)爭(zhēng)對(duì)手人才資源雇員溝通有形資產(chǎn)機(jī)器、廠房與土地其他有形資產(chǎn)負(fù)債合約法規(guī)市場(chǎng)與銷售生產(chǎn)及流通商品 /服務(wù)開發(fā)流程估值與選擇買家評(píng)估與甄選盡職調(diào)查并購(gòu)后整合資信管理運(yùn)營(yíng)組織與監(jiān)察硬件軟件網(wǎng)絡(luò)無(wú)形資產(chǎn)知識(shí)管理信息現(xiàn)金管理對(duì)沖融資股東資本債務(wù)商品利率外匯稅務(wù)會(huì)計(jì)合規(guī)風(fēng)險(xiǎn)評(píng)估概述216。 財(cái)務(wù)監(jiān)督? 財(cái)務(wù)帳的可用性? 內(nèi)部管理和制度的執(zhí)行? 典型例子 ： 檢查分、子公司上報(bào)總部的財(cái)務(wù)報(bào)表的準(zhǔn)確性以及執(zhí)行財(cái)務(wù)管理政策的情況216。這些損害可能是蓄意的對(duì)信息系統(tǒng)和服務(wù)所處理信息的直接或間接攻擊。 風(fēng)險(xiǎn)可以形式化的表示為： R=(A,T,V)，其中 R表示風(fēng)險(xiǎn)、 A表示資產(chǎn)、 T表示威脅、 V表示脆弱點(diǎn)。風(fēng)險(xiǎn)評(píng)估概述 圖 中方框部分的內(nèi)容 為風(fēng)險(xiǎn)評(píng) 估的基本要素 。 風(fēng)險(xiǎn)評(píng)估策略2 詳細(xì)風(fēng)險(xiǎn)評(píng)估 詳細(xì)風(fēng)險(xiǎn)評(píng)估要求對(duì)資產(chǎn)、威脅和脆弱點(diǎn)進(jìn)行詳細(xì)識(shí)別和評(píng)價(jià)，并對(duì)可能引起風(fēng)險(xiǎn)的水平進(jìn)行評(píng)估，這通過(guò)不期望事件的潛在負(fù)面業(yè)務(wù)影響評(píng)估和他們發(fā)生的可能性來(lái)完成。 資產(chǎn)識(shí)別的方法主要有 訪談、現(xiàn)場(chǎng)調(diào)查、問(wèn)卷、文檔查閱 等。數(shù)據(jù) 庫(kù) 從 補(bǔ) 丁安裝、 鑒別 機(jī)制、口令機(jī)制、 訪問(wèn) 控制、網(wǎng) 絡(luò) 和服 務(wù)設(shè) 置、 備 份恢復(fù)機(jī)制、 審計(jì) 機(jī)制等方面 進(jìn) 行 識(shí)別 。 綜 合安全事件所作用的 資產(chǎn) 價(jià) 值 及脆弱性的 嚴(yán) 重程度，判斷安全事件造成的 損 失 對(duì)組織 的影響，即安全 風(fēng)險(xiǎn) 。 如前所述，安全措施可以 降低 安全事件造成的 影響，也可以 降低 安全事件發(fā)生的 可能性 ，在對(duì)組織面臨的安全風(fēng)險(xiǎn)有全面認(rèn)識(shí)后，應(yīng)根據(jù)風(fēng)險(xiǎn)的性質(zhì)選取合適的安全措施，并對(duì)對(duì) 可能的殘余風(fēng)險(xiǎn) 進(jìn)行分析，直到殘余風(fēng)險(xiǎn)為可接受風(fēng)險(xiǎn)為止。 1）綜合指數(shù)法是多指標(biāo)系統(tǒng)的一種評(píng)價(jià)方法。(1)風(fēng)險(xiǎn)矩陣測(cè)量這種方法的特點(diǎn)是事先建立資產(chǎn)價(jià)值、威脅等級(jí)和脆弱點(diǎn)等級(jí)的一個(gè)對(duì)應(yīng)矩陣，預(yù)先將風(fēng)險(xiǎn)等級(jí)進(jìn)行了確定。識(shí)別威脅的過(guò)程可以通過(guò)兩種方法完成。比如，本例中將可能性分為 5級(jí)： 1— 5；影響也分為 5級(jí)： 1— 5。評(píng)估結(jié)果如下表所示。 威 脅類 型 威 脅 表 現(xiàn) 形式 評(píng) 估等 級(jí)自然威 脅地震 、 颶風(fēng) 、火山 、洪水、海 嘯 、泥石流、暴 風(fēng) 雪 、雪崩 、雷 電 等很低 1環(huán) 境威 脅 供 電 中斷 中 3火災(zāi)、供水故障、 污 染、極端溫度或濕度 低 2系 統(tǒng) 威 脅 電腦 、投影 儀 硬件故障 低 2網(wǎng) 絡(luò) 故障 中 3系 統(tǒng)軟 件、 應(yīng) 用 軟 件故障、 課 件播放 軟件故障高 4惡 意代 碼 很高 5人 員 威 脅 盜竊 高 4物理硬件故意破壞 中 3誤 操作 很高 5疾病或其他原因 導(dǎo) 致不能及 時(shí) 到 崗 中 3風(fēng)險(xiǎn)評(píng)估案例4 脆弱點(diǎn)識(shí)別與評(píng)估 脆弱點(diǎn)識(shí)別應(yīng)對(duì)針對(duì)已識(shí)別的每一類資產(chǎn)，考慮可能存在的脆弱點(diǎn)，它包括技術(shù)脆弱點(diǎn)與管理脆弱點(diǎn)，本例中由于技術(shù)問(wèn)題簡(jiǎn)單，因而主要表現(xiàn)為管理方面的脆弱性。在考慮這些影響時(shí)，是在假定不存在控制措施的情況下的影響。 風(fēng)險(xiǎn)計(jì)算方法威 脅級(jí)別 低 中 高脆弱點(diǎn) 級(jí)別 低 中 高 低 中 高 低 中 高0 0 1 2 1 2 3 2 3 41 1 2 3 2 3 4 3 4 5資產(chǎn)值 2 2 3 4 3 4 5 4 5 63 3 4 5 4 5 6 5 6 74 4 5 6 5 6 7 6 7 8風(fēng)險(xiǎn)計(jì)算方法2. 威脅分級(jí)計(jì)算法 這種方法是直接考慮威脅、威脅導(dǎo)致的安全事件對(duì)資產(chǎn)產(chǎn)生的影響以及威脅導(dǎo)致安全事件發(fā)生的可能性來(lái)確定風(fēng)險(xiǎn)。定性方法一般 基于一定的定量方法，在定量方法的基礎(chǔ)上進(jìn)行裁剪和簡(jiǎn)化 。風(fēng)險(xiǎn)評(píng)估方法（ 5）綜合評(píng)價(jià)方法 信息安全風(fēng)險(xiǎn)評(píng)估對(duì)象是多指標(biāo)的復(fù)雜系統(tǒng)，對(duì)于多指標(biāo)系統(tǒng)，評(píng)價(jià)指標(biāo)有多個(gè)，不同指標(biāo)有不同的量綱，多指標(biāo)系統(tǒng)的評(píng)價(jià)過(guò)程中必須解決以下兩個(gè)問(wèn)題：其一是 采用什么方法將不同量綱指標(biāo)無(wú)量綱化 ，其二是采用何種方式確定不同指標(biāo)的相對(duì)重要性，通常是引入權(quán)向量來(lái)描述。 對(duì)對(duì) 某某些些 風(fēng)險(xiǎn)風(fēng)險(xiǎn) ，如果，如果 評(píng)評(píng) 估估 值值 在可接受在可接受 風(fēng)險(xiǎn)風(fēng)險(xiǎn) 范范 圍圍 內(nèi)，可內(nèi)，可以保持已有的安全措施；如果以保持已有的安全措施；如果 評(píng)評(píng) 估估 值值 超出了可接超出了可接受受 風(fēng)險(xiǎn)值風(fēng)險(xiǎn)值 的范的范 圍圍 ， 則則 需要采取安全措施以降低、需要采取安全措施以降低、控制控制 風(fēng)險(xiǎn)風(fēng)險(xiǎn) 。風(fēng)險(xiǎn)評(píng)估流程6. 風(fēng)險(xiǎn)分析 風(fēng)險(xiǎn)分析就是利用資產(chǎn)、威脅、脆弱點(diǎn)識(shí)別與評(píng)估結(jié)果以及已有安全措施的確認(rèn)與分析結(jié)果，對(duì)資產(chǎn)面臨的風(fēng)險(xiǎn)進(jìn)行分析。服 務(wù) 器（含操作系 統(tǒng) ）從物理保 護(hù) 、用 戶帳 號(hào)、口令策略、 資 源共享、事件 審計(jì) 、訪問(wèn) 控制、新系 統(tǒng) 配置（初始化）、注冊(cè)表加固、網(wǎng) 絡(luò) 安全、系 統(tǒng) 管理等方面 進(jìn) 行 識(shí)別 。資產(chǎn)識(shí)別的任務(wù)就是對(duì)確定的評(píng)估對(duì)象所涉及或包含的 資產(chǎn)進(jìn)行詳細(xì)的標(biāo)識(shí) 。但由于不同組織信息系統(tǒng)千差萬(wàn)別，信息系統(tǒng)的威脅時(shí)刻都在變化，很難制定全面的、具有廣泛適用性的安全基線，而組織自行建立安全基線成本很高。 風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估要素相互關(guān)系 資產(chǎn)、威脅、脆弱點(diǎn)是信息安全風(fēng)險(xiǎn)的基本要素，與信息安全風(fēng)險(xiǎn)有關(guān)的要素還包括：安全措施、安全需求、影響等。 資產(chǎn)、威脅、脆弱點(diǎn)是信息安全風(fēng)險(xiǎn)的基本要素，是信息安全風(fēng)險(xiǎn)存在的基本條件，缺一不可。風(fēng)險(xiǎn)評(píng)估要素風(fēng)險(xiǎn)評(píng)估概述分 類 示例數(shù)據(jù) 存在信息媒介上的各種數(shù)據(jù) 資 料 ，包括源代 碼 、數(shù)據(jù) 庫(kù) 數(shù)據(jù)、系 統(tǒng) 文檔、運(yùn)行管理 規(guī) 程、 計(jì) 劃、 報(bào) 告、用 戶 手冊(cè)等軟 件系 統(tǒng)軟 件 ：操作系 統(tǒng) 、 語(yǔ) 言包、工具 軟 件、各種 庫(kù) 等應(yīng) 用 軟 件 ：外部 購(gòu)買 的 應(yīng) 用 軟 件，外包開 發(fā) 的 應(yīng) 用 軟 件等源程序 ：各種共享源代 碼 、可 執(zhí) 行程序、自行或合作開 發(fā) 的各種程序等硬件網(wǎng) 絡(luò)設(shè)備 ：路由器、網(wǎng)關(guān)、交 換 機(jī)等計(jì) 算機(jī) 設(shè)備 ：大型機(jī)、服 務(wù) 器、工作站、臺(tái)式 計(jì) 算機(jī)、移 動(dòng)計(jì) 算機(jī)等存 儲(chǔ)設(shè)備 ：磁 帶 機(jī)、磁 盤陣 列等移 動(dòng) 存 儲(chǔ)設(shè)備 ：磁 帶 、光 盤 、 軟盤 、 U盤 、移 動(dòng) 硬 盤 等傳輸線 路 ：光 纖 、雙 絞線 等保障 設(shè)備 ： 動(dòng) 力保障 設(shè)備 （ UPS、 變電設(shè)備 等）、空 調(diào) 、保 險(xiǎn) 柜、文件柜、門 禁、消防 設(shè) 施等安全保障 設(shè)備 ：防火 墻 、入侵 檢測(cè) 系 統(tǒng) 、身份 驗(yàn)證 等其他 電 子 設(shè)備 ：打印機(jī)、復(fù)印機(jī)、 掃 描 儀 、 傳 真機(jī)等服 務(wù)辦 公服 務(wù) ： 為 提高效率而開 發(fā) 的管理信息系 統(tǒng) （ MIS），它包括各種內(nèi)部配置管理、文件流 轉(zhuǎn) 管理等服 務(wù)網(wǎng) 絡(luò) 服 務(wù) ：各種網(wǎng) 絡(luò)設(shè)備 、 設(shè) 施提供的網(wǎng) 絡(luò)連 接服 務(wù)信息服 務(wù) ： 對(duì) 外依 賴該 系 統(tǒng) 開展服 務(wù) 而取得 業(yè)務(wù) 收入的服 務(wù)文檔 紙質(zhì) 的各種文件、 傳 真、 電報(bào) 、 財(cái)務(wù)報(bào) 告、 發(fā) 展 計(jì) 劃等人 員 掌握重要信息和核心 業(yè)務(wù) 的人 員 ，如主機(jī) 維護(hù) 主管、網(wǎng) 絡(luò)維護(hù) 主管及 應(yīng) 用 項(xiàng)目 經(jīng) 理及網(wǎng) 絡(luò) 研 發(fā) 人 員 等其它 企 業(yè) 形象，客 戶 關(guān)系等風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估要素 威脅是可能對(duì)資產(chǎn)或組織造成損害的潛在原因。 第三道防線涉及一個(gè)獨(dú)立于業(yè)務(wù)單位的部門，監(jiān)控企業(yè)內(nèi)控和其他企業(yè)關(guān)心的問(wèn)題216。 企業(yè)需要把評(píng)估風(fēng)險(xiǎn)與內(nèi)控措施的結(jié)果進(jìn)行記錄和存檔，對(duì)內(nèi)控措施的有效性不斷進(jìn)行測(cè)試和更新第一道防線：總結(jié)管理層CEO第三道防線 第二道防線第一道防線業(yè)務(wù)部門董事會(huì)風(fēng)險(xiǎn)管理內(nèi)部審計(jì)審計(jì)委員會(huì) 風(fēng)險(xiǎn)管理委員會(huì)風(fēng)險(xiǎn)評(píng)估概述第二道防線：風(fēng)險(xiǎn)管理單位防線216。風(fēng)險(xiǎn)評(píng)估概述信息安全風(fēng)險(xiǎn)評(píng)估相關(guān)要素 信息安全風(fēng)險(xiǎn)評(píng)估的對(duì)象是信息系統(tǒng)，信息系統(tǒng)的資產(chǎn)、信息系統(tǒng)可能面對(duì)的威脅、系統(tǒng)中存在的弱點(diǎn)（脆弱點(diǎn)）、系統(tǒng)中已有的安全措施等是影響信息安全風(fēng)險(xiǎn)的基本要素，它們和安全風(fēng)險(xiǎn)、安全風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的影響以及系統(tǒng)安全需求等構(gòu)成信息安全風(fēng)險(xiǎn)評(píng)估的要素。 資產(chǎn)的脆弱點(diǎn)具有 隱蔽性 ，有些弱點(diǎn)只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱點(diǎn)識(shí)別中最為困難的部分。 同功能的安全措施需要不同的成本，同時(shí)能夠?qū)崿F(xiàn)多個(gè)功能的安全措施通常具有更高的成本有效性。風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估策略1. 基線風(fēng)險(xiǎn)評(píng)估