【文章內(nèi)容簡介】 139)，GAO/AIMD99139風(fēng)險評估指南有針對性的對風(fēng)險評估過程進行了分析和闡述，是在開展類似公司風(fēng)險評估工作的過程中可以參考和借鑒的標(biāo)準(zhǔn)。,5.3.1 GAO/AIMD99139的組成,GAO/AIMD99139由三部分組成： 第一部分引言，介紹了風(fēng)險評估指南的產(chǎn)生背景、風(fēng)險評估在風(fēng)險管理中的地位、風(fēng)險評估過程的基本要素以及信息安全風(fēng)險評估過程中的難點； 第二部分給出了第3部分案例研究的概述，分析了風(fēng)險評估過程中關(guān)鍵的成功因素、風(fēng)險評估工具以及風(fēng)險評估帶來的益處； 第三部分案例分析，美國審計總署從調(diào)查的眾多組織中挑選了有代表性的4個組織，對他們的風(fēng)險評估過程進行了分析和闡述。 附錄給出了風(fēng)險評估指南的目標(biāo)和方法論。,5.3.2 風(fēng)險評估過程的基本要素,風(fēng)險評估過程通常要包括下列要素： 1．識別可能危害關(guān)鍵運作和資產(chǎn)并對其造成負(fù)面影響的威脅。 2．在歷史信息以及有經(jīng)驗的人員的判斷基礎(chǔ)上，估計此類威脅發(fā)生的現(xiàn)實可能性,3．識別并評價可能受到此類威脅發(fā)生影響的運作和資產(chǎn)的價值、敏感度和關(guān)鍵度，以確定哪些運作和資產(chǎn)是重要的。 4．對最關(guān)鍵、最敏感的資產(chǎn)和運作，估計威脅發(fā)生可能造成的潛在損失或破壞，包括恢復(fù)成本。 5．識別經(jīng)濟有效的措施以減輕或降低風(fēng)險。 6．將結(jié)果形成文件并建立活動計劃。,6 我國信息安全風(fēng)險評估標(biāo)準(zhǔn)GB/T 209842007,6.1 GB/T 209842007簡介 隨著我國信息化應(yīng)用的逐步深入，信息安全問題也日益受到關(guān)注，針對我國沒有信息安全風(fēng)險評估標(biāo)準(zhǔn)的現(xiàn)狀，2004年，國信辦組織專家啟動信息安全了風(fēng)險評估的研究與標(biāo)準(zhǔn)的編制工作，標(biāo)準(zhǔn)編制工作于2004年3月正式啟動，2007年7月通過了國家標(biāo)準(zhǔn)化管理委員會的審查批準(zhǔn)，標(biāo)準(zhǔn)編號和名稱為GB/T 209842007《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》于2007年11月正式實施。,2 GB/T 209842007的內(nèi)容,GB/T 209842007《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》包括正文和附錄兩部分，正文由前言、引言和七章內(nèi)容組成，附錄部分包括附錄A和附錄B，均為資料性附錄。,前言：對本標(biāo)準(zhǔn)的制定作了簡單介紹； 引言：簡單介紹了信息安全風(fēng)險評估的重要性； 第 1章 范圍：闡述了本標(biāo)準(zhǔn)的范圍； 第2章 規(guī)范性引用文件：闡述了本標(biāo)準(zhǔn)的規(guī)范性引用文件； 第3章 術(shù)語和定義：給出了本標(biāo)準(zhǔn)中所用的術(shù)語和定義； 第4章 風(fēng)險評估框架及流程：闡述了信息安全風(fēng)險評估中各要素的關(guān)系、風(fēng)險分析的原理、風(fēng)險評估的實施流程；,第5章 風(fēng)險評估實施：詳細(xì)介紹了信息安全風(fēng)險評估的實施過程及每一階段的具體任務(wù)和職能； 第6章 信息系統(tǒng)生命周期各階段的風(fēng)險評估：闡述了信息安全風(fēng)險評估在信息系統(tǒng)生命周期各階段中的不同要求； 第7章 風(fēng)險評估的工作方式：介紹了風(fēng)險評估的兩種形式（即自評估和檢查評估）； 附錄A 風(fēng)險的計算方法：詳細(xì)介紹了目前比較常用的兩種風(fēng)險計算方法（即矩陣法和相乘法）； 附錄B 風(fēng)險評估工具：對當(dāng)前的風(fēng)險評估工具進行了分類和綜述,6.3 GB/T 209842007的風(fēng)險 評估實施過程,1．風(fēng)險評估的準(zhǔn)備 這是整個風(fēng)險評估過程有效性的保證。在這個階段要完成以下任務(wù)：確定風(fēng)險評估的目標(biāo)和范圍，組建評估團隊，進行系統(tǒng)調(diào)研，確定評估依據(jù)和方法，并獲得最高管理者對評估工作的支持。,2．資產(chǎn)識別 依據(jù)資產(chǎn)的分類，對評估范圍內(nèi)的資產(chǎn)逐一識別，完成對資產(chǎn)機密性、完整性和可用性的賦值，最后經(jīng)過綜合評定得出資產(chǎn)重要性等級。 3．威脅識別 對資產(chǎn)可能遭受的威脅進行識別，并依據(jù)威脅出現(xiàn)的頻率對威脅進行賦值。,4．脆弱性識別 脆弱性識別是風(fēng)險評估中最重要的一個環(huán)節(jié)。脆弱性識別可以以資產(chǎn)為核心，也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進行識別，然后與資產(chǎn)、威脅對應(yīng)起來。從技術(shù)和管理兩個方面對評估對象存在的脆弱性進行識別并賦值。 5．已有安全措施的確認(rèn) 在識別脆弱性的同時，對評估對象已采取的安全措施的有效性進行確認(rèn)，評估其有效性。,6．風(fēng)險分析 采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對組織的影響，即安全風(fēng)險。 7．風(fēng)險評估文件記錄 形成風(fēng)險評估過程中的相關(guān)文檔，包括風(fēng)險評估報告。 GB/T 209842007詳細(xì)的風(fēng)險評估過程在第7章介紹。,7 信息安全風(fēng)險評估方法,7.1 概述 信息安全風(fēng)險評估綜合分析資產(chǎn)、威脅、脆弱性、安全措施，判斷系統(tǒng)風(fēng)險，為安全管理單位識別安全重點、選擇合理適用安全對策提供依據(jù)，是信息安全風(fēng)險管理的基礎(chǔ)。下面將從不同的角度比較現(xiàn)有的信息安全風(fēng)險評估方法。,1.2 技術(shù)評估和整體評估 技術(shù)評估 ——是指對組織的技術(shù)基礎(chǔ)結(jié)構(gòu)和程序進行系統(tǒng)的、及時的檢查，包括對組織內(nèi)部計算環(huán)境的安全性及其對內(nèi)外攻擊脆弱性的完整性攻擊 優(yōu)點：技術(shù)評估強調(diào)組織的技術(shù)脆弱性，評估整個系統(tǒng)的計算基礎(chǔ)結(jié)構(gòu)并對檢測到的技術(shù)弱點提出解決措施。 缺點：疏漏了組織的安全性遵循“木桶原則”，組織內(nèi)最薄弱的環(huán)節(jié)多半是組織中的某個人。,2. 整體評估 ——擴展了技術(shù)評估的范圍，著眼于分析組織內(nèi)部與安全相關(guān)的風(fēng)險，包括內(nèi)部和外部的風(fēng)險源、技術(shù)基礎(chǔ)和組織結(jié)構(gòu)以及基于電子的和基于人的風(fēng)險。這些多角度的評估試圖按照業(yè)務(wù)驅(qū)動程序或者目標(biāo)對安全風(fēng)險進行排列，關(guān)注的焦點主要集中在安全的以下4個方面： ① 檢查與安全相關(guān)的組織實踐，標(biāo)識當(dāng)前安全實踐的優(yōu)點和弱點； ② 對系統(tǒng)進行技術(shù)分析、對政策進行評審，以及對物理安全進行審查； ③ 檢查IT的基礎(chǔ)結(jié)構(gòu)，以確定技術(shù)上的弱點； ④ 幫助決策制訂者綜合平衡風(fēng)險以選擇成本效益對策。,7.1.3 定性評估和定量評估 1. 定性評估 ——是最廣泛使用的風(fēng)險分析方法 ，一般只關(guān)注威脅事件所帶來的損失，而忽略事件發(fā)生的概率 。 ——多數(shù)定性風(fēng)險分析方法依據(jù)組織面臨的威脅、脆弱點以及控制措施等元素來決定安全風(fēng)險等級。在定性評估時并不使用具體的數(shù)據(jù)，往往帶有很強的主觀性，需要憑借分析者的經(jīng)驗和直覺進行定性分級，如設(shè)定每種風(fēng)險的影響值和概率值為“高”、“中”、“低”，有時單純使用期望值，并不能明顯區(qū)別風(fēng)險值之間的差別。 ——常用的定性評估方法有故障分析樹（FTA）、事件樹分析（ETA）、德爾菲法（DELPHI）。,2．定量評估 ——是對構(gòu)成風(fēng)險的各個要素和潛在的損失的水平賦予數(shù)值或貨幣值。 根據(jù)上述三個參數(shù)，計算損失估算值。 優(yōu)點：結(jié)果直觀，容易理解 ； 缺點：它要求特別關(guān)注資產(chǎn)的價值和威脅的量化數(shù)據(jù)，但是資產(chǎn)價值的確定、發(fā)生概率的確定、最終數(shù)值的界定是比較困難的 。此外，控制和對策措施可以減小威脅事件發(fā)生的可能性，而這些威脅事件之間又是相互關(guān)聯(lián)的，這使得定量評