【文章內(nèi)容簡介】 139)，GAO/AIMD99139風(fēng)險(xiǎn)評(píng)估指南有針對(duì)性的對(duì)風(fēng)險(xiǎn)評(píng)估過程進(jìn)行了分析和闡述，是在開展類似公司風(fēng)險(xiǎn)評(píng)估工作的過程中可以參考和借鑒的標(biāo)準(zhǔn)。,5.3.1 GAO/AIMD99139的組成,GAO/AIMD99139由三部分組成： 第一部分引言，介紹了風(fēng)險(xiǎn)評(píng)估指南的產(chǎn)生背景、風(fēng)險(xiǎn)評(píng)估在風(fēng)險(xiǎn)管理中的地位、風(fēng)險(xiǎn)評(píng)估過程的基本要素以及信息安全風(fēng)險(xiǎn)評(píng)估過程中的難點(diǎn)； 第二部分給出了第3部分案例研究的概述，分析了風(fēng)險(xiǎn)評(píng)估過程中關(guān)鍵的成功因素、風(fēng)險(xiǎn)評(píng)估工具以及風(fēng)險(xiǎn)評(píng)估帶來的益處； 第三部分案例分析，美國審計(jì)總署從調(diào)查的眾多組織中挑選了有代表性的4個(gè)組織，對(duì)他們的風(fēng)險(xiǎn)評(píng)估過程進(jìn)行了分析和闡述。 附錄給出了風(fēng)險(xiǎn)評(píng)估指南的目標(biāo)和方法論。,5.3.2 風(fēng)險(xiǎn)評(píng)估過程的基本要素,風(fēng)險(xiǎn)評(píng)估過程通常要包括下列要素： 1．識(shí)別可能危害關(guān)鍵運(yùn)作和資產(chǎn)并對(duì)其造成負(fù)面影響的威脅。 2．在歷史信息以及有經(jīng)驗(yàn)的人員的判斷基礎(chǔ)上，估計(jì)此類威脅發(fā)生的現(xiàn)實(shí)可能性,3．識(shí)別并評(píng)價(jià)可能受到此類威脅發(fā)生影響的運(yùn)作和資產(chǎn)的價(jià)值、敏感度和關(guān)鍵度，以確定哪些運(yùn)作和資產(chǎn)是重要的。 4．對(duì)最關(guān)鍵、最敏感的資產(chǎn)和運(yùn)作，估計(jì)威脅發(fā)生可能造成的潛在損失或破壞，包括恢復(fù)成本。 5．識(shí)別經(jīng)濟(jì)有效的措施以減輕或降低風(fēng)險(xiǎn)。 6．將結(jié)果形成文件并建立活動(dòng)計(jì)劃。,6 我國信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)GB/T 209842007,6.1 GB/T 209842007簡介 隨著我國信息化應(yīng)用的逐步深入，信息安全問題也日益受到關(guān)注，針對(duì)我國沒有信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)的現(xiàn)狀，2004年，國信辦組織專家啟動(dòng)信息安全了風(fēng)險(xiǎn)評(píng)估的研究與標(biāo)準(zhǔn)的編制工作，標(biāo)準(zhǔn)編制工作于2004年3月正式啟動(dòng)，2007年7月通過了國家標(biāo)準(zhǔn)化管理委員會(huì)的審查批準(zhǔn)，標(biāo)準(zhǔn)編號(hào)和名稱為GB/T 209842007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》于2007年11月正式實(shí)施。,2 GB/T 209842007的內(nèi)容,GB/T 209842007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》包括正文和附錄兩部分，正文由前言、引言和七章內(nèi)容組成，附錄部分包括附錄A和附錄B，均為資料性附錄。,前言：對(duì)本標(biāo)準(zhǔn)的制定作了簡單介紹； 引言：簡單介紹了信息安全風(fēng)險(xiǎn)評(píng)估的重要性； 第 1章 范圍：闡述了本標(biāo)準(zhǔn)的范圍； 第2章 規(guī)范性引用文件：闡述了本標(biāo)準(zhǔn)的規(guī)范性引用文件； 第3章 術(shù)語和定義：給出了本標(biāo)準(zhǔn)中所用的術(shù)語和定義； 第4章 風(fēng)險(xiǎn)評(píng)估框架及流程：闡述了信息安全風(fēng)險(xiǎn)評(píng)估中各要素的關(guān)系、風(fēng)險(xiǎn)分析的原理、風(fēng)險(xiǎn)評(píng)估的實(shí)施流程；,第5章 風(fēng)險(xiǎn)評(píng)估實(shí)施：詳細(xì)介紹了信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)施過程及每一階段的具體任務(wù)和職能； 第6章 信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估：闡述了信息安全風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期各階段中的不同要求； 第7章 風(fēng)險(xiǎn)評(píng)估的工作方式：介紹了風(fēng)險(xiǎn)評(píng)估的兩種形式（即自評(píng)估和檢查評(píng)估）； 附錄A 風(fēng)險(xiǎn)的計(jì)算方法：詳細(xì)介紹了目前比較常用的兩種風(fēng)險(xiǎn)計(jì)算方法（即矩陣法和相乘法）； 附錄B 風(fēng)險(xiǎn)評(píng)估工具：對(duì)當(dāng)前的風(fēng)險(xiǎn)評(píng)估工具進(jìn)行了分類和綜述,6.3 GB/T 209842007的風(fēng)險(xiǎn) 評(píng)估實(shí)施過程,1．風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備 這是整個(gè)風(fēng)險(xiǎn)評(píng)估過程有效性的保證。在這個(gè)階段要完成以下任務(wù)：確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)和范圍，組建評(píng)估團(tuán)隊(duì)，進(jìn)行系統(tǒng)調(diào)研，確定評(píng)估依據(jù)和方法，并獲得最高管理者對(duì)評(píng)估工作的支持。,2．資產(chǎn)識(shí)別 依據(jù)資產(chǎn)的分類，對(duì)評(píng)估范圍內(nèi)的資產(chǎn)逐一識(shí)別，完成對(duì)資產(chǎn)機(jī)密性、完整性和可用性的賦值，最后經(jīng)過綜合評(píng)定得出資產(chǎn)重要性等級(jí)。 3．威脅識(shí)別 對(duì)資產(chǎn)可能遭受的威脅進(jìn)行識(shí)別，并依據(jù)威脅出現(xiàn)的頻率對(duì)威脅進(jìn)行賦值。,4．脆弱性識(shí)別 脆弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)。脆弱性識(shí)別可以以資產(chǎn)為核心，也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)別，然后與資產(chǎn)、威脅對(duì)應(yīng)起來。從技術(shù)和管理兩個(gè)方面對(duì)評(píng)估對(duì)象存在的脆弱性進(jìn)行識(shí)別并賦值。 5．已有安全措施的確認(rèn) 在識(shí)別脆弱性的同時(shí)，對(duì)評(píng)估對(duì)象已采取的安全措施的有效性進(jìn)行確認(rèn)，評(píng)估其有效性。,6．風(fēng)險(xiǎn)分析 采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn)。 7．風(fēng)險(xiǎn)評(píng)估文件記錄 形成風(fēng)險(xiǎn)評(píng)估過程中的相關(guān)文檔，包括風(fēng)險(xiǎn)評(píng)估報(bào)告。 GB/T 209842007詳細(xì)的風(fēng)險(xiǎn)評(píng)估過程在第7章介紹。,7 信息安全風(fēng)險(xiǎn)評(píng)估方法,7.1 概述 信息安全風(fēng)險(xiǎn)評(píng)估綜合分析資產(chǎn)、威脅、脆弱性、安全措施，判斷系統(tǒng)風(fēng)險(xiǎn)，為安全管理單位識(shí)別安全重點(diǎn)、選擇合理適用安全對(duì)策提供依據(jù)，是信息安全風(fēng)險(xiǎn)管理的基礎(chǔ)。下面將從不同的角度比較現(xiàn)有的信息安全風(fēng)險(xiǎn)評(píng)估方法。,1.2 技術(shù)評(píng)估和整體評(píng)估 技術(shù)評(píng)估 ——是指對(duì)組織的技術(shù)基礎(chǔ)結(jié)構(gòu)和程序進(jìn)行系統(tǒng)的、及時(shí)的檢查，包括對(duì)組織內(nèi)部計(jì)算環(huán)境的安全性及其對(duì)內(nèi)外攻擊脆弱性的完整性攻擊 優(yōu)點(diǎn)：技術(shù)評(píng)估強(qiáng)調(diào)組織的技術(shù)脆弱性，評(píng)估整個(gè)系統(tǒng)的計(jì)算基礎(chǔ)結(jié)構(gòu)并對(duì)檢測到的技術(shù)弱點(diǎn)提出解決措施。 缺點(diǎn)：疏漏了組織的安全性遵循“木桶原則”，組織內(nèi)最薄弱的環(huán)節(jié)多半是組織中的某個(gè)人。,2. 整體評(píng)估 ——擴(kuò)展了技術(shù)評(píng)估的范圍，著眼于分析組織內(nèi)部與安全相關(guān)的風(fēng)險(xiǎn)，包括內(nèi)部和外部的風(fēng)險(xiǎn)源、技術(shù)基礎(chǔ)和組織結(jié)構(gòu)以及基于電子的和基于人的風(fēng)險(xiǎn)。這些多角度的評(píng)估試圖按照業(yè)務(wù)驅(qū)動(dòng)程序或者目標(biāo)對(duì)安全風(fēng)險(xiǎn)進(jìn)行排列，關(guān)注的焦點(diǎn)主要集中在安全的以下4個(gè)方面： ① 檢查與安全相關(guān)的組織實(shí)踐，標(biāo)識(shí)當(dāng)前安全實(shí)踐的優(yōu)點(diǎn)和弱點(diǎn)； ② 對(duì)系統(tǒng)進(jìn)行技術(shù)分析、對(duì)政策進(jìn)行評(píng)審，以及對(duì)物理安全進(jìn)行審查； ③ 檢查IT的基礎(chǔ)結(jié)構(gòu)，以確定技術(shù)上的弱點(diǎn)； ④ 幫助決策制訂者綜合平衡風(fēng)險(xiǎn)以選擇成本效益對(duì)策。,7.1.3 定性評(píng)估和定量評(píng)估 1. 定性評(píng)估 ——是最廣泛使用的風(fēng)險(xiǎn)分析方法 ，一般只關(guān)注威脅事件所帶來的損失，而忽略事件發(fā)生的概率 。 ——多數(shù)定性風(fēng)險(xiǎn)分析方法依據(jù)組織面臨的威脅、脆弱點(diǎn)以及控制措施等元素來決定安全風(fēng)險(xiǎn)等級(jí)。在定性評(píng)估時(shí)并不使用具體的數(shù)據(jù)，往往帶有很強(qiáng)的主觀性，需要憑借分析者的經(jīng)驗(yàn)和直覺進(jìn)行定性分級(jí)，如設(shè)定每種風(fēng)險(xiǎn)的影響值和概率值為“高”、“中”、“低”，有時(shí)單純使用期望值，并不能明顯區(qū)別風(fēng)險(xiǎn)值之間的差別。 ——常用的定性評(píng)估方法有故障分析樹（FTA）、事件樹分析（ETA）、德爾菲法（DELPHI）。,2．定量評(píng)估 ——是對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在的損失的水平賦予數(shù)值或貨幣值。 根據(jù)上述三個(gè)參數(shù)，計(jì)算損失估算值。 優(yōu)點(diǎn)：結(jié)果直觀，容易理解 ； 缺點(diǎn)：它要求特別關(guān)注資產(chǎn)的價(jià)值和威脅的量化數(shù)據(jù)，但是資產(chǎn)價(jià)值的確定、發(fā)生概率的確定、最終數(shù)值的界定是比較困難的 。此外，控制和對(duì)策措施可以減小威脅事件發(fā)生的可能性，而這些威脅事件之間又是相互關(guān)聯(lián)的，這使得定量評(píng)