【文章內(nèi)容簡介】 139)，GAO/AIMD99139風險評估指南有針對性的對風險評估過程進行了分析和闡述，是在開展類似公司風險評估工作的過程中可以參考和借鑒的標準。,5.3.1 GAO/AIMD99139的組成,GAO/AIMD99139由三部分組成： 第一部分引言，介紹了風險評估指南的產(chǎn)生背景、風險評估在風險管理中的地位、風險評估過程的基本要素以及信息安全風險評估過程中的難點； 第二部分給出了第3部分案例研究的概述，分析了風險評估過程中關鍵的成功因素、風險評估工具以及風險評估帶來的益處； 第三部分案例分析，美國審計總署從調(diào)查的眾多組織中挑選了有代表性的4個組織，對他們的風險評估過程進行了分析和闡述。 附錄給出了風險評估指南的目標和方法論。,5.3.2 風險評估過程的基本要素,風險評估過程通常要包括下列要素： 1．識別可能危害關鍵運作和資產(chǎn)并對其造成負面影響的威脅。 2．在歷史信息以及有經(jīng)驗的人員的判斷基礎上，估計此類威脅發(fā)生的現(xiàn)實可能性,3．識別并評價可能受到此類威脅發(fā)生影響的運作和資產(chǎn)的價值、敏感度和關鍵度，以確定哪些運作和資產(chǎn)是重要的。 4．對最關鍵、最敏感的資產(chǎn)和運作，估計威脅發(fā)生可能造成的潛在損失或破壞，包括恢復成本。 5．識別經(jīng)濟有效的措施以減輕或降低風險。 6．將結果形成文件并建立活動計劃。,6 我國信息安全風險評估標準GB/T 209842007,6.1 GB/T 209842007簡介 隨著我國信息化應用的逐步深入，信息安全問題也日益受到關注，針對我國沒有信息安全風險評估標準的現(xiàn)狀，2004年，國信辦組織專家啟動信息安全了風險評估的研究與標準的編制工作，標準編制工作于2004年3月正式啟動，2007年7月通過了國家標準化管理委員會的審查批準，標準編號和名稱為GB/T 209842007《信息安全技術 信息安全風險評估規(guī)范》于2007年11月正式實施。,2 GB/T 209842007的內(nèi)容,GB/T 209842007《信息安全技術 信息安全風險評估規(guī)范》包括正文和附錄兩部分，正文由前言、引言和七章內(nèi)容組成，附錄部分包括附錄A和附錄B，均為資料性附錄。,前言：對本標準的制定作了簡單介紹； 引言：簡單介紹了信息安全風險評估的重要性； 第 1章 范圍：闡述了本標準的范圍； 第2章 規(guī)范性引用文件：闡述了本標準的規(guī)范性引用文件； 第3章 術語和定義：給出了本標準中所用的術語和定義； 第4章 風險評估框架及流程：闡述了信息安全風險評估中各要素的關系、風險分析的原理、風險評估的實施流程；,第5章 風險評估實施：詳細介紹了信息安全風險評估的實施過程及每一階段的具體任務和職能； 第6章 信息系統(tǒng)生命周期各階段的風險評估：闡述了信息安全風險評估在信息系統(tǒng)生命周期各階段中的不同要求； 第7章 風險評估的工作方式：介紹了風險評估的兩種形式（即自評估和檢查評估）； 附錄A 風險的計算方法：詳細介紹了目前比較常用的兩種風險計算方法（即矩陣法和相乘法）； 附錄B 風險評估工具：對當前的風險評估工具進行了分類和綜述,6.3 GB/T 209842007的風險 評估實施過程,1．風險評估的準備 這是整個風險評估過程有效性的保證。在這個階段要完成以下任務：確定風險評估的目標和范圍，組建評估團隊，進行系統(tǒng)調(diào)研，確定評估依據(jù)和方法，并獲得最高管理者對評估工作的支持。,2．資產(chǎn)識別 依據(jù)資產(chǎn)的分類，對評估范圍內(nèi)的資產(chǎn)逐一識別，完成對資產(chǎn)機密性、完整性和可用性的賦值，最后經(jīng)過綜合評定得出資產(chǎn)重要性等級。 3．威脅識別 對資產(chǎn)可能遭受的威脅進行識別，并依據(jù)威脅出現(xiàn)的頻率對威脅進行賦值。,4．脆弱性識別 脆弱性識別是風險評估中最重要的一個環(huán)節(jié)。脆弱性識別可以以資產(chǎn)為核心，也可以從物理、網(wǎng)絡、系統(tǒng)、應用等層次進行識別，然后與資產(chǎn)、威脅對應起來。從技術和管理兩個方面對評估對象存在的脆弱性進行識別并賦值。 5．已有安全措施的確認 在識別脆弱性的同時，對評估對象已采取的安全措施的有效性進行確認，評估其有效性。,6．風險分析 采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風險。 7．風險評估文件記錄 形成風險評估過程中的相關文檔，包括風險評估報告。 GB/T 209842007詳細的風險評估過程在第7章介紹。,7 信息安全風險評估方法,7.1 概述 信息安全風險評估綜合分析資產(chǎn)、威脅、脆弱性、安全措施，判斷系統(tǒng)風險，為安全管理單位識別安全重點、選擇合理適用安全對策提供依據(jù)，是信息安全風險管理的基礎。下面將從不同的角度比較現(xiàn)有的信息安全風險評估方法。,1.2 技術評估和整體評估 技術評估 ——是指對組織的技術基礎結構和程序進行系統(tǒng)的、及時的檢查，包括對組織內(nèi)部計算環(huán)境的安全性及其對內(nèi)外攻擊脆弱性的完整性攻擊 優(yōu)點：技術評估強調(diào)組織的技術脆弱性，評估整個系統(tǒng)的計算基礎結構并對檢測到的技術弱點提出解決措施。 缺點：疏漏了組織的安全性遵循“木桶原則”，組織內(nèi)最薄弱的環(huán)節(jié)多半是組織中的某個人。,2. 整體評估 ——擴展了技術評估的范圍，著眼于分析組織內(nèi)部與安全相關的風險，包括內(nèi)部和外部的風險源、技術基礎和組織結構以及基于電子的和基于人的風險。這些多角度的評估試圖按照業(yè)務驅動程序或者目標對安全風險進行排列，關注的焦點主要集中在安全的以下4個方面： ① 檢查與安全相關的組織實踐，標識當前安全實踐的優(yōu)點和弱點； ② 對系統(tǒng)進行技術分析、對政策進行評審，以及對物理安全進行審查； ③ 檢查IT的基礎結構，以確定技術上的弱點； ④ 幫助決策制訂者綜合平衡風險以選擇成本效益對策。,7.1.3 定性評估和定量評估 1. 定性評估 ——是最廣泛使用的風險分析方法 ，一般只關注威脅事件所帶來的損失，而忽略事件發(fā)生的概率 。 ——多數(shù)定性風險分析方法依據(jù)組織面臨的威脅、脆弱點以及控制措施等元素來決定安全風險等級。在定性評估時并不使用具體的數(shù)據(jù)，往往帶有很強的主觀性，需要憑借分析者的經(jīng)驗和直覺進行定性分級，如設定每種風險的影響值和概率值為“高”、“中”、“低”，有時單純使用期望值，并不能明顯區(qū)別風險值之間的差別。 ——常用的定性評估方法有故障分析樹（FTA）、事件樹分析（ETA）、德爾菲法（DELPHI）。,2．定量評估 ——是對構成風險的各個要素和潛在的損失的水平賦予數(shù)值或貨幣值。 根據(jù)上述三個參數(shù)，計算損失估算值。 優(yōu)點：結果直觀，容易理解 ； 缺點：它要求特別關注資產(chǎn)的價值和威脅的量化數(shù)據(jù)，但是資產(chǎn)價值的確定、發(fā)生概率的確定、最終數(shù)值的界定是比較困難的 。此外，控制和對策措施可以減小威脅事件發(fā)生的可能性，而這些威脅事件之間又是相互關聯(lián)的，這使得定量評