【導(dǎo)讀】風(fēng)險(xiǎn)是指遭受損害或損失的可能。負(fù)面結(jié)果的潛在因素。對(duì)信息系統(tǒng)而言：兩種因素造成。事件的概率及其結(jié)果的組合。注1通常，只有至少存在產(chǎn)。才使用“風(fēng)險(xiǎn)”術(shù)語(yǔ)。注2在某些情況下，風(fēng)險(xiǎn)是。風(fēng)險(xiǎn)管理指標(biāo)識(shí)、控制和消。風(fēng)險(xiǎn)管理被認(rèn)為是良好管理。的一個(gè)組成部分。對(duì)風(fēng)險(xiǎn)管理的過(guò)程而言，不同的方法或工具提供了不同。風(fēng)險(xiǎn)評(píng)估指風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)。通過(guò)風(fēng)險(xiǎn)評(píng)估識(shí)別組織所面臨的安全風(fēng)。以接受的范圍之內(nèi)。風(fēng)險(xiǎn)管理是一個(gè)持續(xù)循環(huán)，不斷。險(xiǎn)管理流程中最必須，最謹(jǐn)慎的一個(gè)過(guò)程。關(guān)的事件在企業(yè)內(nèi)發(fā)生時(shí)，如變動(dòng)業(yè)務(wù)方法、發(fā)現(xiàn)新的漏洞等，價(jià)和風(fēng)險(xiǎn)處理提供數(shù)據(jù)。就風(fēng)險(xiǎn)分析的方法而言，目前應(yīng)用中沒(méi)有所謂的正。確或錯(cuò)誤的方法。后果發(fā)生的可能性。定量分析步驟主要集中在現(xiàn)場(chǎng)。續(xù)評(píng)估工作提供參考依據(jù)。定性風(fēng)險(xiǎn)分析示例（此示例來(lái)源于。步驟1：結(jié)果或影響的定性量度。步驟3：從而得出風(fēng)險(xiǎn)分析矩陣。計(jì)算風(fēng)險(xiǎn)的年預(yù)期損失。依賴于用來(lái)表示度量的數(shù)字范圍，

　　

【正文】 4：選擇安全防護(hù)措施 步驟 5：分配責(zé)任 步驟 6：制定安全措施的實(shí)現(xiàn)計(jì)劃 ?風(fēng)險(xiǎn)及相關(guān)風(fēng)險(xiǎn)的級(jí)別 ?優(yōu)先級(jí)排序后的行動(dòng) ?所建議的安全防護(hù)措施 ?所選擇的預(yù)期安全措施 ?責(zé)任人員 ?開(kāi)始日期 ?目標(biāo)完成日期 ?維護(hù)要求 ?安全措施實(shí)現(xiàn)計(jì)劃 步驟 7：實(shí)現(xiàn)所選擇的安全措施 ?殘余風(fēng)險(xiǎn) 步驟 1：對(duì)行動(dòng)優(yōu)先級(jí)進(jìn)行排序 中管網(wǎng)制造業(yè)頻道 信息安全風(fēng)險(xiǎn)處理的過(guò)程（續(xù)） ? 步驟 1: 對(duì)行動(dòng)優(yōu)先級(jí)進(jìn)行排序 ? 基于在風(fēng)險(xiǎn)評(píng)估報(bào)告中提出的風(fēng)險(xiǎn)級(jí)別，對(duì)風(fēng)險(xiǎn)處理的實(shí)現(xiàn)行動(dòng)進(jìn)行優(yōu)先級(jí)排序。在分配資源時(shí)，標(biāo)有不可接受的高等級(jí)（例如被定義為 “ 非常高 ”或 “ 高 ” 風(fēng)險(xiǎn)級(jí)的風(fēng)險(xiǎn)）的風(fēng)險(xiǎn)項(xiàng)應(yīng)該最優(yōu)先。這些脆弱性 /威脅對(duì)需要采取立即糾正行動(dòng)以保護(hù)單位的利益和使命。 中管網(wǎng)制造業(yè)頻道 信息安全風(fēng)險(xiǎn)處理的過(guò)程（續(xù)） ? 步驟 2: 評(píng)估所建議的安全選項(xiàng) ? 風(fēng)險(xiǎn)評(píng)估過(guò)程中建議的安全防護(hù)措施對(duì)于具體的單位及其信息系統(tǒng)可能不是最適合和最可行的。在這一步中，要對(duì)所建議的安全防護(hù)措施的可行性（如兼容性、用戶接受程度）和有效性（如保護(hù)程度和風(fēng)險(xiǎn)控制的級(jí)別）進(jìn)行分析。目的是選擇出最適當(dāng)?shù)陌踩雷o(hù)措施，使風(fēng)險(xiǎn)降至最低。 中管網(wǎng)制造業(yè)頻道 信息安全風(fēng)險(xiǎn)處理的過(guò)程（續(xù)） ? 步驟 3: 實(shí)施成本效益分析 ? 為了幫助管理層做出決策并找出成本有效性最好的安全控制，要實(shí)施成本效益分析。 中管網(wǎng)制造業(yè)頻道 信息安全風(fēng)險(xiǎn)處理的過(guò)程（續(xù)） ? 步驟 4: 選擇安全防護(hù)措施 ? 在成本效益分析的基礎(chǔ)上，管理人員應(yīng)確定成本有效性最好的安全防護(hù)措施來(lái)降低單位的風(fēng)險(xiǎn)。 中管網(wǎng)制造業(yè)頻道 信息安全風(fēng)險(xiǎn)處理的過(guò)程（續(xù)） ? 步驟 5: 責(zé)任分配 ? 遴選出那些擁有合適的專長(zhǎng)和技能，可實(shí)現(xiàn)所選安全防護(hù)措施的人員（內(nèi)部人員或外部合同商），并賦以相應(yīng)責(zé)任。 中管網(wǎng)制造業(yè)頻道 信息安全風(fēng)險(xiǎn)處理的過(guò)程（續(xù)） ? 步驟 6: 制定安全防護(hù)措施的實(shí)現(xiàn)計(jì)劃 ? 在本步中將制定安全防護(hù)措施的實(shí)現(xiàn)計(jì)劃。 中管網(wǎng)制造業(yè)頻道 信息安全風(fēng)險(xiǎn)處理的過(guò)程（續(xù)） ? 步驟 7: 實(shí)現(xiàn)所選擇的安全防護(hù)措施 ? 根據(jù)各自情況的不同，所實(shí)現(xiàn)的安全控制可以降低風(fēng)險(xiǎn)級(jí)但不會(huì)根除風(fēng)險(xiǎn)。實(shí)現(xiàn)安全防護(hù)措施后仍然存在的風(fēng)險(xiǎn)為殘余風(fēng)險(xiǎn)。 風(fēng)險(xiǎn)處理過(guò)程結(jié)束！ 中管網(wǎng)制造業(yè)頻道 風(fēng)險(xiǎn)評(píng)估與管理 1. 與風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理相關(guān)的概念解析 2. 信息安全風(fēng)險(xiǎn)管理的一般過(guò)程 3. 風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理的其它問(wèn)題 中管網(wǎng)制造業(yè)頻道 3 風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理的其它問(wèn)題 風(fēng)險(xiǎn)評(píng)估的角色和責(zé)任 風(fēng)險(xiǎn)評(píng)估方法 風(fēng)險(xiǎn)評(píng)估工具 風(fēng)險(xiǎn)評(píng)估模式分析 風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)、認(rèn)證認(rèn)可的關(guān)系 中管網(wǎng)制造業(yè)頻道 風(fēng)險(xiǎn)評(píng)估的腳色和責(zé)任 ? 信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的參與角色一般有主管機(jī)關(guān)、信息系統(tǒng)擁有者、信息系統(tǒng)承建者、信息系統(tǒng)安全評(píng)估服務(wù)機(jī)構(gòu)、信息系統(tǒng)的關(guān)聯(lián)者（即因信息系統(tǒng)互聯(lián)、信息交換和共享、系統(tǒng)采購(gòu)等行為與該系統(tǒng)發(fā)生關(guān)聯(lián)的機(jī)構(gòu)）。 中管網(wǎng)制造業(yè)頻道 ? 基本風(fēng)險(xiǎn)評(píng)估方法 ? 基本的風(fēng)險(xiǎn)評(píng)估是只利用直接和簡(jiǎn)單的方法達(dá)到基本的安全水平，就能滿足組織及其業(yè)務(wù)環(huán)境的所有要求。 ? 詳細(xì)風(fēng)險(xiǎn)評(píng)估方法 ? 詳細(xì)的風(fēng)險(xiǎn)評(píng)估就是對(duì)資產(chǎn)、威脅和脆弱性進(jìn)行詳細(xì)的識(shí)別與評(píng)價(jià)，詳細(xì)的風(fēng)險(xiǎn)評(píng)估結(jié)果被用于風(fēng)險(xiǎn)評(píng)估和安全控制措施的識(shí)別和選擇。 風(fēng)險(xiǎn)評(píng)估方法 中管網(wǎng)制造業(yè)頻道 風(fēng)險(xiǎn)評(píng)估方法 (續(xù) ) ? 聯(lián)合風(fēng)險(xiǎn)評(píng)估方法 ? 這種方法首先使用基本的風(fēng)險(xiǎn)評(píng)估方法，識(shí)別信息安全管理體系范圍內(nèi)具有潛在高風(fēng)險(xiǎn)或?qū)I(yè)務(wù)運(yùn)作極為關(guān)鍵的資產(chǎn)，然后根據(jù)基本的風(fēng)險(xiǎn)評(píng)估的結(jié)果，將信息安全管理體系范圍內(nèi)的資產(chǎn)分為兩類，一類需要應(yīng)用詳細(xì)的風(fēng)險(xiǎn)評(píng)估方法以達(dá)到適當(dāng)保護(hù)，另一類通過(guò)基本的風(fēng)險(xiǎn)評(píng)估方法就可以滿足組織的需要了。 中管網(wǎng)制造業(yè)頻道 風(fēng)險(xiǎn)評(píng)估工具 ? 目前對(duì)風(fēng)險(xiǎn)評(píng)估工具的分類還沒(méi)有一個(gè)統(tǒng)一的理解。通常情況下技術(shù)人員會(huì)把漏洞掃描工具稱為風(fēng)險(xiǎn)評(píng)估工具，很多文獻(xiàn)中提到的風(fēng)險(xiǎn)評(píng)估工具也就是指漏洞評(píng)估掃描器。 ? 但是隨著人們對(duì)信息資產(chǎn)的深入理解，發(fā)現(xiàn)信息資產(chǎn)不只包括存在于計(jì)算機(jī)環(huán)境中的數(shù)據(jù)、文檔，信息在組織中的各種載體中傳播，包括紙質(zhì)載體、人員等，因此信息安全包括更廣泛的范圍。 中管網(wǎng)制造業(yè)頻道 風(fēng)險(xiǎn)評(píng)估工具（續(xù)） ? 在此基礎(chǔ)上，許多國(guó)家和組織都建立了針對(duì)于預(yù)防安全事件發(fā)生的風(fēng)險(xiǎn)評(píng)估指南和方法?；谶@些方法，開(kāi)發(fā)出了一些工具，如CRAMM、 CORBA等，這些工具統(tǒng)稱為風(fēng)險(xiǎn)評(píng)估工具。 ? 北京知識(shí)安全工程中心推出的 Crisk方法與Crisk評(píng)估工具。 中管網(wǎng)制造業(yè)頻道 ? 根據(jù)評(píng)估方與被評(píng)估方的關(guān)系，他們和信息資產(chǎn)的關(guān)系分為： ? 自評(píng)估 是信息系統(tǒng)擁有者依靠自身力量，對(duì)自有的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)。 ? 檢查評(píng)估 由信息安全主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)，檢查被評(píng)估單位是否滿足了這些法規(guī)或標(biāo)準(zhǔn)。 ? 委托評(píng)估 指信息系統(tǒng)使用單位委托具有風(fēng)險(xiǎn)評(píng)估能力的專業(yè)評(píng)估機(jī)構(gòu)（國(guó)家建立的測(cè)評(píng)認(rèn)證機(jī)構(gòu)或安全企業(yè)）實(shí)施的評(píng)估活動(dòng)。 風(fēng)險(xiǎn)評(píng)估的模式分析 中管網(wǎng)制造業(yè)頻道 風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)、認(rèn)證認(rèn)可關(guān)系 ? 右圖表示了信息系統(tǒng)安全建設(shè)中的主要工作，可從中看到等級(jí)保護(hù)、認(rèn)證認(rèn)可、風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)安全建設(shè)中的位置。 中管網(wǎng)制造業(yè)頻道 ? 一次成功的風(fēng)險(xiǎn)管理計(jì)劃取決于： ? 高層管理部門的支持； ? 信息團(tuán)隊(duì)的全力支持與參與； ? 風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)的能力； ? 用戶的意識(shí)和合作； ? 對(duì)與信息相關(guān)的使命風(fēng)險(xiǎn)進(jìn)行持續(xù)的評(píng)價(jià)和評(píng)估。 總結(jié)