【正文】 2023 識別本單位信息安全的風險狀況 ? 重要的資產 ? 面臨的威脅 ? 現有的安全措施和薄弱點 ? 可能的風險 制定適合于本單位的風險評估程序 ? 評估流程 ? 評估管理制度，角色和責任 ? 資產重要性、后果與影響、威脅可能性的判據 ? 薄弱點的識別方法 建立風險控制措施或安全需求 ? 根據評估結果，制定風險處理計劃 ? 根據實際要求，制定本單位的安全需求或安全規(guī)劃 此次各試點單位風險評估的成果 74 All rights reserved 169。 安全控制的識別和選擇： 依據 風險評估的結果 原則 費用與風險平衡 構成 技術控制措施或管理控制措施 確定風險的等級和組織的可接受水平： 70 All rights reserved 169。 信息環(huán)境：支持系統運行的環(huán)境。 信息安全風險管理依據等級保護的思想和適度安全的原則，平衡成本與效益，合理部署和利用信息安全的信任體系、監(jiān)控體系和應急處理等重要的基礎設施，確定合適的安全措施，從而確保機構具有完成其使命的信息安全保障能力 。 2023 風險評估報告 ? 評估方法 ? 信息系統分析與描述 ? 業(yè)務信息流分析 ? 資產識別與劃分 ? 威脅分析 ? 安全風險分析與統計 信息系統脆弱性評估報告：以資產為主線，描述各資產存在的脆弱性，包括： ? 主要服務器操作系統、數據庫系統 ? 應用系統 ? 網絡與交換設備 ? 安全管理體系 ? 物理環(huán)境 風險評估報告 風險評估的輸出結果 —— 風險評估報告 66 All rights reserved 169。 2023 反映了： ? 脆弱性分類（網絡、操作系統、管理、數據庫等） ? 脆弱性的詳細描述 ? 脆弱性的嚴重程度 ? 與威脅的對應關系 ? 可能影響的資產 脆弱性匯總表 風險評估的輸出結果 —— 脆弱性識別表 63 All rights reserved 169。 2023 風險評估的輸出結果 資產識別 資產識別表 資產賦值 威脅分析 資產威脅表 重要資產賦值表 脆弱性分析 理計劃表 影響、可能性分析 風險計算及評估結果 脆弱性匯總表 風險評估報告 59 All rights reserved 169。 2023 55 All rights reserved 169。 2023 風險控制措施確定 組織根據風險評估的結果，確定不可接受風險的范圍，制定風險處理計劃，增加控制措施，從而降低風險。 2023 威脅的可能性分析 組織應根據專家意見或有關的統計數據來判斷威脅發(fā)生的頻率或者威脅發(fā)生的概率。脆弱性越嚴重，表明被威脅利用后產生的后果越嚴重；被某個威脅利用的脆弱性越多，其造成的影響也越大。 2023 已有安全控制分析與確認 ? 識別已經存在和策劃了的安全控制 ? 對現有的和已計劃好的控制加以確定，可以避免不必要的工作和費用 ? 應核查控制是否有效。 2023 薄弱點分析與評價 ? 由于組織缺乏充分的安全控制，組織需要保護的信息資產或系統存在著可能被威脅所利用的弱點。 2023 威脅的識別與評價 威脅列表 : 空氣中的懸浮顆粒 /灰塵 維護錯誤 空調故障 惡意軟件 存儲媒體的老化 用戶身份的偽裝 電子郵件炸彈 未授權網絡訪問 地震 操作人員的錯誤 竊聽 供電波動 環(huán)境污染 否定或抵賴 極端的溫度和濕度 軟件故障 通信服務故障 員工短缺 40 All rights reserved 169。 可用性價值或潛在影響可以忽略 2 資產對防止信息不可用方面的要求有限。 2023 資產價值與信息安全特性的關系 等級 完整性 1 資產對防止信息非授權修改、破壞方面的要求可以忽略。 2023 資產價值與信息安全特性的關系 等級 機密性 1 資產對防止信息非授權泄露、破壞方面的要求可以忽略。安全屬性的不同通常也意味著安全控制 、 保護功能需求的不同 。 2023 1）資產識別與賦值 2）資產的安全屬性賦值及權重計算； 3）威脅分析； 4）薄弱點分析； 5）已有控制措施分析； 6）影響分析； 7）可能性分析； 8）風險計算； 9）風險控制措施制定； 評估步驟 32 All rights reserved 169。 30 All rights reserved 169。 例如： ? 針對操作系統，采用掃描工具，發(fā)現其漏洞，指明漏洞的嚴重程度； 29 All rights reserved 169。 定量分析方法：在某個基準上，建立不同資產的等級化評價模型，定量描述某個資產的風險值，可以做到不同資產之間風險狀況的對比。相乘法的特點是簡單明確，直接按照統一公式計算 。 2023 風險評估的工作形式 自評估 ? 適用于對自身的信息系統進行安全風險的識別、評價 ? 自評估可以委托風險評估服務技術支持方實施，也可以自行實施 檢查評估 ： ? 一般由主管機關發(fā)起，通常都是定期的、抽樣進行的評估模式 ? 旨在檢查關鍵領域、或關鍵點的信息安全風險是否在可接受的范圍內 風險評估應以自評估為主，檢查評估對自評估過程記錄與評估結果的基礎上，驗證和確認系統存在的技術、管理和運行風險，以及用戶實施自評估后采取風險控制措施取得的效果。 風險分析 ? 計算安全事件發(fā)生的可能性 ? 計算安全事件發(fā)生后的損失 ? 計算風險值 ? 風險等級判定 風險評估實施 (3) 22 All rights reserved 169。 ? 脆弱性賦值 ：等級賦值，技術脆弱性與管理脆弱性的結合。 2023 風險評估實施 (1) 風險評估的準備 ? （ 1）確定風險評估的目標； ? （ 2）確定風險評估的范圍； ? （ 3）組建適當的評估管理與實施團隊； ? （ 4）進行系統調研； ? （ 5）確定評估依據和方法； ? （ 6）獲得最高管理者對風險評估工作的支持。 2023 風險評估框架及流程 風險評估中各要素的關系 脆 弱 性 資 產 價 值威 脅資 產風 險 安 全 需 求業(yè) 務 戰(zhàn) 略安 全 事 件 殘 余 風