【正文】 報(bào)告：對(duì)整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程和結(jié)果進(jìn)行總結(jié)，詳細(xì)說(shuō)明被評(píng)估對(duì)象，風(fēng)險(xiǎn)評(píng)估方法，資產(chǎn)、威脅、脆弱性的識(shí)別結(jié)果，風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)統(tǒng)計(jì)和結(jié)論等內(nèi)容；（9）風(fēng)險(xiǎn)處理計(jì)劃：對(duì)評(píng)估結(jié)果中不可接受的風(fēng)險(xiǎn)制定風(fēng)險(xiǎn)處理計(jì)劃，選擇適當(dāng)?shù)目刂颇繕?biāo)及安全措施，明確責(zé)任、進(jìn)度、資源，并通過(guò)對(duì)殘余風(fēng)險(xiǎn)的評(píng)價(jià)確保所選擇安全措施的有效性；（10）風(fēng)險(xiǎn)評(píng)估記錄：根據(jù)組織的風(fēng)險(xiǎn)評(píng)估程序文件，記錄對(duì)重要資產(chǎn)的風(fēng)險(xiǎn)評(píng)估過(guò)程。對(duì)于風(fēng)險(xiǎn)評(píng)估過(guò)程中形成的相關(guān)文件，還應(yīng)規(guī)定其標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保存期限以及處置所需的控制。某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)陌踩胧┖笕蕴幱诓豢山邮艿娘L(fēng)險(xiǎn)范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險(xiǎn)或進(jìn)一步增加相應(yīng)的安全措施。在對(duì)于不可接受風(fēng)險(xiǎn)選擇適當(dāng)?shù)陌踩胧┖螅瑸榇_保安全措施的有效性，可進(jìn)行再評(píng)估，以判斷實(shí)施安全措施后的殘余風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平。對(duì)某些風(fēng)險(xiǎn)，如果評(píng)估值小于或等于可接受風(fēng)險(xiǎn)閾值，是可接受風(fēng)險(xiǎn)，可保持已有的安全措施；如果評(píng)估值大于可接受風(fēng)險(xiǎn)閾值，是不可接受風(fēng)險(xiǎn)，則需要采取安全措施以降低、控制風(fēng)險(xiǎn)。表12提供了一種風(fēng)險(xiǎn)等級(jí)劃分方法。 風(fēng)險(xiǎn)結(jié)果判定風(fēng)險(xiǎn)等級(jí)劃分為五級(jí)，等級(jí)越高，風(fēng)險(xiǎn)越高。如矩陣法或相乘法，通過(guò)構(gòu)造經(jīng)驗(yàn)函數(shù)，矩陣法可形成安全事件發(fā)生的可能性與安全事件的損失之間的二維關(guān)系；運(yùn)用相乘法可以將安全事件發(fā)生的可能性與安全事件的損失相乘得到風(fēng)險(xiǎn)值。在計(jì)算某個(gè)安全事件的損失時(shí)，應(yīng)將對(duì)組織的影響也考慮在內(nèi)。有以下三個(gè)關(guān)鍵計(jì)算環(huán)節(jié)：計(jì)算安全事件發(fā)生的可能性 根據(jù)威脅出現(xiàn)頻率及脆弱性狀況，計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即：安全事件發(fā)生的可能性=L(威脅出現(xiàn)頻率，脆弱性)＝L(T，V )在具體評(píng)估中，應(yīng)綜合攻擊者技術(shù)能力（專業(yè)技術(shù)程度、攻擊設(shè)備等）、脆弱性被利用的難易程度（可訪問(wèn)時(shí)間、設(shè)計(jì)和操作知識(shí)公開(kāi)程度等）以及資產(chǎn)吸引力等因素來(lái)判斷安全事件發(fā)生的可能性?！?風(fēng)險(xiǎn)分析 風(fēng)險(xiǎn)計(jì)算原理在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及對(duì)已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴(yán)重程度判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn)。一般來(lái)說(shuō)，安全措施的使用將減少脆弱性，但安全措施的確認(rèn)并不需要與脆弱性識(shí)別過(guò)程那樣具體到每個(gè)資產(chǎn)、組件的弱點(diǎn)，而是一類具體措施的集合。預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如入侵檢測(cè)系統(tǒng)；保護(hù)性安全措施可以減少因安全事件發(fā)生對(duì)信息系統(tǒng)造成的影響，如業(yè)務(wù)持續(xù)性計(jì)劃。對(duì)于確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實(shí)是否應(yīng)被取消，或者用更合適的安全措施替代。表10提供了脆弱性嚴(yán)重程度的一種賦值方法。脆弱性嚴(yán)重程度的等級(jí)劃分為五級(jí)，分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。對(duì)某個(gè)資產(chǎn)，其技術(shù)脆弱性的嚴(yán)重程度受到組織的管理脆弱性的影響。組織管理安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性　脆弱性賦值 可以根據(jù)對(duì)資產(chǎn)損害程度、技術(shù)實(shí)現(xiàn)的難易程度、弱點(diǎn)流行程度，采用等級(jí)方式對(duì)已識(shí)別的脆弱性的嚴(yán)重程度進(jìn)行賦值。應(yīng)用系統(tǒng)審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問(wèn)控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別。網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問(wèn)控制策略、內(nèi)部訪問(wèn)控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別。表9　脆弱性識(shí)別內(nèi)容表類型　識(shí)別對(duì)象識(shí)別內(nèi)容技術(shù)脆弱性物理環(huán)境從機(jī)房場(chǎng)地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識(shí)別。管理脆弱性識(shí)別方面可以參照《ISO/IEC 177992000 Information security management —Part 1:Code of practice for information security management》的要求對(duì)安全管理制度及其執(zhí)行情況進(jìn)行檢查，發(fā)現(xiàn)管理漏洞和不足。對(duì)不同的識(shí)別對(duì)象，其脆弱性識(shí)別的具體要求應(yīng)參照相應(yīng)的技術(shù)或管理標(biāo)準(zhǔn)實(shí)施。脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問(wèn)題。脆弱性識(shí)別所采用的方法主要有：?jiǎn)柧碚{(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)試等。脆弱性識(shí)別將針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，找出可能被威脅利用的弱點(diǎn)，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估。資產(chǎn)的脆弱性具有隱蔽性，有些弱點(diǎn)只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱性識(shí)別中最為困難的部分。而且如果系統(tǒng)足夠強(qiáng)健，再嚴(yán)重的威脅也不會(huì)導(dǎo)致安全事件，并造成損失。表8　威脅賦值表等級(jí)標(biāo)識(shí)定義5很高威脅出現(xiàn)的頻率很高，在大多數(shù)情況下幾乎不可避免或者可以證實(shí)經(jīng)常發(fā)生過(guò)4高威脅出現(xiàn)的頻率較高，在大多數(shù)情況下很有可能會(huì)發(fā)生或者可以證實(shí)多次發(fā)生過(guò)3中威脅出現(xiàn)的頻率中等，在某種情況下可能會(huì)發(fā)生或被證實(shí)曾經(jīng)發(fā)生過(guò)2低威脅出現(xiàn)的頻率較小，一般不太可能發(fā)生，也沒(méi)有被證實(shí)發(fā)生過(guò)1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見(jiàn)和例外的情況下發(fā)生　 脆弱性識(shí)別脆弱性是對(duì)一個(gè)或多個(gè)資產(chǎn)弱點(diǎn)的總稱。等級(jí)數(shù)值越大，威脅出現(xiàn)的頻率越高。在風(fēng)險(xiǎn)評(píng)估過(guò)程中，還需要綜合考慮以下三個(gè)方面，以形成在某種評(píng)估環(huán)境中各種威脅出現(xiàn)的頻率：（1) 以往安全事件報(bào)告中出現(xiàn)過(guò)的威脅及其頻率的統(tǒng)計(jì)；（2) 實(shí)際環(huán)境中通過(guò)檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)；（3) 近一兩年來(lái)國(guó)際組織發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及發(fā)布的威脅　　　　　　預(yù)警。表7提供了一種基于表現(xiàn)形式的威脅分類方法。表6提供了一種威脅來(lái)源的分類方法。威脅作用形式可以是對(duì)信息系統(tǒng)直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機(jī)密性、完整性或可用性等方面造成損害；也可能是偶發(fā)的、或蓄意的事件。根據(jù)威脅的動(dòng)機(jī)，人為因素又可分為惡意和無(wú)意兩種。　 威脅識(shí)別威脅是一種對(duì)組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素，是客觀存在的。表5提供了一種資產(chǎn)重要性等級(jí)劃分的參考。本標(biāo)準(zhǔn)中，為與上述安全屬性的賦值相對(duì)應(yīng)，將資產(chǎn)重要性劃分為五級(jí)，級(jí)別越高表示資產(chǎn)重要性程度越高。綜合評(píng)定方法可以根據(jù)組織自身的特點(diǎn)，選擇對(duì)資產(chǎn)機(jī)密性、完整性和可用性最為重要的一個(gè)屬性的賦值等級(jí)作為資產(chǎn)的最終賦值結(jié)果，也可以根據(jù)資產(chǎn)機(jī)密性、完整性和可用性的不同重要程度對(duì)其賦值進(jìn)行加權(quán)計(jì)算而得到資產(chǎn)的最終賦值。表4提供了一種可用性賦值的參考。表3提供了一種完整性賦值的參考。表2提供了一種機(jī)密性賦值的參考。達(dá)成程度可由安全屬性缺失時(shí)造成的影響來(lái)表示，這種影響可能造成某些資產(chǎn)的損害以至危及信息系統(tǒng)，還可能導(dǎo)致經(jīng)濟(jì)效益、市場(chǎng)份額或組織形象的損失。為確保資產(chǎn)賦值時(shí)的一致性和準(zhǔn)確性，組織應(yīng)建立一個(gè)資產(chǎn)價(jià)值評(píng)價(jià)尺度，以指導(dǎo)資產(chǎn)賦值。表1列出了一種資產(chǎn)分類方法。在實(shí)際工作中，具體的資產(chǎn)分類方法可以根據(jù)具體的評(píng)估對(duì)象和要求，由評(píng)估者來(lái)靈活把握?！?資產(chǎn)分類風(fēng)險(xiǎn)評(píng)估中，資產(chǎn)大多屬于不同的信息系統(tǒng)，如OA系統(tǒng)、網(wǎng)管系統(tǒng)、業(yè)務(wù)生產(chǎn)系統(tǒng)等，而且對(duì)于提供多種業(yè)務(wù)的組織，其支持業(yè)務(wù)持續(xù)運(yùn)行的系統(tǒng)數(shù)量可能更多。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價(jià)值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采取的安全措施都將對(duì)資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。機(jī)密性、完整性和可用性是評(píng)價(jià)資產(chǎn)的三個(gè)安全屬性?！?資產(chǎn)識(shí)別資產(chǎn)是具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象。　 選擇方法應(yīng)考慮評(píng)估的目的、范圍、時(shí)間、效果、人員素質(zhì)等因素來(lái)選擇具體的風(fēng)險(xiǎn)判斷方法，使之能夠與組織環(huán)境和安全要求相適應(yīng)?！?組建團(tuán)隊(duì)組建適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估管理與實(shí)施團(tuán)隊(duì)，以支持整個(gè)過(guò)程的推進(jìn)，如成立由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等組成的風(fēng)險(xiǎn)評(píng)估小組。　 確定范圍基于風(fēng)險(xiǎn)評(píng)估目標(biāo)確定風(fēng)險(xiǎn)評(píng)估范圍是完成風(fēng)險(xiǎn)評(píng)估的前提。由于業(yè)務(wù)信息化程度不斷提高，對(duì)信息技術(shù)的依賴日益增加，一個(gè)組織可能出現(xiàn)更多的脆弱性。信息系統(tǒng)是重要的資產(chǎn)，其機(jī)密性、完整性和可用性對(duì)于維持競(jìng)爭(zhēng)優(yōu)勢(shì)、獲利能力、法規(guī)要求和組織形象是必要的。因此，在風(fēng)險(xiǎn)評(píng)估實(shí)施前，應(yīng)：（1）確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)；（2）確定風(fēng)險(xiǎn)評(píng)估的范圍；（3）組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)；（4）選擇與組織相適應(yīng)的具體的風(fēng)險(xiǎn)判斷方法；（5）獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持。否是否圖3風(fēng)險(xiǎn)評(píng)估實(shí)施流程圖是風(fēng)險(xiǎn)評(píng)估準(zhǔn)備已有安全措施的確認(rèn)風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)是否接受保持已有的安全措施施施施選擇適當(dāng)?shù)陌踩胧┎⒃u(píng)估殘余風(fēng)險(xiǎn)實(shí)施風(fēng)險(xiǎn)管理脆弱性識(shí)別威脅識(shí)別資產(chǎn)識(shí)別是否接受殘余風(fēng)險(xiǎn) 風(fēng)險(xiǎn)分析評(píng)估過(guò)程文檔評(píng)估過(guò)程文檔風(fēng)險(xiǎn)評(píng)估文件記錄評(píng)估結(jié)果文檔…………………6　 風(fēng)險(xiǎn)評(píng)估實(shí)施　 風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備是整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程有效性的保證。風(fēng)險(xiǎn)分析主要內(nèi)容為：（1）對(duì)資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)的重要性進(jìn)行賦值；（2）對(duì)威脅進(jìn)行識(shí)別，描述威脅的屬性，并對(duì)威脅出現(xiàn)的頻率賦值；（3）對(duì)資產(chǎn)的脆弱性進(jìn)行識(shí)別，并對(duì)具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；（4）根據(jù)威脅和脆弱性的識(shí)別結(jié)果判斷安全事件發(fā)生的可能性；（5）根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用資產(chǎn)的重要性計(jì)算安全事件的損失；（6）根據(jù)安全事件發(fā)生的可能性以及安全事件的損失，計(jì)算安全事件一旦發(fā)生對(duì)組織的影響，即風(fēng)險(xiǎn)值。　 風(fēng)險(xiǎn)分析示意圖風(fēng)險(xiǎn)分析示意圖如下所示：威脅識(shí)別脆弱性識(shí)別威脅出現(xiàn)的頻率脆弱性的嚴(yán)重程度資產(chǎn)的重要性安全事件的損失風(fēng)險(xiǎn)值資產(chǎn)識(shí)別圖2 風(fēng)險(xiǎn)分析示意圖風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性等基本要素。圖1中的風(fēng)險(xiǎn)要素及屬性之間存在著以下關(guān)系： （1）業(yè)務(wù)戰(zhàn)略依賴資產(chǎn)去實(shí)現(xiàn)；（2）資產(chǎn)是有價(jià)值的，組織的業(yè)務(wù)戰(zhàn)略對(duì)資產(chǎn)的依賴度越高，資產(chǎn)價(jià)值就越大；（3）資產(chǎn)價(jià)值越大則其面臨的風(fēng)險(xiǎn)越大；（4）風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大，并可能演變成安全事件；（5）弱點(diǎn)越多，威脅利用脆弱性導(dǎo)致安全事件的可能性越大；（6）脆弱性是未被滿足的安全需求，威脅要通過(guò)利用脆弱性來(lái)危害資產(chǎn)，從而形成風(fēng)險(xiǎn)；（7）風(fēng)險(xiǎn)的存在及對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)導(dǎo)出安全需求；（8）安全需求可通過(guò)安全措施得以滿足，需要結(jié)合資產(chǎn)價(jià)值考慮實(shí)施成本；（9）安全措施可抵御威脅，降低安全事件的發(fā)生的可能性，并減少影響；（10）風(fēng)險(xiǎn)不可能也沒(méi)有必要降為零，在實(shí)施了安全措施后還會(huì)有殘留下來(lái)的風(fēng)險(xiǎn)。　　　　　　風(fēng)險(xiǎn)評(píng)估中各要素的關(guān)系如圖1所示：安全措施 抵御業(yè)務(wù)戰(zhàn)略脆弱性安全需求威脅風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)安全事件依賴具有被滿足利用暴露降低增加加依賴增加導(dǎo)出演變 未被滿足未控制可能誘發(fā)殘留成本資產(chǎn)資產(chǎn)價(jià)值圖1 風(fēng)險(xiǎn)要素關(guān)系圖圖1中方框部分的內(nèi)容為風(fēng)險(xiǎn)評(píng)估的基本要素，橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性。　 風(fēng)險(xiǎn)要素