【正文】 可的方法使用 工業(yè)活動 用戶錯誤 閃電 故意破壞 通信電纜損壞 資源濫用 網(wǎng)絡組件的故障 盜竊 電力供應故障 颶風 供應故障 通信量超載 41 All rights reserved 169。 2023威脅分析與評價 對組織需要保護的每一項重要信息資產(chǎn)進行威脅識別應考慮 :v資產(chǎn)所處的環(huán)境條件v資產(chǎn)以前遭受威脅損害的情況來判斷 :v一項資產(chǎn)可能面臨著多個威脅v一個威脅可能對不同的資產(chǎn)造成影響v威脅識別應確認威脅由誰或什么事物引發(fā)v威脅可能來源于意外的，或有預謀的事件 39 All rights reserved 169?？捎眯詢r值較低，潛在影響可以忍受，較容易彌補 3 資產(chǎn)對防止信息不可用方面的要求一般可用性價值中等，潛在影響重大，但可以彌補 4 資產(chǎn)對防止信息不可用方面的要求較高可用性價值較高，潛在影響嚴重，企業(yè)將蒙受嚴重損失，難以彌補 5 資產(chǎn)對防止信息不可用方面的要求很高可用性價值非常關鍵，具有致命性的潛在影響例：對應用軟件，其完整性表現(xiàn)在軟件故障、喪失控制權。 2023資產(chǎn)價值與信息安全特性的關系等級 可用性1 資產(chǎn)對防止信息不可用方面的要求可以忽略。完整性價值或潛在影響可以忽略 2 資產(chǎn)對防止信息非授權修改、破壞方面的要求有限。 36 All rights reserved 169。機密性價值或潛在影響可以忽略 2 資產(chǎn)對防止信息非授權泄露、破壞方面的要求有限。 35 All rights reserved 169。通過考察三種不同安全屬性，可以得出一個能夠基本反映資產(chǎn)價值的數(shù)值。 2023資產(chǎn)的安全屬性賦值及權重計算 信息資產(chǎn)分別具有不同的安全屬性，機密性、完整性和可用性分別反映了資產(chǎn)在三個不同方面的特性。 2023資產(chǎn)的識別資產(chǎn)識別之前必須界定范圍識別資產(chǎn)最簡單的方法就是列出對組織或組織的特定部門的業(yè)務過程有價值的任何事物資產(chǎn)包括 : 數(shù)據(jù)與文檔 /書面文件 /軟件 /實物資產(chǎn) /人員 /服務 33 All rights reserved 169。 31 All rights reserved 169。 2023現(xiàn)有風險評估方法綜述（ 4） 基于系統(tǒng)安全模型體系的分析方法? 在一般風險評估原理的指導下，針對被評估信息系統(tǒng)實際情況（包括：系統(tǒng)技術特性、組織特性、資產(chǎn)情況、安全假設、脆弱點、威脅、保護措施等）建立有針對性、合理的評估安全需求；? 同時建立評估指標體系、評估流程、評估模型，通過系統(tǒng)對評估要求的滿足程度進行判斷風險評估的指導作用。 例如：? 對運行在某個平臺上的不同主機、應用系統(tǒng)分別進行等價化的賦值，綜合分析每個資產(chǎn)的威脅、脆弱性，得到各資產(chǎn)的風險量化值。 2023現(xiàn)有風險評估方法綜述（ 3） 定量分析方法? 以獲取到或采取一定方法量化后得到的被調查對象的定量數(shù)據(jù)為基本材料，依據(jù)一定的算法進行分析、計算、綜合，然后得出結果數(shù)據(jù)。 2023現(xiàn)有風險評估方法綜述（ 2）定性分析方法? 定性分析方法一般適用于：? a）風險識別；? b）造成風險的原因分析；? c）威脅發(fā)生所造成的影響分析等。 基于系統(tǒng)安全模型體系的分析方法：針對某個典型的（或固定）的系統(tǒng)，建立其安全要素的模型，以及判定某個要素的條件和內容，有相對完善、固定的評估模型體系。 2023現(xiàn)有風險評估方法綜述（ 1）定性分析方法：針對某個被評估對象，確定其潛在的風險，描述可能引起風險的原因。風險評估的工具? 風險評估與管理工具 ? 系統(tǒng)基礎平臺風險評估工具 ? 風險評估輔助工具 26 All rights reserved 169。 ? 相乘法 ：直接使用兩個要素值進行相乘得到另一個要素的值。 25 All rights reserved 169。 24 All rights reserved 169。 2023風險評估文件記錄? 風險評估文件記錄的要求 ? 風險評估文件 的類型、多少– 風險評估方案 – 資產(chǎn)識別清單 – 重要資產(chǎn)清單 – 威脅列表 – 脆弱性列表 – 風險評估報告 – 風險處理計劃 風險評估實施 (4) 23 All rights reserved 169。? 安全措施確認并不需要和脆弱性識別過程那樣具體到每個資產(chǎn)、組件的弱點，而是一類具體措施的集合，為風險處理計劃的制定提供依據(jù)和參考。 風險評估實施 (2) 21 All rights reserved 169。管理脆弱性又可分為技術管理脆弱性和組織管理脆弱性兩方面。 20 All rights reserved 169。 19 All rights reserved 169。 2023風險分析原理 18 All rights reserved 169。 16 All rights reserved 169。規(guī)范性引用文件? 說明標準中引用到其他的標準文件或條款。 15 All rights reserved 169。 目的? 信息系統(tǒng)所有者：使用本標準為其選擇安全措施，實施信息系統(tǒng)保護提供技術支持，依據(jù)本標準中提出的安全風險理念選擇技術與管理控制措施；? 風險評估的實施者：依據(jù)本標準進行風險評估，依據(jù)本標準的判定準則，做出科學的判斷。作用：? 過對信息系統(tǒng)的資產(chǎn)、面臨威脅、存在的脆弱性、采用的安全控制措施等進行分析，確定信息系統(tǒng)面臨的安全風險，從技術和管理兩個層面綜合判斷信息系統(tǒng)面臨的風險。 2023《信息安全風險評估規(guī)范》標準操作的主要內容引言定義與術語風險評估概述風險評估流程及模型風險評估實施? 資產(chǎn)識別? 脆弱性識別? 威脅識別? 已有安全措施確認風險評估在信息系統(tǒng)生命周期中的不同要求風險評估的形式及角色附錄 14 All rights reserved 169。正式定名為：信息技術 信息安全風險評估規(guī)范。