【正文】 險(xiǎn)的措施、程序或機(jī)制。威脅是可能對(duì)資產(chǎn)或組織造成損害的事故的潛在原因。風(fēng)險(xiǎn)評(píng)估是對(duì)信息和信息處理設(shè)施的威脅、脆弱性和風(fēng)險(xiǎn)的評(píng)估，它包含以下元素：6風(fēng)險(xiǎn)是被特定威脅利用的資產(chǎn)的一種或一組脆弱性，導(dǎo)致資產(chǎn)丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。 風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估指風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過程，其中風(fēng)險(xiǎn)分析是指系統(tǒng)化地識(shí)別風(fēng)險(xiǎn)來源和風(fēng)險(xiǎn)類型，風(fēng)險(xiǎn)評(píng)價(jià)是指按組織制定的風(fēng)險(xiǎn)標(biāo)準(zhǔn)估算風(fēng)險(xiǎn)水平，確定風(fēng)險(xiǎn)嚴(yán)重性。信息對(duì)于組織是一種具有重要價(jià)值的資產(chǎn)。2 術(shù)語與定義 風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理是以可接受成本識(shí)別、評(píng)估、控制、降低可能影響信息系統(tǒng)風(fēng)險(xiǎn)的過程，通過風(fēng)險(xiǎn)評(píng)估識(shí)別風(fēng)險(xiǎn)，通過制定信息安全方針，采取適當(dāng)?shù)目刂颇繕?biāo)與控制方式對(duì)風(fēng)險(xiǎn)進(jìn)行控制，使風(fēng)險(xiǎn)被避免、轉(zhuǎn)移或降低到一個(gè)可以被接受的水平，同時(shí)考慮控制費(fèi)用與風(fēng)險(xiǎn)之間的平衡。風(fēng)險(xiǎn)管理遵循管理的一般循環(huán)模式—計(jì)劃 (Plan)、執(zhí)行 (Do)、檢查 (Check)、行動(dòng) (Action)的持續(xù)改進(jìn)模式。信息安全管理是風(fēng)險(xiǎn)管理的過程，風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的基礎(chǔ)。1 風(fēng)險(xiǎn)評(píng)估管理程序 歷史修訂記錄序號(hào) 更改單號(hào) 更改說明 修訂人 生效日期 現(xiàn)行版次2目 錄1 概述 .........................................................................52 術(shù)語與定義 ...................................................................5 風(fēng)險(xiǎn)管理 ....................................................................5 風(fēng)險(xiǎn)評(píng)估 .................................................................5 其他 ........................................................................63 風(fēng)險(xiǎn)評(píng)估框架及流程 ...........................................................7 風(fēng)險(xiǎn)要素關(guān)系 ................................................................73 風(fēng)險(xiǎn)分析原理 ................................................................9 實(shí)施流程 ....................................................................94 風(fēng)險(xiǎn)評(píng)估準(zhǔn)備過程 ............................................................10 確定范圍 ...................................................................10 確定目標(biāo) ...................................................................11 確定組織結(jié)構(gòu) ...............................................................11 確定風(fēng)險(xiǎn)評(píng)估方法 ...........................................................11 獲得最高管理者批準(zhǔn) .........................................................115 風(fēng)險(xiǎn)評(píng)估實(shí)施過程 ............................................................11 資產(chǎn)賦值 ...................................................................13 資產(chǎn)分類 ................................................................14 資產(chǎn)價(jià)值屬性 ............................................................17 資產(chǎn)價(jià)值屬性賦值標(biāo)準(zhǔn) ....................................................19 威脅評(píng)估 ...................................................................23 威脅分類 ................................................................23 威脅賦值 ................................................................26 脆弱性評(píng)估 .................................................................27 確定現(xiàn)有控制 ...............................................................30 風(fēng)險(xiǎn)評(píng)估 ...................................................................30 風(fēng)險(xiǎn)值計(jì)算 ..............................................................30 風(fēng)險(xiǎn)等級(jí)劃分 ............................................................31 風(fēng)險(xiǎn)評(píng)估結(jié)果紀(jì)錄 ........................................................316 風(fēng)險(xiǎn)管理過程 ................................................................32 安全控制的識(shí)別與選擇 .......................................................33 降低風(fēng)險(xiǎn) ...................................................................34 接受風(fēng)險(xiǎn) ...................................................................35 風(fēng)險(xiǎn)管理要求 ...............................................................357 相關(guān)文件 ....................................................................36451 概述目前信息安全管理的發(fā)展趨勢(shì)是將風(fēng)險(xiǎn)管理與信息安全管理緊密結(jié)合在一起，將風(fēng)險(xiǎn)概念作為信息安全管理實(shí)踐的對(duì)象和出發(fā)點(diǎn)，信息安全管理的控制點(diǎn)以風(fēng)險(xiǎn)出現(xiàn)的可能性作為對(duì)象而展開的。ISO27001 標(biāo)準(zhǔn)對(duì)信息安全管理體系(ISMS)的要求即通過對(duì)信息資產(chǎn)的風(fēng)險(xiǎn)管理,確定重要信息資產(chǎn)清單以及風(fēng)險(xiǎn)等級(jí),從而采取相應(yīng)的控制措施來實(shí)現(xiàn)信息資產(chǎn)的安全。風(fēng)險(xiǎn)管理是指導(dǎo)和控制組織風(fēng)險(xiǎn)的過程。ISO27001 標(biāo)準(zhǔn)要求企業(yè)設(shè)計(jì)、實(shí)施、維護(hù)信息安全管理體系都要依據(jù) PDCA 循環(huán)模式。風(fēng)險(xiǎn)管理的核心是信息的保護(hù)。建立信息安全管理體系(ISMS)的目的是在最大范圍內(nèi)保護(hù)信息資產(chǎn)，確保信息的機(jī)密性、完整性和可用性，將風(fēng)險(xiǎn)管理自始至終的貫穿于整個(gè)信息安全管理體系中，這種體系并不能完全消除信息安全的風(fēng)險(xiǎn)，只是盡量減少風(fēng)險(xiǎn)，盡量將攻擊造成的損失降低到最低限度。風(fēng)險(xiǎn)評(píng)估的出發(fā)點(diǎn)是對(duì)與風(fēng)險(xiǎn)有關(guān)的各因素的確認(rèn)和分析，與信息安全風(fēng)險(xiǎn)有關(guān)的因素可以包括四大類：資產(chǎn)、威脅、脆弱性、安全控制措施。資產(chǎn)是對(duì)組織具有價(jià)值的信息資源，是安全控制措施保護(hù)的對(duì)象。脆弱性是資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點(diǎn)。 其他1. 資產(chǎn) Asset：對(duì)組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象。資產(chǎn)價(jià)值是資產(chǎn)的屬性，也是進(jìn)行資產(chǎn)識(shí)別的主要內(nèi)容。4. 完整性 integrity：保證信息及信息系統(tǒng)不會(huì)被非授權(quán)更改或破壞的特性。5. 可用性 availability：數(shù)據(jù)或資源的特性，被授權(quán)實(shí)體按要求能訪問和使用數(shù)據(jù)或資源。7. 系統(tǒng)完整性 system integrity ：在防止非授權(quán)用戶修改或使用資源和防止授權(quán)用戶不正確地修改或使用資源的情況下，信息系統(tǒng)能履行其操作目的的品質(zhì)。9. 信息安全風(fēng)險(xiǎn)評(píng)估 information security risk assessment：依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過程。10. 信息系統(tǒng) information system：由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、7設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。11. 檢查評(píng)估 inspection assessment：由被評(píng)估組織的上級(jí)主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的，依據(jù)國(guó)家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及其管理進(jìn)行的具有強(qiáng)制性的檢查活動(dòng)。組織的特性在于為完成目標(biāo)而分工、合作；一個(gè)單位是一個(gè)組織，某個(gè)業(yè)務(wù)部門也可以是一個(gè)組織。14. 自評(píng)估 selfassessment：由組織自身發(fā)起，參照國(guó)家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及其管理進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)。16. 安全措施 security measure：保護(hù)資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制的總稱。18. 威脅 threat：可能導(dǎo)致對(duì)系統(tǒng)或組織危害的不希望事故潛在原因。3 風(fēng)險(xiǎn)評(píng)估框架及流程本章提出了風(fēng)險(xiǎn)評(píng)估的要素關(guān)系、分析原理及實(shí)施流程。風(fēng)險(xiǎn)評(píng)估要識(shí)別資產(chǎn)相關(guān)要素的關(guān)系，從而判斷資產(chǎn)面臨的風(fēng)險(xiǎn)大小。風(fēng)險(xiǎn)評(píng)估圍繞著這些基本要素展開，在對(duì)這些要素的評(píng)估過程中，需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等與這些基本要素相關(guān)的各類屬性。有些殘余風(fēng)險(xiǎn)的原因可能是安全措施不當(dāng)或無效,需要繼續(xù)控制；而有些殘余風(fēng)險(xiǎn)則是在綜合考慮了安全成本與效益后未去控制的風(fēng)險(xiǎn)，是可以接受的；11. 殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它可能會(huì)在將來誘發(fā)新的安全事件。每個(gè)要素有各自的屬性，資產(chǎn)的