【正文】 的表征。安全控制措施是降低風(fēng)險的措施、程序或機制。威脅是可能對資產(chǎn)或組織造成損害的事故的潛在原因。風(fēng)險評估是對信息和信息處理設(shè)施的威脅、脆弱性和風(fēng)險的評估，它包含以下元素：6 / 37風(fēng)險是被特定威脅利用的資產(chǎn)的一種或一組脆弱性，導(dǎo)致資產(chǎn)丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。 風(fēng)險評估風(fēng)險評估指風(fēng)險分析和風(fēng)險評價的整個過程，其中風(fēng)險分析是指系統(tǒng)化地識別風(fēng)險來源和風(fēng)險類型，風(fēng)險評價是指按組織制定的風(fēng)險標(biāo)準(zhǔn)估算風(fēng)險水平，確定風(fēng)險嚴(yán)重性。信息對于組織是一種具有重要價值的資產(chǎn)。2 術(shù)語與定義 風(fēng)險管理風(fēng)險管理是以可接受成本識別、評估、控制、降低可能影響信息系統(tǒng)風(fēng)險的過程，通過風(fēng)險評估識別風(fēng)險，通過制定信息安全方針，采取適當(dāng)?shù)目刂颇繕?biāo)與控制方式對風(fēng)險進行控制，使風(fēng)險被避免、轉(zhuǎn)移或降低到一個可以被接受的水平，同時考慮控制費用與風(fēng)險之間的平衡。風(fēng)險管理遵循管理的一般循環(huán)模式—計劃 (Plan)、執(zhí)行 (Do)、檢查 (Check)、行動 (Action)的持續(xù)改進模式。信息安全管理是風(fēng)險管理的過程，風(fēng)險評估是風(fēng)險管理的基礎(chǔ)。1 / 37 風(fēng)險評估管理程序 歷史修訂記錄序號 更改單號 更改說明 修訂人 生效日期 現(xiàn)行版次2 / 37目 錄1 概述 .........................................................................52 術(shù)語與定義 ...................................................................5 風(fēng)險管理 ....................................................................5 風(fēng)險評估 .................................................................5 其他 ........................................................................63 風(fēng)險評估框架及流程 ...........................................................7 風(fēng)險要素關(guān)系 ................................................................73 / 37 風(fēng)險分析原理 ................................................................9 實施流程 ....................................................................94 風(fēng)險評估準(zhǔn)備過程 ............................................................10 確定范圍 ...................................................................10 確定目標(biāo) ...................................................................11 確定組織結(jié)構(gòu) ...............................................................11 確定風(fēng)險評估方法 ...........................................................11 獲得最高管理者批準(zhǔn) .........................................................115 風(fēng)險評估實施過程 ............................................................11 資產(chǎn)賦值 ...................................................................13 資產(chǎn)分類 ................................................................14 資產(chǎn)價值屬性 ............................................................17 資產(chǎn)價值屬性賦值標(biāo)準(zhǔn) ....................................................19 威脅評估 ...................................................................23 威脅分類 ................................................................23 威脅賦值 ................................................................26 脆弱性評估 .................................................................27 確定現(xiàn)有控制 ...............................................................30 風(fēng)險評估 ...................................................................30 風(fēng)險值計算 ..............................................................30 風(fēng)險等級劃分 ............................................................31 風(fēng)險評估結(jié)果紀(jì)錄 ........................................................316 風(fēng)險管理過程 ................................................................32 安全控制的識別與選擇 .......................................................33 降低風(fēng)險 ...................................................................34 接受風(fēng)險 ...................................................................35 風(fēng)險管理要求 ...............................................................357 相關(guān)文件 ....................................................................364 / 375 / 371 概述目前信息安全管理的發(fā)展趨勢是將風(fēng)險管理與信息安全管理緊密結(jié)合在一起，將風(fēng)險概念作為信息安全管理實踐的對象和出發(fā)點，信息安全管理的控制點以風(fēng)險出現(xiàn)的可能性作為對象而展開的。ISO27001 標(biāo)準(zhǔn)對信息安全管理體系(ISMS)的要求即通過對信息資產(chǎn)的風(fēng)險管理,確定重要信息資產(chǎn)清單以及風(fēng)險等級,從而采取相應(yīng)的控制措施來實現(xiàn)信息資產(chǎn)的安全。風(fēng)險管理是指導(dǎo)和控制組織風(fēng)險的過程。ISO27001 標(biāo)準(zhǔn)要求企業(yè)設(shè)計、實施、維護信息安全管理體系都要依據(jù) PDCA 循環(huán)模式。風(fēng)險管理的核心是信息的保護。建立信息安全管理體系(ISMS)的目的是在最大范圍內(nèi)保護信息資產(chǎn)，確保信息的機密性、完整性和可用性，將風(fēng)險管理自始至終的貫穿于整個信息安全管理體系中，這種體系并不能完全消除信息安全的風(fēng)險，只是盡量減少風(fēng)險，盡量將攻擊造成的損失降低到最低限度。風(fēng)險評估的出發(fā)點是對與風(fēng)險有關(guān)的各因素的確認(rèn)和分析，與信息安全風(fēng)險有關(guān)的因素可以包括四大類：資產(chǎn)、威脅、脆弱性、安全控制措施。資產(chǎn)是對組織具有價值的信息資源，是安全控制措施保護的對象。脆弱性是資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點。 其他1. 資產(chǎn) Asset：對組織具有價值的信息或資源，是安全策略保護的對象。資產(chǎn)價值是資產(chǎn)的屬性，也是進行資產(chǎn)識別的主要內(nèi)容。4. 完整性 integrity：保證信息及信息系統(tǒng)不會被非授權(quán)更改或破壞的特性。5. 可用性 availability：數(shù)據(jù)或資源的特性，被授權(quán)實體按要求能訪問和使用數(shù)據(jù)或資源。7. 系統(tǒng)完整性 system integrity ：在防止非授權(quán)用戶修改或使用資源和防止授權(quán)用戶不正確地修改或使用資源的情況下，信息系統(tǒng)能履行其操作目的的品質(zhì)。9. 信息安全風(fēng)險評估 information security risk assessment：依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行評價的過程。10. 信息系統(tǒng) information system：由計算機及其相關(guān)的和配套的設(shè)備、7 / 37設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。11. 檢查評估 inspection assessment：由被評估組織的上級主管機關(guān)或業(yè)務(wù)主管機關(guān)發(fā)起的，依據(jù)國家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對信息系統(tǒng)及其管理進行的具有強制性的檢查活動。組織的特性在于為完成目標(biāo)而分工、合作；一個單位是一個組織，某個業(yè)務(wù)部門也可以是一個組織。14. 自評估 selfassessment：由組織自身發(fā)起，參照國家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對信息系統(tǒng)及其管理進行的風(fēng)險評估活動。16. 安全措施 security measure：保護資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實施的各種實踐、規(guī)程和機制的總稱。18. 威脅 threat：可能導(dǎo)致對系統(tǒng)或組織危害的不希望事故潛在原因。3 風(fēng)險評估框架及流程本章提出了風(fēng)險評估的要素關(guān)系、分析原理及實施流程。風(fēng)險評估要識別資產(chǎn)相關(guān)要素的關(guān)系，從而判斷資產(chǎn)面臨的風(fēng)險大小。風(fēng)險評估圍繞著這些基本要素展開，在對這些要素的評估過程中，需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風(fēng)險等與這些基本要素相關(guān)的各類屬性。有些殘余風(fēng)險的原因可能是安全措施不當(dāng)或無效,需要繼續(xù)控制；而有些殘余風(fēng)險則是在綜合考慮了安全成本與效益后未去控制的風(fēng)險，是可以接受的；11. 殘余風(fēng)險應(yīng)受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件。每個