【正文】 業(yè)務(wù) 的人 員 ，如主機(jī) 維護(hù) 主管、網(wǎng) 絡(luò)維護(hù) 主管及 應(yīng) 用 項(xiàng)目 經(jīng) 理及網(wǎng) 絡(luò) 研 發(fā) 人 員 等其它 企 業(yè) 形象，客 戶(hù) 關(guān)系等風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估要素 威脅是可能對(duì)資產(chǎn)或組織造成損害的潛在原因。它能夠以多種形式存在，有無(wú)形的、有形的，有硬件、軟件，有文檔、代碼，也有服務(wù)、形象等。1. 資產(chǎn)2. 威脅3. 脆弱點(diǎn)4. 安全措施5. 安全風(fēng)險(xiǎn)6. 影響7. 需求風(fēng)險(xiǎn)評(píng)估概述 根據(jù) ISO/IEC 133351,資產(chǎn)是指任何對(duì)組織有價(jià)值的東西，資產(chǎn)包括：物理資產(chǎn)、信息 /數(shù)據(jù) 、軟件、提供產(chǎn)品和服務(wù)的能力、人員、無(wú)形資產(chǎn)。 風(fēng)險(xiǎn)評(píng)估概述信息安全風(fēng)險(xiǎn)評(píng)估 信息安全風(fēng)險(xiǎn)評(píng)估的基本思路是在信息安全事件發(fā)生之前，通過(guò)有效的手段對(duì)組織面臨的信息安全風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析，并在此基礎(chǔ)上選取相應(yīng)的安全措施，將組織面臨的信息安全風(fēng)險(xiǎn)控制在可接受范圍內(nèi)，以此達(dá)到保護(hù)信息系統(tǒng)安全的目的。它要評(píng)估資產(chǎn)面臨的 威脅 以及威脅利用 脆弱點(diǎn) 導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響。并 為 防范和化解信息安全 風(fēng)險(xiǎn) ，或者將 風(fēng)險(xiǎn) 控制在可接受的水平，從而最大限度地保障網(wǎng) 絡(luò) 和信息安全提供科學(xué)依據(jù) （國(guó)信 辦 [2022]5號(hào)文件 ） 。 咨詢(xún)顧問(wèn)? 企業(yè)風(fēng)險(xiǎn)管理和發(fā)展策略方面的咨詢(xún)? 調(diào)查領(lǐng)導(dǎo)關(guān)心的熱點(diǎn)問(wèn)題和管理薄弱環(huán)節(jié)? 典型例子 ： 兼并收購(gòu)時(shí)調(diào)查被投資公司的內(nèi)部管理和流程操作，了解薄弱環(huán)節(jié)或其他影響并購(gòu)交易的重大事項(xiàng)，從而確定管理方法和并購(gòu)策略風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)管理過(guò)程風(fēng)險(xiǎn)管理是對(duì)項(xiàng)目風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析、和應(yīng)對(duì)的系統(tǒng)的過(guò)程。 財(cái)務(wù)監(jiān)督? 財(cái)務(wù)帳的可用性? 內(nèi)部管理和制度的執(zhí)行? 典型例子 ： 檢查分、子公司上報(bào)總部的財(cái)務(wù)報(bào)表的準(zhǔn)確性以及執(zhí)行財(cái)務(wù)管理政策的情況216。 第三道防線(xiàn)涉及一個(gè)獨(dú)立于業(yè)務(wù)單位的部門(mén)，監(jiān)控企業(yè)內(nèi)控和其他企業(yè)關(guān)心的問(wèn)題216。內(nèi)審?fù)ㄟ^(guò)系統(tǒng)的方法，評(píng)價(jià)和改進(jìn)企業(yè)的風(fēng)險(xiǎn)管理、控制和治理流程的效益，幫助企業(yè)實(shí)現(xiàn)其目標(biāo)。 第二道防線(xiàn)是在業(yè)務(wù)單位之上建立一個(gè)更高層次的風(fēng)險(xiǎn)管理功能，它的組成部份可能包括風(fēng)險(xiǎn)管理部門(mén)、信貸審批委員會(huì)、投資審批委員會(huì)216。 企業(yè)建立的第一道防線(xiàn)，就是要各業(yè)務(wù)單位就其戰(zhàn)略性風(fēng)險(xiǎn)、信貸風(fēng)險(xiǎn)、市場(chǎng)風(fēng)場(chǎng)和 操作風(fēng)險(xiǎn) 等等 ，系統(tǒng)化地進(jìn)行分析、確認(rèn)、度量、管理和監(jiān)控216。 訂立 企業(yè) 的 目標(biāo)和戰(zhàn)略，包括企業(yè)的 風(fēng)險(xiǎn) 政策和 極限216。風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估第七講第七講 信息安全管理之信息安全管理之 風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估概述信息安全風(fēng)險(xiǎn)評(píng)估策略信息安全風(fēng)險(xiǎn)評(píng)估流程信息安全風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估案例風(fēng)險(xiǎn)評(píng)估概述信息安全風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估概述A風(fēng)險(xiǎn)因風(fēng)險(xiǎn)因子子B風(fēng)險(xiǎn)因風(fēng)險(xiǎn)因子子隱患：隱患： 內(nèi)部失控內(nèi)部失控事故事故外部作用外部作用產(chǎn)生了產(chǎn)生了人們不人們不期望的期望的后果后果超出超出設(shè)定設(shè)定安全安全界限界限的狀的狀態(tài)、態(tài)、行為行為風(fēng)險(xiǎn)評(píng)估概述系統(tǒng)系統(tǒng)減少：人的減少：人的不安全行為不安全行為改變：環(huán)境改變：環(huán)境不安全條件不安全條件減少：物的減少：物的不安全狀態(tài)不安全狀態(tài)消除：管消除：管理缺陷理缺陷預(yù)防減少事故預(yù)防減少事故降低事故損失降低事故損失安全風(fēng)險(xiǎn)管理目標(biāo)安全風(fēng)險(xiǎn)管理目標(biāo)風(fēng)險(xiǎn)評(píng)估概述企業(yè)風(fēng)險(xiǎn)管理框架? 一個(gè)基礎(chǔ)? 三道防線(xiàn)管理層CEO第三道防線(xiàn) 第二道防線(xiàn)第一道防線(xiàn)業(yè)務(wù)部門(mén)董事會(huì)風(fēng)險(xiǎn)管理內(nèi)部審計(jì)審計(jì)委員會(huì) 風(fēng)險(xiǎn)管理委員會(huì)風(fēng)險(xiǎn)評(píng)估概述一個(gè)基礎(chǔ)：公司治理結(jié)構(gòu)216。 建立一個(gè)健全的、以董事會(huì)為首的公司治理結(jié)構(gòu)216。 貫徹一套重視風(fēng)險(xiǎn)管理的企業(yè)文化和價(jià)值觀風(fēng)險(xiǎn)評(píng)估概述第一道防線(xiàn)：業(yè)務(wù)單位防線(xiàn)(風(fēng)險(xiǎn)宇宙 TM )資信制度 知識(shí)產(chǎn)權(quán)財(cái)務(wù)流動(dòng)資產(chǎn)與信貸 資本結(jié)構(gòu)市場(chǎng) 財(cái)務(wù)報(bào)告營(yíng)運(yùn)法律生產(chǎn)程序營(yíng)商環(huán)境市場(chǎng)結(jié)構(gòu) 民風(fēng)與文化管治策略 董事會(huì)活動(dòng)交易并購(gòu)變賣(mài)聲譽(yù)道德社區(qū)責(zé)任 風(fēng)險(xiǎn)管理董事會(huì)及管理層業(yè)績(jī)組織結(jié)構(gòu)監(jiān)察與溝通執(zhí)行籌劃與開(kāi)發(fā)利益有關(guān)方供應(yīng)商政府顧客股東經(jīng)濟(jì)情況國(guó)家情況市場(chǎng)變化競(jìng)爭(zhēng)對(duì)手人才資源雇員溝通有形資產(chǎn)機(jī)器、廠房與土地其他有形資產(chǎn)負(fù)債合約法規(guī)市場(chǎng)與銷(xiāo)售生產(chǎn)及流通商品 /服務(wù)開(kāi)發(fā)流程估值與選擇買(mǎi)家評(píng)估與甄選盡職調(diào)查并購(gòu)后整合資信管理運(yùn)營(yíng)組織與監(jiān)察硬件軟件網(wǎng)絡(luò)無(wú)形資產(chǎn)知識(shí)管理信息現(xiàn)金管理對(duì)沖融資股東資本債務(wù)商品利率外匯稅務(wù)會(huì)計(jì)合規(guī)風(fēng)險(xiǎn)評(píng)估概述216。 企業(yè)需要把評(píng)估風(fēng)險(xiǎn)與內(nèi)控措施的結(jié)果進(jìn)行記錄和存檔，對(duì)內(nèi)控措施的有效性不斷進(jìn)行測(cè)試和更新第一道防線(xiàn)：總結(jié)管理層CEO第三道防線(xiàn) 第二道防線(xiàn)第一道防線(xiàn)業(yè)務(wù)部門(mén)董事會(huì)風(fēng)險(xiǎn)管理內(nèi)部審計(jì)審計(jì)委員會(huì) 風(fēng)險(xiǎn)管理委員會(huì)風(fēng)險(xiǎn)評(píng)估概述第二道防線(xiàn)：風(fēng)險(xiǎn)管理單位防線(xiàn)216。 風(fēng)險(xiǎn)管理部的責(zé)任是領(lǐng)導(dǎo)和協(xié)調(diào)公司內(nèi)各單位在管理風(fēng)險(xiǎn)方面的工作，它的職責(zé)包括：? 編制規(guī)章制度? 對(duì)各業(yè)務(wù)單位的風(fēng)險(xiǎn)進(jìn)行組合管理? 度量風(fēng)險(xiǎn)和評(píng)估風(fēng)險(xiǎn)的界限? 建立風(fēng)險(xiǎn)信息系統(tǒng)和預(yù)警系統(tǒng) 、厘定關(guān)鍵風(fēng)險(xiǎn)指標(biāo)? 負(fù)責(zé)風(fēng)險(xiǎn)信息披露、溝通、協(xié)調(diào)員工培訓(xùn)和學(xué)習(xí)的工作? 按風(fēng)險(xiǎn)與回報(bào)的分析，為各業(yè)務(wù)單位分配經(jīng)濟(jì)資本金風(fēng)險(xiǎn)評(píng)估概述“內(nèi)部審計(jì)是一項(xiàng)獨(dú)立、客觀的審查和咨詢(xún)活動(dòng)，其目的在于增加企業(yè)的價(jià)值和改進(jìn)經(jīng)營(yíng)。 ” 美國(guó)內(nèi)部審計(jì)師協(xié)會(huì)第三道防線(xiàn)：內(nèi)審單位防線(xiàn)216。 內(nèi)部審計(jì)的定義 ：風(fēng)險(xiǎn)評(píng)估概述內(nèi)部審計(jì)的 三大功能216。 經(jīng)營(yíng)診斷? 管理審計(jì)以及效率和效益審計(jì)? 檢查和診斷經(jīng)營(yíng)和管理過(guò)程中的偏差和失誤? 典型例子 ： 企業(yè)對(duì)某業(yè)務(wù)單位或某部門(mén)執(zhí)行效益審計(jì)(一個(gè)輸入與產(chǎn)出的關(guān)系 ) 風(fēng)險(xiǎn)評(píng)估概述216。規(guī)劃風(fēng)險(xiǎn)管理 識(shí)別風(fēng)險(xiǎn)實(shí)施定性風(fēng)險(xiǎn)分析實(shí)施定量風(fēng)險(xiǎn)分析 監(jiān)控風(fēng)險(xiǎn)規(guī)劃風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃過(guò)程 監(jiān)控過(guò)程風(fēng)險(xiǎn)評(píng)估概述規(guī)劃風(fēng)險(xiǎn)管理流程項(xiàng)目范圍說(shuō)明書(shū)成本管理計(jì)劃進(jìn)度管理計(jì)劃溝通管理計(jì)劃事業(yè)環(huán)境因素風(fēng)險(xiǎn)態(tài)度風(fēng)險(xiǎn)承受度既定的風(fēng)險(xiǎn)管理方法規(guī)劃會(huì)議、分析風(fēng)險(xiǎn)管理計(jì)劃依據(jù) 工具、技術(shù) 結(jié)果風(fēng)險(xiǎn)評(píng)估概述識(shí)別風(fēng)險(xiǎn)流程依據(jù)依據(jù) 工具、技術(shù) 結(jié)果結(jié)果項(xiàng)目范圍說(shuō)明書(shū)事業(yè)環(huán)境因素組織過(guò)程資產(chǎn)風(fēng)險(xiǎn)管理計(jì)劃集成管理計(jì)劃 框架分析法頭腦風(fēng)暴法要素分析法情景分析法流程分析法潛在風(fēng)險(xiǎn)風(fēng)險(xiǎn)征兆風(fēng)險(xiǎn)來(lái)源風(fēng)險(xiǎn)清單風(fēng)險(xiǎn)風(fēng)險(xiǎn)登記冊(cè)登記冊(cè)風(fēng)險(xiǎn)評(píng)估概述實(shí)施定性風(fēng)險(xiǎn)分析流程依據(jù)依據(jù) 工具、技術(shù)工具、技術(shù) 結(jié)果結(jié)果風(fēng)險(xiǎn)登記冊(cè)風(fēng)險(xiǎn)數(shù)據(jù)質(zhì)量評(píng)估概率影響矩陣風(fēng)險(xiǎn)概率和影響評(píng)估定性分析結(jié)果的趨勢(shì)低優(yōu)先觀察清單進(jìn)一步分析的風(fēng)險(xiǎn)需近期處理的風(fēng)險(xiǎn)風(fēng)險(xiǎn)成因及需關(guān)注領(lǐng)域按類(lèi)別分類(lèi)的風(fēng)險(xiǎn)優(yōu)先級(jí)清單風(fēng)險(xiǎn)登記冊(cè)（更新）組織過(guò)程資產(chǎn)風(fēng)險(xiǎn)管理計(jì)劃項(xiàng)目范圍說(shuō)明書(shū)風(fēng)險(xiǎn)分類(lèi)風(fēng)險(xiǎn)緊迫性評(píng)估專(zhuān)家判斷風(fēng)險(xiǎn)評(píng)估概述實(shí)施定量風(fēng)險(xiǎn)分析流程依據(jù)依據(jù) 工具、技術(shù)工具、技術(shù) 結(jié)果結(jié)果風(fēng)險(xiǎn)登記冊(cè)風(fēng)險(xiǎn)管理計(jì)劃成本管理計(jì)劃進(jìn)度管理計(jì)劃專(zhuān)家判斷定量風(fēng)險(xiǎn)分析和建模數(shù)據(jù)收集與表現(xiàn)技術(shù)*定量風(fēng)險(xiǎn)分析結(jié)果中反應(yīng)的趨勢(shì)*實(shí)現(xiàn)成本和時(shí)間目標(biāo)的概率*項(xiàng)目的概率分析*量化風(fēng)險(xiǎn)優(yōu)先級(jí)清單風(fēng)險(xiǎn)登記冊(cè)（更新）組織過(guò)程資產(chǎn)風(fēng)險(xiǎn)評(píng)估概述規(guī)劃風(fēng)險(xiǎn)應(yīng)對(duì)流程依據(jù)依據(jù) 工具或技術(shù)工具或技術(shù) 結(jié)果結(jié)果風(fēng)險(xiǎn)登記冊(cè)風(fēng)險(xiǎn)管理計(jì)劃消極風(fēng)險(xiǎn)或威脅的應(yīng)對(duì)策略積極風(fēng)險(xiǎn)或機(jī)會(huì)的應(yīng)對(duì)策略應(yīng)急應(yīng)對(duì)策略專(zhuān)家判斷風(fēng)險(xiǎn)登記冊(cè)（更新）與風(fēng)險(xiǎn)相關(guān)的合同決策項(xiàng)目管理計(jì)劃（更新）項(xiàng)目文件（更新）風(fēng)險(xiǎn)評(píng)估概述監(jiān)控風(fēng)險(xiǎn)流程依據(jù) 工具或技術(shù) 結(jié)果風(fēng)險(xiǎn)登記冊(cè)儲(chǔ)備分析技術(shù)績(jī)效測(cè)量偏差和趨勢(shì)分析風(fēng)險(xiǎn)審計(jì)風(fēng)險(xiǎn)再評(píng)估項(xiàng)目文件（更新）項(xiàng)目管理計(jì)劃（更新）變更請(qǐng)求組織過(guò)程資產(chǎn)風(fēng)險(xiǎn)登記冊(cè)（更新）項(xiàng)目管理計(jì)劃工作績(jī)效信息績(jī)效報(bào)告狀態(tài)審查會(huì)風(fēng)險(xiǎn)評(píng)估概述信息安全風(fēng)險(xiǎn)評(píng)估 信 息安全 風(fēng)險(xiǎn)評(píng) 估，是從 風(fēng)險(xiǎn) 管理角度，運(yùn)用科學(xué)的方法和手段，系 統(tǒng) 地分析網(wǎng) 絡(luò) 與信息系統(tǒng) 所面 臨 的威 脅 及其存在的脆弱性， 評(píng) 估安全事件一旦 發(fā) 生可能造成的危害程度，提出有 針對(duì) 性的抵御威 脅 的防 護(hù)對(duì) 策和整改措施。風(fēng)險(xiǎn)評(píng)估概述信息安全風(fēng)險(xiǎn)評(píng)估 信息安全風(fēng)險(xiǎn)評(píng)估是指 依據(jù) 有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn) ，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性等 安全屬性進(jìn)行評(píng)價(jià) 的過(guò)程。 狹義的風(fēng)險(xiǎn)評(píng)估包括：評(píng)估前準(zhǔn)備、 資產(chǎn) 識(shí)別與評(píng)估、 威脅 識(shí)別與評(píng)估、 脆弱點(diǎn) 識(shí)別與評(píng)估、當(dāng)前 安全措施 的識(shí)別與評(píng)估、 風(fēng)險(xiǎn)分析 以及根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果選取適當(dāng)?shù)陌踩胧┮越档惋L(fēng)險(xiǎn)的過(guò)程。風(fēng)險(xiǎn)評(píng)估概述信息安全風(fēng)險(xiǎn)評(píng)估相關(guān)要素 信息安全風(fēng)險(xiǎn)評(píng)估的對(duì)象是信息系統(tǒng)，信息系統(tǒng)的資產(chǎn)、信息系統(tǒng)可能面對(duì)的威脅、系統(tǒng)中存在的弱點(diǎn)（脆弱點(diǎn)）、系統(tǒng)中已有的安全措施等是影響信息安全風(fēng)險(xiǎn)的基本要素，它們和安全風(fēng)險(xiǎn)、安全風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的影響以及系統(tǒng)安全需求等構(gòu)成信息安全風(fēng)險(xiǎn)評(píng)估的要素。 我國(guó)的 《 信息安全風(fēng)險(xiǎn)評(píng)估指南 》 則認(rèn)為，資產(chǎn)是指對(duì)組織具有價(jià)值的信息資源，是安全策略保護(hù)的對(duì)象。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類(lèi)。威脅有潛力導(dǎo)致不期望發(fā)生的事件發(fā)生，該事件可能對(duì)系統(tǒng)或組織及其資產(chǎn)造成損害。也可能是偶發(fā)事件。風(fēng)險(xiǎn)評(píng)估概述威 脅 源 常 見(jiàn) 表 現(xiàn) 形式自然威 脅地震 、 颶風(fēng) 、火山 、洪水、海 嘯 、泥石流、暴 風(fēng) 雪 、雪崩 、雷電 、其他環(huán) 境威 脅火災(zāi) 、 戰(zhàn) 爭(zhēng)、重大疫情 、恐怖主 義 、供 電 故障、供水故障 、其他公共 設(shè) 施中斷 、危 險(xiǎn) 物 質(zhì) 泄漏、重大事故（如交通工具碰撞等）、 污 染、溫度或濕度、其他系 統(tǒng) 威 脅網(wǎng) 絡(luò) 故障、硬件故障 、 軟 件故障 、 惡 意代 碼 、存 儲(chǔ) 介 質(zhì) 的老化 、其他外部人 員網(wǎng) 絡(luò) 竊聽(tīng)、拒 絕 服 務(wù) 攻 擊 、用 戶(hù) 身份仿冒、系 統(tǒng) 入侵、盜竊、物理破壞、信息 篡 改、泄密、抵 賴(lài) 、其他。如操作系統(tǒng)存在漏洞、數(shù)據(jù)庫(kù)的訪問(wèn)沒(méi)有訪問(wèn)控制機(jī)制、系統(tǒng)機(jī)房任何人都可進(jìn)入等等。另一方面如果系統(tǒng)足夠強(qiáng)健，再?lài)?yán)重的威脅也不會(huì)導(dǎo)致安全事件，并造成損失。 資產(chǎn)的脆弱點(diǎn)具有 隱蔽性 ，有些弱點(diǎn)只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱點(diǎn)識(shí)別中最為困難的部分。 風(fēng)險(xiǎn)評(píng)估概述脆弱點(diǎn)主要表現(xiàn)在從技術(shù)和管理兩個(gè)方面 技術(shù)脆弱點(diǎn) 是指信息系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、運(yùn)行時(shí)在技術(shù)方面存在的缺陷或弱點(diǎn)。例如：安裝殺毒軟件或病毒庫(kù)未及時(shí)升級(jí)操作系統(tǒng)或其他應(yīng)用軟件存在拒絕服務(wù)攻擊漏洞數(shù)據(jù)完整性保護(hù)不夠完善數(shù)據(jù)庫(kù)訪問(wèn)控制機(jī)制不嚴(yán)格都屬于技術(shù)脆弱點(diǎn)系統(tǒng)機(jī)房鑰匙管理不嚴(yán)、人員職責(zé)不清、未及時(shí)注銷(xiāo)離職人員對(duì)信息系統(tǒng)的訪問(wèn)權(quán)限等風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估要素 根據(jù) ISO/IEC 133351，信息安全風(fēng)險(xiǎn)是指威脅利用一個(gè)或一組資產(chǎn)的