【正文】 所面臨的風險，并在風險的減少、轉移和規(guī)避等風險控制方法之間做出決策的過程。 概述 風險評估（ Risk Assessment） 故事分析 在火車開動到停止這段時間內，綜合資產、脆弱性、威脅和安全措施等各方面因素進行風險評估的結果是： 因為 10萬元錢不是一筆小數目（資產），葛優(yōu)等小偷能力很強且決心堅決（威脅），且傻根對錢的保管手段（技術）和意識（管理）都不足（脆弱性），差一點發(fā)生 “娶不上媳婦”這樣的結果（風險）。 l 信息安全風險只考慮那些對組織有負面影響的事件。 q 好險啊 ， 如果這錢被偷走了 ， 傻根就娶不上媳婦了 。 q 一路上 ， 葛優(yōu)等小偷團伙頻頻出手 ， 嘗試著偷這 10萬元錢 。 傻根沒有坐軟臥包廂 ， 而是坐在擠滿了上百人的硬座車廂 。信息安全管理 （第二版） 授課內容：信息安全風險評估 信息安全管理 ?Information security management 第 3章 信息安全風險評估 概述 信息安全風險評估策略 信息安全風險評估流程 信息安全風險評估方法 風險評估案例 本章小結 習題 從一個故事開始認識 “風險” 概述 故事梗概 q 傻根在外地打工掙了錢 ， 隨身攜帶著 10萬元錢坐上了一輛混雜著很多小偷的長途火車回家 。 q 傻根把錢就放在了普通的布質書包里 。 有時候累了， 就坐著打個瞌睡 。 但是在好心人劉德華和劉若英等的保護下 ， 葛優(yōu)等小偷團伙未能得逞 。 概述 q 資產（ asset） 對組織具有價值的任何東西 [ISO/IEC TR 133351： 2023] 概念 q 威脅（ threat） 可能導致對系統(tǒng)或組織損害的不希望事故潛在起因 [ISO/IEC TR 133351： 2023] q 脆弱性（ vulnerability）（也稱脆弱點、漏洞） 可能會被威脅所利用的資產或若干資產的弱點 [ISO/IEC TR 133351： 2023] 概述 q 風險管理（ risk management ） 在風險方面指揮或控制一個組織的協(xié)調活動，一般包括風險評估、風險處理、風險接受和風險傳遞 [ISO Guide 73： 2023] q 風險（ risk ） 事件的概率及其結果的組合 [ISO Guide 73： 2023] q 風險評價（ risk evaluation） 對照風險準則比較被估計的風險，以確定風險嚴重性的過程 [ISO Guide 73： 2023] 概念 概述 信息安全風險 l 信息安全風險是指信息資產的保密性、完整性和可用性遭到破壞的可能性。 l風險值 =資產價值 威脅可能性 脆弱性嚴重性（ 簡單理解 ） 概述 對信息和信息處理設施的 威脅、影響 (Impact，指安全事件所帶來的直接和間接損失 )和 脆弱性 及三者發(fā)生的 可能性 的評估。 因好心人劉德華和劉若英等的保護到位（安全措施），最終錢保住了（風險消減）。 ? 風險評估將導出信息系統(tǒng)的安全需求，因此，所有信息安全建設都應該以風險評估為起點。 ? 只有在正確、全面地了解和理解安全風險后，才能決定如何處理安全風險，從而在信息安全的投資、信息安全措施的選擇、信息安全保障體系的建設等問題中做出合理的決策。 概述 概述 信息安全風險評估相關要素 信息安全風險評估的對象是信息系統(tǒng)，信息系統(tǒng)的資產、信息系統(tǒng)可能面對的威脅、系統(tǒng)中存在的弱點（脆弱性）、系統(tǒng)中已有的安全措施等是影響信息安全風險的基本要素，它們和安全風險、安全風險對業(yè)務的影響以及系統(tǒng)安全需求等構成信息安全風險評估的要素。 《 信息安全風險評估規(guī)范 》 —— 資產是指對組織具有價值的信息資源，是安全策略保護的對象。根據資產的表現形式，可將資產分為數據、軟件、硬件、文檔、服務、人員等類。威脅有潛力導致不期望發(fā)生的事件發(fā)生，該事件可能對系統(tǒng)或組織及其資產造成損害。也可能是偶發(fā)事件。 根據 ISO/IEC 133351，信息安全風險是指威脅利用利用一個或一組資產的脆弱性導致組織受損的潛在，并以威脅利用脆弱性造成的一系列不期望發(fā)生的事件（或稱為安全事件）體現 概述 5. 影響 影響是威脅利用資產的脆弱性導致不期望發(fā)生事件的后果。 安全措施是指為保護資產、抵御威脅、減少脆弱性、限制不期望發(fā)生事件的影響、加速不期望發(fā)生事件的檢測及響應而采取的各種實踐、規(guī)程和機制的總稱。 概述 信息安全風險評估 信息安全風險評估是指依據有關信息安全技術與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行評價的過程。ISO/IEC 133351對它們之間的關系描述如圖 21所示 概述 《 信息安全風險評估規(guī)范 》GB/T20984 對ISO/IEC 133351提出風險要素關系模型進行了擴展 我國提出的信息風險要素關系圖 脆 弱 性 資 產 價 值威 脅資 產風 險 安 全 需 求業(yè) 務 戰(zhàn) 略安 全 事 件 殘 余 風 險 安 全 措 施利 用暴 露 具 有成 本被 滿 足未 控 制可 能 誘 發(fā)演 變增 加 導 出依 賴增 加降 低抵 御未 被 滿 足 信息安全風險評估策略 基線風險評估 要求組織根據自己的實際情況（所在行業(yè)、業(yè)務環(huán)境與性質等），對信息系統(tǒng)進行基線安全檢查（ 將現有的安全措施與安全基線規(guī)定的措施進行比較，找出其中的差距 ），得出基本的安全需求，通過選擇并實施標準的安全措施來消減和控制風險。 ?根據風險評估的結果來識別和選擇安全措施，將風險降低到可接受的水平 詳細評估的優(yōu)點是： (1) 有可能為所有系統(tǒng)識別出適當的安全措施 (2) 詳細分析的結果可用于安全變更管理。 組建適當的風險評估管理與實施團隊，以支持整個過程的推進 4．選擇方法 應考慮評估的目的、范圍、時間、效果、人員素質等因素來選擇具體 的風險判斷方法，使之能夠與組織環(huán)境和安全要求相適應。資產識別的任務就是對確定的評估對象所涉及或包含的資產進行詳細的標識 ?資產識別過程中要特別注意無形資產的遺漏，同時還應注意不同資產間的相互依賴關系，關系緊密的資產可作為一個整體來考慮，同一中類型的資產也應放在一起考慮。由于多數資產不能以貨幣形式的價值來衡量，資產評價很難以定量的方式來進行， 多數情況下只能以定性的形式，依據重要程度的不同劃分等級 ?定性： 非常重要 → 重要 → 比較重要 → 不太重要 → 不重要（ 5級劃分 ） ?定量： 5 4 3 2 1 ?信息資產的 機密性、完整性、可用性、可審計性和不可抵賴性 等是評價資產的安全屬性 ?可以 先分別對資產在以上各方面的重要程度進行評估 ，然后通過一定的方法 進行綜合 ,可得資產的 綜合價值 2. 資產評估 資產價值應依據資產 在保密性、完整性和可用性上的賦值等級 ，經過綜合評定得出 254。 紙介資產 254。 物理資產 254。 服務性資產 254。Wc+VAiWa+VAacWn 信息安全風險評估流程 2. 資產評估 《 信息安全風險評估規(guī)范 》 GB/T20984推薦方法： q首先，對資產的機密性、完整性、可用性定性賦值 q其次，用一定方法進行綜合，基本屬于最大原則 機密性賦值表 23（ P28） 完整性賦值表 24 （ P29） 資產可用性賦值表 25（ P29） 對關鍵資產進行風險評估是重點 信息安全風險評估流程 2. 資產評估 信息安全風險評估流程 賦值 標識 定義 5 很高 包含組織最重要的秘密，關系未來發(fā)展的前途命運，對組織根本利益有著決定性的影響，如果泄露會造成災難性的損害 4 高 包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴重損害 3 中等 組織的一般性秘密，其泄露會使組織的安全和利益受到損害 2 低 僅能在組織內部或在組織某一部門內部公開的信息，向外擴散有可能對組織的利益造成輕微損害