【正文】 ? 將對(duì)象定位在 “ 信息系統(tǒng) ” ；在資產(chǎn)識(shí)別和評(píng)估時(shí)，采取半定量化的方法，將威脅、風(fēng)險(xiǎn)發(fā)生可能性、造成的影響劃分為不同的等級(jí)。 ? OCTAVE 實(shí)施指南（ OCTAVESM Catalog of Practices, Version ），該實(shí)施指南闡述了具體的安全策略、威脅輪廓和實(shí)施調(diào)查表。 OCTAVE： Operationally Critical Threat, Asset, and Vulnerability Evaluation Framework ? 卡耐基梅隆大學(xué)軟件工程研究所（ CMU/SEI）開(kāi)發(fā)的一種綜合的、系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估方法 ? 3個(gè)階段 8個(gè)過(guò)程。 2023 一、風(fēng)險(xiǎn)評(píng)估中的概念及模型 二、風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn) 三、風(fēng)險(xiǎn)評(píng)估流程與方法 四、風(fēng)險(xiǎn)評(píng)估的輸出結(jié)果 五、風(fēng)險(xiǎn)管理 六、總結(jié) 目錄 10 All rights reserved 169。 2023 信息系統(tǒng)風(fēng)險(xiǎn)模型 所 有 者 攻 擊 者 對(duì) 策 漏 洞 風(fēng) 險(xiǎn) 威 脅 資 產(chǎn) 8 All rights reserved 169。 6 All rights reserved 169。 ? 薄弱點(diǎn) (Vulnerability): 是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點(diǎn)。 5 All rights reserved 169。 風(fēng)險(xiǎn)管理： 以可接受的費(fèi)用識(shí)別、控制、降低或消除可能影響信息系統(tǒng)安全的風(fēng)險(xiǎn)的過(guò)程。 2023 Key words I 信息安全： 信息的保密性、完整性、可用性的保持。 ? 響應(yīng)時(shí)間要求、故障下的持續(xù)運(yùn)行。 2023 信息安全的定義 機(jī)密性（ integrity）： ? 確保該信息僅對(duì)已授權(quán)訪問(wèn)的人們才可訪問(wèn) ? 只有擁有者許可，才可被其他人訪問(wèn) 完整性（ confidentiality）： ? 保護(hù)信息及處理方法的準(zhǔn)確性和完備性； ? 不因人為的因素改變?cè)械膬?nèi)容，保證不被非法改動(dòng)和銷毀 可用性（ availability）： ? 當(dāng)要求時(shí)，即可使用信息和相關(guān)資產(chǎn)。信息安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理 2 All rights reserved 169。 2023 一、風(fēng)險(xiǎn)評(píng)估中的概念及模型 二、風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn) 三、風(fēng)險(xiǎn)評(píng)估流程與方法 四、風(fēng)險(xiǎn)評(píng)估的輸出結(jié)果 五、風(fēng)險(xiǎn)管理 六、總結(jié) 目錄 3 All rights reserved 169。 ? 不因系統(tǒng)故障或誤操作使資源丟失。 其他：可控性、可審查性 4 All rights reserved 169。 風(fēng)險(xiǎn)評(píng)估： 對(duì)信息和信息處理設(shè)施的威脅，影響和薄弱點(diǎn)以及威脅發(fā)生的可能性的評(píng)估。 威脅： 是指某個(gè)人、物、事件或概念對(duì)某一資源的保密性、完整性、可用性或合法使用所造成的危險(xiǎn)。 2023 Key word II ? 威脅 (Threat): 是指可能對(duì)資產(chǎn)或組織造成損害的事故的潛在原因。 ? 風(fēng)險(xiǎn) (Risk): 特定的威脅利用資產(chǎn)的一種或一組薄弱點(diǎn)，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。 2023 風(fēng)險(xiǎn)評(píng)估的目的和意義 認(rèn)識(shí)現(xiàn)有的資產(chǎn)及其價(jià)值 對(duì)信息系統(tǒng)安全的各個(gè)方面的當(dāng)前潛在威脅、弱點(diǎn)和影響進(jìn)行全面的評(píng)估 通過(guò)安全評(píng)估，能夠清晰地了解當(dāng)前所面臨的安全風(fēng)險(xiǎn)，清晰地了解信息系統(tǒng)的安全現(xiàn)狀 明確地看到當(dāng)前安全現(xiàn)狀與安全目標(biāo)之間的差距 為下一步控制和降低安全風(fēng)險(xiǎn)、改善安全狀況提供客觀和翔實(shí)的依據(jù) 7 All rights reserved 169。 2023 風(fēng)險(xiǎn)計(jì)算依據(jù) 價(jià)值 資產(chǎn)擁有者 信息資產(chǎn) 威脅來(lái)源 風(fēng)險(xiǎn) 后果 可能性 難易程度 嚴(yán)重性 弱點(diǎn) 可能性 威脅 影響 9 All rights reserved 169。 2023 國(guó)外相關(guān)信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)簡(jiǎn)介（ 1） ISO 27001：信息安全管理體系規(guī)范、 ISO 17799 信息安全管理實(shí)踐指南 ? 基于風(fēng)險(xiǎn)管理的理念，提出了 11個(gè)控制大類、 34個(gè)控制目標(biāo)和 133個(gè)控制措施 ； ? 提出風(fēng)險(xiǎn)評(píng)估的要求，并未對(duì)適用于信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估方法和管理方法做具體的描述。 3個(gè)階段分別是建立企業(yè)范圍內(nèi)的安全需求、識(shí)別基礎(chǔ)設(shè)施脆弱性、決定安全風(fēng)險(xiǎn)管理策略。 11 All rights reserved 169。 ? 分為建立環(huán)境、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處置等步驟。 ? 主要步驟包括：資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、已有控制措施確認(rèn)、風(fēng)險(xiǎn)計(jì)算等過(guò)程。風(fēng)險(xiǎn)管理是評(píng)估風(fēng)險(xiǎn)、采取步驟將風(fēng)險(xiǎn)消減到可接受的水平并且維持這一風(fēng)險(xiǎn)級(jí)別的過(guò)程。 2023 我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)發(fā)展歷程 2023年，隨著 GB/T 18336的正式發(fā)布，從風(fēng)險(xiǎn)的角度來(lái)認(rèn)識(shí)、理解信息安全也逐步得到了業(yè)界的認(rèn)可。 2023年，提出了 《 信息安全風(fēng)險(xiǎn)評(píng)估指南 》 標(biāo)準(zhǔn)草案 ，其規(guī)定了風(fēng)險(xiǎn)評(píng)估的一些內(nèi)容和流程，基本與 SP80030中的內(nèi)容一致。 2023～ 2023年，通過(guò)了國(guó)家標(biāo)準(zhǔn)立項(xiàng)的一系列程序，目前已進(jìn)入正式發(fā)布階段。 13 All rights reserved 169。 2023 標(biāo)準(zhǔn)內(nèi)容：引言 提出了風(fēng)險(xiǎn)評(píng)估的作用、定位及目的。 定位 ? 建立信息安全保障機(jī)制中的一種科學(xué)方法。 ? 信息系統(tǒng)管理機(jī)構(gòu)：依據(jù)本標(biāo)準(zhǔn)對(duì)信息系統(tǒng)及其管理進(jìn)行安全檢查，推動(dòng)行業(yè)或地區(qū)信息安全風(fēng)險(xiǎn)管理的實(shí)施。 2023 范圍 ? 本標(biāo)準(zhǔn)提出了風(fēng)險(xiǎn)評(píng)估的要素、實(shí)施流程、評(píng)估內(nèi)容、評(píng)估方法及其在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)，適用于組織開(kāi)展的風(fēng)險(xiǎn)評(píng)估工作。 術(shù)語(yǔ)和定義 ? 對(duì)標(biāo)準(zhǔn)中涉及的一些術(shù)語(yǔ)進(jìn)行定義。 2023 風(fēng)險(xiǎn)評(píng)估框架及流程 風(fēng)險(xiǎn)評(píng)估中各要素的關(guān)系 脆 弱 性 資 產(chǎn) 價(jià) 值威 脅資 產(chǎn)風(fēng) 險(xiǎn) 安 全 需 求業(yè) 務(wù) 戰(zhàn) 略安 全 事 件 殘 余 風(fēng) 險(xiǎn) 安 全 措 施利 用暴 露 具 有成 本被 滿 足未 控 制可 能 誘 發(fā)演 變?cè)?加 導(dǎo) 出依 賴增 加降 低抵 御未 被 滿 足 17 All rights reserved 169。 2023 （ 1）對(duì)資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)的價(jià)值進(jìn)行賦值； （ 2）對(duì)威脅進(jìn)行識(shí)別，描述威脅的屬性，并對(duì)威脅出現(xiàn)的頻率賦值； （ 3）對(duì)資產(chǎn)的脆弱性進(jìn)行識(shí)別，并對(duì)具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值； （ 4）根據(jù)威脅及威脅利用弱點(diǎn)的難易程度判斷安全事件發(fā)生的可能性； （ 5）根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用資產(chǎn)的價(jià)值計(jì)算安全事件的損失； （ 6）根據(jù)安全