【正文】 產(chǎn)是指任何對組織有價(jià)值的東西，資產(chǎn)包括：物理資產(chǎn)、信息 /數(shù)據(jù) 、軟件、提供產(chǎn)品和服務(wù)的能力、人員、無形資產(chǎn)。 風(fēng)險(xiǎn)評估概述 信息安全風(fēng)險(xiǎn)評估 信息安全風(fēng)險(xiǎn)評估的基本思路是在信息安全事件發(fā)生之前，通過有效的手段對組織面臨的信息安全風(fēng)險(xiǎn)進(jìn)行識別、分析，并在此基礎(chǔ)上選取相應(yīng)的安全措施，將組織面臨的信息安全風(fēng)險(xiǎn)控制在可接受范圍內(nèi)，以此達(dá)到保護(hù)信息系統(tǒng)安全的目的。它要評估資產(chǎn)面臨的 威脅 以及威脅利用 脆弱點(diǎn) 導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對組織造成的影響。并為防范和化解信息安全風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù) （國信 辦 [2023]5號文件 ） 。 ” 美國內(nèi)部審計(jì)師協(xié)會 第三道防線：內(nèi)審單位防線 ? 第三道防線涉及一個(gè)獨(dú)立于業(yè)務(wù)單位的部門，監(jiān)控企業(yè)內(nèi)控和其他企業(yè)關(guān)心的問題 ? 內(nèi)部審計(jì)的定義 ： 風(fēng)險(xiǎn)評估概述 內(nèi)部審計(jì)的 三大功能 ? 財(cái)務(wù)監(jiān)督 ? 財(cái)務(wù)帳的可用性 ? 內(nèi)部管理和制度的執(zhí)行 ? 典型例子 ： 檢查分、子公司上報(bào)總部的財(cái)務(wù)報(bào)表的 準(zhǔn)確性以及執(zhí)行財(cái)務(wù)管理政策的情況 ? 經(jīng)營診斷 ? 管理審計(jì)以及效率和效益審計(jì) ? 檢查和診斷經(jīng)營和管理過程中的偏差和失誤 ? 典型例子 ： 企業(yè)對某業(yè)務(wù)單位或某部門執(zhí)行效益審計(jì) (一個(gè)輸入與產(chǎn)出的關(guān)系 ) 風(fēng)險(xiǎn)評估概述 ? 咨詢顧問 ? 企業(yè)風(fēng)險(xiǎn)管理和發(fā)展策略方面的咨詢 ? 調(diào)查領(lǐng)導(dǎo)關(guān)心的熱點(diǎn)問題和管理薄弱環(huán)節(jié) ? 典型例子 ： 兼并收購時(shí)調(diào)查被投資公司的內(nèi)部管理和 流程操作，了解薄弱環(huán)節(jié)或其他影響并購 交易的重大事項(xiàng)，從而確定管理方法和 并購策略 風(fēng)險(xiǎn)評估概述 風(fēng)險(xiǎn)管理過程 風(fēng)險(xiǎn)管理是對項(xiàng)目風(fēng)險(xiǎn)進(jìn)行識別、分析、和應(yīng)對的系統(tǒng)的過程。風(fēng)險(xiǎn)評估 第七講 信息安全管理之 風(fēng)險(xiǎn)評估 信息安全風(fēng)險(xiǎn)評估概述 信息安全風(fēng)險(xiǎn)評估策略 信息安全風(fēng)險(xiǎn)評估流程 信息安全風(fēng)險(xiǎn)評估方法 風(fēng)險(xiǎn)評估案例 風(fēng)險(xiǎn)評估概述 信息安全風(fēng)險(xiǎn)評估概述 風(fēng)險(xiǎn)評估概述 A風(fēng)險(xiǎn)因子 B風(fēng)險(xiǎn)因子 隱患： 內(nèi)部失控 事故 外部作用 產(chǎn)生了人們不期望的后果 超出設(shè)定安全界限的狀態(tài)、行為 風(fēng)險(xiǎn)評估概述 系統(tǒng) 減少：人的不安全行為 改變：環(huán)境不安全條件 減少：物的不安全狀態(tài) 消除：管理缺陷 預(yù)防減少事故 降低事故損失 安全風(fēng)險(xiǎn)管理目標(biāo) 風(fēng)險(xiǎn)評估概述 企業(yè)風(fēng)險(xiǎn)管理框架 ? 一個(gè)基礎(chǔ) ? 三道防線 管理層 CEO 第三道防線 第二道防線 第一道防線 業(yè)務(wù)部門 董事會 風(fēng)險(xiǎn)管理 內(nèi)部審計(jì) 審計(jì)委員會 風(fēng)險(xiǎn)管理 委員會 風(fēng)險(xiǎn)評估概述 一個(gè)基礎(chǔ)：公司治理結(jié)構(gòu) ? 建立一個(gè)健全的、以董事會為首的公司治理結(jié)構(gòu) ? 訂立 企業(yè) 的 目標(biāo)和戰(zhàn)略，包括企業(yè)的 風(fēng)險(xiǎn) 政策和 極限 ? 貫徹一套重視風(fēng)險(xiǎn)管理的企業(yè)文化和價(jià)值觀 風(fēng)險(xiǎn)評估概述 第一道防線：業(yè)務(wù)單位防線 (風(fēng)險(xiǎn)宇宙 TM ) 資信 制度 知識產(chǎn)權(quán) 財(cái)務(wù) 流動資產(chǎn)與 信貸 資本結(jié)構(gòu) 市場 財(cái)務(wù)報(bào)告 營運(yùn) 法律 生產(chǎn)程序 營商環(huán)境 市場結(jié)構(gòu) 民風(fēng)與文化 管治 策略 董事會活動 交易 并購 變賣 聲譽(yù) 道德 社區(qū)責(zé)任 風(fēng)險(xiǎn)管理 董事會及 管理層業(yè)績 組織結(jié)構(gòu) 監(jiān)察與溝通 執(zhí)行 籌劃與開發(fā) 利益有關(guān)方 供應(yīng)商 政府 顧客 股東 經(jīng)濟(jì)情況 國家情況 市場變化 競爭對手 人才資源 雇員 溝通 有形資產(chǎn) 機(jī)器、廠房 與土地 其他 有形資產(chǎn) 負(fù)債 合約 法規(guī) 市場與銷售 生產(chǎn)及流通 商品 /服務(wù)開發(fā) 流程 估值與 選擇買家 評估與甄選 盡職調(diào)查 并購后整合 資信管理 運(yùn)營 組織與監(jiān)察 硬件 軟件 網(wǎng)絡(luò) 無形資產(chǎn) 知識管理 信息 現(xiàn)金管理 對沖 融資 股東資本 債務(wù) 商品 利率 外匯 稅務(wù) 會計(jì) 合規(guī) 風(fēng)險(xiǎn)評估概述 ? 企業(yè)建立的第一道防線，就是要各業(yè)務(wù)單位就其戰(zhàn)略性風(fēng)險(xiǎn)、信貸風(fēng)險(xiǎn)、市場風(fēng)場和 操作風(fēng)險(xiǎn) 等等 ，系統(tǒng)化地進(jìn)行分析、確認(rèn)、度量、管理和監(jiān)控 ? 企業(yè)需要把評估風(fēng)險(xiǎn)與內(nèi)控措施的結(jié)果進(jìn)行記錄和存檔，對內(nèi)控措施的有效性不斷進(jìn)行測試和更新 第一道防線：總結(jié) 管理層 CEO 第三道防線 第二道防線 第一道防線 業(yè)務(wù)部門 董事會 風(fēng)險(xiǎn)管理 內(nèi)部審計(jì) 審計(jì)委員會 風(fēng)險(xiǎn)管理 委員會 風(fēng)險(xiǎn)評估概述 第二道防線：風(fēng)險(xiǎn)管理單位防線 ? 第二道防線是在業(yè)務(wù)單位之上建立一個(gè)更高層次的風(fēng)險(xiǎn)管理功能，它的組成部份可能包括風(fēng)險(xiǎn)管理部門、信貸審批委員會、投資審批委員會 ? 風(fēng)險(xiǎn)管理部的責(zé)任是領(lǐng)導(dǎo)和協(xié)調(diào)公司內(nèi)各單位在管理風(fēng)險(xiǎn)方面的工作，它的職責(zé)包括： ? 編制規(guī)章制度 ? 對各業(yè)務(wù)單位的風(fēng)險(xiǎn)進(jìn)行組合管理 ? 度量風(fēng)險(xiǎn)和評估風(fēng)險(xiǎn)的界限 ? 建立風(fēng)險(xiǎn)信息系統(tǒng)和預(yù)警系統(tǒng) 、厘定關(guān)鍵風(fēng)險(xiǎn)指標(biāo) ? 負(fù)責(zé)風(fēng)險(xiǎn)信息披露、溝通、協(xié)調(diào)員工培訓(xùn)和學(xué)習(xí)的工作 ? 按風(fēng)險(xiǎn)與回報(bào)的分析，為各業(yè)務(wù)單位分配經(jīng)濟(jì)資本金 風(fēng)險(xiǎn)評估概述 “ 內(nèi)部審計(jì)是一項(xiàng)獨(dú)立、客觀的審查和咨詢活動，其目的在于增加企業(yè)的價(jià)值和改進(jìn)經(jīng)營。內(nèi)審?fù)ㄟ^系統(tǒng)的方法，評價(jià)和改進(jìn)企業(yè)的風(fēng)險(xiǎn)管理、控制和治理流程的效益，幫助企業(yè)實(shí)現(xiàn)其目標(biāo)。 規(guī)劃風(fēng)險(xiǎn) 管理 識別風(fēng)險(xiǎn) 實(shí)施定性 風(fēng)險(xiǎn)分析 實(shí)施定量 風(fēng)險(xiǎn)分析 監(jiān)控風(fēng)險(xiǎn) 規(guī)劃風(fēng)險(xiǎn) 應(yīng)對 計(jì)劃過程 監(jiān)控過程 風(fēng)險(xiǎn)評估概述 規(guī)劃風(fēng)險(xiǎn)管理流程 項(xiàng)目范圍說明書 成本管理計(jì)劃 進(jìn)度管理計(jì)劃 溝通管理計(jì)劃 事業(yè)環(huán)境因素 風(fēng)險(xiǎn)態(tài)度 風(fēng)險(xiǎn)承受度 既定的風(fēng)險(xiǎn)管理方法 規(guī)劃會議、分析 風(fēng)險(xiǎn) 管理 計(jì)劃 依據(jù) 工具、技術(shù) 結(jié)果 風(fēng)險(xiǎn)評估概述 識別風(fēng)險(xiǎn)流程 依據(jù) 工具、技術(shù) 結(jié)果 項(xiàng)目范圍說明書 事業(yè)環(huán)境因素 組織過程資產(chǎn) 風(fēng)險(xiǎn)管理計(jì)劃 集成管理計(jì)劃 框架分析法 頭腦風(fēng)暴法 要素分析法 情景分析法 流程分析法 潛在風(fēng)險(xiǎn) 風(fēng)險(xiǎn)征兆 風(fēng)險(xiǎn)來源 風(fēng)險(xiǎn)清單 風(fēng)險(xiǎn) 登記冊 風(fēng)險(xiǎn)評估概述 實(shí)施定性風(fēng)險(xiǎn)分析流程 依據(jù) 工具、技術(shù) 結(jié)果 風(fēng)險(xiǎn)登記冊 風(fēng)險(xiǎn)數(shù)據(jù)質(zhì)量評估 概率影響矩陣 風(fēng)險(xiǎn)概率和影響評估 定性分析結(jié)果的趨勢 低優(yōu)先觀察清單 進(jìn)一步分析的風(fēng)險(xiǎn) 需近期處理的風(fēng)險(xiǎn) 風(fēng)險(xiǎn)成因及需關(guān)注領(lǐng)域 按類別分類的風(fēng)險(xiǎn) 優(yōu)先級清單 風(fēng)險(xiǎn)登記冊（更新） 組織過程資產(chǎn) 風(fēng)險(xiǎn)管理計(jì)劃 項(xiàng)目范圍說明書 風(fēng)險(xiǎn)分類 風(fēng)險(xiǎn)緊迫性評估 專家判斷 風(fēng)險(xiǎn)評估概述 實(shí)施定量風(fēng)險(xiǎn)分析流程 依據(jù) 工具、技術(shù) 結(jié)果 風(fēng)險(xiǎn)登記冊 風(fēng)險(xiǎn)管理計(jì)劃 成本管理計(jì)劃 進(jìn)度管理計(jì)劃 專家判斷 定量風(fēng)險(xiǎn)分析和建模 數(shù)據(jù)收集與表現(xiàn)技術(shù) *定量風(fēng)險(xiǎn)分析結(jié)果中 反應(yīng)的趨勢 *實(shí)現(xiàn)成本和時(shí)間 目標(biāo)的概率 *項(xiàng)目的概率分析 *量化風(fēng)險(xiǎn)優(yōu)先級清單 風(fēng)險(xiǎn)登記冊（更新） 組織過程資產(chǎn) 風(fēng)險(xiǎn)評估概述 規(guī)劃風(fēng)險(xiǎn)應(yīng)對流程 依據(jù) 工具或技術(shù) 結(jié)果 風(fēng)險(xiǎn)登記冊 風(fēng)險(xiǎn)管理計(jì)劃 消極風(fēng)險(xiǎn)或威脅 的應(yīng)對策略 積極風(fēng)險(xiǎn)或機(jī)會 的應(yīng)對策略 應(yīng)急應(yīng)對策略 專家判斷 風(fēng)險(xiǎn)登記冊 （更新） 與風(fēng)險(xiǎn)相關(guān)的 合同決策 項(xiàng)目管理計(jì)劃 （更新） 項(xiàng)目文件（更新） 風(fēng)險(xiǎn)評估概述 監(jiān)控風(fēng)險(xiǎn)流程 依據(jù) 工具或技術(shù) 結(jié)果 風(fēng)險(xiǎn)登記冊 儲備分析 技術(shù)績效測量 偏差和趨勢分析 風(fēng)險(xiǎn)審計(jì) 風(fēng)險(xiǎn)再評估 項(xiàng)目文件（更新） 項(xiàng)目管理計(jì)劃（更新） 變更請求 組織過程資產(chǎn) 風(fēng)險(xiǎn)登記冊（更新） 項(xiàng)目管理計(jì)劃 工作績效信息 績效報(bào)告 狀態(tài)審查會 風(fēng)險(xiǎn)評估概述 信息安全風(fēng)險(xiǎn)評估 信 息安全風(fēng)險(xiǎn)評估，是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護(hù)對策和整改措施。 風(fēng)險(xiǎn)評估概述 信息安全風(fēng)險(xiǎn)評估 信息安全風(fēng)險(xiǎn)評估是指 依據(jù) 有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn) ，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機(jī)密性、完整性和可用性等 安全屬性進(jìn)行評價(jià) 的過程。 狹義的風(fēng)險(xiǎn)評估包括：評估前準(zhǔn)備、 資產(chǎn) 識別與評估、 威脅 識別與評估、 脆弱點(diǎn) 識別與評估、當(dāng)前 安全措施 的識別與評估、 風(fēng)險(xiǎn)分析 以及根據(jù)風(fēng)險(xiǎn)評估的結(jié)果選取適當(dāng)?shù)陌踩胧┮越档惋L(fēng)險(xiǎn)的過程。 風(fēng)險(xiǎn)評估概述 信息安全風(fēng)險(xiǎn)評估相關(guān)要素 信息安全風(fēng)險(xiǎn)評估的對象是信息系統(tǒng)，信息系統(tǒng)的資產(chǎn)、信息系統(tǒng)可能面對的威脅、系統(tǒng)中存在的弱點(diǎn)（脆弱點(diǎn)）、系統(tǒng)中已有的安全措施等是影響信息安全風(fēng)險(xiǎn)的基本要素，它們和安全風(fēng)險(xiǎn)、安全風(fēng)險(xiǎn)對業(yè)務(wù)的影響以及系統(tǒng)安全需求等構(gòu)成信息安全風(fēng)險(xiǎn)評估的要素。 我國的 《 信息安全風(fēng)險(xiǎn)評估指南 》 則認(rèn)為，資產(chǎn)是指對組織具有價(jià)值的信息資源，是安全策略保護(hù)的對象。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類。威脅有潛力導(dǎo)致不期望發(fā)生的事件發(fā)生，該事件可能對系統(tǒng)或組織及其資產(chǎn)造成損害。也可能是偶發(fā)事件。 風(fēng)險(xiǎn)評估概述 威脅源 常見表現(xiàn)形式 自然威脅 地震 、颶風(fēng) 、火山 、洪水、海嘯 、泥石流、暴風(fēng)雪 、雪崩 、雷電、其他 環(huán)境威脅 火災(zāi) 、戰(zhàn)爭、重大疫情 、恐怖主義、供電故障、供水故障 、其他公共設(shè)施中斷 、危險(xiǎn)物質(zhì)泄漏、重大事故（如交通工具碰撞等）、污染、溫度或濕度、其他 系統(tǒng)威脅 網(wǎng)絡(luò)故障、硬件故障 、軟件故障 、惡意代碼、存儲介質(zhì)的老化 、其他 外部人員 網(wǎng)絡(luò)竊聽、拒絕服務(wù)攻擊、用戶身份仿冒、系統(tǒng)入侵、盜竊、物理破壞、信息 篡改、泄密、抵賴、其他。如操作系統(tǒng)存在漏洞、數(shù)據(jù)庫的訪問沒有訪問控制機(jī)制、系統(tǒng)機(jī)房任何人都可進(jìn)入等等。另一方面如果系統(tǒng)足夠強(qiáng)健，再嚴(yán)重的威脅也不會導(dǎo)致安全事件，并造成損失。 資產(chǎn)的脆弱點(diǎn)具有 隱蔽性 ，有些弱點(diǎn)只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱點(diǎn)識別中最為困難的部分。 風(fēng)險(xiǎn)評估概述 脆弱點(diǎn)主要表現(xiàn)在從技術(shù)和管理兩個(gè)方面 技術(shù)脆弱點(diǎn) 是指信息系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、運(yùn)行時(shí)在技術(shù)方面存在的缺陷或弱點(diǎn)。例如： 安裝殺毒軟件或病毒庫未及時(shí)升級 操作系統(tǒng)或其他應(yīng)用軟件存在拒絕服務(wù)攻擊漏洞 數(shù)據(jù)完整性保護(hù)不夠完善 數(shù)據(jù)庫訪問控制機(jī)制不嚴(yán)格都屬于技術(shù)脆弱點(diǎn) 系統(tǒng)機(jī)房鑰匙管理不嚴(yán)、人員職責(zé)不清、未及時(shí)注銷離職人員對信息系統(tǒng)的訪問權(quán)限等 風(fēng)險(xiǎn)評估概述 風(fēng)險(xiǎn)評估要素 根據(jù) ISO/IEC 133351，信息安全風(fēng)險(xiǎn)是指威脅利用一個(gè)或一組資產(chǎn)的脆弱點(diǎn)導(dǎo)致組織受損的潛在性，并以威脅利用脆弱點(diǎn)造成的一系列不期望發(fā)生的事件（或稱為安全事件）來體現(xiàn)。沒有資產(chǎn)，威脅就沒有攻擊或損害的對象；沒有威脅，盡管資產(chǎn)很有價(jià)值，脆弱點(diǎn)很嚴(yán)重，安全事件也不會發(fā)生；系統(tǒng)沒有脆弱點(diǎn)，威脅就沒有可利用的環(huán)節(jié)，安全事件也不會發(fā)生。 風(fēng)險(xiǎn)評估概述 風(fēng)險(xiǎn)評估要素 5. 影響 影響是威脅利用資產(chǎn)的脆弱點(diǎn)導(dǎo)致不期望發(fā)生事件的后果。 在信息安全領(lǐng)域，直接的損失往往容易估計(jì)且損失較小，間接的損失難易估計(jì)且常常比直接損失更為嚴(yán)重。 風(fēng)險(xiǎn)評估概述 風(fēng)險(xiǎn)評估要素 安全措施是指為保護(hù)資產(chǎn)、抵御威脅、減少脆弱點(diǎn)、限制不期望發(fā)生事件的影響、加速不期望發(fā)生事件的檢測及響應(yīng)而采取的各種實(shí)踐、規(guī)程和機(jī)制的總稱。例如，應(yīng)用于計(jì)算機(jī)的訪問控制機(jī)制應(yīng)被審計(jì)控制、人員管理、培訓(xùn)和物理安全所支持。 同功能的安全措施需要不同的成本，同時(shí)能