【正文】 理的實施。 2023范圍? 本標(biāo)準(zhǔn)提出了風(fēng)險評估的要素、實施流程、評估內(nèi)容、評估方法及其在信息系統(tǒng)生命周期不同階段的實施要點，適用于組織開展的風(fēng)險評估工作。術(shù)語和定義 ? 對標(biāo)準(zhǔn)中涉及的一些術(shù)語進(jìn)行定義。 2023風(fēng)險評估框架及流程 風(fēng)險評估中各要素的關(guān)系 17 All rights reserved 169。 2023（ 1）對資產(chǎn)進(jìn)行識別，并對資產(chǎn)的價值進(jìn)行賦值；（ 2）對威脅進(jìn)行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值；（ 3）對資產(chǎn)的脆弱性進(jìn)行識別，并對具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；（ 4）根據(jù)威脅及威脅利用弱點的難易程度判斷安全事件發(fā)生的可能性；（ 5）根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用資產(chǎn)的價值計算安全事件的損失；（ 6）根據(jù)安全事件發(fā)生的可能性以及安全事件的損失，計算安全事件一旦發(fā)生對組織的影響，即風(fēng)險值。 2023風(fēng)險評估實施 (1)風(fēng)險評估的準(zhǔn)備 ? （ 1）確定風(fēng)險評估的目標(biāo)；? （ 2）確定風(fēng)險評估的范圍；? （ 3）組建適當(dāng)?shù)脑u估管理與實施團(tuán)隊；? （ 4）進(jìn)行系統(tǒng)調(diào)研；? （ 5）確定評估依據(jù)和方法；? （ 6）獲得最高管理者對風(fēng)險評估工作的支持。 2023資產(chǎn)識別 ? 資產(chǎn)分類 ? 資產(chǎn)賦值 :機(jī)密性、完整性、可用性三方面的賦值? 資產(chǎn)重要性等級 威脅識別? 威脅分類 ? 威脅來源分類? 威脅賦值 脆弱性識別 ? 識別內(nèi)容 ：技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的安全問題。? 脆弱性賦值 ：等級賦值，技術(shù)脆弱性與管理脆弱性的結(jié)合。 2023已有安全措施確認(rèn) ? 安全措施的確認(rèn)應(yīng)評估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。 風(fēng)險分析 ? 計算安全事件發(fā)生的可能性? 計算安全事件發(fā)生后的損失 ? 計算風(fēng)險值? 風(fēng)險等級判定 風(fēng)險評估實施 (3) 22 All rights reserved 169。 2023信息系統(tǒng)生命周期各階段的風(fēng)險評估 規(guī)劃階段的風(fēng)險評估 設(shè)計階段的風(fēng)險評估 實施階段的風(fēng)險評 運(yùn)行維護(hù)階段的風(fēng)險評估 廢棄階段的風(fēng)險評估 ? 每個階段的實施內(nèi)容稍有不同，目的和方法一致。 2023風(fēng)險評估的工作形式 自評估 ? 適用于對自身的信息系統(tǒng)進(jìn)行安全風(fēng)險的識別、評價 ? 自評估可以委托風(fēng)險評估服務(wù)技術(shù)支持方實施，也可以自行實施檢查評估 ：? 一般由主管機(jī)關(guān)發(fā)起，通常都是定期的、抽樣進(jìn)行的評估模式? 旨在檢查關(guān)鍵領(lǐng)域、或關(guān)鍵點的信息安全風(fēng)險是否在可接受的范圍內(nèi)風(fēng)險評估應(yīng)以自評估為主，檢查評估對自評估過程記錄與評估結(jié)果的基礎(chǔ)上，驗證和確認(rèn)系統(tǒng)存在的技術(shù)、管理和運(yùn)行風(fēng)險，以及用戶實施自評估后采取風(fēng)險控制措施取得的效果。 2023附錄風(fēng)險的計算方法? 矩陣法 ：通過構(gòu)造兩兩要素計算矩陣，得到第三個要素的判斷值，是一種基于經(jīng)驗的判斷方法。相乘法的特點是簡單明確，直接按照統(tǒng)一公式計算 。 2023一、風(fēng)險評估中的概念及模型二、風(fēng)險評估標(biāo)準(zhǔn)三、風(fēng)險評估流程與方法四、風(fēng)險評估的輸出結(jié)果五、風(fēng)險管理六、總結(jié)目錄 27 All rights reserved 169。 定量分析方法：在某個基準(zhǔn)上，建立不同資產(chǎn)的等級化評價模型，定量描述某個資產(chǎn)的風(fēng)險值，可以做到不同資產(chǎn)之間風(fēng)險狀況的對比。 28 All rights reserved 169。 例如：? 針對操作系統(tǒng)，采用掃描工具，發(fā)現(xiàn)其漏洞，指明漏洞的嚴(yán)重程度； 29 All rights reserved 169。定量分析方法一般適用于：? a）確立威脅發(fā)生概率；? b）預(yù)測系統(tǒng)風(fēng)險發(fā)生概率；? c）確立系統(tǒng)總體風(fēng)險評價等。 30 All rights reserved 169。? 例如：– 網(wǎng)上政務(wù)安信息系統(tǒng)安全保障要求– HIS系統(tǒng)安全保障要求? 實際固化了前期的資產(chǎn)識別、威脅分析，僅做審核、結(jié)論性判斷。 20231）資產(chǎn)識別與賦值2）資產(chǎn)的安全屬性賦值及權(quán)重計算；3）威脅分析；4）薄弱點分析；5）已有控制措施分析；6）影響分析；7）可能性分析；8）風(fēng)險計算；9）風(fēng)險控制措施制定；評估步驟 32 All rights reserved 169。 2023資產(chǎn)識別的類型 34 All rights reserved 169。安全屬性的不同通常也意味著安全控制、保護(hù)功能需求的不同。對信息資產(chǎn)進(jìn)行賦值的目的是為了更好地反映資產(chǎn)的價值，以便于進(jìn)一步考察資產(chǎn)相關(guān)的弱點、威脅和風(fēng)險屬性，并進(jìn)行量化。 2023資產(chǎn)價值與信息安全特性的關(guān)系等級 機(jī)密性1 資產(chǎn)對防止信息非授權(quán)泄露、破壞方面的要求可以忽略。機(jī)密性價值較低，潛在影響可以忍受，較容易彌補(bǔ) 3 資產(chǎn)對防止信息非授權(quán)泄露、破壞方面的要求一般機(jī)密性價值中等，潛在影響重大，但可以彌補(bǔ) 4 資產(chǎn)對防止信息非授權(quán)泄露、破壞方面的要求較高機(jī)密性價值較高，潛在影響嚴(yán)重，企業(yè)將蒙受嚴(yán)重?fù)p失，難以彌補(bǔ) 5 資產(chǎn)對防止信息非授權(quán)泄露、破壞方面的要求很高機(jī)密性價值非常關(guān)鍵，具有致命性的潛在影響例：對應(yīng)用軟件，其機(jī)密性表現(xiàn)在 配置數(shù)據(jù)失密、賬號口令信息失密、關(guān)鍵算法失密等。 2023資產(chǎn)價值與信息安全特性的關(guān)系等級 完整性1 資產(chǎn)對防止信息非授權(quán)修改、破壞方面的要求可以忽略。完整性價值較低，潛在影響可以忍受，較容易彌補(bǔ) 3 資產(chǎn)對防止信息非授權(quán)修改、破壞方面的要求一般完整性價值中等，潛在影響重大，但可以彌補(bǔ) 4 資產(chǎn)對防止信息非授權(quán)修改、破壞方面的要求較高完整性價值較高，潛在影響嚴(yán)重，企業(yè)將蒙受嚴(yán)重?fù)p失，難以彌補(bǔ) 5 資產(chǎn)對防止信息非授權(quán)修改、破壞方面的要求很高完整性價值非常關(guān)鍵，具有致命性的潛在影響例：對應(yīng)用軟件，其完整性表現(xiàn)在 配置數(shù)據(jù)被修改、軟件被修改、數(shù)據(jù)被修改 37 All rights reserved 169?？捎眯詢r值或潛在影響可以忽略 2 資產(chǎn)對防止信息不可用方面的要求有限。 38 All rights reserved 169。 2023威脅的識別與評價 威脅列表 : 空氣中的懸浮顆粒 /灰塵 維護(hù)錯誤 空調(diào)故障 惡意