信息安全風(fēng)險(xiǎn)評估指南

國信辦綜[2006]9號國務(wù)院信息化工作辦公室印發(fā)《信息安全風(fēng)

險(xiǎn)評估指南》（征求意見稿）的通知各省、自治區(qū)、直轄市和中央、國務(wù)院各部門信息化領(lǐng)導(dǎo)小組辦公室：為確保信息安全風(fēng)險(xiǎn)評估工作的順利開展，現(xiàn)將《信息安全風(fēng)險(xiǎn)評估指南》（征求意見稿）印發(fā)你們，供參考。二00六年二月二十八日信息安全風(fēng)險(xiǎn)評估指南Riskassessmentguideforinformationsecurity（征求意見稿）國務(wù)院信息化工作辦公室

2006年3月TOC\o"1-5"\h\z\o"CurrentDocument"信息安全風(fēng)險(xiǎn)評估指南 4\o"CurrentDocument"1范圍 4\o"CurrentDocument"2規(guī)范性引用文件 43術(shù)語和定義 4\o"CurrentDocument"4風(fēng)險(xiǎn)評估框架及流程 7\o"CurrentDocument"4.1風(fēng)險(xiǎn)要素關(guān)系 7\o"CurrentDocument"4.2風(fēng)險(xiǎn)分析原理 9\o"CurrentDocument"4.3實(shí)施流程 95風(fēng)險(xiǎn)評估實(shí)施 105.1風(fēng)險(xiǎn)評估的準(zhǔn)備 105.2資產(chǎn)識別 125.3威脅識別 165.4脆弱性識別 185.5已有安全措施確認(rèn) 215.6風(fēng)險(xiǎn)分析 21\o"CurrentDocument"5.7風(fēng)險(xiǎn)評估文件記錄 246信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評估 256.1信息系統(tǒng)生命周期概述 256.2規(guī)劃階段的風(fēng)險(xiǎn)評估 25\o"CurrentDocument"6.3設(shè)計(jì)階段的風(fēng)險(xiǎn)評估 26\o"CurrentDocument"6.4實(shí)施階段的風(fēng)險(xiǎn)評估 27\o"CurrentDocument"6.5運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)評估 28\o"CurrentDocument"6.6廢棄階段的風(fēng)險(xiǎn)評估 28\o"CurrentDocument"7風(fēng)險(xiǎn)評估的工作形式 29\o"CurrentDocument"7.1自評估 29\o"CurrentDocument"7.2檢查評估 30附錄A 32A.1使用矩陣法計(jì)算風(fēng)險(xiǎn) 322使用相乘法計(jì)算風(fēng)險(xiǎn) 37附錄B 41\o"CurrentDocument"1風(fēng)險(xiǎn)評估與管理工具 41\o"CurrentDocument"B.2系統(tǒng)基礎(chǔ)平臺風(fēng)險(xiǎn)評估工具 42\o"CurrentDocument"B.3風(fēng)險(xiǎn)評估輔助工具 43信息安全風(fēng)險(xiǎn)評估指南1范圍本指南提出了風(fēng)險(xiǎn)評估的要素、實(shí)施流程、評估內(nèi)容、評估方法及其在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)，適用于組織開展的風(fēng)險(xiǎn)評估工作。2規(guī)范性引用文件下列文件中的條款通過本指南的引用而成為本指南的條款。凡是注明日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本指南。然而，鼓勵根據(jù)本指南達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本指南。GB/T19716-2005信息技術(shù)信息安全管理實(shí)用規(guī)則GB/T19715.1-2005信息技術(shù)信息技術(shù)安全管理指南第1部分：信息技術(shù)安全概念和模型GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB/T9361-2000計(jì)算機(jī)場地安全要求GB/T5271.8-2001信息技術(shù)詞匯第8部分：安全3術(shù)語和定義3.1資產(chǎn)asset對組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對象。3.2資產(chǎn)價(jià)值assetValue資產(chǎn)的重要程度或敏感程度的表征。資產(chǎn)價(jià)值是資產(chǎn)的屬性，也是進(jìn)行資產(chǎn)識別的主要內(nèi)容。3.3可用性availability數(shù)據(jù)或資源的特性，被授權(quán)實(shí)體按要求能訪問和使用數(shù)據(jù)或資源。3.4業(yè)務(wù)戰(zhàn)略businessstrategy組織為實(shí)現(xiàn)其發(fā)展目標(biāo)而制定的一組規(guī)則或要求。3.5機(jī)密性confidentiality數(shù)據(jù)所具有的特性，即表示數(shù)據(jù)所達(dá)到的未提供或未泄露給未授權(quán)的個人、過程或其他實(shí)體的程度。3.6信息安全風(fēng)險(xiǎn)informationsecurityrisk人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。3.7信息安全風(fēng)險(xiǎn)評估 informationsecurityriskassessment依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評價(jià)的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對組織造成的影響。3.8信息系統(tǒng)informationsystem由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)瓶含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。典型的信息系統(tǒng)由三部分組成：硬件系統(tǒng)（計(jì)算機(jī)硬件系統(tǒng)和網(wǎng)絡(luò)硬件系統(tǒng)）；系統(tǒng)軟件（計(jì)算機(jī)系統(tǒng)軟件和網(wǎng)絡(luò)系統(tǒng)軟件）；應(yīng)用軟件（包括由其處理、存儲的信息）。3.9檢查評估inspectionassessment由被評估組織的上級主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的，依據(jù)國家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對信息系統(tǒng)及其管理進(jìn)行的具有強(qiáng)制性的檢查活動。3.10完整性integrity保證信息及信息系統(tǒng)不會被非授權(quán)更改或破壞的特性。包括數(shù)據(jù)完整性和系統(tǒng)完整性。3.10.1數(shù)據(jù)完整性dataintegrity數(shù)據(jù)所具有的特性，即無論數(shù)據(jù)形式作何變化，數(shù)據(jù)的準(zhǔn)確性和一致性均保持不變。3.10.2系統(tǒng)完整性systemintegrity在防止非授權(quán)用戶修改或使用資源和防止授權(quán)用戶不正確地修改或使用資源的情況下，信息系統(tǒng)能履行其操作目的的品質(zhì)。3.11組織organization由作用不同的個體為實(shí)施共同的業(yè)務(wù)目標(biāo)而建立的結(jié)構(gòu)。組織的特性在于為完成目標(biāo)而分工、合作；一個單位是一個組織，某個業(yè)務(wù)部門也可以是一個組織。3.12殘余風(fēng)險(xiǎn)residualrisk采取了安全措施后，仍然可能存在的風(fēng)險(xiǎn)。3.13自評估self-assessment由組織自身發(fā)起，參照國家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對信息系統(tǒng)及其管理進(jìn)行的風(fēng)險(xiǎn)評估活動。3.14安全事件securityevent指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別狀態(tài)的發(fā)生，它可能是對信息安全策略的違反或防護(hù)措施的失效，或未預(yù)知的不安全狀況。3.15安全措施securitymeasure保護(hù)資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制的總稱。3.16安全需求securityrequirement為保證組織業(yè)務(wù)戰(zhàn)略的正常運(yùn)作而在安全措施方面提出的要求。3.17威脅threat可能導(dǎo)致對系統(tǒng)或組織危害的不希望事故潛在起因。3.18脆弱性vulnerability可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的弱點(diǎn)。4風(fēng)險(xiǎn)評估框架及流程本章提出了風(fēng)險(xiǎn)評估的要素關(guān)系、分析原理及實(shí)施流程。4.1風(fēng)險(xiǎn)要素關(guān)系資產(chǎn)所有者應(yīng)對信息資產(chǎn)進(jìn)行保護(hù)，通過分析信息資產(chǎn)的脆弱性來確定威脅可能利用哪些弱點(diǎn)來破壞其安全性。風(fēng)險(xiǎn)評估要識別資產(chǎn)相關(guān)要素的關(guān)系，從而判斷資產(chǎn)面臨的風(fēng)險(xiǎn)大小。風(fēng)險(xiǎn)評估中各要素的關(guān)系如圖1所示:

安全需求安全需求圖1 風(fēng)險(xiǎn)要素關(guān)系圖圖1中方框部分的內(nèi)容為風(fēng)險(xiǎn)評估的基本要素，橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性。風(fēng)險(xiǎn)評估圍繞著這些基本要素展開，在對這些要素的評估過程中，需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等與這些基本要素相關(guān)的各類屬性。圖1中的風(fēng)險(xiǎn)要素及屬性之間存在著以下關(guān)系：（1） 業(yè)務(wù)戰(zhàn)略的實(shí)現(xiàn)對資產(chǎn)具有依賴性，依賴程度越高，要求其風(fēng)險(xiǎn)越??；（2） 資產(chǎn)是有價(jià)值的，組織的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依賴程度越高，資產(chǎn)價(jià)值就越大；（3） 資產(chǎn)價(jià)值越大，原則上則其面臨的風(fēng)險(xiǎn)越大；（4） 風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大，并可能導(dǎo)致安全事件；（5） 弱點(diǎn)越多，威脅利用脆弱性導(dǎo)致安全事件的可能性越大；（6） 脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產(chǎn)，從而形成風(fēng)險(xiǎn)；（7） 風(fēng)險(xiǎn)的存在及對風(fēng)險(xiǎn)的認(rèn)識導(dǎo)出安全需求；（8） 安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價(jià)值考慮實(shí)施成本；（9） 安全措施可抵御威脅，降低安全事件發(fā)生的可能性，并減少影響；（10） 風(fēng)險(xiǎn)不可能也沒有必要降為零，在實(shí)施了安全措施后還可能有殘余風(fēng)險(xiǎn)。有些殘余風(fēng)險(xiǎn)的原因可能是安全措施不當(dāng)或無效，需要繼續(xù)控制;而有些殘余風(fēng)險(xiǎn)則是在綜合考慮了安全成本與效益后未去控制的風(fēng)險(xiǎn)，是可以接受的；（11）殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件。4.2風(fēng)險(xiǎn)分析原理風(fēng)險(xiǎn)分析原理如圖2所示：圖2風(fēng)險(xiǎn)分析原理圖風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性等基本要素。每個要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機(jī)等；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。風(fēng)險(xiǎn)分析的主要內(nèi)容為：（1） 對資產(chǎn)進(jìn)行識別，并對資產(chǎn)的價(jià)值進(jìn)行賦值；（2） 對威脅進(jìn)行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值；（3） 對資產(chǎn)的脆弱性進(jìn)行識別，并對具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；（4） 根據(jù)威脅及威脅利用弱點(diǎn)的難易程度判斷安全事件發(fā)生的可能性；（5） 根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用資產(chǎn)的價(jià)值計(jì)算安全事件的損失；（6） 根據(jù)安全事件發(fā)生的可能性以及安全事件的損失，計(jì)算安全事件一旦發(fā)生對組織的影響，即風(fēng)險(xiǎn)值。4.3實(shí)施流程圖3給出風(fēng)險(xiǎn)評估的實(shí)施流程，第5章將圍繞風(fēng)險(xiǎn)評估流程闡述風(fēng)險(xiǎn)評估各具體實(shí)施步驟。

圖3風(fēng)險(xiǎn)評估實(shí)施流程圖5風(fēng)險(xiǎn)評估實(shí)施5.1風(fēng)險(xiǎn)評估的準(zhǔn)備風(fēng)險(xiǎn)評估的準(zhǔn)備是整個風(fēng)險(xiǎn)評估過程有效性的保證。組織實(shí)施風(fēng)險(xiǎn)評估是一種戰(zhàn)略性的考慮，其結(jié)果將受到組織業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。因此，在風(fēng)險(xiǎn)評估實(shí)施前，應(yīng)：（1） 確定風(fēng)險(xiǎn)評估的目標(biāo)；（2） 確定風(fēng)險(xiǎn)評估的范圍；（3） 組建適當(dāng)?shù)脑u估管理與實(shí)施團(tuán)隊(duì)；（4） 進(jìn)行系統(tǒng)調(diào)研；（5） 確定評估依據(jù)和方法；（6） 獲得最高管理者對風(fēng)險(xiǎn)評估工作的支持。5.1.1確定目標(biāo)風(fēng)險(xiǎn)評估的準(zhǔn)備階段應(yīng)明確風(fēng)險(xiǎn)評估的目標(biāo)，為風(fēng)險(xiǎn)評估的過程提供導(dǎo)向。信息系統(tǒng)的機(jī)密性、完整性和可用性對于維持競爭優(yōu)勢、獲利能力、法規(guī)要求和組織形象是必要的。組織要面對來自內(nèi)、外部的安全威脅，信息系統(tǒng)是威脅的主要目標(biāo)。由于信息化程度不斷提高，業(yè)務(wù)對信息技術(shù)的依賴程度日益增加，一個組織可能出現(xiàn)更多的弱點(diǎn)。風(fēng)險(xiǎn)評估的目標(biāo)是根據(jù)滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要、相關(guān)方的要求、法律法規(guī)的規(guī)定等內(nèi)容，識別現(xiàn)有信息系統(tǒng)及管理上的脆弱性，以及可能造成的風(fēng)險(xiǎn)大小。5.1.2確定范圍基于風(fēng)險(xiǎn)評估目標(biāo)確定風(fēng)險(xiǎn)評估范圍是完成風(fēng)險(xiǎn)評估的前提。風(fēng)險(xiǎn)評估范圍可能是組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機(jī)構(gòu)，也可能是某個獨(dú)立的信息系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等。5.1.3組建團(tuán)隊(duì)組建適當(dāng)?shù)娘L(fēng)險(xiǎn)評估管理與實(shí)施團(tuán)隊(duì)，以支持整個過程的推進(jìn)。如成立由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等組成的風(fēng)險(xiǎn)評估小組。評估團(tuán)隊(duì)?wèi)?yīng)能夠保證風(fēng)險(xiǎn)評估工作的有效開展。5.1.4系統(tǒng)調(diào)研系統(tǒng)調(diào)研是確定被評估對象的過程，風(fēng)險(xiǎn)評估小組應(yīng)進(jìn)行充分的系統(tǒng)調(diào)研，為風(fēng)險(xiǎn)評估依據(jù)和方法的選擇、評估內(nèi)容的實(shí)施奠定基礎(chǔ)。調(diào)研內(nèi)容至少應(yīng)包括：（1） 主要的業(yè)務(wù)功能和要求（2） 網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接和外部連接；（3） 系統(tǒng)邊界；（4） 主要的硬件、軟件；（5） 數(shù)據(jù)和信息；（6） 系統(tǒng)和數(shù)據(jù)的敏感性；（7） 支持和使用系統(tǒng)的人員；等。系統(tǒng)調(diào)研可以采取問卷調(diào)查、現(xiàn)場面談相結(jié)合的方式進(jìn)行。調(diào)查問卷是提供一套關(guān)于管理或操作控制的問題表格，供系統(tǒng)技術(shù)或管理人員填寫；現(xiàn)場面談則是由評估人員到現(xiàn)場觀察并收集系統(tǒng)在物理、環(huán)境、和操作方面的信息。5.1.5確定依據(jù)根據(jù)系統(tǒng)調(diào)研結(jié)果，確定評估依據(jù)和評估方法。評估依據(jù)包括（但不限于）：現(xiàn)有國際或國家標(biāo)準(zhǔn)、行業(yè)主管機(jī)關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度、系統(tǒng)互聯(lián)單位的安全要求、系統(tǒng)本身的實(shí)時性或性能要求等。根據(jù)評估依據(jù)，應(yīng)考慮評估的目的、范圍、時間、效果、人員素質(zhì)等因素來選擇具體的風(fēng)險(xiǎn)計(jì)算方法，并依據(jù)業(yè)務(wù)實(shí)施對系統(tǒng)安全運(yùn)行的需求，確定相關(guān)的判斷依據(jù)，使之能夠與組織環(huán)境和安全要求相適應(yīng)。5.1.6獲得支持上述所有內(nèi)容確定后，應(yīng)形成較為完整的風(fēng)險(xiǎn)評估實(shí)施方案，并得到組織最高管理者的支持、批準(zhǔn)；并對管理層和技術(shù)人員進(jìn)行傳達(dá)，在組織范圍就風(fēng)險(xiǎn)評估相關(guān)內(nèi)容進(jìn)行培訓(xùn)，以明確有關(guān)人員在風(fēng)險(xiǎn)評估中的任務(wù)。5.2資產(chǎn)識別5.2.1資產(chǎn)分類資產(chǎn)是具有價(jià)值的信息或資源，它能夠以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有服務(wù)、形象等。機(jī)密性、完整性和可用性是評價(jià)資產(chǎn)的三個安全屬性。風(fēng)險(xiǎn)評估中資產(chǎn)的價(jià)值不僅僅以資產(chǎn)的經(jīng)濟(jì)價(jià)值來衡量，而是由資產(chǎn)在這三個安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時所造成的影響程度來決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價(jià)值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。為此，有必要對組織中的資產(chǎn)進(jìn)行識別。在一個組織中，資產(chǎn)有多種表現(xiàn)形式；同樣的兩個資產(chǎn)也因?qū)儆诓煌男畔⑾到y(tǒng)而重要性不同，而且對于提供多種業(yè)務(wù)的組織，其支持業(yè)務(wù)持續(xù)運(yùn)行的系統(tǒng)數(shù)量可能更多。這時首先需要將信息系統(tǒng)及相關(guān)的資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸?，以此為基礎(chǔ)進(jìn)行下一步的風(fēng)險(xiǎn)評估。在實(shí)際工作中，具體的資產(chǎn)分類方法可以根據(jù)具體的評估對象和要求，由評估者靈活把握。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類型。表列出了一種資產(chǎn)分類方法。表1—種基于表現(xiàn)形式的資產(chǎn)分類方法

分類示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶手冊等軟件系統(tǒng)軟件：操作系統(tǒng)、語言包、工具軟件、各種庫等應(yīng)用軟件：外部購買的應(yīng)用軟件，外包開發(fā)的應(yīng)用軟件等源程序：各種共享源代碼、自行或合作開發(fā)的各種代碼等硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等計(jì)算機(jī)設(shè)備：大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺式計(jì)算機(jī)、移動計(jì)算機(jī)等存儲設(shè)備：磁帶機(jī)、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等傳輸線路：光纖、雙絞線等保障設(shè)備：動力保障設(shè)備（UPS、變電設(shè)備等）、空調(diào)、保險(xiǎn)柜、文件柜、門禁、消防設(shè)施等安全保障設(shè)備：防火墻、入侵檢測系統(tǒng)、身份驗(yàn)證等其他：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)（MIS），包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)信息服務(wù)：對外依賴該系統(tǒng)開展的各類服務(wù)文檔紙質(zhì)的各種文件，如傳真、電報(bào)、財(cái)務(wù)報(bào)告、發(fā)展計(jì)劃等人員掌握重要信息和核心業(yè)務(wù)的人員，如主機(jī)維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管及應(yīng)用項(xiàng)目經(jīng)理等其它企業(yè)形象，客戶關(guān)系等5.2.2資產(chǎn)賦值對資產(chǎn)的賦值不僅要考慮資產(chǎn)的經(jīng)濟(jì)價(jià)值，更重要的是要考慮資產(chǎn)的安全狀況對于系統(tǒng)或組織的重要性，由資產(chǎn)在其三個安全屬性上的達(dá)成程度決定。為確保資產(chǎn)賦值時的一致性和準(zhǔn)確性，組織應(yīng)建立資產(chǎn)價(jià)值的評價(jià)尺度，以指導(dǎo)資產(chǎn)賦值。資產(chǎn)賦值的過程也就是對資產(chǎn)在機(jī)密性、完整性和可用性上的達(dá)成程度進(jìn)行分析，并在此基礎(chǔ)上得出綜合結(jié)果的過程。達(dá)成程度可由安全屬性缺失時造成的影響來表示，這種影響可能造成某些資產(chǎn)的損害以至危及信息系統(tǒng)，還可能導(dǎo)致經(jīng)濟(jì)效益、市場份額、組織形象的損失。5.2.2.1機(jī)密性賦值根據(jù)資產(chǎn)在機(jī)密性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在機(jī)密性上

應(yīng)達(dá)成的不同程度或者機(jī)密性缺失時對整個組織的影響。表2提供了一種機(jī)密性賦值的參考。表2資產(chǎn)機(jī)密性賦值表賦值標(biāo)識定義5很高包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運(yùn)，對組織根本利益有著決定性的影響，如果泄露會造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴(yán)重?fù)p害3中等組織的一般性秘密，其泄露會使組織的安全和利益受到損害2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴(kuò)散有可能對組織的利益造成輕微損害1很低可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等完整性賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在完整性上缺失時對整個組織的影響。表3提供了一種完整性賦值的參考。表3資產(chǎn)完整性賦值表賦值標(biāo)識定義5很高完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)。4高完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務(wù)沖擊嚴(yán)重，較難彌補(bǔ)。3中等完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)。2低完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響，對業(yè)務(wù)沖擊輕微，容易彌補(bǔ)。1很低完整性價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略，對業(yè)

務(wù)沖擊可以忽略。5.2.2.3可用性賦值根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在可用性上的達(dá)成的不同程度。表4提供了一種可用性賦值的參考。表4資產(chǎn)可用性賦值表賦值標(biāo)識定義5很高可用性價(jià)值非常高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上，或系統(tǒng)不允許中斷。4高可用性價(jià)值較高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到每天90%以上，或系統(tǒng)允許中斷時間小于10分鐘。3中等可用性價(jià)值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達(dá)到70%以上，或系統(tǒng)允許中斷時間小于30分鐘。2低可用性價(jià)值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達(dá)到25%以上，或系統(tǒng)允許中斷時間小于60分鐘。1很低可用性價(jià)值可以忽略，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于25%。5.2.2.4資產(chǎn)重要性等級資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在機(jī)密性、完整性和可用性上的賦值等級，經(jīng)過綜合評定得出。綜合評定方法可以根據(jù)自身的特點(diǎn)，選擇對資產(chǎn)機(jī)密性、完整性和可用性最為重要的一個屬性的賦值等級作為資產(chǎn)的最終賦值結(jié)果；也可以根據(jù)資產(chǎn)機(jī)密性、完整性和可用性的不同等級對其賦值進(jìn)行加權(quán)計(jì)算得到資產(chǎn)的最終賦值結(jié)果。加權(quán)方法可根據(jù)組織的業(yè)務(wù)特點(diǎn)確定。本指南中，為與上述安全屬性的賦值相對應(yīng)，根據(jù)最終賦值將資產(chǎn)劃分為五級，級別越高表示資產(chǎn)越重要，也可以根據(jù)組織的實(shí)際情況確定資產(chǎn)識別中的賦值依據(jù)和等級。表5中的資產(chǎn)等級劃分表明了不同等級的重要性的綜合描述。評估者可根據(jù)資產(chǎn)賦值結(jié)果，確定重要資產(chǎn)的范圍，并主要圍繞重要資產(chǎn)進(jìn)行下一步的風(fēng)險(xiǎn)評估。表5資產(chǎn)等級及含義描述

等級標(biāo)識描述5很高非常重要，其安全屬性破壞后可能對組織造成非常嚴(yán)重的損失。4高重要，其安全屬性破壞后可能對組織造成比較嚴(yán)重的損失。3中比較重要，其安全屬性破壞后可能對組織造成中等程度的損失。2低不太重要，其安全屬性破壞后可能對組織造成較低的損失。1很低不重要，其安全屬性破壞后對組織造成導(dǎo)很小的損失，甚至忽略不計(jì)。5.3威脅識別5.3.1威脅分類威脅是一種對組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素，是客觀存在的。威脅可以通過威脅主體、資源、動機(jī)、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動機(jī)，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗的因素和其它物理因素。威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊，在機(jī)密性、完整性或可用性等方面造成損害；也可能是偶發(fā)的、或蓄意的事件。在對威脅進(jìn)行分類前，應(yīng)考慮威脅的來源。表6提供了一種威脅來源的分類方法。表6 威脅來源列表來源描述環(huán)境因素由于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境條件或自然災(zāi)害，意外事故或軟件、硬件、數(shù)據(jù)、通訊線路方面的故障。人為因素惡意人員不滿的或有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進(jìn)行惡意破壞；采用自主或內(nèi)外勾結(jié)的方式盜竊機(jī)密信息或進(jìn)行篡改，獲取利益。外部人員利用信息系統(tǒng)的脆弱性，對網(wǎng)絡(luò)或系統(tǒng)的機(jī)密性、完整性和可用性進(jìn)行破壞，以獲取利益或炫耀能力。非惡意人員內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心和不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞；內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊。對威脅進(jìn)行分類的方式有多種，針對上表的威脅來源，可以根據(jù)其表現(xiàn)形式將威脅分

為以下幾類。表7提供了一種基于表現(xiàn)形式的威脅分類方法。表7一種基于表現(xiàn)形式的威脅分類表種類描述威脅子類軟硬件故障由于設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件缺陷造成對業(yè)務(wù)實(shí)施、系統(tǒng)穩(wěn)定運(yùn)行的影響。設(shè)備硬件故障、傳輸設(shè)備故障、存儲媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障。物理環(huán)境影響斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境問題或自然災(zāi)害。無作為或操作失誤由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意地執(zhí)行了錯誤的操作，對系統(tǒng)造成的影響。維護(hù)錯誤、操作失誤管理不到位安全管理無法落實(shí)，不到位，造成安全管理不規(guī)范，或者管理混亂，從而破壞信息系統(tǒng)正常有序運(yùn)行。惡意代碼和病毒具有自我復(fù)制、自我傳播能力，對信息系統(tǒng)構(gòu)成破壞的程序代碼。惡意代碼、木馬后門、網(wǎng)絡(luò)病毒、間諜軟件、竊聽軟件越權(quán)或?yàn)E用通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的職權(quán)，做出破壞信息系統(tǒng)的行為。未授權(quán)訪問網(wǎng)絡(luò)資源、未授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息網(wǎng)絡(luò)攻擊利用工具和技術(shù)，如偵察、密碼破譯、安裝后門、嗅探、偽造和欺騙、拒絕服務(wù)等手段，對信息系統(tǒng)進(jìn)行攻擊和入侵。網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探（賬戶、口令、權(quán)限等［用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運(yùn)行的控制和破壞物理攻擊通過物理的接觸造成對軟件、硬件、數(shù)據(jù)的破壞。物理接觸、物理破壞、盜竊泄密信息泄露給不應(yīng)了解的他人。內(nèi)部信息泄露、外部信息泄露篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配

低或信息不可用。抵賴 不承認(rèn)收到的信息和所作的操作和交易。置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息原發(fā)抵賴、接收抵賴、第三方抵賴低或信息不可用。抵賴 不承認(rèn)收到的信息和所作的操作和交易。5.3.2威脅賦值判斷威脅出現(xiàn)的頻率是威脅識別的重要內(nèi)容，評估者應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來進(jìn)行判斷。在評估中，需要綜合考慮以下三個方面，以形成在某種評估環(huán)境中各種威脅出現(xiàn)的頻率：（1） 以往安全事件報(bào)告中出現(xiàn)過的威脅及其頻率的統(tǒng)計(jì)；（2） 實(shí)際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)；（3） 近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及發(fā)布的威脅預(yù)警?？梢詫ν{出現(xiàn)的頻率進(jìn)行等級化處理，不同等級分別代表威脅出現(xiàn)的頻率的高低。等級數(shù)值越大，威脅出現(xiàn)的頻率越高。表8提供了威脅出現(xiàn)頻率的一種賦值方法。在實(shí)際的評估中，威脅頻率的判斷依據(jù)應(yīng)在評估準(zhǔn)備階段根據(jù)歷史統(tǒng)計(jì)或行業(yè)判斷予以確定，并得到被評估方的認(rèn)可。表8威脅賦值表等級標(biāo)識定義5很高出現(xiàn)的頻率很高（或N1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實(shí)經(jīng)常發(fā)生過。4高出現(xiàn)的頻率較高（或N1次/月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實(shí)多次發(fā)生過。3中出現(xiàn)的頻率中等（或＞1次/半年）；或在某種情況下可能會發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過。2低出現(xiàn)的頻率較?。换蛞话悴惶赡馨l(fā)生；或沒有被證實(shí)發(fā)生過。1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生。5.4脆弱性識別5.4.1脆弱性識別內(nèi)容脆弱性是對一個或多個資產(chǎn)弱點(diǎn)的總稱。脆弱性識別也稱為弱點(diǎn)識別，弱點(diǎn)是資產(chǎn)本身存在的，如果沒有被相應(yīng)的威脅利用，單純的弱點(diǎn)本身不會對資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健，嚴(yán)重的威脅也不會導(dǎo)致安全事件發(fā)生，并造成損失。即，威脅總是要利用資產(chǎn)的弱點(diǎn)才可能造成危害。資產(chǎn)的脆弱性具有隱蔽性，有些弱點(diǎn)只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱性識別中最為困難的部分。不正確的、起不到應(yīng)有作用的或沒有正確實(shí)施的安全措施本身就可能是一個弱點(diǎn)。脆弱性識別是風(fēng)險(xiǎn)評估中最重要的一個環(huán)節(jié)。脆弱性識別可以以資產(chǎn)為核心，針對每一項(xiàng)需要保護(hù)的資產(chǎn),識別可能被威脅利用的弱點(diǎn)，并對脆弱性的嚴(yán)重程度進(jìn)行評估；也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識別，然后與資產(chǎn)、威脅對應(yīng)起來。脆弱性識別的依據(jù)可以是國際或國家安全標(biāo)準(zhǔn)，也可以是行業(yè)規(guī)范、應(yīng)用流程的安全要求。對應(yīng)用在不同環(huán)境中的相同的弱點(diǎn)，其脆弱性嚴(yán)重程度是不同的，評估者應(yīng)從組織安全策略的角度考慮、判斷資產(chǎn)的脆弱性及其嚴(yán)重程度。信息系統(tǒng)所采用的協(xié)議、應(yīng)用流程的完備與否、與其他網(wǎng)絡(luò)的互聯(lián)等也應(yīng)考慮在內(nèi)。脆弱性識別時的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等。脆弱性識別所采用的方法主要有：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。脆弱性識別主要從技術(shù)和管理兩個方面進(jìn)行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的安全問題。管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面，前者與具體技術(shù)活動相關(guān)，后者與管理環(huán)境相關(guān)。對不同的識別對象，其脆弱性識別的具體要求應(yīng)參照相應(yīng)的技術(shù)或管理標(biāo)準(zhǔn)實(shí)施。例如，對物理環(huán)境的脆弱性識別可以參照《GB/T9361-2000計(jì)算機(jī)場地安全要求》中的技術(shù)指標(biāo)實(shí)施；對操作系統(tǒng)、數(shù)據(jù)庫可以參照GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》中的技術(shù)指標(biāo)實(shí)施。管理脆弱性識別方面可以參照《GB/T19716-2005信息技術(shù)信息安全管理實(shí)用規(guī)則》的要求對安全管理制度及其執(zhí)行情況進(jìn)行檢查，發(fā)現(xiàn)管理漏洞和不足。表9提供了一種脆弱性識別內(nèi)容的參考。表9脆弱性識別內(nèi)容表

類型識別對象識別內(nèi)容技術(shù)脆弱性物理環(huán)境從機(jī)房場地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識別。網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識別。系統(tǒng)軟件（含操作系統(tǒng)及系統(tǒng)服務(wù)）從補(bǔ)丁安裝、物理保護(hù)、用戶賬號、口令策略、資源共享、事件審計(jì)、訪問控制、新系統(tǒng)配置（初始化）、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識別。數(shù)據(jù)庫軟件從補(bǔ)丁安裝、鑒別機(jī)制、口令機(jī)制、訪問控制、網(wǎng)絡(luò)和服務(wù)設(shè)置、備份恢復(fù)機(jī)制、審計(jì)機(jī)制等方面進(jìn)行識別。應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識別。應(yīng)用系統(tǒng)從審計(jì)機(jī)制、審計(jì)存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識別。管理脆弱性技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識別。組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進(jìn)行識別。5.4.2脆弱性賦值可以根據(jù)對資產(chǎn)的損害程度、技術(shù)實(shí)現(xiàn)的難易程度、弱點(diǎn)的流行程度，采用等級方式對已識別的脆弱性的嚴(yán)重程度進(jìn)行賦值。由于很多弱點(diǎn)反映的是同一方面的問題，或可能造成相似的后果，賦值時應(yīng)綜合考慮這些弱點(diǎn)，以確定這一方面脆弱性的嚴(yán)重程度。對某個資產(chǎn)，其技術(shù)脆弱性的嚴(yán)重程度還受到組織管理脆弱性的影響。因此，資產(chǎn)的脆弱性賦值還應(yīng)參考技術(shù)管理和組織管理脆弱性的嚴(yán)重程度。脆弱性嚴(yán)重程度可以進(jìn)行等級化處理，不同的等級分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。等級數(shù)值越大，脆弱性嚴(yán)重程度越高。表10提供了脆弱性嚴(yán)重程度的一種賦值方法。此外，CVE提供的漏洞分級也可以作為脆弱性嚴(yán)重程度賦值的參考。表10脆弱性嚴(yán)重程度賦值表等級標(biāo)識定義5很高如果被威脅利用，將對資產(chǎn)造成完全損害。4高如果被威脅利用，將對資產(chǎn)造成重大損害。3中如果被威脅利用，將對資產(chǎn)造成一般損害。2低如果被威脅利用，將對資產(chǎn)造成較小損害。1很低如果被威脅利用，將對資產(chǎn)造成的損害可以忽略。5.5已有安全措施確認(rèn)在識別脆弱性的同時，評估人員應(yīng)對已采取的安全措施的有效性進(jìn)行確認(rèn)。安全措施的確認(rèn)應(yīng)評估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。對有效的安全措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止安全措施的重復(fù)實(shí)施。對確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實(shí)是否應(yīng)被取消或?qū)ζ溥M(jìn)行修正，或用更合適的安全措施替代。安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如入侵檢測系統(tǒng)；保護(hù)性安全措施可以減少因安全事件發(fā)生后對組織或系統(tǒng)造成的影響，如業(yè)務(wù)持續(xù)性計(jì)劃。已有安全措施確認(rèn)與脆弱性識別存在一定的聯(lián)系。一般來說，安全措施的使用將減少系統(tǒng)技術(shù)或管理上的弱點(diǎn)，但安全措施確認(rèn)并不需要和脆弱性識別過程那樣具體到每個資產(chǎn)、組件的弱點(diǎn)，而是一類具體措施的集合，為風(fēng)險(xiǎn)處理計(jì)劃的制定提供依據(jù)和參考。5.6風(fēng)險(xiǎn)分析5.6.1風(fēng)險(xiǎn)計(jì)算原理在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及對已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對組織的影響，即安全風(fēng)險(xiǎn)。本指南給出了風(fēng)險(xiǎn)計(jì)算原理，以下面的范式形式化加以說明：風(fēng)險(xiǎn)值=R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va））其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)價(jià)值；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F表示安全事件發(fā)生后產(chǎn)生的損失。有以下三個關(guān)鍵計(jì)算環(huán)節(jié)：1、 計(jì)算安全事件發(fā)生的可能性根據(jù)威脅出現(xiàn)頻率及弱點(diǎn)的狀況，計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即：安全事件發(fā)生的可能性=L（威脅出現(xiàn)頻率，脆弱性）=L（T，V）在具體評估中，應(yīng)綜合攻擊者技術(shù)能力（專業(yè)技術(shù)程度、攻擊設(shè)備等）、脆弱性被利用的難易程度（可訪問時間、設(shè)計(jì)和操作知識公開程度等）、資產(chǎn)吸引力等因素來判斷安全事件發(fā)生的可能性。2、 計(jì)算安全事件發(fā)生后的損失根據(jù)資產(chǎn)價(jià)值及脆弱性嚴(yán)重程度，計(jì)算安全事件一旦發(fā)生后的損失，即：安全事件的損失=F（資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度）=F（Ia，Va）部分安全事件的發(fā)生造成的損失不僅僅是針對該資產(chǎn)本身，還可能影響業(yè)務(wù)的連續(xù)性；不同安全事件的發(fā)生對組織造成的影響也是不一樣的。在計(jì)算某個安全事件的損失時，應(yīng)將對組織的影響也考慮在內(nèi)。部分安全事件損失的判斷還應(yīng)參照安全事件發(fā)生可能性的結(jié)果，對發(fā)生可能性極小的安全事件，如處于非地震帶的地震威脅、在采取完備供電措施狀況下的電力故障威脅等，可以不計(jì)算其損失。3、 計(jì)算風(fēng)險(xiǎn)值根據(jù)計(jì)算出的安全事件發(fā)生的可能性以及安全事件的損失，計(jì)算風(fēng)險(xiǎn)值，即：風(fēng)險(xiǎn)值二R（安全事件發(fā)生的可能性，安全事件的損失）=R（L（T，V），F(xiàn)（Ia，Va））評估者可根據(jù)自身情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算風(fēng)險(xiǎn)值，如矩陣法或相乘法。矩陣法通過構(gòu)造一個二維矩陣，形成安全事件發(fā)生的可能性與安全事件的損失之間的二維關(guān)系；相乘法通過構(gòu)造經(jīng)驗(yàn)函數(shù)，將安全事件發(fā)生的可能性與安全事件的損失進(jìn)行運(yùn)算得到風(fēng)險(xiǎn)值。附錄A中列舉了矩陣法和相乘法的風(fēng)險(xiǎn)計(jì)算示例，可做參考。5.6.2風(fēng)險(xiǎn)結(jié)果判定為實(shí)現(xiàn)對風(fēng)險(xiǎn)的控制與管理，可以對風(fēng)險(xiǎn)評估的結(jié)果進(jìn)行等級化處理?？梢詫L(fēng)險(xiǎn)劃分為一定的級別，如劃分為五級或三級，等級越高，風(fēng)險(xiǎn)越高。評估者應(yīng)根據(jù)所采用的風(fēng)險(xiǎn)計(jì)算方法，計(jì)算每種資產(chǎn)面臨的風(fēng)險(xiǎn)值，根據(jù)風(fēng)險(xiǎn)值的分布狀況，為每個等級設(shè)定風(fēng)險(xiǎn)值范圍，并對所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級處理。每個等級代表了相應(yīng)風(fēng)險(xiǎn)的嚴(yán)重程度。表11提供了一種風(fēng)險(xiǎn)等級劃分方法。表11風(fēng)險(xiǎn)等級劃分表等級標(biāo)識描述5很高一旦發(fā)生將產(chǎn)生非常嚴(yán)重的經(jīng)濟(jì)或社會影響，如組織信譽(yù)嚴(yán)重破壞、嚴(yán)重影響組織的正常經(jīng)營，經(jīng)濟(jì)損失重大、社會影響惡劣。4高一旦發(fā)生將產(chǎn)生較大的經(jīng)濟(jì)或社會影響，在一定范圍內(nèi)給組織的經(jīng)營和組織信譽(yù)造成損害。3中一旦發(fā)生會造成一定的經(jīng)濟(jì)、社會或生產(chǎn)經(jīng)營影響，但影響面和影響程度不大。2低一旦發(fā)生造成的影響程度較低，一般僅限于組織內(nèi)部，通過一定手段很快能解決。1很低一旦發(fā)生造成的影響幾乎不存在，通過簡單的措施就能彌補(bǔ)。風(fēng)險(xiǎn)等級處理的目的是為風(fēng)險(xiǎn)管理過程中對不同風(fēng)險(xiǎn)的直觀比較，以確定組織安全策略。組織應(yīng)當(dāng)綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響，提出一個可接受的風(fēng)險(xiǎn)范圍。對某些資產(chǎn)的風(fēng)險(xiǎn)，如果風(fēng)險(xiǎn)計(jì)算值在可接受的范圍內(nèi)，則該風(fēng)險(xiǎn)是可接受的風(fēng)險(xiǎn)，應(yīng)保持已有的安全措施；如果風(fēng)險(xiǎn)評估值在可接受的范圍外，即風(fēng)險(xiǎn)計(jì)算值高于可接受范圍的上限值，是不可接受的風(fēng)險(xiǎn)，需要采取安全措施以降低、控制風(fēng)險(xiǎn)。另一種確定不可接受的風(fēng)險(xiǎn)的辦法是根據(jù)等級化處理的結(jié)果，不設(shè)定可接受風(fēng)險(xiǎn)值的基準(zhǔn)，達(dá)到相應(yīng)等級的風(fēng)險(xiǎn)都進(jìn)行處理。5.6.3風(fēng)險(xiǎn)處理計(jì)劃對不可接受的風(fēng)險(xiǎn)應(yīng)根據(jù)導(dǎo)致該風(fēng)險(xiǎn)的脆弱性制定風(fēng)險(xiǎn)處理計(jì)劃。風(fēng)險(xiǎn)處理計(jì)劃中明確應(yīng)采取的彌補(bǔ)弱點(diǎn)的安全措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門等。安全措施的選擇應(yīng)從管理與技術(shù)兩個方面考慮，管理措施可以作為技術(shù)措施的補(bǔ)充。安全措施的選擇與實(shí)施應(yīng)參照信息安全的相關(guān)標(biāo)準(zhǔn)進(jìn)行。在對于不可接受的風(fēng)險(xiǎn)選擇適當(dāng)安全措施后，為確保安全措施的有效性，可進(jìn)行再評估，以判斷實(shí)施安全措施后的殘余風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平。殘余風(fēng)險(xiǎn)的評估可以依據(jù)本指南提出的風(fēng)險(xiǎn)評估流程實(shí)施，也可做適當(dāng)裁減。一般來說，安全措施的實(shí)施是以減少脆弱性或降低安全事件發(fā)生可能性為目標(biāo)的，因此，殘余風(fēng)險(xiǎn)的評估可以從脆弱性評估開始，在對照安全措施實(shí)施前后的脆弱性狀況后，再次計(jì)算風(fēng)險(xiǎn)值的大小。某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)陌踩胧┖?，殘余風(fēng)險(xiǎn)的結(jié)果仍處于不可接受的風(fēng)險(xiǎn)范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險(xiǎn)或進(jìn)一步增加相應(yīng)的安全措施。5.7風(fēng)險(xiǎn)評估文件記錄5.7.1風(fēng)險(xiǎn)評估文件記錄的要求記錄風(fēng)險(xiǎn)評估過程的相關(guān)文件，應(yīng)符合以下要求(但不僅限于此)：確保文件發(fā)布前是得到批準(zhǔn)的；確保文件的更改和現(xiàn)行修訂狀態(tài)是可識別的；確保文件的分發(fā)得到適當(dāng)?shù)目刂?，并確保在使用時可獲得有關(guān)版本的適用文件；防止作廢文件的非預(yù)期使用，若因任何目的需保留作廢文件時，應(yīng)對這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識。對于風(fēng)險(xiǎn)評估過程中形成的相關(guān)文件，還應(yīng)規(guī)定其標(biāo)識、儲存、保護(hù)、檢索、保存期限以及處置所需的控制。相關(guān)文件是否需要以及詳略程度由組織的管理者來決定。5.7.2風(fēng)險(xiǎn)評估文件風(fēng)險(xiǎn)評估文件是指在整個風(fēng)險(xiǎn)評估過程中產(chǎn)生的評估過程文檔和評估結(jié)果文檔，包括(但不僅限于此)：風(fēng)險(xiǎn)評估方案：闡述風(fēng)險(xiǎn)評估的目標(biāo)、范圍、人員、評估方法、評估結(jié)果的形式和實(shí)施進(jìn)度等；風(fēng)險(xiǎn)評估程序：明確評估的目的、職責(zé)、過程、相關(guān)的文件要求，以及實(shí)施本次評估所需要的各種資產(chǎn)、威脅、脆弱性識別和判斷依據(jù)；資產(chǎn)識別清單：根據(jù)組織在風(fēng)險(xiǎn)評估程序文件中所確定的資產(chǎn)分類方法進(jìn)行資產(chǎn)識別，形成資產(chǎn)識別清單，明確資產(chǎn)的責(zé)任人/部門；重要資產(chǎn)清單：根據(jù)資產(chǎn)識別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類型、重要程度、責(zé)任人/部門等；威脅列表：根據(jù)威脅識別和賦值的結(jié)果，形成威脅列表，包括威脅名稱、種類、來源、動機(jī)及出現(xiàn)的頻率等；脆弱性列表：根據(jù)脆弱性識別和賦值的結(jié)果，形成脆弱性列表，包括具體弱點(diǎn)的名稱、描述、類型及嚴(yán)重程度等；已有安全措施確認(rèn)表：根據(jù)對已采取的安全措施確認(rèn)的結(jié)果，形成已有安全措施確認(rèn)表，包括已有安全措施名稱、類型、功能描述及實(shí)施效果等；風(fēng)險(xiǎn)評估報(bào)告：對整個風(fēng)險(xiǎn)評估過程和結(jié)果進(jìn)行總結(jié)，詳細(xì)說明被評估對象、風(fēng)險(xiǎn)評估方法、資產(chǎn)、威脅、脆弱性的識別結(jié)果、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)統(tǒng)計(jì)和結(jié)論等內(nèi)容;風(fēng)險(xiǎn)處理計(jì)劃：對評估結(jié)果中不可接受的風(fēng)險(xiǎn)制定風(fēng)險(xiǎn)處理計(jì)劃，選擇適當(dāng)?shù)目刂颇繕?biāo)及安全措施，明確責(zé)任、進(jìn)度、資源，并通過對殘余風(fēng)險(xiǎn)的評價(jià)以確定所選擇安全措施的有效性；風(fēng)險(xiǎn)評估記錄：根據(jù)風(fēng)險(xiǎn)評估程序，要求風(fēng)險(xiǎn)評估過程中的各種現(xiàn)場記錄可復(fù)現(xiàn)評估過程，并作為產(chǎn)生歧義后解決問題的依據(jù)。6信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評估6.1信息系統(tǒng)生命周期概述風(fēng)險(xiǎn)評估應(yīng)貫穿于信息系統(tǒng)生命周期的各階段中。信息系統(tǒng)生命周期各階段中涉及的風(fēng)險(xiǎn)評估的原則和方法是一致的，但由于各階段實(shí)施的內(nèi)容、對象、安全需求不同，使得風(fēng)險(xiǎn)評估的對象、目的、要求等各方面也有所不同。具體而言，在規(guī)劃設(shè)計(jì)階段，通過風(fēng)險(xiǎn)評估以確定系統(tǒng)的安全目標(biāo)；在建設(shè)驗(yàn)收階段，通過風(fēng)險(xiǎn)評估以確定系統(tǒng)的安全目標(biāo)達(dá)成與否；在運(yùn)行維護(hù)階段，要不斷地實(shí)施風(fēng)險(xiǎn)評估以識別系統(tǒng)面臨的不斷變化的風(fēng)險(xiǎn)和脆弱性，從而確定安全措施的有效性，確保安全目標(biāo)得以實(shí)現(xiàn)。因此，每個階段風(fēng)險(xiǎn)評估的具體實(shí)施應(yīng)根據(jù)該階段的特點(diǎn)有所側(cè)重地進(jìn)行。信息系統(tǒng)生命周期包含規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)行維護(hù)和廢棄等五個階段。圖4列出了生命周期各階段中的安全活動。此處有誤，缺乏開發(fā)過程，如自己開發(fā)系統(tǒng)，開發(fā)過程中的安全活動沒有考慮圖4信息系統(tǒng)生命周期各階段的安全活動6.2規(guī)劃階段的風(fēng)險(xiǎn)評估規(guī)劃階段風(fēng)險(xiǎn)評估的目的是識別系統(tǒng)的使命，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。規(guī)劃階段的評估應(yīng)能夠描述信息系統(tǒng)建成后對現(xiàn)有業(yè)務(wù)模式的作用，包括技術(shù)、管理等方面，并根據(jù)其作用確定系統(tǒng)建設(shè)應(yīng)達(dá)到的安全目標(biāo)。本階段評估中，資產(chǎn)、脆弱性不需要識別；威脅應(yīng)根據(jù)未來系統(tǒng)的應(yīng)用對象、應(yīng)用環(huán)境、業(yè)務(wù)狀況、操作要求等方面進(jìn)行分析。評估著重在以下幾方面：是否依據(jù)相關(guān)規(guī)則，建立了與業(yè)務(wù)戰(zhàn)略相一致的信息系統(tǒng)安全規(guī)劃，并得到最高管理者的認(rèn)可；系統(tǒng)規(guī)劃中是否明確信息系統(tǒng)開發(fā)的組織、業(yè)務(wù)變更的管理、開發(fā)優(yōu)先級；系統(tǒng)規(guī)劃中是否考慮信息系統(tǒng)的威脅、環(huán)境，并制定總體的安全方針；系統(tǒng)規(guī)劃中是否描述信息系統(tǒng)預(yù)期使用的信息，包括預(yù)期的應(yīng)用、信息資產(chǎn)的重要性、潛在的價(jià)值、可能的使用限制、對業(yè)務(wù)的支持程度等；系統(tǒng)規(guī)劃中是否描述所有與信息系統(tǒng)安全相關(guān)的運(yùn)行環(huán)境，包括物理和人員的安全配置，以及明確相關(guān)的法規(guī)、組織安全策略、習(xí)慣、專門技術(shù)和知識等。規(guī)劃階段的評估結(jié)果應(yīng)體現(xiàn)在信息系統(tǒng)整體規(guī)劃或項(xiàng)目建議書中。6.3設(shè)計(jì)階段的風(fēng)險(xiǎn)評估設(shè)計(jì)階段的風(fēng)險(xiǎn)評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性，提出安全功能需求。設(shè)計(jì)階段的風(fēng)險(xiǎn)評估結(jié)果應(yīng)對設(shè)計(jì)方案中所提供的安全功能符合性進(jìn)行判斷，作為采購過程風(fēng)險(xiǎn)控制的依據(jù)。本階段評估中，應(yīng)詳細(xì)評估設(shè)計(jì)方案中對系統(tǒng)面臨威脅的描述，將使用的具體設(shè)備、軟件等資產(chǎn)列表，以及這些資產(chǎn)的安全功能需求。對設(shè)計(jì)方案的評估著重在以下幾方面：設(shè)計(jì)方案是否符合系統(tǒng)建設(shè)規(guī)劃，并得到最高管理者的認(rèn)可；設(shè)計(jì)方案是否對系統(tǒng)建設(shè)后面臨的威脅進(jìn)行了分析，重點(diǎn)分析來自物理環(huán)境和自然的威脅，以及由于內(nèi)、外部入侵等造成的威脅；設(shè)計(jì)方案中的安全需求是否符合規(guī)劃階段的安全目標(biāo)，并基于威脅的分析，制定信息系統(tǒng)的總體安全策略；設(shè)計(jì)方案是否采取了一定的手段來應(yīng)對系統(tǒng)可能的故障；設(shè)計(jì)方案是否對設(shè)計(jì)原型中的技術(shù)實(shí)現(xiàn)以及人員、組織管理等方面的脆弱性進(jìn)行評估，包括設(shè)計(jì)過程中的管理脆弱性和技術(shù)平臺固有的脆弱性。設(shè)計(jì)方案是否考慮可能隨著其他系統(tǒng)接入而產(chǎn)生的風(fēng)險(xiǎn)；系統(tǒng)性能是否滿足用戶需求，并考慮到峰值的影響，是否在技術(shù)上考慮了滿足系統(tǒng)性能要求的方法；應(yīng)用系統(tǒng)(含數(shù)據(jù)庫)是否根據(jù)業(yè)務(wù)需要進(jìn)行了安全設(shè)計(jì)；設(shè)計(jì)方案是否根據(jù)開發(fā)的規(guī)模、時間及系統(tǒng)的特點(diǎn)選擇開發(fā)方法，并根據(jù)設(shè)計(jì)開發(fā)計(jì)劃及用戶需求，對系統(tǒng)涉及的軟件、硬件與網(wǎng)絡(luò)進(jìn)行分析和選型；設(shè)計(jì)活動中所采用的安全控制措施、安全技術(shù)保障手段對風(fēng)險(xiǎn)的影響。在安全需求變更和設(shè)計(jì)變更后，也需要重復(fù)這項(xiàng)評估。設(shè)計(jì)階段的評估可以以安全建設(shè)方案評審的方式進(jìn)行，判定方案所提供的安全功能與信息技術(shù)安全技術(shù)標(biāo)準(zhǔn)的符合性。評估結(jié)果應(yīng)體現(xiàn)在信息系統(tǒng)需求分析報(bào)告或建設(shè)實(shí)施方案中。6.4實(shí)施階段的風(fēng)險(xiǎn)評估實(shí)施階段風(fēng)險(xiǎn)評估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對系統(tǒng)開發(fā)、實(shí)施過程進(jìn)行風(fēng)險(xiǎn)識別，并對系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證。根據(jù)設(shè)計(jì)階段分析的威脅和制定的安全措施，在實(shí)施及驗(yàn)收時進(jìn)行質(zhì)量控制?；谠O(shè)計(jì)階段的資產(chǎn)列表、安全措施，實(shí)施階段應(yīng)對規(guī)劃階段的安全威脅進(jìn)行進(jìn)一步細(xì)分，同時評估安全措施的實(shí)現(xiàn)程度，從而確定安全措施能否抵御現(xiàn)有威脅、脆弱性的影響。實(shí)施階段風(fēng)險(xiǎn)評估主要對系統(tǒng)的開發(fā)與技術(shù)/產(chǎn)品獲取、系統(tǒng)交付實(shí)施兩個過程進(jìn)行評估，開發(fā)與技術(shù)/產(chǎn)品獲取過程的評估要點(diǎn)包括：法律、政策、適用標(biāo)準(zhǔn)和指導(dǎo)方針：直接或間接影響信息系統(tǒng)安全需求的特定法律;影響信息系統(tǒng)安全需求、產(chǎn)品選擇的政府政策、國際或國家標(biāo)準(zhǔn)；信息系統(tǒng)的功能需要：安全需求是否有效地支持系統(tǒng)的功能；成本效益風(fēng)險(xiǎn)：是否根據(jù)信息系統(tǒng)的資產(chǎn)、威脅和脆弱性的分析結(jié)果，確定在符合相關(guān)法律、政策、標(biāo)準(zhǔn)和功能需要的前提下選擇最合適的安全措施。評估保證級別：是否明確系統(tǒng)建設(shè)后應(yīng)進(jìn)行怎樣的測試和檢查，從而確定是否滿足項(xiàng)目建設(shè)、實(shí)施規(guī)范的要求。系統(tǒng)交付實(shí)施過程的評估要點(diǎn)包括：根據(jù)實(shí)際建設(shè)的系統(tǒng)，詳細(xì)分析資產(chǎn)、面臨的威脅和脆弱性；根據(jù)系統(tǒng)建設(shè)目標(biāo)和安全需求，對系統(tǒng)的安全功能進(jìn)行驗(yàn)收測試；評價(jià)安全措施能否抵御安全威脅；評估是否建立了與整體安全策略一致的組織管理制度；對系統(tǒng)實(shí)現(xiàn)的風(fēng)險(xiǎn)控制效果與預(yù)期設(shè)計(jì)的符合性進(jìn)行判斷，如存在較大的不符合，應(yīng)重新進(jìn)行信息系統(tǒng)安全策略的設(shè)計(jì)與調(diào)整。本階段風(fēng)險(xiǎn)評估可以采取對照實(shí)施方案和標(biāo)準(zhǔn)要求的方式，對實(shí)際建設(shè)結(jié)果進(jìn)行測試、分析。6.5運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)評估運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評估的目的是了解和控制運(yùn)行過程中的安全風(fēng)險(xiǎn)，是一種較為全面的風(fēng)險(xiǎn)評估。評估內(nèi)容包括對真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等各方面。資產(chǎn)評估：在真實(shí)環(huán)境下較為細(xì)致的評估，包括實(shí)施階段采購的軟硬件資產(chǎn)、系統(tǒng)運(yùn)行過程中生成的信息資產(chǎn)、相關(guān)的人員與服務(wù)等，本階段資產(chǎn)識別是前期資產(chǎn)識別的補(bǔ)充與增加；威脅評估：應(yīng)全面地分析威脅的可能性和影響程度。對非故意威脅導(dǎo)致安全事件的評估可以參照安全事件的發(fā)生頻率;對故意威脅導(dǎo)致安全事件的評估主要就威脅的各個影響因素做出專業(yè)判斷；脆弱性評估：是全面的脆弱性評估。包括運(yùn)行環(huán)境中物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、安全保障設(shè)備、管理等各方面的脆弱性。技術(shù)脆弱性評估可以采取核查、掃描、案例驗(yàn)證、滲透性測試的方式實(shí)施；安全保障設(shè)備的脆弱性評估，應(yīng)考慮安全功能的實(shí)現(xiàn)情況和安全保障設(shè)備本身的脆弱性；管理脆弱性評估可以采取文檔、記錄核查等方式進(jìn)行驗(yàn)證；風(fēng)險(xiǎn)計(jì)算:根據(jù)本指南的相關(guān)方法，對重要資產(chǎn)的風(fēng)險(xiǎn)進(jìn)行定性或定量的風(fēng)險(xiǎn)分析，描述不同資產(chǎn)的風(fēng)險(xiǎn)高低狀況。運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)評估應(yīng)定期執(zhí)行；當(dāng)組織的業(yè)務(wù)流程、系統(tǒng)狀況發(fā)生重大變更時，也應(yīng)進(jìn)行風(fēng)險(xiǎn)評估。重大變更包括以下情況(但不限于)：增加新的應(yīng)用或應(yīng)用發(fā)生較大變更；網(wǎng)絡(luò)結(jié)構(gòu)和連接狀況發(fā)生較大變更；技術(shù)平臺大規(guī)模的更新；系統(tǒng)擴(kuò)容或改造；發(fā)生重大安全事件后，或基于某些運(yùn)行記錄懷疑將發(fā)生重大安全事件；組織結(jié)構(gòu)發(fā)生重大變動對系統(tǒng)產(chǎn)生了影響。6.6廢棄階段的風(fēng)險(xiǎn)評估當(dāng)信息系統(tǒng)不能滿足現(xiàn)有要求時，信息系統(tǒng)進(jìn)入廢棄階段。根據(jù)廢棄的程度，又分為部分廢棄和全部廢棄兩種。廢棄階段風(fēng)險(xiǎn)評估著重在以下幾方面：確保硬件和軟件等資產(chǎn)及殘留信息得到了適當(dāng)?shù)奶幹茫⒋_保系統(tǒng)組件被合理地丟棄或更換；如果被廢棄的系統(tǒng)是某個系統(tǒng)的一部分，或與其他系統(tǒng)存在物理或邏輯上的連接，還應(yīng)考慮系統(tǒng)廢棄后與其他系統(tǒng)的連接是否被關(guān)閉；如果在系統(tǒng)變更中廢棄，除對廢棄部分外，還應(yīng)對變更的部分進(jìn)行評估，以確定是否會增加風(fēng)險(xiǎn)或引入新的風(fēng)險(xiǎn)；是否建立了流程，確保更新過程在一個安全、系統(tǒng)化的狀態(tài)下完成。本階段應(yīng)重點(diǎn)對廢棄資產(chǎn)對組織的影響進(jìn)行分析，并根據(jù)不同的影響制定不同的處理方式。對由于系統(tǒng)廢棄可能帶來的新的威脅進(jìn)行分析，并改進(jìn)新系統(tǒng)或管理模式。對廢棄資產(chǎn)的處理過程應(yīng)在有效的監(jiān)督之下實(shí)施，同時對廢棄的執(zhí)行人員進(jìn)行安全教育。信息系統(tǒng)的維護(hù)技術(shù)人員和管理人員均應(yīng)該參與此階段的評估。7風(fēng)險(xiǎn)評估的工作形式根據(jù)評估發(fā)起者的不同，可以將風(fēng)險(xiǎn)評估的工作形式分為自評估和檢查評估兩類。自評估是由組織自身發(fā)起的，以發(fā)現(xiàn)系統(tǒng)現(xiàn)有弱點(diǎn)，實(shí)施安全管理為目的；檢查評估是被評估組織的上級主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起，通過行政手段加強(qiáng)信息安全的重要措施。風(fēng)險(xiǎn)評估應(yīng)以自評估為主，檢查評估對自評估過程記錄與評估結(jié)果的基礎(chǔ)上，驗(yàn)證和確認(rèn)系統(tǒng)存在的技術(shù)、管理和運(yùn)行風(fēng)險(xiǎn)，以及用戶實(shí)施自評估后采取風(fēng)險(xiǎn)控制措施取得的效果。自評估和檢查評估相互結(jié)合、互為補(bǔ)充。自評估和檢查評估可依托自身技術(shù)力量進(jìn)行，也可委托具有相應(yīng)資質(zhì)的風(fēng)險(xiǎn)評估服務(wù)技術(shù)支持方實(shí)施。風(fēng)險(xiǎn)評估服務(wù)技術(shù)支持方是指具有風(fēng)險(xiǎn)評估的專業(yè)人才，對外提供風(fēng)險(xiǎn)評估服務(wù)的機(jī)構(gòu)、組織或團(tuán)體。7.1自評估自評估適用于對自身的信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)的識別、評價(jià)，從而進(jìn)一步選擇合適的控制措施，降低被評估信息系統(tǒng)的安全風(fēng)險(xiǎn)。定期的風(fēng)險(xiǎn)自評估要求可以納入整個組織安全管理體系中。自評估可由發(fā)起方實(shí)施或委托風(fēng)險(xiǎn)評估服務(wù)技術(shù)支持方實(shí)施。由發(fā)起方實(shí)施的評估可以降低實(shí)施的費(fèi)用、提高信息的保密性，加強(qiáng)信息系統(tǒng)相關(guān)人員的安全意識，但可能由于缺乏風(fēng)險(xiǎn)評估的專業(yè)技能，其缺結(jié)果不夠深入準(zhǔn)確；同時，受到組織內(nèi)部各種因素的影響，結(jié)果缺乏一定的客觀性，從而降低評估結(jié)果的可信程度。委托風(fēng)險(xiǎn)評估服務(wù)技術(shù)支持方實(shí)施的評估，過程比較規(guī)范、評估結(jié)果的客觀性比較好，可信程度較高；但由于受到行業(yè)知識技能及業(yè)務(wù)了解的限制，對被評估系統(tǒng)的了解，尤其是在業(yè)務(wù)方面的特殊要求存在一定的局限。但由于引入第三方本身就是一個風(fēng)險(xiǎn)因素，因此，對其背景與資質(zhì)、評估過程與結(jié)果的保密要求協(xié)商等方面應(yīng)進(jìn)行控制。此外，為保證風(fēng)險(xiǎn)評估的實(shí)施，與系統(tǒng)相連的相關(guān)方也應(yīng)配合，以防止給其他方的使用帶來困難或引入新的風(fēng)險(xiǎn)。7.2檢查評估檢查評估的實(shí)施可以多樣化，既可以依據(jù)本指南的要求，實(shí)施完整的風(fēng)險(xiǎn)評估過程，也可以在對自評估的實(shí)施過程、風(fēng)險(xiǎn)計(jì)算方法、評估結(jié)果等重要環(huán)節(jié)的科學(xué)合理性進(jìn)行分析的基礎(chǔ)上，對關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評估。檢查評估應(yīng)覆蓋以下內(nèi)容(但不限于)：自評估方法的檢查；自評估過程記錄檢查；自評估結(jié)果跟蹤檢查；現(xiàn)有安全措施的檢查；系統(tǒng)輸入輸出控制的檢查；軟硬件維護(hù)制度及實(shí)施狀況的檢查；突發(fā)事件應(yīng)對措施的檢查；數(shù)據(jù)完整性保護(hù)措施的檢查；審計(jì)追蹤的檢查。檢查評估一般由主管機(jī)關(guān)發(fā)起，通常都是定期的、抽樣進(jìn)行的評估模式，旨在檢查關(guān)鍵領(lǐng)域、或關(guān)鍵點(diǎn)的信息安全風(fēng)險(xiǎn)是否在可接受的范圍內(nèi)。鑒于檢查評估的性質(zhì)，在檢查評估實(shí)施之前，一般應(yīng)確定適用于整個評估工作的評估要求或規(guī)范，以適用于所有被評估單位。由于檢查評估是由被評估方的主管機(jī)關(guān)實(shí)施的，因此，其評估結(jié)果具有一定的權(quán)威性；但單次評估的檢查時間比較短，兩次評估的間隔時間比較長，很難對信息系統(tǒng)的整體風(fēng)險(xiǎn)狀況做出完整的評價(jià)，只能就特定的關(guān)鍵點(diǎn)檢查被評估系統(tǒng)是否達(dá)到要求。此外，檢查評估符合要求并不表明系統(tǒng)的整體安全狀況已經(jīng)完全達(dá)到要求。檢查評估也可以委托風(fēng)險(xiǎn)評估服務(wù)技術(shù)支持方實(shí)施，但評估結(jié)果僅對檢查評估的發(fā)起單位負(fù)責(zé)。由于檢查評估代表了主管機(jī)關(guān)，涉及評估對象也往往較多，因此，要對實(shí)施檢查評估機(jī)構(gòu)的資質(zhì)進(jìn)行嚴(yán)格管理。附錄A（規(guī)范性附錄）風(fēng)險(xiǎn)的計(jì)算方法對風(fēng)險(xiǎn)進(jìn)行計(jì)算，需要確定影響風(fēng)險(xiǎn)要素、要素之間的組合方式、以及具體的計(jì)算方法，將風(fēng)險(xiǎn)要素按照組合方式使用具體的計(jì)算方法進(jìn)行計(jì)算，得到風(fēng)險(xiǎn)值。目前通用的風(fēng)險(xiǎn)評估中風(fēng)險(xiǎn)值計(jì)算涉及的風(fēng)險(xiǎn)要素一般為資產(chǎn)、威脅、和脆弱性（其關(guān)系如正文圖1所示）；這些要素的組合方式如正文5.6.1節(jié)風(fēng)險(xiǎn)計(jì)算原理中指出，由威脅和脆弱性確定安全事件發(fā)生可能性，由資產(chǎn)和脆弱性確定安全事件的損失，以及由安全事件發(fā)生的可能性和安全事件的損失確定風(fēng)險(xiǎn)值。目前，常用的計(jì)算方法是矩陣法和相乘法。附錄A首先說明矩陣法和相乘法的原理，然后基于5.6.1風(fēng)險(xiǎn)計(jì)算原理中指出的風(fēng)險(xiǎn)要素和要素組合方式，以示例的形式說明采用矩陣法和相乘法計(jì)算風(fēng)險(xiǎn)值的過程。在實(shí)際應(yīng)用中，可以將矩陣法和相乘法結(jié)合使用。A.1使用矩陣法計(jì)算風(fēng)險(xiǎn)A.1.1矩陣法原理矩陣法主要適用于由兩個要素值確定一個要素值的情形。首先需要確定二維計(jì)算矩陣，矩陣內(nèi)各個要素的值根據(jù)具體情況和函數(shù)遞增情況采用數(shù)學(xué)方法確定，然后將兩個元素的值在矩陣中進(jìn)行比對，行列交叉處即為所確定的計(jì)算結(jié)果。即z=f（X,y），函數(shù)f可以采用矩陣法。矩陣法的原理是：X={x,X，…，X，…，x},1<i<m，X.為正整數(shù)，TOC\o"1-5"\h\z1 2 i m iy={y,y，…，y，…，y},1<y<n，y.為正整數(shù)，1 2 j n j以要素x和要素y的取值構(gòu)建一個二維矩陣，如表A.1所示。矩陣行值為要素y的所有取值，矩陣列值為要素x的所有取值。矩陣內(nèi)mxn個值即為要素z的取值，z={z,z，…,z，…,z},1<i<m,1<j<n，z為正整數(shù)。11 12ijmn ij表A.1yyxy2…yj…ynXX1Z]]Z12…Z]j…Z1nx2Z21Z22…Z2j…Z2n…X.Z.]Zi2…Zij…Zin…XmZm1Zml…Zmj…Zmn對于％的計(jì)算，可以采取以下計(jì)算公式，z.=X+y.，或7而二七x七，或Z.=axx+Pxy.，其中a和p為正常數(shù)。zij的計(jì)算需要根據(jù)實(shí)際情況確定，矩陣內(nèi)Zij值的計(jì)算不一定遵循統(tǒng)一的計(jì)算公式，但必須具有統(tǒng)一的增減趨勢，即如果f是遞增函數(shù)，Z值應(yīng)隨著X與y的值遞增，反之亦然。ij ij矩陣法的特點(diǎn)在于通過構(gòu)造兩兩要素計(jì)算矩陣，可以清晰羅列要素的變化趨勢，具備良好靈活性。在風(fēng)險(xiǎn)值計(jì)算中，通常需要對兩個要素確定的另一個要素值進(jìn)行計(jì)算，例如由威脅和脆弱性確定安全事件發(fā)生可能性值、由資產(chǎn)和脆弱性確定安全事件的損失值等，同時需要整體掌握風(fēng)險(xiǎn)值的確定，因此矩陣法在風(fēng)險(xiǎn)分析中得到廣泛采用。A.1.2計(jì)算示例本節(jié)中，基于本指南5.6.1節(jié)風(fēng)險(xiǎn)計(jì)算原理，具體說明使用矩陣法計(jì)算風(fēng)險(xiǎn)的過程。1、條件共有三個重要資產(chǎn)，資產(chǎn)A1、資產(chǎn)A2和資產(chǎn)A3；資產(chǎn)A1面臨兩個主要威脅，威脅T1和威脅T2；資產(chǎn)A2面臨一個主要威脅，威脅T3；資產(chǎn)A3面臨兩個主要威脅，威脅T4和T5；威脅T1可以利用的資產(chǎn)A1存在的兩個脆弱性，脆弱性V1和脆弱性V2；威脅T2可以利用的資產(chǎn)A1存在的三個脆弱性，脆弱性V3、脆弱性V4和脆弱性V5；威脅T3可以利用的資產(chǎn)A2存在的兩個脆弱性，脆弱性V6和脆弱性V7；威脅T4可以利用的資產(chǎn)A3存在的一個脆弱性，脆弱性V8；威脅T5可以利用的資產(chǎn)A3存在的一個脆弱性，脆弱性V9。資產(chǎn)價(jià)值分別是：資產(chǎn)A1=2，資產(chǎn)A2=3，資產(chǎn)A3=4；威脅發(fā)生頻率分別是：威脅T1=2，威脅