CISP0302信息安全風險管理 課件

信息安全風險管理吳金本：3.0發(fā)布日期：2014-12-1生效日期：2015-1-1信息安全風險管理吳金城版本：3.0課程內(nèi)容2知識體知識域知識子域信息安全風險管理信息安全風險管理主要內(nèi)容信息安全風險管理的基本內(nèi)容和過程信息安全風險管理概述風險相關(guān)基本概念信息系統(tǒng)生命周期與信息安全風險管理信息安全風險管理基礎(chǔ)信息安全風險相關(guān)政策與標準信息安全風險評估風險評估工作形式風險評估方法風險評估的實施流程風險評估工具課程內(nèi)容2知識體知識域知識子域信息安全信息安全風險信息安全風知識域：信息安全風險管理基礎(chǔ)知識子域：風險相關(guān)基礎(chǔ)概念理解風險的概念，理解資產(chǎn)、威脅、脆弱性、業(yè)務(wù)戰(zhàn)略、安全事件、安全需求、安全措施等風險相關(guān)概念理解風險準則、風險評估、風險處理、風險管理、殘余風險的概念，掌握信息安全風險評估的概念理解風險相關(guān)要素之間的關(guān)系3知識域：信息安全風險管理基礎(chǔ)知識子域：風險相關(guān)基礎(chǔ)概念3風險，指事態(tài)的概率及其結(jié)果的組合

（——GB/Z24364-2009《信息安全風險管理指南》）信息安全風險，指人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響（——GB/T20984-2007《信息安全風險評估規(guī)范》）信息安全風險會破壞組織信息資產(chǎn)的保密性、完整性或可用性等屬性風險、信息安全風險的概念4風險，指事態(tài)的概率及其結(jié)果的組合（——GB/Z2436風險的構(gòu)成包括五個方面：起源（威脅源）、方式（威脅行為）、途徑（脆弱性）、受體（資產(chǎn)）和后果（影響）風險的構(gòu)成5風險的構(gòu)成包括五個方面：起源（威脅源）、方式（威脅行為）、途風險相關(guān)術(shù)語資產(chǎn)（Asset）威脅（Threat）脆弱性（Vunerability）可能性（Likelihood,Probability）安全措施/控制措施（Countermeasure,safeguard,control）6業(yè)務(wù)戰(zhàn)略安全事件安全需求風險準則風險評估風險處理風險管理殘余風險（ResidentalRisk）信息安全風險評估風險相關(guān)術(shù)語資產(chǎn)（Asset）6業(yè)務(wù)戰(zhàn)略資產(chǎn)資產(chǎn)是任何對組織有價值的東西，是要保護的對象資產(chǎn)以多種形式存在（多種分類方法）物理的（如計算設(shè)備、網(wǎng)絡(luò)設(shè)備和存儲介質(zhì)等）和邏輯的（如體系結(jié)構(gòu)、通信協(xié)議、計算程序和數(shù)據(jù)文件等）硬件的（如計算機主板、機箱、顯示器、鍵盤和鼠標等）和軟件的（如操作系統(tǒng)軟件、數(shù)據(jù)庫管理軟件、工具軟件和應(yīng)用軟件等）有形的（如機房、設(shè)備和人員等）和無形的（如品牌、信心和名譽等）靜態(tài)的（如設(shè)施和規(guī)程等）和動態(tài)的（如人員和過程等）技術(shù)的（如計算機硬件、軟件和固件等）和管理的（如業(yè)務(wù)目標、戰(zhàn)略、策略、規(guī)程、過程、計劃和人員等）等7資產(chǎn)資產(chǎn)是任何對組織有價值的東西，是要保護的對象7威脅可能導致對系統(tǒng)或組織危害的不希望事故潛在起因引起風險的外因威脅源采取恰當?shù)耐{方式才可能引發(fā)風險威脅舉例操作失誤濫用授權(quán)行為抵賴身份假冒口令攻擊密鑰分析8漏洞利用拒絕服務(wù)竊取數(shù)據(jù)物理破壞社會工程威脅可能導致對系統(tǒng)或組織危害的不希望事故潛在起因8脆弱性可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)造成風險的內(nèi)因脆弱性本身并不對資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時，脆弱性會被威脅源利用恰當?shù)耐{方式對信息資產(chǎn)造成危害脆弱性舉例系統(tǒng)程序代碼缺陷系統(tǒng)設(shè)備安全配置錯誤系統(tǒng)操作流程有缺陷維護人員安全意識不足9脆弱性可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)9可能性某件事發(fā)生的機會威脅源利用脆弱性造成不良后果的機會舉例脆弱性只有國家級測試人員采用專業(yè)工具才能利用，發(fā)生不良后果的機會很小系統(tǒng)存在漏洞，但只在與互聯(lián)網(wǎng)物理隔離的局域網(wǎng)運行，發(fā)生不良后果的機會較小互聯(lián)網(wǎng)公開漏洞且有相應(yīng)的測試工具，發(fā)生不良后果的機會很大10可能性某件事發(fā)生的機會10對風險概念的理解威脅源采用某種威脅方式利用脆弱性造成不良后果的可能性網(wǎng)站存在SQL注入漏洞，普通攻擊者利用自動化攻擊工具很容易控制網(wǎng)站，修改網(wǎng)站內(nèi)容，從而損害國家政府部門聲譽11威脅源威脅方式脆弱性風險采取利用造成對風險概念的理解威脅源采用某種威脅方式利用脆弱性造成不良后果對信息安全風險的理解信息安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的信息相關(guān)資產(chǎn)損失或損害的可能性信息安全風險是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性信息安全風險只考慮那些對組織有負面影響的事件12對信息安全風險的理解信息安全風險是指一種特定的威脅利用一種或信息安全風險評估13是依據(jù)有關(guān)信息安全技術(shù)與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響信息安全風險評估13是依據(jù)有關(guān)信息安全技術(shù)與管理標準，對信息風險處理、風險管理14風險處理是選擇并且執(zhí)行措施來更改風險的過程風險管理是識別、控制、消除或最小化可能影響系統(tǒng)資源不確定因素的過程風險處理、風險管理14風險處理是選擇并且執(zhí)行措施來更改風險的安全措施/控制措施保護資產(chǎn)，抵御威脅，減少脆弱性，降低安全事件的影響，以及打擊信息犯罪而實施的各種實踐、規(guī)程和機制，它是管理風險的具體手段和方法根據(jù)安全需求部署，用來防范威脅，降低風險的措施舉例部署防火墻、入侵檢測、審計系統(tǒng)測試環(huán)節(jié)操作審批環(huán)節(jié)應(yīng)急體系終端U盤管理制度15安全措施/控制措施保護資產(chǎn)，抵御威脅，減少脆弱性，降低安全事殘余風險采取了安全措施后，信息系統(tǒng)仍然可能存在的風險有些殘余風險是在綜合考慮了安全成本與效益后不去控制的風險殘余風險應(yīng)受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件舉例風險列表中有10項風險，根據(jù)風險成本效益分析，只有前8項需要控制，則前8項處理后剩余的風險加上另2項風險為殘余風險，一段時間內(nèi)系統(tǒng)處于風險可接受水平16殘余風險采取了安全措施后，信息系統(tǒng)仍然可能存在的風險16風險相關(guān)要素之間的關(guān)系17風險相關(guān)要素之間的關(guān)系17知識域：信息安全風險管理基礎(chǔ)知識子域：信息安全風險管理概述理解實施風險管理的主要原則理解風險管理的范圍和對象18知識域：信息安全風險管理基礎(chǔ)知識子域：信息安全風險管理概述實施風險管理的主要原則風險管理創(chuàng)造和保護價值風險管理是所有組織過程不可分割的一個部分，促進組織的持續(xù)改進風險管理是透明的，參與人員應(yīng)包含廣泛，同時考慮人員和文化因素風險管理是定制的，并具有體系化、結(jié)構(gòu)化的特點風險管理是動態(tài)的、反復的和響應(yīng)變化的19實施風險管理的主要原則風險管理創(chuàng)造和保護價值19風險管理的范圍和對象信息安全的概念涵蓋了信息、信息載體和信息環(huán)境三個方面的安全信息載體指承載信息的媒介，即用于記錄、傳輸、積累和保存信息的實體，如紙張、硬盤、網(wǎng)線等信息環(huán)境指信息及信息載體所處的環(huán)境，包括物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺等硬環(huán)境和軟環(huán)境信息安全風險管理涉及信息安全上述三個方面包含的所有相關(guān)對象對于一個具體的信息系統(tǒng)，風險管理選擇的范圍和對象重點應(yīng)有所不同20風險管理的范圍和對象信息安全的概念涵蓋了信息、信息載體和信息知識域：信息安全風險管理基礎(chǔ)知識子域：信息安全風險相關(guān)政策與標準了解我國有關(guān)信息安全風險管理的政策要求了解信息安全風險管理相關(guān)的國內(nèi)外標準21知識域：信息安全風險管理基礎(chǔ)知識子域：信息安全風險相關(guān)政策我國有關(guān)信息安全風險管理的政策要求《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)［2003］27號）明確提出要重視信息安全風險評估工作，將風險評估作為提高我國信息安全保障水平的一項重要舉措《關(guān)于開展信息安全風險評估工作的意見》（國信辦[2006]5號），就信息安全風險評估工作的基本內(nèi)容和原則，以及開展信息安全風險評估工作的有關(guān)安排等做出規(guī)定和部署《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知》（發(fā)改高技[2008]2071號），規(guī)范了國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作22我國有關(guān)信息安全風險管理的政策要求《國家信息化領(lǐng)導小組關(guān)于加《關(guān)于開展信息安全風險評估工作的意見》（國信辦[2006]5號）的實施要求

信息安全風險評估工作應(yīng)當貫穿信息系統(tǒng)全生命周期。規(guī)劃設(shè)計階段、驗收時均應(yīng)實施風險評估；運行后應(yīng)定期實施應(yīng)通過信息安全風險評估為信息系統(tǒng)確定安全等級提供依據(jù)，根據(jù)風險評估的結(jié)果檢驗網(wǎng)絡(luò)與信息系統(tǒng)的防護水平是否符合等級保護的要求23《關(guān)于開展信息安全風險評估工作的意見》（國信辦[2006]《關(guān)于開展信息安全風險評估工作的意見》（國信辦[2006]5號）的管理要求

為規(guī)避由于風險評估工作而引入新的安全風險，必須高度重視信息安全風險評估的組織管理工作。要求：參與信息安全風險評估工作的單位及其有關(guān)人員必須遵守國家有關(guān)信息安全的法律法規(guī)，并承擔相應(yīng)的責任和義務(wù)風險評估工作的發(fā)起方必須采取相應(yīng)保密措施，并與參與評估的有關(guān)單位或人員簽訂具有法律約束力的保密協(xié)議對關(guān)系國計民生和社會穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風險評估工作必須遵循國家的有關(guān)規(guī)定進行24《關(guān)于開展信息安全風險評估工作的意見》（國信辦[2006]5《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知》（發(fā)改高技【2008】2071號）電子政務(wù)工程建設(shè)項目應(yīng)開展信息安全風險評估工作項目建設(shè)單位應(yīng)在試運行期間開展風險評估工作，作為項目驗收的重要依據(jù)項目驗收申請時，應(yīng)提交信息安全風險評估報告系統(tǒng)投入運行后，應(yīng)定期開展信息安全風險評估25《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知信息安全風險管理相關(guān)的國內(nèi)外標準GB/T20984-2007《信息安全風險評估規(guī)范》GB/Z24364-2009《信息安全風險管理指南》ISO/IEC27005:2011《信息安全風險管理》ISOGUIDE73:2009《風險管理－術(shù)語》ISO31000:2009《風險管理－主要原則和指南》IEC/ISO31010:2009《風險管理－風險評估技術(shù)》NISTSP800-30(2012)《實施風險評估指南》NISTSP800-39(2011)《管理信息安全風險：組織、使命和信息系統(tǒng)梗概》NISTSP800-37(2010)《聯(lián)邦信息系統(tǒng)應(yīng)用風險管理框架指南：安全生命周期方法》NISTSP800-53(2010)《為聯(lián)邦信息系統(tǒng)和組織推薦的安全控制措施》NISTSP800-53A(2010)《聯(lián)邦信息系統(tǒng)和組織安全控制措施評估指南：建立有效的安全評估計劃》26信息安全風險管理相關(guān)的國內(nèi)外標準GB/T20984-200知識域：信息安全風險管理主要內(nèi)容知識子域：信息安全風險管理的基本內(nèi)容和過程理解背景建立的主要工作內(nèi)容理解風險評估的主要工作內(nèi)容理解風險處理的主要工作內(nèi)容理解批準監(jiān)督的主要工作內(nèi)容理解監(jiān)控審查的主要工作內(nèi)容理解溝通咨詢的主要工作內(nèi)容27知識域：信息安全風險管理主要內(nèi)容知識子域：信息安全風險管理信息安全風險管理工作內(nèi)容背景建立風險評估風險處理批準監(jiān)督監(jiān)控審查溝通咨詢GB/Z24364《信息安全風險管理指南》：四個階段，兩個貫穿

28信息安全風險管理工作內(nèi)容背景建立風險評估風險處理批準監(jiān)督監(jiān)控背景建立背景建立是信息安全風險管理的第一步驟，確定風險管理的對象和范圍，確立實施風險管理的準備，進行相關(guān)信息的調(diào)查和分析風險管理準備：確定對象、組建團隊、制定計劃、獲得支持信息系統(tǒng)調(diào)查：信息系統(tǒng)的業(yè)務(wù)目標、技術(shù)和管理上的特點信息系統(tǒng)分析：信息系統(tǒng)的體系結(jié)構(gòu)、關(guān)鍵要素信息安全分析：分析安全要求、分析安全環(huán)境29背景建立背景建立是信息安全風險管理的第一步驟，確定風險管理的背景建立過程30背景建立過程30風險評估信息安全風險管理要依靠風險評估的結(jié)果來確定隨后的風險處理和批準監(jiān)督活動風險評估準備：制定風險評估方案、選擇評估方法風險要素識別：發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱性和控制措施風險分析：判斷風險發(fā)生的可能性和影響的程度風險結(jié)果判定：綜合分析結(jié)果判定風險等級31風險評估信息安全風險管理要依靠風險評估的結(jié)果來確定隨后的風險風險評估過程32風險評估過程32風險處理風險處理是為了將風險始終控制在可接受的范圍內(nèi)。現(xiàn)存風險判斷：判斷信息系統(tǒng)中哪些風險可以接受，哪些不可以處理目標確認：不可接受的風險需要控制到怎樣的程度處理措施選擇：選擇風險處理方式，確定風險控制措施處理措施實施：制定具體安全方案，部署控制措施33風險處理風險處理是為了將風險始終控制在可接受的范圍內(nèi)。33風險處理過程

34風險處理過程

34減低風險轉(zhuǎn)移風險規(guī)避風險接受風險常用的四類風險處置方法

35減低風險常用的四類風險處置方法

35減低風險通過對面臨風險的資產(chǎn)采取保護措施來降低風險首先應(yīng)當考慮的風險處置措施，通常在安全投入小于負面影響價值的情況下采用保護措施可以從構(gòu)成風險的五個方面（即威脅源、威脅行為、脆弱性、資產(chǎn)和影響）來降低風險36減低風險通過對面臨風險的資產(chǎn)采取保護措施來降低風險36減低風險的具體辦法減少威脅源采用法律的手段制裁計算機犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動機減低威脅能力采取身份認證措施，從而抵制身份假冒這種威脅行為的能力減少脆弱性及時給系統(tǒng)打補丁，關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性防護資產(chǎn)采用各種防護措施，建立資產(chǎn)的安全域，從而保證資產(chǎn)不受侵犯，其價值得到保持降低負面影響采取容災(zāi)備份、應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)計劃等措施，從而減少安全事件造成的影響程度37減低風險的具體辦法減少威脅源37轉(zhuǎn)移風險通過將面臨風險的資產(chǎn)或其價值轉(zhuǎn)移到更安全的地方來避免或降低風險通常只有當風險不能被降低或避免、且被第三方（被轉(zhuǎn)嫁方）接受時才被采用。一般用于那些低概率、但一旦風險發(fā)生時會對組織產(chǎn)生重大影響的風險38購買保險服務(wù)外包轉(zhuǎn)移風險通過將面臨風險的資產(chǎn)或其價值轉(zhuǎn)移到更安全的地方來避免規(guī)避風險通過不使用面臨風險的資產(chǎn)來避免風險。比如：在沒有足夠安全保障的信息系統(tǒng)中，不處理特別敏感的信息，從而防止敏感信息的泄漏對于只處理內(nèi)部業(yè)務(wù)的信息系統(tǒng)，不使用互聯(lián)網(wǎng)，從而避免外部的有害入侵和不良攻擊通常在風險的損失無法接受，又難以通過控制措施減低風險的情況下39規(guī)避風險通過不使用面臨風險的資產(chǎn)來避免風險。比如：39接受風險接受風險是選擇對風險不采取進一步的處理措施，接受風險可能帶來的結(jié)果用于那些在采取了降低風險和避免風險措施后，出于實際和經(jīng)濟方面的原因，只要組織進行運營，就必然存在并必須接受的風險接受風險不意味著不聞不問，需要對風險態(tài)勢變化進行持續(xù)的監(jiān)控，一旦發(fā)展為無法接受的風險就要進一步采取措施40接受風險接受風險是選擇對風險不采取進一步的處理措施，接受風險批準監(jiān)督批準：是指機構(gòu)的決策層依據(jù)風險評估和風險處理的結(jié)果是否滿足信息系統(tǒng)的安全要求，做出是否認可風險管理活動的決定監(jiān)督：是指檢查機構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無變化，監(jiān)督變化因素是否有可能引入新風險41批準監(jiān)督批準：是指機構(gòu)的決策層依據(jù)風險評估和風險處理的結(jié)果是批準監(jiān)督過程

42批準監(jiān)督過程

42監(jiān)控審查的意義監(jiān)控與審查可以及時發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化、偏差和延誤等問題，并采取適當?shù)拇胧┻M行控制和糾正，從而減少因此造成的損失，保證信息安全風險管理主循環(huán)的有效性43類似信息系統(tǒng)工程中的監(jiān)理監(jiān)控審查的意義監(jiān)控與審查可以及時發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化監(jiān)控審查過程

44監(jiān)控審查過程

44溝通咨詢通過暢通的交流和充分的溝通，保持行動的協(xié)調(diào)和一致；通過有效的培訓和方便的咨詢，保證行動者具有足夠的知識和技能，就是溝通咨詢的意義所在溝通咨詢與領(lǐng)導溝通，以得到理解和批準單位內(nèi)部各有關(guān)部門相互溝通，以得到理解和協(xié)作與支持單位和系統(tǒng)用戶溝通，以得到了解和支持

為所有層面的相關(guān)人員提供咨詢和培訓等，以提高人員的安全意識、知識和技能45溝通咨詢通過暢通的交流和充分的溝通，保持行動的協(xié)調(diào)和一致；通溝通咨詢過程46溝通咨詢過程46知識域：信息安全風險管理主要內(nèi)容知識子域：信息系統(tǒng)使命周期與信息安全風險管理理解信息系統(tǒng)生命周期與信息安全風險管理的關(guān)系理解系統(tǒng)規(guī)劃階段的風險管理工作內(nèi)容理解系統(tǒng)設(shè)計階段的風險管理工作內(nèi)容理解系統(tǒng)實施階段的風險管理工作內(nèi)容理解系統(tǒng)運行維護階段的風險管理工作內(nèi)容理解系統(tǒng)廢棄階段的風險管理工作內(nèi)容47知識域：信息安全風險管理主要內(nèi)容知識子域：信息系統(tǒng)使命周期信息系統(tǒng)生命周期與信息安全風險管理的關(guān)系信息系統(tǒng)生命周期的每個階段，有不同的信息安全目標為了達到其安全目標，每一階段都需要相應(yīng)的風險管理手段作為支持

信息安全目標就是要實現(xiàn)信息系統(tǒng)的基本安全特性（即信息安全基本屬性），并達到所需的保障級別48信息系統(tǒng)生命周期與信息安全風險管理的關(guān)系信息系統(tǒng)生命周期的每規(guī)劃設(shè)計實施運維廢棄系統(tǒng)規(guī)劃階段的安全目標49明確信息系統(tǒng)安全建設(shè)的目的,對信息系統(tǒng)安全建設(shè)實現(xiàn)的可能性進行分析論證并設(shè)計出總體安全規(guī)劃方案為了保證安全目標的實現(xiàn)，需要對信息系統(tǒng)規(guī)劃階段中可能引入安全風險的環(huán)節(jié)進行風險管理，從而降低在項目后期處理相同安全風險所帶來的高額成本規(guī)劃設(shè)計實施運維廢棄系統(tǒng)規(guī)劃階段的安全目標49序號風險管理活動風險管理工作內(nèi)容1明確安全總體方針背景建立2安全需求分析背景建立4風險評估準則達成一致風險評估5安全實現(xiàn)論證分析風險處理、批準監(jiān)督系統(tǒng)規(guī)劃階段的信息安全風險管理50序號風險管理活動風險管理工作內(nèi)容1明確安全總體方針背景建立2系統(tǒng)設(shè)計階段的安全目標51規(guī)劃設(shè)計實施運維廢棄依據(jù)規(guī)劃階段輸出的總體安全規(guī)劃方案來設(shè)計信息系統(tǒng)安全的實現(xiàn)結(jié)構(gòu)（包括功能劃分、接口協(xié)議和性能指標等）和實施方案（包括實現(xiàn)技術(shù)、設(shè)備選型和系統(tǒng)集成等）在設(shè)計信息系統(tǒng)的實現(xiàn)結(jié)構(gòu)和實施方案時，在技術(shù)的選擇、配合、管理等眾多的環(huán)節(jié)均容易引入安全風險，因此對關(guān)鍵的環(huán)節(jié)應(yīng)提出必要的安全要求并有針對性地進行安全風險管理系統(tǒng)設(shè)計階段的安全目標51規(guī)劃設(shè)計實施運維廢棄系統(tǒng)設(shè)計階段的信息安全風險管理序號風險管理活動風險管理工作內(nèi)容1設(shè)計方案分析論證背景建立、風險評估2安全技術(shù)選擇風險處理3安全產(chǎn)品選擇風險處理4自開發(fā)軟件設(shè)計風險處理風險處理52系統(tǒng)設(shè)計階段的信息安全風險管理序號風險管理活動風險管理工作系統(tǒng)實施階段的安全目標53規(guī)劃設(shè)計實施運維廢棄按照規(guī)劃和設(shè)計階段所定義的信息系統(tǒng)安全實施方案采購設(shè)備和軟件，開發(fā)定制功能集成、部署、配置和測試信息系統(tǒng)的安全機制培訓人員對是否允許系統(tǒng)投入運行進行批準監(jiān)督系統(tǒng)實施階段的安全目標53規(guī)劃設(shè)計實施運維廢棄系統(tǒng)實施階段的信息安全風險管理序號風險管理活動風險管理工作內(nèi)容1安全測試風險評估2檢查與配置風險處理3人員培訓風險處理4授權(quán)系統(tǒng)運行批準監(jiān)督54系統(tǒng)實施階段的信息安全風險管理序號風險管理活動風險管理工作在信息系統(tǒng)經(jīng)過授權(quán)投入運行之后，確保在運行過程中，以及信息系統(tǒng)或其運行環(huán)境發(fā)生變化時維持系統(tǒng)的正常運行和安全性系統(tǒng)運維階段的安全目標55規(guī)劃設(shè)計實施運維廢棄系統(tǒng)運維階段的安全目標55規(guī)劃設(shè)計實施運維廢棄系統(tǒng)運維階段的信息安全風險管理序號風險管理活動風險管理工作內(nèi)容1安全運行和管理風險評估、風險處理2變更管理風險評估、風險處理3風險再評估風險評估、風險處理4定期重新審批批準監(jiān)督56系統(tǒng)運維階段的信息安全風險管理序號風險管理活動風險管理工作確保對信息系統(tǒng)的過時或無用部分進行安全報廢處理，防止信息系統(tǒng)的安全要求和安全功能遭到破壞系統(tǒng)廢棄階段的安全目標57規(guī)劃設(shè)計實施運維廢棄系統(tǒng)廢棄階段的安全目標57規(guī)劃設(shè)計實施運維廢棄信息系統(tǒng)廢棄階段的風險管理序號風險管理活動風險管理工作內(nèi)容1確定廢棄對象背景建立2廢棄對象的風險評估風險評估3廢棄過程的風險處理風險處理4廢棄后的評審批準監(jiān)督58信息系統(tǒng)廢棄階段的風險管理序號風險管理活動風險管理工作內(nèi)容1知識域：信息安全風險評估知識子域：風險評估工作形式理解自評估和檢查評估的風險評估工作形式理解自評估和檢查評估的區(qū)別及優(yōu)缺點理解風險評估、檢查評估和等級保護測評之間的關(guān)系59知識域：信息安全風險評估知識子域：風險評估工作形式59風險評估工作形式信息安全風險評估分為自評估、檢查評估兩種形式自評估為主，自評估和檢查評估相互結(jié)合、互為補充自評估和檢查評估可依托自身技術(shù)力量進行，也可委托第三方機構(gòu)提供技術(shù)支持60風險評估工作形式信息安全風險評估分為自評估、檢查評估兩種形式自評估信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估61由發(fā)起方實施優(yōu)點有利于降低實施的費用有利于保密有利于發(fā)揮行業(yè)和部門內(nèi)人員的業(yè)務(wù)特長有利于提高相關(guān)人員的安全意識和評估能力缺點可能結(jié)果不夠深入準確客觀性易受影響由受委托方實施優(yōu)點過程比較規(guī)范客觀性比較好缺點對業(yè)務(wù)了解存在局限性不利于保密自評估信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進行檢查評估信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法開展的風險評估62優(yōu)點具權(quán)威性通過行政手段加強信息安全，具強制性缺點間隔時間較長，難以貫穿信息系統(tǒng)的生命周期一般是以抽樣的方式進行，難以覆蓋全部評估對象檢查評估信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法開展風險評估、檢查評估和等級保護測評之間的關(guān)系等保測評、安全檢查都是在既定安全基線的基礎(chǔ)上開展的符合性測評，其中等保測評是符合國家安全要求的測評，安全檢查是符合行業(yè)主管安全要求的符合性測評而風險評估是在國家、行業(yè)安全要求的基礎(chǔ)上，以被評估系統(tǒng)特定安全要求為目標而開展的風險識別、風險分析、風險評價活動63風險評估、檢查評估和等級保護測評之間的關(guān)系等保測評、安全檢查知識域：信息安全風險評估知識子域：風險評估方法理解定性風險分析方法理解定量風險分析方法，掌握年度預(yù)期損失（ALE）的計算方法理解半定量風險分析方法理解定性和定量風險分析方法的優(yōu)缺點64知識域：信息安全風險評估知識子域：風險評估方法64定性風險分析定性風險分析在風險評價時，往往需要憑借分析者的經(jīng)驗和直覺，或者業(yè)界的標準和慣例，為風險諸要素的大小或高低程度定性分級定性風險分析更具主觀性后果或影響的定性量度（示例）65等級描述

詳細情形1可以忽略無傷害，低財務(wù)損失2

較小立即受控制，中等財務(wù)損失3

中等

受控，高財務(wù)損失4

較大大傷害，失去生產(chǎn)能力有較大財務(wù)損失5災(zāi)難性持續(xù)能力中斷，巨大財務(wù)損失定性風險分析定性風險分析在風險評價時，往往需要憑借分析者的經(jīng)可能性的定性量度（示例）等級描述

詳細情形A幾乎肯定預(yù)期在大多數(shù)情況發(fā)生B很可能在大多數(shù)情況下很可能會發(fā)生C可能在某個時間可能會發(fā)生D不太可能在某個時間能夠發(fā)生E罕見僅在例外的情況下可能發(fā)生定性風險分析66可能性的定性量度（示例）等級描述詳細根據(jù)預(yù)設(shè)的等級劃分規(guī)則判定風險結(jié)果依此類推，得到所有重要資產(chǎn)的風險值，并根據(jù)風險等級劃分表，確定風險等級

可能性

影響可以忽略1較小2中等3較大4災(zāi)難性5A（幾乎肯定）HHEEEB（很可能）MHHEEC(可能）LMHEED（不太可能）LLMHEE（罕見）LLMHHE：極度風險H：高風險M：中等風險L:低風險定性風險分析——矩陣法67根據(jù)預(yù)設(shè)的等級劃分規(guī)則判定風險結(jié)果定量風險分析定量風險分析試圖是在風險評估與成本效益分析期間收集的各個組成部分計算客觀數(shù)字值，定量風險分析更具客觀性例如，用替換成本、生產(chǎn)率損失成本、品牌名譽成本以及其他直接和間接商業(yè)價值來估計各項資產(chǎn)的真實價值定量分析主要試圖從財務(wù)數(shù)字上對安全風險進行評估，得出可以量化的風險分析結(jié)果，準確度量風險的可能性和損失量因為定量分析處理數(shù)字和金額價值，它必須有公式68定量風險分析定量風險分析試圖是在風險評估與成本效益分析期間收定量風險分析——年度預(yù)期損失法步驟1-評估資產(chǎn)：根據(jù)資產(chǎn)價值（AV）清單,計算資產(chǎn)總價值及資產(chǎn)損失對財務(wù)的直接和間接影響步驟2-確定單一預(yù)期損失SLESLE是指發(fā)生一次風險引起的收入損失總額SLE是分配給單個事件的金額，代表一個具體威脅利用漏洞時將面臨的潛在損失（SLE類似于定性風險分析的影響）將資產(chǎn)價值與暴露系數(shù)相乘(EF)計算出SLE。暴露系數(shù)表示為現(xiàn)實威脅對某個資產(chǎn)造成的損失百分比步驟3-確定年發(fā)生率AROARO是一年中風險發(fā)生的次數(shù)69定量風險分析——年度預(yù)期損失法步驟1-評估資產(chǎn)：根據(jù)資產(chǎn)步驟4-確定年預(yù)期損失ALEALE是不采取任何減輕風險的措施在一年中可能損失的總金額。SLE乘以ARO即可計算出該值（ALE類似于定性風險分析的相對級別）步驟5-確定控制成本控制成本就是為了規(guī)避企業(yè)所存在風險的發(fā)生而應(yīng)投入的費用步驟6-安全投資收益ROSIROSI=(實施控制前的ALE）–（實施控制后的ALE） –（年控制成本）70定量風險分析——年度預(yù)期損失法（續(xù)）步驟4-確定年預(yù)期損失ALE70定量風險分析——年度預(yù)期定性分析與定量分析71

定量定性優(yōu)點結(jié)果可用貨幣值和具體數(shù)據(jù)（如百分比）來表達按財務(wù)影響確定風險優(yōu)先級；按財務(wù)價值確定資產(chǎn)優(yōu)先級通過安全投資收益分析推動風險管理隨著組織建立的歷史數(shù)據(jù)記錄而獲得經(jīng)驗，其精確度將隨時間的推移而提高可以對風險的處置排定優(yōu)先順序更容易達成一致意見無需量化威脅頻率無需確定資產(chǎn)的財務(wù)價值更便于非安全或計算機專業(yè)人員的參與缺點分配給風險的影響值以參與者的主觀意見為基礎(chǔ)達成可靠結(jié)果和一致意見的流程非常耗時計算可能會非常復雜且耗時流程專業(yè)技術(shù)性強，參與者若未獲指導則無法輕松執(zhí)行流程在重要的風險之間沒有足夠的區(qū)別沒有為成本效益分析，難以證明投資控制措施是否正確結(jié)果取決于風險管理團隊的素質(zhì)、經(jīng)驗和知識技能定性分析與定量分析71

定量定性優(yōu)點結(jié)果可用貨幣值和具體數(shù)據(jù)在風險分析過程中綜合使用定性和定量風險分析技術(shù)對風險要素賦值的方式，實現(xiàn)對風險各要素的度量數(shù)值化在實際的風險分析活動中，經(jīng)常采用半定量的風險分析方法72半定量風險分析在風險分析過程中綜合使用定性和定量風險分析技術(shù)對風險要素賦值半定量風險分析——相乘法73

可能性影響可以忽略1較小2中等3較大4災(zāi)難性55（幾乎肯定）5101520254（很可能）481216203(可能）36912152（不太可能）2468101（罕見）12345半定量風險分析——相乘法73影響可以忽略較小中等較大災(zāi)難性知識域：信息安全風險評估知識子域：風險評估的實施流程掌握風險評估準備階段的工作內(nèi)容掌握風險要素識別階段的工作內(nèi)容掌握風險分析階段的工作內(nèi)容和工作步驟掌握風險結(jié)果判定階段的工作內(nèi)容74知識域：信息安全風險評估知識子域：風險評估的實施流程74風險評估準備風險要素識別風險分析風險結(jié)果判定75風險評估實施流程風險評估準備75風險評估實施流程76風險評估準備76風險評估準備77風險要素識別77風險要素識別78資產(chǎn)識別資產(chǎn)識別在整個風險評估中起什么作用？兩點：是整個風險評估工作的起點和終點資產(chǎn)識別的重點和難點是什么？一線：業(yè)務(wù)戰(zhàn)略→信息化戰(zhàn)略→系統(tǒng)特征（管理/技術(shù)）資產(chǎn)識別的方法有哪些？資產(chǎn)分類：樹狀法。自然形態(tài)分類（勾畫資產(chǎn)樹：管理、技術(shù)…逐步往下細化）；信息形態(tài)分類（信息環(huán)境、信息載體、信息）78資產(chǎn)識別資產(chǎn)識別在整個風險評估中起什么作用？79按信息形態(tài)分類79按信息形態(tài)分類資產(chǎn)識別80資產(chǎn)識別8081威脅識別威脅識別與資產(chǎn)識別是何關(guān)系？點和面：重點識別和全面識別威脅識別的重點和難點是什么？三問：“敵人”在哪兒？效果如何？如何取證？威脅識別的方法有哪些？日志分析歷史安全事件專家經(jīng)驗互聯(lián)網(wǎng)信息檢索81威脅識別威脅識別與資產(chǎn)識別是何關(guān)系？點和威脅分類分為：人為故意威脅威脅意圖評估、威脅能力評估、操作限制評估、威脅源特點評估人為非故意威脅判定威脅源、評估威脅源特點、評估威脅源環(huán)境、評估事故發(fā)生時間自然威脅地震、海嘯、洪水82威脅分類分為：8283脆弱性識別脆弱性識別的難點是什么？三性：隱蔽性、欺騙性、復雜性脆弱性識別的方法有哪些？脆弱性分類管理脆弱性（如缺少管理制度）結(jié)構(gòu)脆弱性（如安全域劃分不當）操作脆弱性（如安全審計員業(yè)務(wù)生疏）技術(shù)脆弱性（如系統(tǒng)有bug）物理脆弱性（如一層的窗子沒有防護欄）脆弱性識別與威脅識別是何關(guān)系？驗證：以資產(chǎn)為對象，對威脅識別進行驗證83脆弱性識別脆弱性識別的難點是什么？三性：隱脆弱性識別內(nèi)容84脆弱性識別內(nèi)容84常見脆弱性識別工作方式85脆弱性識別方式工作對象安全配置核查服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端、中間件、應(yīng)用軟件漏洞掃描主機、應(yīng)用程序滲透測試系統(tǒng)各個層面安全架構(gòu)分析系統(tǒng)各個層面數(shù)據(jù)流分析網(wǎng)絡(luò)中的數(shù)據(jù)流訪談管理人員及系統(tǒng)開發(fā)、運維技術(shù)人員......常見脆弱性識別工作方式85脆弱性識別方式工作對象安全配置核查確認已有的安全控制考慮：預(yù)防性措施檢測性措施糾正性措施威懾性措施86確認已有的安全控制考慮：8687風險分析87風險分析風險分析GB/T20984-2007《信息安全風險評估規(guī)范》給出信息安全風險分析思路

88風險值=R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va））R表示安全風險計算函數(shù)A表示資產(chǎn)T表示威脅V表示脆弱性Ia表示安全事件所作用的資產(chǎn)價值Va表示脆弱性嚴重程度L表示威脅利用資產(chǎn)的脆弱性導致安全事件的可能性F表示安全事件發(fā)生后造成的損失風險分析GB/T20984-2007《信息安全風險評估規(guī)范89風險結(jié)果判定89風險結(jié)果判定知識域：信息安全風險評估知識子域：風險評估工具了解風險評估工具的分類了解常用風險評估工具90知識域：信息安全風險評估知識子域：風險評估工具90風險評估工具風險評估與管理工具一套集成了風險評估各類知識和判據(jù)的管理信息系統(tǒng)，以規(guī)范風險評估的過程和操作方法；或者是用于收集評估所需要的數(shù)據(jù)和資料，基于專家經(jīng)驗，對輸入輸出進行模型分析系統(tǒng)基礎(chǔ)平臺風險評估工具主要用于對信息系統(tǒng)的主要部件（如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備等）的脆弱性進行分析，或?qū)嵤┗诖嗳跣缘墓麸L險評估輔助工具實現(xiàn)對數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢分析等單項功能，為風險評估各要素的賦值、定級提供依據(jù)91風險評估工具風險評估與管理工具9192風險評估工具風險評估與管理工具基于標準的工具，如基于NISTSP800-30或ISO27005開發(fā)的工具基于知識的工具，綜合各種風險分析方法，形成知識庫，以此為基礎(chǔ)完成綜合評估基于模型的工具，對典型系統(tǒng)的資產(chǎn)、威脅、脆弱性建立量化或半量化的模型系統(tǒng)基礎(chǔ)平臺風險評估工具脆弱性掃描工具：基于網(wǎng)絡(luò)的掃描器、基于主機的掃描器、分布式網(wǎng)絡(luò)掃描器、數(shù)據(jù)庫脆弱性掃描器滲透性測試工具：黑客工具、腳本文件風險評估輔助工具檢查列表、入侵檢測系統(tǒng)、安全審計工具、拓撲發(fā)現(xiàn)工具和資產(chǎn)信息收集系統(tǒng)，用于評估過程參考的評估指標庫、知識庫、漏洞庫、算法庫和模型庫92風險評估工具風險評估與管理工具謝謝，請?zhí)釂栴}！謝謝，請?zhí)釂栴}！信息安全風險管理吳金本：3.0發(fā)布日期：2014-12-1生效日期：2015-1-1信息安全風險管理吳金城版本：3.0課程內(nèi)容95知識體知識域知識子域信息安全風險管理信息安全風險管理主要內(nèi)容信息安全風險管理的基本內(nèi)容和過程信息安全風險管理概述風險相關(guān)基本概念信息系統(tǒng)生命周期與信息安全風險管理信息安全風險管理基礎(chǔ)信息安全風險相關(guān)政策與標準信息安全風險評估風險評估工作形式風險評估方法風險評估的實施流程風險評估工具課程內(nèi)容2知識體知識域知識子域信息安全信息安全風險信息安全風知識域：信息安全風險管理基礎(chǔ)知識子域：風險相關(guān)基礎(chǔ)概念理解風險的概念，理解資產(chǎn)、威脅、脆弱性、業(yè)務(wù)戰(zhàn)略、安全事件、安全需求、安全措施等風險相關(guān)概念理解風險準則、風險評估、風險處理、風險管理、殘余風險的概念，掌握信息安全風險評估的概念理解風險相關(guān)要素之間的關(guān)系96知識域：信息安全風險管理基礎(chǔ)知識子域：風險相關(guān)基礎(chǔ)概念3風險，指事態(tài)的概率及其結(jié)果的組合

（——GB/Z24364-2009《信息安全風險管理指南》）信息安全風險，指人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響（——GB/T20984-2007《信息安全風險評估規(guī)范》）信息安全風險會破壞組織信息資產(chǎn)的保密性、完整性或可用性等屬性風險、信息安全風險的概念97風險，指事態(tài)的概率及其結(jié)果的組合（——GB/Z2436風險的構(gòu)成包括五個方面：起源（威脅源）、方式（威脅行為）、途徑（脆弱性）、受體（資產(chǎn)）和后果（影響）風險的構(gòu)成98風險的構(gòu)成包括五個方面：起源（威脅源）、方式（威脅行為）、途風險相關(guān)術(shù)語資產(chǎn)（Asset）威脅（Threat）脆弱性（Vunerability）可能性（Likelihood,Probability）安全措施/控制措施（Countermeasure,safeguard,control）99業(yè)務(wù)戰(zhàn)略安全事件安全需求風險準則風險評估風險處理風險管理殘余風險（ResidentalRisk）信息安全風險評估風險相關(guān)術(shù)語資產(chǎn)（Asset）6業(yè)務(wù)戰(zhàn)略資產(chǎn)資產(chǎn)是任何對組織有價值的東西，是要保護的對象資產(chǎn)以多種形式存在（多種分類方法）物理的（如計算設(shè)備、網(wǎng)絡(luò)設(shè)備和存儲介質(zhì)等）和邏輯的（如體系結(jié)構(gòu)、通信協(xié)議、計算程序和數(shù)據(jù)文件等）硬件的（如計算機主板、機箱、顯示器、鍵盤和鼠標等）和軟件的（如操作系統(tǒng)軟件、數(shù)據(jù)庫管理軟件、工具軟件和應(yīng)用軟件等）有形的（如機房、設(shè)備和人員等）和無形的（如品牌、信心和名譽等）靜態(tài)的（如設(shè)施和規(guī)程等）和動態(tài)的（如人員和過程等）技術(shù)的（如計算機硬件、軟件和固件等）和管理的（如業(yè)務(wù)目標、戰(zhàn)略、策略、規(guī)程、過程、計劃和人員等）等100資產(chǎn)資產(chǎn)是任何對組織有價值的東西，是要保護的對象7威脅可能導致對系統(tǒng)或組織危害的不希望事故潛在起因引起風險的外因威脅源采取恰當?shù)耐{方式才可能引發(fā)風險威脅舉例操作失誤濫用授權(quán)行為抵賴身份假冒口令攻擊密鑰分析101漏洞利用拒絕服務(wù)竊取數(shù)據(jù)物理破壞社會工程威脅可能導致對系統(tǒng)或組織危害的不希望事故潛在起因8脆弱性可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)造成風險的內(nèi)因脆弱性本身并不對資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時，脆弱性會被威脅源利用恰當?shù)耐{方式對信息資產(chǎn)造成危害脆弱性舉例系統(tǒng)程序代碼缺陷系統(tǒng)設(shè)備安全配置錯誤系統(tǒng)操作流程有缺陷維護人員安全意識不足102脆弱性可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)9可能性某件事發(fā)生的機會威脅源利用脆弱性造成不良后果的機會舉例脆弱性只有國家級測試人員采用專業(yè)工具才能利用，發(fā)生不良后果的機會很小系統(tǒng)存在漏洞，但只在與互聯(lián)網(wǎng)物理隔離的局域網(wǎng)運行，發(fā)生不良后果的機會較小互聯(lián)網(wǎng)公開漏洞且有相應(yīng)的測試工具，發(fā)生不良后果的機會很大103可能性某件事發(fā)生的機會10對風險概念的理解威脅源采用某種威脅方式利用脆弱性造成不良后果的可能性網(wǎng)站存在SQL注入漏洞，普通攻擊者利用自動化攻擊工具很容易控制網(wǎng)站，修改網(wǎng)站內(nèi)容，從而損害國家政府部門聲譽104威脅源威脅方式脆弱性風險采取利用造成對風險概念的理解威脅源采用某種威脅方式利用脆弱性造成不良后果對信息安全風險的理解信息安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的信息相關(guān)資產(chǎn)損失或損害的可能性信息安全風險是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性信息安全風險只考慮那些對組織有負面影響的事件105對信息安全風險的理解信息安全風險是指一種特定的威脅利用一種或信息安全風險評估106是依據(jù)有關(guān)信息安全技術(shù)與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響信息安全風險評估13是依據(jù)有關(guān)信息安全技術(shù)與管理標準，對信息風險處理、風險管理107風險處理是選擇并且執(zhí)行措施來更改風險的過程風險管理是識別、控制、消除或最小化可能影響系統(tǒng)資源不確定因素的過程風險處理、風險管理14風險處理是選擇并且執(zhí)行措施來更改風險的安全措施/控制措施保護資產(chǎn)，抵御威脅，減少脆弱性，降低安全事件的影響，以及打擊信息犯罪而實施的各種實踐、規(guī)程和機制，它是管理風險的具體手段和方法根據(jù)安全需求部署，用來防范威脅，降低風險的措施舉例部署防火墻、入侵檢測、審計系統(tǒng)測試環(huán)節(jié)操作審批環(huán)節(jié)應(yīng)急體系終端U盤管理制度108安全措施/控制措施保護資產(chǎn)，抵御威脅，減少脆弱性，降低安全事殘余風險采取了安全措施后，信息系統(tǒng)仍然可能存在的風險有些殘余風險是在綜合考慮了安全成本與效益后不去控制的風險殘余風險應(yīng)受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件舉例風險列表中有10項風險，根據(jù)風險成本效益分析，只有前8項需要控制，則前8項處理后剩余的風險加上另2項風險為殘余風險，一段時間內(nèi)系統(tǒng)處于風險可接受水平109殘余風險采取了安全措施后，信息系統(tǒng)仍然可能存在的風險16風險相關(guān)要素之間的關(guān)系110風險相關(guān)要素之間的關(guān)系17知識域：信息安全風險管理基礎(chǔ)知識子域：信息安全風險管理概述理解實施風險管理的主要原則理解風險管理的范圍和對象111知識域：信息安全風險管理基礎(chǔ)知識子域：信息安全風險管理概述實施風險管理的主要原則風險管理創(chuàng)造和保護價值風險管理是所有組織過程不可分割的一個部分，促進組織的持續(xù)改進風險管理是透明的，參與人員應(yīng)包含廣泛，同時考慮人員和文化因素風險管理是定制的，并具有體系化、結(jié)構(gòu)化的特點風險管理是動態(tài)的、反復的和響應(yīng)變化的112實施風險管理的主要原則風險管理創(chuàng)造和保護價值19風險管理的范圍和對象信息安全的概念涵蓋了信息、信息載體和信息環(huán)境三個方面的安全信息載體指承載信息的媒介，即用于記錄、傳輸、積累和保存信息的實體，如紙張、硬盤、網(wǎng)線等信息環(huán)境指信息及信息載體所處的環(huán)境，包括物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺等硬環(huán)境和軟環(huán)境信息安全風險管理涉及信息安全上述三個方面包含的所有相關(guān)對象對于一個具體的信息系統(tǒng)，風險管理選擇的范圍和對象重點應(yīng)有所不同113風險管理的范圍和對象信息安全的概念涵蓋了信息、信息載體和信息知識域：信息安全風險管理基礎(chǔ)知識子域：信息安全風險相關(guān)政策與標準了解我國有關(guān)信息安全風險管理的政策要求了解信息安全風險管理相關(guān)的國內(nèi)外標準114知識域：信息安全風險管理基礎(chǔ)知識子域：信息安全風險相關(guān)政策我國有關(guān)信息安全風險管理的政策要求《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)［2003］27號）明確提出要重視信息安全風險評估工作，將風險評估作為提高我國信息安全保障水平的一項重要舉措《關(guān)于開展信息安全風險評估工作的意見》（國信辦[2006]5號），就信息安全風險評估工作的基本內(nèi)容和原則，以及開展信息安全風險評估工作的有關(guān)安排等做出規(guī)定和部署《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知》（發(fā)改高技[2008]2071號），規(guī)范了國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作115我國有關(guān)信息安全風險管理的政策要求《國家信息化領(lǐng)導小組關(guān)于加《關(guān)于開展信息安全風險評估工作的意見》（國信辦[2006]5號）的實施要求

信息安全風險評估工作應(yīng)當貫穿信息系統(tǒng)全生命周期。規(guī)劃設(shè)計階段、驗收時均應(yīng)實施風險評估；運行后應(yīng)定期實施應(yīng)通過信息安全風險評估為信息系統(tǒng)確定安全等級提供依據(jù)，根據(jù)風險評估的結(jié)果檢驗網(wǎng)絡(luò)與信息系統(tǒng)的防護水平是否符合等級保護的要求116《關(guān)于開展信息安全風險評估工作的意見》（國信辦[2006]《關(guān)于開展信息安全風險評估工作的意見》（國信辦[2006]5號）的管理要求

為規(guī)避由于風險評估工作而引入新的安全風險，必須高度重視信息安全風險評估的組織管理工作。要求：參與信息安全風險評估工作的單位及其有關(guān)人員必須遵守國家有關(guān)信息安全的法律法規(guī)，并承擔相應(yīng)的責任和義務(wù)風險評估工作的發(fā)起方必須采取相應(yīng)保密措施，并與參與評估的有關(guān)單位或人員簽訂具有法律約束力的保密協(xié)議對關(guān)系國計民生和社會穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風險評估工作必須遵循國家的有關(guān)規(guī)定進行117《關(guān)于開展信息安全風險評估工作的意見》（國信辦[2006]5《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知》（發(fā)改高技【2008】2071號）電子政務(wù)工程建設(shè)項目應(yīng)開展信息安全風險評估工作項目建設(shè)單位應(yīng)在試運行期間開展風險評估工作，作為項目驗收的重要依據(jù)項目驗收申請時，應(yīng)提交信息安全風險評估報告系統(tǒng)投入運行后，應(yīng)定期開展信息安全風險評估118《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知信息安全風險管理相關(guān)的國內(nèi)外標準GB/T20984-2007《信息安全風險評估規(guī)范》GB/Z24364-2009《信息安全風險管理指南》ISO/IEC27005:2011《信息安全風險管理》ISOGUIDE73:2009《風險管理－術(shù)語》ISO31000:2009《風險管理－主要原則和指南》IEC/ISO31010:2009《風險管理－風險評估技術(shù)》NISTSP800-30(2012)《實施風險評估指南》NISTSP800-39(2011)《管理信息安全風險：組織、使命和信息系統(tǒng)梗概》NISTSP800-37(2010)《聯(lián)邦信息系統(tǒng)應(yīng)用風險管理框架指南：安全生命周期方法》NISTSP800-53(2010)《為聯(lián)邦信息系統(tǒng)和組織推薦的安全控制措施》NISTSP800-53A(2010)《聯(lián)邦信息系統(tǒng)和組織安全控制措施評估指南：建立有效的安全評估計劃》119信息安全風險管理相關(guān)的國內(nèi)外標準GB/T20984-200知識域：信息安全風險管理主要內(nèi)容知識子域：信息安全風險管理的基本內(nèi)容和過程理解背景建立的主要工作內(nèi)容理解風險評估的主要工作內(nèi)容理解風險處理的主要工作內(nèi)容理解批準監(jiān)督的主要工作內(nèi)容理解監(jiān)控審查的主要工作內(nèi)容理解溝通咨詢的主要工作內(nèi)容120知識域：信息安全風險管理主要內(nèi)容知識子域：信息安全風險管理信息安全風險管理工作內(nèi)容背景建立風險評估風險處理批準監(jiān)督監(jiān)控審查溝通咨詢GB/Z24364《信息安全風險管理指南》：四個階段，兩個貫穿

121信息安全風險管理工作內(nèi)容背景建立風險評估風險處理批準監(jiān)督監(jiān)控背景建立背景建立是信息安全風險管理的第一步驟，確定風險管理的對象和范圍，確立實施風險管理的準備，進行相關(guān)信息的調(diào)查和分析風險管理準備：確定對象、組建團隊、制定計劃、獲得支持信息系統(tǒng)調(diào)查：信息系統(tǒng)的業(yè)務(wù)目標、技術(shù)和管理上的特點信息系統(tǒng)分析：信息系統(tǒng)的體系結(jié)構(gòu)、關(guān)鍵要素信息安全分析：分析安全要求、分析安全環(huán)境122背景建立背景建立是信息安全風險管理的第一步驟，確定風險管理的背景建立過程123背景建立過程30風險評估信息安全風險管理要依靠風險評估的結(jié)果來確定隨后的風險處理和批準監(jiān)督活動風險評估準備：制定風險評估方案、選擇評估方法風險要素識別：發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱性和控制措施風險分析：判斷風險發(fā)生的可能性和影響的程度風險結(jié)果判定：綜合分析結(jié)果判定風險等級124風險評估信息安全風險管理要依靠風險評估的結(jié)果來確定隨后的風險風險評估過程125風險評估過程32風險處理風險處理是為了將風險始終控制在可接受的范圍內(nèi)?，F(xiàn)存風險判斷：判斷信息系統(tǒng)中哪些風險可以接受，哪些不可以處理目標確認：不可接受的風險需要控制到怎樣的程度處理措施選擇：選擇風險處理方式，確定風險控制措施處理措施實施：制定具體安全方案，部署控制措施126風險處理風險處理是為了將風險始終控制在可接受的范圍內(nèi)。33風險處理過程

127風險處理過程

34減低風險轉(zhuǎn)移風險規(guī)避風險接受風險常用的四類風險處置方法

128減低風險常用的四類風險處置方法

35減低風險通過對面臨風險的資產(chǎn)采取保護措施來降低風險首先應(yīng)當考慮的風險處置措施，通常在安全投入小于負面影響價值的情況下采用保護措施可以從構(gòu)成風險的五個方面（即威脅源、威脅行為、脆弱性、資產(chǎn)和影響）來降低風險129減低風險通過對面臨風險的資產(chǎn)采取保護措施來降低風險36減低風險的具體辦法減少威脅源采用法律的手段制裁計算機犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動機減低威脅能力采取身份認證措施，從而抵制身份假冒這種威脅行為的能力減少脆弱性及時給系統(tǒng)打補丁，關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性防護資產(chǎn)采用各種防護措施，建立資產(chǎn)的安全域，從而保證資產(chǎn)不受侵犯，其價值得到保持降低負面影響采取容災(zāi)備份、應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)計劃等措施，從而減少安全事件造成的影響程度130減低風險的具體辦法減少威脅源37轉(zhuǎn)移風險通過將面臨風險的資產(chǎn)或其價值轉(zhuǎn)移到更安全的地方來避免或降低風險通常只有當風險不能被降低或避免、且被第三方（被轉(zhuǎn)嫁方）接受時才被采用。一般用于那些低概率、但一旦風險發(fā)生時會對組織產(chǎn)生重大影響的風險131購買保險服務(wù)外包轉(zhuǎn)移風險通過將面臨風險的資產(chǎn)或其價值轉(zhuǎn)移到更安全的地方來避免規(guī)避風險通過不使用面臨風險的資產(chǎn)來避免風險。比如：在沒有足夠安全保障的信息系統(tǒng)中，不處理特別敏感的信息，從而防止敏感信息的泄漏對于只處理內(nèi)部業(yè)務(wù)的信息系統(tǒng)，不使用互聯(lián)網(wǎng)，從而避免外部的有害入侵和不良攻擊通常在風險的損失無法接受，又難以通過控制措施減低風險的情況下132規(guī)避風險通過不使用面臨風險的資產(chǎn)來避免風險。比如：39接受風險接受風險是選擇對風險不采取進一步的處理措施，接受風險可能帶來的結(jié)果用于那些在采取了降低風險和避免風險措施后，出于實際和經(jīng)濟方面的原因，只要組織進行運營，就必然存在并必須接受的風險接受風險不意味著不聞不問，需要對風險態(tài)勢變化進行持續(xù)的監(jiān)控，一旦發(fā)展為無法接受的風險就要進一步采取措施133接受風險接受風險是選擇對風險不采取進一步的處理措施，接受風險批準監(jiān)督批準：是指機構(gòu)的決策層依據(jù)風險評估和風險處理的結(jié)果是否滿足信息系統(tǒng)的安全要求，做出是否認可風險管理活動的決定監(jiān)督：是指檢查機構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無變化，監(jiān)督變化因素是否有可能引入新風險134批準監(jiān)督批準：是指機構(gòu)的決策層依據(jù)風險評估和風險處理的結(jié)果是批準監(jiān)督過程

135批準監(jiān)督過程

42監(jiān)控審查的意義監(jiān)控與審查可以及時發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化、偏差和延誤等問題，并采取適當?shù)拇胧┻M行控制和糾正，從而減少因此造成的損失，保證信息安全風險管理主循環(huán)的有效性136類似信息系統(tǒng)工程中的監(jiān)理監(jiān)控審查的意義監(jiān)控與審查可以及時發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化監(jiān)控審查過程

137監(jiān)控審查過程

44溝通咨詢通過暢通的交流和充分的溝通，保持行動的協(xié)調(diào)和一致；通過有效的培訓和方便的咨詢，保證行動者具有足夠的知識和技能，就是溝通咨詢的意義所在溝通咨詢與領(lǐng)導溝通，以得到理解和批準單位內(nèi)部各有關(guān)部門相互溝通，以得到理解和協(xié)作與支持單位和系統(tǒng)用戶溝通，以得到了解和支持

為所有層面的相關(guān)人員提供咨詢和培訓等，以提高人員的安全意識、知識和技能138溝通咨詢通過暢通的交流和充分的溝通，保持行動的協(xié)調(diào)和一致；通溝通咨詢過程139溝通咨詢過程46知識域：信息安全風險管理主要內(nèi)容知識子域：信息系統(tǒng)使命周期與信息安全風險管理理解信息系統(tǒng)生命周期與信息安全風險管理的關(guān)系理解系統(tǒng)規(guī)劃階段的風險管理工作內(nèi)容理解系統(tǒng)設(shè)計階段的風險管理工作內(nèi)容理解系統(tǒng)實施階段的風險管理工作內(nèi)容理解系統(tǒng)運行維護階段的風險管理工作內(nèi)容理解系統(tǒng)廢棄階段的風險管理工作內(nèi)容140知識域：信息安全風險管理主要內(nèi)容知識子域：信息系統(tǒng)使命周期信息系統(tǒng)生命周期與信息安全風險管理的關(guān)系信息系統(tǒng)生命周期的每個階段，有不同的信息安全目標為了達到其安全目標，每一階段都需要相應(yīng)的風險管理手段作為支持

信息安全目標就是要實現(xiàn)信息系統(tǒng)的基本安全特性（即信息安全基本屬性），并達到所需的保障級別141信息系統(tǒng)生命周期與信息安全風險管理的關(guān)系信息系統(tǒng)生命周期的每規(guī)劃設(shè)計實施運維廢棄系統(tǒng)規(guī)劃階段的安全目標142明確信息系統(tǒng)安全建設(shè)的目的,對信息系統(tǒng)安全建設(shè)實現(xiàn)的可能性進行分析論證并設(shè)計出總體安全規(guī)劃方案為了保證安全目標的實現(xiàn)，需要對信息系統(tǒng)規(guī)劃階段中可能引入安全風險的環(huán)節(jié)進行風險管理，從而降低在項目后期處理相同安全風險所帶來的高額成本規(guī)劃設(shè)計實施運維廢棄系統(tǒng)規(guī)劃階段的安全目標49序號風險管理活動風險管理工作內(nèi)容1明確安全總體方針背景建立2安全需求分析背景建立4風險評估準則達成一致風險評估5安全實現(xiàn)論證分析風險處理、批準監(jiān)督系統(tǒng)規(guī)劃階段的信息安全風險管理143序號風險管理活動風險管理工作內(nèi)容1明確安全總體方針背景建立2系統(tǒng)設(shè)計階段的安全目標144規(guī)劃設(shè)計實施運維廢棄依據(jù)規(guī)劃階段輸出的總體安全規(guī)劃方案來設(shè)計信息系統(tǒng)安全的實現(xiàn)結(jié)構(gòu)（包括功能劃分、接口協(xié)議和性能指標等）和實施方案（包括實現(xiàn)技術(shù)、設(shè)備選型和系統(tǒng)集成等）在設(shè)計信息系統(tǒng)的實現(xiàn)結(jié)構(gòu)和實施方案時，在技術(shù)的選擇、配合、管理等眾多的環(huán)節(jié)均容易引入安全風險，因此對關(guān)鍵的環(huán)節(jié)應(yīng)提出必要的安全要求并有針對性地進行安全風險管理系統(tǒng)設(shè)計階段的安全目標51規(guī)劃設(shè)計實施運維廢棄系統(tǒng)設(shè)計階段的信息安全風險管理序號風險管理活動風險管理工作內(nèi)容1設(shè)計方案分析論證背景建立、風險評估2安全技術(shù)選擇風險處理3安全產(chǎn)品選擇風險處理4自開發(fā)軟件設(shè)計風險處理風險處理145系統(tǒng)設(shè)計階段的信息安全風險管理序號風險管理活動風險管理工作系統(tǒng)實施階段的安全目標146規(guī)劃設(shè)計實施運維廢棄按照規(guī)劃和設(shè)計階段所定義的信息系統(tǒng)安全實施方案采購設(shè)備和軟件，開發(fā)定制功能集成、部署、配置和測試信息系統(tǒng)的安全機制培訓人員對是否允許系統(tǒng)投入運行進行批準監(jiān)督系統(tǒng)實施階段的安全目標53規(guī)劃設(shè)計實施運維廢棄系統(tǒng)實施階段的信息安全風險管理序號風險管理活動風險管理工作內(nèi)容1安全測試風險評估2檢查與配置風險處理3人員培訓風險處理4授權(quán)系統(tǒng)運行批準監(jiān)督147系統(tǒng)實施階段的信息安全風險管理序號風險管理活動風險管理工作在信息系統(tǒng)經(jīng)過授權(quán)投入運行之后，確保在運行過程中，以及信息系統(tǒng)或其運行環(huán)境發(fā)生變化時維持系統(tǒng)的正常運行和安全性系統(tǒng)運維階段的安全目標148規(guī)劃設(shè)計實施運維廢棄系統(tǒng)運維階段的安全目標55規(guī)劃設(shè)計實施運維廢棄系統(tǒng)運維階段的信息安全風險管理序號風險管理活動風險管理工作內(nèi)容1安全運行和管理風險評估、風險處理2變更管理風險評估、風險處理3風險再評估風險評估、風險處理4定期重新審批批準監(jiān)督149系統(tǒng)運維階段的信息安全風險管理序號風險管理活動風險管理工作確保對信息系統(tǒng)的過時或無用部分進行安全報廢處理，防止信息系統(tǒng)的安全要求和安全功能遭到破壞系統(tǒng)廢棄階段的安全目標150規(guī)劃設(shè)計實施運維廢棄系統(tǒng)廢棄階段的安全目標57規(guī)劃設(shè)計實施運維廢棄信息系統(tǒng)廢棄階段的風險管理序號風險管理活動風險管理工作內(nèi)容1確定廢棄對象背景建立2廢棄對象的風險評估風險評估3廢棄過程的風險處理風險處理4廢棄后的評審批準監(jiān)督151信息系統(tǒng)廢棄階段的風險管理序號風險管理活動風險管理工作內(nèi)容1知識域：信息安全風險評估知識子域：風險評估工作形式理解自評估和檢查評估的風險評估工作形式理解自評估和檢查評估的區(qū)別及優(yōu)缺點理解風險評估、檢查評估和等級保護測評之間的關(guān)系152知識域：信息安全風險評估知識子域：風險評估工作形式59風險評估工作形式信息安全風險評估分為自評估、檢查評估兩種形式自評估為主，自評估和檢查評估相互結(jié)合、互為補充自評估和檢查評估可依托自身技術(shù)力量進行，也可委托第三方機構(gòu)提供技術(shù)支持153風險評估工作形式信息安全風險評估分為自評估、檢查評估兩種形式自評估信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估154由發(fā)起方實施優(yōu)點有利于降低實施的費用有利于保密有利于發(fā)揮行業(yè)和部門內(nèi)人員的業(yè)務(wù)特長有利于提高相關(guān)人員的安全意識和評估能力缺點可能結(jié)果不夠深入準確客觀性易受影響由受委托方實施優(yōu)點過程比較規(guī)范客觀性比較好缺點對業(yè)務(wù)了解存在局限性不利于保密自評估信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進行檢查評估信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法開展的風險評估155優(yōu)點具權(quán)威性通過行政手段加強信息安全，具強制性缺點間隔時間較長，難以貫穿信息系統(tǒng)的生命周期一般是以抽樣的方式進行，難以覆蓋全部評估對象檢查評估信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法開展風險評估、檢查評估和等級保護測評之間的關(guān)系等保測評、安全檢查都是在既定安全基線的基礎(chǔ)上開展的符合性測評，其中等保測評是符合國家安全要求的測評，安全檢查是符合行業(yè)主管安全要求的符合性測評而風險評估是在國家、行業(yè)安全要求的基礎(chǔ)上，以被評估系統(tǒng)特定安全要求為目標而開展的風險識別、風險分析、風險評價活動156風險評估、檢查評估和等級保護測評之間的關(guān)系等保測評、安全檢查知識域：信息安全風險評估知識子域：風險評估方法理解定性風險分析方法理解定量風險分析方法，掌握年度預(yù)期損失（ALE）的計算方法理解半定量風險分析方法理解定性和定量風險分析方法的優(yōu)缺點157知識域：信息安全風險評估知識子域：風險評估方法64定性風險分析定性風險分析在風險評價時，往往需要憑借分析者的經(jīng)驗和直覺，或者業(yè)界的標準和慣例，為風險諸要素的大小或高低程度定性分級定性風險分析更具主觀性后果或影響的定性量度（示例）158等級描述

詳細情形1可以忽略無傷害，低財務(wù)損失2

較小立即受控制，中等財務(wù)損失3

中等

受控，高財務(wù)損失4

較大大傷害，失去生產(chǎn)能力有較大財務(wù)損失5災(zāi)難性持續(xù)能力中斷，巨大財務(wù)損失定性風險分析定性風險分析在風險評價時，往往需要憑借分析者的經(jīng)可能性的定性量度（示例）等級描述

詳細情形A幾乎肯定預(yù)期在大多數(shù)情況發(fā)生B很可能在大多數(shù)情況下很可能會發(fā)生C可能在某個時間可能會發(fā)生D不太可能在某個時間能夠發(fā)生E罕見僅在例外的情況下可能發(fā)生定性風險分析159可能性的定性量度（示例）等級描述詳細根據(jù)預(yù)設(shè)的等級劃分規(guī)則判定風險結(jié)果依此類推，得到所有重要資產(chǎn)的風險值，并根據(jù)風險等級劃分表，確定風險等級

可能性

影響可以忽略1較小2中等3較大4災(zāi)難性5A（幾乎肯定）HHEEEB（很可能）MHHEEC(可能）LMHEED（不太可能）LLMHEE（罕見）LLMHHE：極度風險H：高風險M：中等風險L:低風險定性風險分析——矩陣法160根據(jù)預(yù)設(shè)的等級劃分規(guī)則判定風險結(jié)果定量風險分析定量風險分析試圖是在風險評估與成本效益分析期間收集的各個組成部分計算客觀數(shù)字值，定量風險分析更具客觀性例如，用替換成本、生產(chǎn)率損失成本、品牌名譽成本以及其他直接和間接商業(yè)價值來估計各項資產(chǎn)的真實價值定量分析主要試圖從財務(wù)數(shù)字上對安全風險進行評估，得出可以量化的風險分析結(jié)果，準確度量風險的可能性和損失量因為定量分析處理數(shù)字和金額價值，它必須有公式161定量風險分析定量風險分析試圖是在風險評估與成本效益分析期間收定量風險分析——年度預(yù)期損失法步驟1-評估資產(chǎn)：根據(jù)資產(chǎn)價值（AV）清單,計算資產(chǎn)總價值及資產(chǎn)損失對財務(wù)的直接和間接影響步驟2-確定單一預(yù)期損失SLESLE是指發(fā)生一次風險引起的收入損失總額SLE是分配給單個事件的金額，代表一個具體威脅利用漏洞時將面臨的潛在損失（SLE類似于定性風險分析的影響）將資產(chǎn)價值與暴露系數(shù)相乘(EF)計算出SLE。暴露系數(shù)表示為現(xiàn)實威脅對某個資產(chǎn)造成的損失百分比步驟3-確定年發(fā)生率AROARO是一年中風險發(fā)生的次數(shù)162定量風險分析——年度預(yù)期損失法步驟1-評估資產(chǎn)：根據(jù)資產(chǎn)步驟4-確定年預(yù)期損失ALEALE是不采取任何減輕風險的措施在一年中可能損失的總金額。SLE乘以ARO即可計算出該值（ALE類似于定性風險分析的相對級別）步驟5-確定控制成本控制成本就是為了規(guī)避企業(yè)所存在風險的發(fā)生而應(yīng)投入的費用步驟6-安全投資收益ROSIROSI=(實施控制前的ALE）–（實施控制后的ALE） –（年控制成本）163定量風險分析——年度預(yù)期損失法（續(xù)）步驟4-確定年預(yù)期損失ALE70定量風險分析——年度預(yù)期定性分析與定量分析164

定量定性優(yōu)點結(jié)果可用貨幣值和具體數(shù)據(jù)（如百分比）來表達按財務(wù)影響