安全風險評估指南

信息安全風險評估國家標準編制及內容介紹范紅二00六年九月1主要內容一、標準的編制過程二、標準的主要內容三、下一步工作的幾點思考2主要內容一、標準的編制過程二、標準的主要內容三、下一步工作的幾點思考3一、標準的編制過程1、前期研究準備2、標準草案編制3、試點實踐檢驗4、專家評審論證4一、標準的編制過程1、前期研究準備2、標準草案編制3、試點實踐檢驗4、專家評審論證5

1、前期研究準備

2003年7月,中辦發(fā)[2003]27號文件對開展信息安全風險評估工作提出了明確的要求。國信辦委托國家信息中心牽頭，成立了國家信息安全風險評估課題組，對信息安全風險評估相關工作展開調查研究。課題組利用半年多的時間，對我國信息安全風險評估現(xiàn)狀進行了深入調查，掌握了第一手情況；對國內外相關領域的理論進行了學習、分析和研究，查閱了大量的相關資料，基本了解了此領域的國際前沿動態(tài)。這些都為標準編制工作奠定了良好的基礎。6

統(tǒng)一的風險評估技術標準是規(guī)范開展信息安全風險評估工作的必備條件。落實中辦發(fā)27號文件、全面推進我國的信息安全風險評估工作，首先就必須解決我國缺乏統(tǒng)一的風險評估技術標準的問題。為此，國信辦領導根據(jù)專家們的建議，決定著手開展信息安全風險評估國家標準的編制工作及相關實踐活動。旨在通過這項工作更好地加強國家基礎網(wǎng)絡和重要信息系統(tǒng)的風險評估及管理工作，使其流程更加科學、統(tǒng)一、規(guī)范、有效。7一、標準的編制過程1、前期研究準備2、標準草案編制3、試點實踐檢驗4、專家評審論證8

根據(jù)國信辦的指示和信安標委的具體要求，國家信息中心組織國家保密技術研究所、公安部三所、北京信息安全測評中心、上海市測評認證中心、信息安全國家重點實驗室以及BJCA、上海三零衛(wèi)士、聯(lián)想、天融信、啟明星辰、綠盟、科飛、凝瑞等國內十幾家企事業(yè)單位于2004年3月29日正式啟動標準草案的編制工作。此后，中國信息安全產(chǎn)品測評認證中心、解放軍信息技術安全研究中心、航天部二院七O六所等單位也參與了標準的編制與起草。起草組在前期準備工作的基礎上，經(jīng)過多次研究探討，確定了編制標準應遵循的原則:

2、標準草案編制9

1、符合我國現(xiàn)行的信息安全有關法律法規(guī)的要求，認真貫徹落實27號文件關于加強信息安全風險評估工作的精神；

2、立足于我國信息化建設實踐，積極借鑒國際先進標準的技術，提出符合我國基礎網(wǎng)絡和重要信息系統(tǒng)工程建設需求的風險評估規(guī)范；

3、針對網(wǎng)絡與信息系統(tǒng)的全生命周期，制訂適應不同階段特點和要求的風險評估實施方法；

4、積極吸收信息安全有關主管部門和單位在等級保護、保密檢查和產(chǎn)品測評等工作的經(jīng)驗與成果；

5、標準文本體系結構科學合理，表述清晰，具有可實現(xiàn)性和可操作性。

10在標準編制的的過程中，，標準起草草組多次與與相關主管管部門所屬屬機構的專專家代表就就技術標準準有關主體體內容進行行會商；向相關單位位發(fā)放標準準文本，通過電子郵郵件等形式式廣泛征求求業(yè)界意見見；召開標標準討論會會議三十幾幾次，共收收集100多條修改意意見。起草組逐一一對修改意意見進行研研究，在充充分吸納合合理成份的的基礎上，，對《信息安全風風險評估規(guī)規(guī)范》等標準進行行了較大幅幅度的修改改，使標準準的體系結結構更趨完完善、合理理。11一、標準的的制定過程程1、前期研究究準備2、標準草案編編制3、試點實踐踐檢驗4、專家評審審論證123、試點實踐踐檢驗2005年2月,根據(jù)國信辦[2005]4號和5號文件，關關于在銀行行、稅務、、電力等部部門和電子子政務外網(wǎng)網(wǎng)，以及北北京、上海海、黑龍江江、云南等等省市，開開展信息安安全風險評評估試點工工作的要求求，標準起起草組配合合風險評估估試點工作作專家組開開展了以下下工作：--為各試點單單位提供標標準草案文文本和相關關說明；--在試點準備備階段與各各試點單位位的技術骨骨干進行標標準技術交流流；--根據(jù)標準草草案文本涉涉及的關鍵鍵技術，起起草組成員員選擇試點環(huán)環(huán)節(jié)參與實實際試點；；--在試點過程程中，先后后幾次召開開標準研討討會，征求求各單位對標標準的意見見與建議。。13整個試點工作作歷時7個月，各試點單位位對標準草草案先后提提出40多條補充修修改意見，，標準起草草組根據(jù)據(jù)試試點點結結果果先后后進進行行了了三三次次較較大大規(guī)規(guī)模模的的修修改改。。主主要要內內容容包包括括：：--細化化了了資資產(chǎn)產(chǎn)的的分分類類方方法法、、脆脆弱弱性性的的識識別別要要求求，，修修改并并細細化化了了風風險險計計算算的的方方法法；；--對自自評評估估、、檢檢查查評評估估不不同同評評估估形形式式的的內內容容與與實實施施的重重點點進進行行了了區(qū)區(qū)分分；；--對風風險險評評估估的的工工具具進進行行了了梳梳理理和和區(qū)區(qū)分分，，形形成成了了現(xiàn)現(xiàn)在的的幾幾種種類類型型；；--細化化了了生生命命周周期期不不同同階階段段風風險險評評估估的的主主要要內內容容。。試點實踐證明明，試行標準準基本滿足各各試點單位評評估工作的需需求。14一、標準的制制定過程1、前期研究準準備2、標準草案編制制3、試點實踐檢檢驗4、專家評審論論證152005年9月16日，國家信息息中心在北京京組織召開了由周仲義院院士主持的《信息安全風險險評估指南（（征求意見稿）》第一次專家評評審會。4、專家評審論論證16第一次專家評評審會名單姓名單位職務/職稱周仲義中國工程院院士熊四皓國務院信息辦處長王娜國家發(fā)改委高科技司處長姚世權中國標準化協(xié)會研究員賈穎禾全國信息安全標準化技術委員會副秘書長/研究員崔書昆國家信息化專家咨詢委員會委員/研究員景乾元公安部十一局處長李建彬國稅總局信息中心副處長張宏偉黑龍江省信息產(chǎn)業(yè)廳處長姚麗旋上海市信息化管理委員會處長肖京華總參三部三局處長馮惠中國電子技術標準化研究所副主任/高工吳偉國家電網(wǎng)公司處長詹榜華北京市CA中心總經(jīng)理172005年10月27日，國家信息息中心在北京京組織召開了了信息安全風風險評估國家家標準征求意意見稿的第二二次專家評審審會。18第二次專家評評審會名單姓名單位職務/職稱何義大全國信息安全標準化技術委員會副主任趙戰(zhàn)生國家信息化咨詢委員會研究員曲成義國家信息化咨詢委員會研究員馮登國信息安全863項目專家組組長研究員陳曉樺中國信息安全產(chǎn)品測評認證中心研究員崔書昆國家信息化咨詢委員會研究員景乾元公安部十一局處長肖京華解放軍信息安全測評中心處長賈穎禾全國信息安全標準化技術委員會副秘書長李守鵬中國信息安全產(chǎn)品測評認證中心副主任王同良中石油經(jīng)濟技術中心副主任江志強民航總局人事科技司處長謝小權航天科技集團706所副所長呂仲濤中國工商銀行總行信息科技部總工19與會專家家認為為標準準起草草組做做了大大量卓卓有成成效的的工作作，標標準的的結構構合理理、內內容完完備、、可操操作性性強，，并充充分考考慮與與信息息安全全等級級保護護相關關標準準相銜銜接。。文本本的編編制符符合國國家標標準的的要求求。同同時，，專家家們也也對完完善標標準提提出了了進一一步的的修改改意見見。202005年12月14日，由由安標標委第第五工工作組組主持持召開開了由由沈昌昌祥院院士為為專家家組組組長的的信息息安全全風險險評估估國家家標準準送審審稿的的專家家評審審會。。21專家評評審會會名單單姓名單位職務/職稱沈昌祥海軍計算技術研究所院士吉增瑞公安部信息安全標委會委員研究員趙戰(zhàn)生國家信息化咨詢委員會研究員卿斯?jié)h中科院信息安全技術工程研究中心研究員杜虹國家保密技術研究所所長景乾元公安部十一局處長崔書昆國家信息化咨詢委員會研究員22與會專家家聽取取了起起草小小組的的編制制說明明及內內容介介紹，，審閱閱了相相關文文檔資資料，，經(jīng)質質詢和和討論論，一一致認認為：：一、、送送審審稿稿規(guī)規(guī)范范了了風風險險評評估估的的評評估估內內容容與與范范圍圍、、基基本本概概念念，，明明確確了資資產(chǎn)產(chǎn)、、威威脅脅、、脆脆弱弱性性和和安安全全風風險險等等關關鍵鍵要要素素及及其其賦賦值值原原則則和和要求求，，提提出出了了實實施施流流程程與與操操作作步步驟驟、、評評估估規(guī)規(guī)則則與與基基本本方方法法，，并并充分分考考慮慮與與信信息息安安全全等等級級保保護護相相關關標標準準相相銜銜接接。。二、、送送審審稿稿的的操操作作性性較較強強，，對對開開展展風風險險評評估估工工作作具具有有指指導導作作用用，，并在在國國務務院院信信息息辦辦組組織織的的風風險險評評估估試試點點中中得得到到了了進進一一步步的的實實踐踐驗證證和和充充實實完完善善。。三、、文文本本的的編編制制符符合合國國家家標標準準GB1.1的要要求求。。專家家組組認認為為送送審審稿稿達達到到國國家家標標準準送送審審稿稿的的要要求求，，同同意意通通過過評評審。建議議起草組組根據(jù)專專家意見見盡快修修改完善善后申報報。232006年３月６６日和３３月１６６日，在在國信辦辦進行的的行業(yè)和省省市的風風險評估估政策文文件的兩兩次宣貫貫會上，，信息安安全風險評估估征求意意見稿以以國信辦辦文件的的形式下下發(fā)，為為各行業(yè)業(yè)和省市開展展風險評評估提供供技術依依據(jù)。242006年4月18日，全國國信息安安全標準準化技術術委員（安標委委）會第第五工作作組（WG5）在北京京召開全全體工作作組成員員標準投票票會議，，對信息息安全風風險評估估國家標標準送審審稿進行行工作組全體體成員投投票表決決。與會會的三十十幾位專專家聽取取了標準準起草組對《指南》的編制過過程以及及主要內內容的介介紹，經(jīng)經(jīng)投票一一致通過了了標準的的評審。。252006年6月19日，全國國信息安安全標準準化技術術委員會會秘書處處在北京京組織召召開了信信息安全全風險評評估標準準送審稿稿的專家家審查會會，與會會專家經(jīng)經(jīng)質詢和和討論，，將標準準正式命命名為《信息安全全技術信信息安安全風險險評估規(guī)規(guī)范》，認為該該標準達達到國家家標準送送審稿的的要求，，同意通通過評審審。會后，國國家信息息中心先先后與各各起草單單位和有有關專家家就標準準規(guī)范報報批稿的的修改進進行了進進一步的的研討，，并逐一一落實了了專家提提出的意意見。262006年7月19日，全全國信息息安全標標準化委委員會主主任辦公公會上討討論通過過了《信息安全全技術信信息息安全風風險評估估規(guī)范》(報批稿),目前已進進入報批批程序。。27主要內容容一、標準準的編制制過程二、標準準的主要要內容三、下一一步工作作的幾點點思考28二、標準準的主要要內容1、什么是是風險評評估2、為什么么要做風風險評估估3、風險評評估怎么么做29二、標準準的主要要內容1、什么是是風險評評估2、為什么么要做風風險評估估3、風險評評估怎么么做301、什么是是風險評評估信息安全全風險人為或自自然的威威脅利用用信息系系統(tǒng)及其其管理體體系中存存在的脆脆弱性導導致安全全事件的的發(fā)生及及其對組組織造成成的影響響。信息安全全風險評評估依據(jù)有關關信息安安全技術術與管理理標準，，對信息息系統(tǒng)及及由其處處理、傳傳輸和存存儲的信信息的保保密性、、完整性性和可用用性等安安全屬性性進行評評價的過過程。它它要評估估資產(chǎn)面面臨的威威脅以及及威脅利利用脆弱弱性導致致安全事事件的可可能性，，并結合合安全事事件所涉涉及的資資產(chǎn)價值值來判斷斷安全事事件一旦旦發(fā)生對對組織造造成的影影響。31風險評估估要素關關系圖圖中方框框部分的的內容為為風險評評估的基基本要素素;橢圓部分分的內容容是與這這些要素素相關的的屬性。。風險評估估圍繞著著基本要要素展開開，同時時需要充充分考慮慮與基本本要素相相關的各各類屬性性。（1）業(yè)務戰(zhàn)戰(zhàn)略的實實現(xiàn)對資資產(chǎn)具有有依賴性性，依賴賴程度越越高，要要求其風風險越小??；（2）資產(chǎn)是是有價值值的，組組織的業(yè)業(yè)務戰(zhàn)略略對資產(chǎn)產(chǎn)的依賴賴程度越越高，資資產(chǎn)價值值就越大大；（3）風險是是由威脅脅引發(fā)的的，資產(chǎn)產(chǎn)面臨的的威脅越越多則風風險越大大，并可可能演變變成安全全事件；；（4）資產(chǎn)的的脆弱性性可以暴暴露資產(chǎn)產(chǎn)的價值值，資產(chǎn)產(chǎn)具有的的弱點越越多則風風險越大大；（5）脆弱性性是未被被滿足的的安全需需求，威威脅利用用脆弱性性危害資資產(chǎn)；（6）風險的的存在及及對風險險的認識識導出安安全需求求；（7）安全需需求可通通過安全全措施得得以滿足足，需要要結合資資產(chǎn)價值值考慮實實施成本本；（8）安全措措施可抵抵御威脅脅，降低低風險；；（9）殘余風風險是未未被安全全措施控控制的風風險。有有些是安安全措施施不當或或無效,需要加強強才可控控制的風風險；而而有些則則是在綜綜合考慮慮了安全全成本與與效益后后未去控控制的風風險；（10）殘余風風險應受受到密切切監(jiān)視，，它可能能會在將將來誘發(fā)發(fā)新的安安全事件件。32二、標準準的主要要內容1、什么是是風險評評估2、為什么么要做風風險評估估3、風險評評估怎么么做332、為什么么要做風風險評估估安全源于風風險。在信息化化建設中中，建設設與運營營的網(wǎng)絡絡與信息息系統(tǒng)由由于可能能存在的的系統(tǒng)設設計缺陷陷、隱含含于軟硬硬件設備備的缺陷陷、系統(tǒng)統(tǒng)集成時時帶來的的缺陷，，以及可可能存在在的某些些管理薄薄弱環(huán)節(jié)節(jié)，尤其其當網(wǎng)絡絡與信息息系統(tǒng)中中擁有極極為重要要的信息息資產(chǎn)時時，都將將使得面面臨復雜雜環(huán)境的的網(wǎng)絡與與信息系系統(tǒng)潛在在著若干干不同程程度的安安全風險險。34風險評估可可以不斷斷深入地地發(fā)現(xiàn)系系統(tǒng)建設設中的安安全隱患患，采取或完完善更加加經(jīng)濟有有效的安安全保障障措施，，來消除安全全建設中中的盲目目樂觀或或盲目恐恐懼，提提出有針針對性的的從實際際出發(fā)的的解決方方法，提提高系統(tǒng)統(tǒng)安全的的科學管管理水平平，進而而全面提提升網(wǎng)絡絡與信息息系統(tǒng)的的安全保保障能力力。35信息安全風風險評估估，是從從風險管管理角度度，運用用科學的的方法和和手段，，系統(tǒng)地地分析網(wǎng)網(wǎng)絡與信信息系統(tǒng)統(tǒng)所面臨臨的威脅脅及其存存在的脆脆弱性，，評估安安全事件件一旦發(fā)發(fā)生可能能造成的的危害程程度，提提出有針針對性的的抵御威威脅的防防護對策策和整改改措施。。并為防防范和化化解信息息安全風風險，或或者將風風險控制制在可接接受的水水平，從從而最大大限度地地保障網(wǎng)網(wǎng)絡和信信息安全全提供科科學依據(jù)據(jù)。（國信辦辦[2006]5號文件））36二、標準準的主要要內容1、什么是是風險評評估2、為什么么要做風風險評估估3、風險險評估估怎么么做373、風險險評估估怎么么做-風險評評估實實施流流程-風險評評估的的形式式-信息系系統(tǒng)生生命周周期各各階段段的風風險評評估383、風險險評估估怎么么做-風險評評估實實施流流程-風險評評估的的形式式-信息系系統(tǒng)生生命周周期各各階段段的風風險評評估39風險評評估的的實施施流程程先期準準備要素分分析風險分分析文檔記記錄風險評評估實實施流流程圖圖40實施步步驟(1)風險評評估的的準備備(2)資產(chǎn)識識別(3)威脅識識別(4)脆弱性性識別別(5)已有安安全措措施的的確認認(6)風險分分析(7)風險評估文文件記錄413、風險評估估怎么做-風險評估實實施流程-風險評估的的形式-信息系統(tǒng)生生命周期各各階段的風風險評估42信息安全風險險評估分為為自評估、、檢查評估估兩種形式式。自評估估為主，自自評估和檢檢查評估相相互結合、、互為補充充。自評估估和檢查評評估可依托托自身技術術力量進行行，也可委委托第三方方機構提供供技術支持持。風險評估的的形式43自評估自評估可由發(fā)發(fā)起方實施施或委托風風險評估服服務技術支支持方實施施。由發(fā)起起方實施的的評估可以以降低實施施的費用、、提高信息息系統(tǒng)相關關人員的安安全意識，，但可能由由于缺乏風風險評估的的專業(yè)技能能，其結果果不夠深入入準確；同同時，受到到組織內部部各種因素素的影響，，其評估結結果的客觀觀性易受影影響。委托托風險評估估服務技術術支持方實實施的評估估，過程比比較規(guī)范、、評估結果果的客觀性性比較好，，可信程度度較高；但但由于受到到行業(yè)知識識技能及業(yè)業(yè)務了解的的限制，對對被評估系系統(tǒng)的了解解，尤其是是在業(yè)務方方面的特殊殊要求存在在一定的局局限。但由由于引入第第三方本身身就是一個個風險因素素，因此，，對其背景景與資質、、評估過程程與結果的的保密要求求等方面應應進行控制制。44自評估中的的“自”不不僅僅是指指自已做評評估的“自自”，也不不僅僅是指指自愿做評評估的“自自”。由于于“誰主管管誰負責””，出于對對自身信息息系統(tǒng)的安安全責任考考慮，信息息系統(tǒng)主管管者應定期期對系統(tǒng)進進行風險評評估，具體體實施時可可以依托自自身的評估估隊伍進行行，也可委委托有資質質的第三方方提供評估估服務技術術支持，但但無論是哪哪一種形式式，責任都都是由信息息系統(tǒng)主管管者自已擔擔負的。因因此，自評評估中的““自”的含含義是自已已負責的““自”。包包括自已負負責系統(tǒng)的的安全、自自己發(fā)起對對信息系統(tǒng)統(tǒng)的風險評評估以及自自己負責為為保障系統(tǒng)統(tǒng)安全所做做的風險評評估的安全全等。45此外，為保保證風險評評估的實施施，與系統(tǒng)統(tǒng)相連的相相關方也應應配合，以以防止給其其他方的使使用帶來困困難或引入入新的風險險也往往較較多，因此此，要對實實施檢查評評估機構的的資質進行行嚴格管理理。46檢查評估檢查評估是指指信息系統(tǒng)統(tǒng)上級管理理部門組織織的或國家家有關職能能部門依法法開展的風風險評估。。檢查評估估可依據(jù)據(jù)本標準準的要求求，實施施完整的的風險評評估過程程。47一是風險險評估究究其根本本是評估估系統(tǒng)的的敏感信信息，涉涉及大量量的安全全問題，，完全委委托第三三方將帶帶來評估估本身的的風險；；二是進行行風險評評估要求求評估人人員既要要了解評評估本身身的一套套方法與與流程，，還要了了解被評評估系統(tǒng)統(tǒng)的業(yè)務務特性，，這對于于完全從從事評估估的第三三方來講講，在短短時間內內了解每每個系統(tǒng)統(tǒng)的業(yè)務務特性難難度是比比較大的的；三是風險險評估工工作流程程中常常常要求被被評估方方向評估估方提供供各種信信息，需需要之間間的良好好互動以以及多方方會商，，單靠評評估方第第三方是是無法完完成系統(tǒng)統(tǒng)評估的的。基于以上上原因，，委托評評估技術術支持比比委托評評估的提提法更為為切合實實際。并并且，提提供委托托評估技技術支持持的機構構應具有有相應的的資質。。483、風險評評估怎么么做-風險評估估實施流流程-風險評估估的形式式-信息系統(tǒng)統(tǒng)生命周周期各階階段的風風險評估估49國信辦[2006]5號文件指指出：信息安全全風險評估估應貫穿穿于網(wǎng)絡絡與信息息系統(tǒng)建建設運行行的全過過程。在在網(wǎng)絡與與信息系系統(tǒng)的設設計、驗驗收及運運行維護護階段均均應當進進行信息息安全風風險評估估。如在在網(wǎng)絡與與信息系系統(tǒng)規(guī)劃劃設計階階段，應應通過信信息安全全風險評評估進一一步明確確安全需需求和安安全目標標。50信息系統(tǒng)統(tǒng)生命周周期各階階段的風風險評估估規(guī)劃階段段的風險險評估設計階段段的風險險評估實施階段段的風險險評估運行維護護階段的的風險評評估廢棄階段段的風險險評估51規(guī)劃階段段的風險險評估規(guī)劃階段風風險評估估的目的的是識別別系統(tǒng)的的業(yè)務戰(zhàn)戰(zhàn)略，以以支撐系系統(tǒng)安全全需求及及安全戰(zhàn)戰(zhàn)略等。。規(guī)劃階階段的評評估應能能夠描述述信息系系統(tǒng)建成成后對現(xiàn)現(xiàn)有業(yè)務務模式的的作用，，包括技技術、管管理等方方面，并并根據(jù)其其作用確確定系統(tǒng)統(tǒng)建設應應達到的的安全目目標。52設計階階段的的風險險評估估設計階段段的風風險評評估需需要根根據(jù)規(guī)規(guī)劃階階段所所明確確的系系統(tǒng)運運行環(huán)環(huán)境、、資產(chǎn)產(chǎn)重要要性，，提出出安全全功能能需求求。設設計階階段的的風險險評估估結果果應對對設計計方案案中所所提供供的安安全功功能符符合性性進行行判斷斷，作作為采采購過過程風風險控控制的的依據(jù)據(jù)。53實施階階段的的風險險評估估實施階段段風險險評估估的目目的是是根據(jù)據(jù)系統(tǒng)統(tǒng)安全全需求求和運運行環(huán)環(huán)境對對系統(tǒng)統(tǒng)開發(fā)發(fā)、實實施過過程進進行風風險識識別，，并對對系統(tǒng)統(tǒng)建成成后的的安全全功能能進行行驗證證。根根據(jù)設設計階階段分分析的的威脅脅和制制定的的安全全措施施，在在實施施及驗驗收時時進行行質量量控制制?；谠O設計階階段的的資產(chǎn)產(chǎn)列表表、安安全措措施，，實施施階段段應對對規(guī)劃劃階段段的安安全威威脅進進行進進一步步細分分，同同時評評估安安全措措施的的實現(xiàn)現(xiàn)程度度，從從而確確定安安全措措施能能否抵抵御現(xiàn)現(xiàn)有威威脅、、脆弱弱性的的影響響。實實施階階段風風險評評估主主要對對系統(tǒng)統(tǒng)的開開發(fā)與與技術術/產(chǎn)品獲獲取、、系統(tǒng)統(tǒng)交付付實施施兩個個過程程進行行評估估。54運行維維護階階段的的風險險評估估運行維維護階階段風風險評評估的的目的的是了了解和和控制制運行行過程程中的的安全全風險險，是是一種種較為為全面面的風風險評評估。。評估估內容容包括括對真真實運運行的的信息息系統(tǒng)統(tǒng)、資資產(chǎn)、、威脅脅、脆脆弱性性等各各方面面。資產(chǎn)評評估：：在真真實環(huán)環(huán)境下下較為為細致致的評評估。。包括括實施施階段段采購購的軟軟硬件件資產(chǎn)產(chǎn)、系系統(tǒng)運運行過過程中中生成成的信信息資資產(chǎn)、、相關關的人人員與與服務務等，，本階階段資資產(chǎn)識識別是是前期期資產(chǎn)產(chǎn)識別別的補補充與與增加加；威脅評評估：：應全全面地地分析析威脅脅的可可能性性和影影響程程度。。對非非故意意威脅脅導致致安全全事件件的評評估可可以參參照安安全事事件的的發(fā)生生頻率率；對對故意意威脅脅導致致安全全事件件的評評估主主要就就威脅脅的各各個影影響因因素做做出專專業(yè)判判斷；；脆弱性評評估：是是全面的的脆弱性性評估。。包括運運行環(huán)境境中物理理、網(wǎng)絡絡、系統(tǒng)統(tǒng)、應用用、安全全保障設設備、管管理等各各方面的的脆弱性性。技術術脆弱性性評估可可以采取取核查、、掃描、、案例驗驗證、滲滲透性測測試的方方式實施施；安全全保障設設備的脆脆弱性評評估，應應考慮安安全功能能的實現(xiàn)現(xiàn)情況和和安全保保障設備備本身的的脆弱性性；管理理脆弱性性評估可可以采取取文檔、、記錄核核查等方方式進行行驗證；；風險計算算：根據(jù)據(jù)本標準準的相關關方法，，對重要要資產(chǎn)的的風險進進行定性性或定量