信息安全風險評估標準編制與內容介紹

信息安全風險評估國家標準編制及內容介紹1主要內容一、標準的編制過程二、標準的主要內容三、下一步工作的幾點思考2主要內容一、標準的編制過程二、標準的主要內容三、下一步工作的幾點思考3一、標準的編制過程1、前期研究準備2、標準草案編制3、試點實踐檢驗4、專家評審論證4一、標準的編制過程1、前期研究準備2、標準草案編制3、試點實踐檢驗4、專家評審論證5

1、前期研究準備

2003年7月,中辦發(fā)[2003]27號文件對開展信息安全風險評估工作提出了明確的要求。國信辦委托國家信息中心牽頭，成立了國家信息安全風險評估課題組，對信息安全風險評估相關工作展開調查研究。課題組利用半年多的時間，對我國信息安全風險評估現狀進行了深入調查，掌握了第一手情況；對國內外相關領域的理論進行了學習、分析和研究，查閱了大量的相關資料，基本了解了此領域的國際前沿動態(tài)。這些都為標準編制工作奠定了良好的基礎。6

統(tǒng)一的風險評估技術標準是規(guī)范開展信息安全風險評估工作的必備條件。落實中辦發(fā)27號文件、全面推進我國的信息安全風險評估工作，首先就必須解決我國缺乏統(tǒng)一的風險評估技術標準的問題。為此，國信辦領導根據專家們的建議，決定著手開展信息安全風險評估國家標準的編制工作及相關實踐活動。旨在通過這項工作更好地加強國家基礎網絡和重要信息系統(tǒng)的風險評估及管理工作，使其流程更加科學、統(tǒng)一、規(guī)范、有效。7一、標準的編制過程1、前期研究準備2、標準草案編制3、試點實踐檢驗4、專家評審論證8

根據國信辦的指示和信安標委的具體要求，國家信息中心組織國家保密技術研究所、公安部三所、北京信息安全測評中心、上海市測評認證中心、信息安全國家重點實驗室以及BJCA、上海三零衛(wèi)士、聯想、天融信、啟明星辰、綠盟、科飛、凝瑞等國內十幾家企事業(yè)單位于2004年3月29日正式啟動標準草案的編制工作。此后，中國信息安全產品測評認證中心、解放軍信息技術安全研究中心、航天部二院七O六所等單位也參與了標準的編制與起草。起草組在前期準備工作的基礎上，經過多次研究探討，確定了編制標準應遵循的原則:

2、標準草案編制9

1、符合我國現行的信息安全有關法律法規(guī)的要求，認真貫徹落實27號文件關于加強信息安全風險評估工作的精神；

2、立足于我國信息化建設實踐，積極借鑒國際先進標準的技術，提出符合我國基礎網絡和重要信息系統(tǒng)工程建設需求的風險評估規(guī)范；

3、針對網絡與信息系統(tǒng)的全生命周期，制訂適應不同階段特點和要求的風險評估實施方法；

4、積極吸收信息安全有關主管部門和單位在等級保護、保密檢查和產品測評等工作的經驗與成果；

5、標準文本體系結構科學合理，表述清晰，具有可實現性和可操作性。

10在標準編編制的的過程程中，，標準準起草草組多多次與與相關關主管管部門門所屬屬機構構的專專家代代表就就技術術標準準有關關主體體內容容進行行會商商；向相關關單位位發(fā)放放標準準文本本，通過電電子郵郵件等等形式式廣泛泛征求求業(yè)界界意見見；召召開標標準討討論會會議三三十幾幾次，，共收收集100多條修修改意意見。。起草組組逐一一對修修改意意見進進行研研究，，在充充分吸吸納合合理成成份的的基礎礎上，，對《信息安安全風風險評評估規(guī)規(guī)范》等標準準進行行了較較大幅幅度的的修改改，使使標準準的體體系結結構更更趨完完善、、合理理。11一、標標準的的制定定過程程1、前期期研究究準備備2、標準草草案編編制3、試點點實踐踐檢驗驗4、專家家評審審論證證123、試點點實踐踐檢驗驗2005年2月,根據國信辦辦[2005]4號和5號文件件，關關于在在銀行行、稅稅務、、電力力等部部門和和電子子政務務外網網，以以及北北京、、上海海、黑黑龍江江、云云南等等省市市，開開展信信息安安全風風險評評估試試點工工作的的要求求，標標準起起草組組配合合風險險評估估試點點工作作專家家組開開展了了以下下工作作：--為各試試點單單位提提供標標準草草案文文本和和相關關說明明；--在試點點準備備階段段與各各試點點單位位的技技術骨骨干進進行標標準技術術交流流；--根據標標準草草案文文本涉涉及的的關鍵鍵技術術，起起草組組成員員選擇試試點環(huán)環(huán)節(jié)參參與實實際試試點；；--在試點點過程程中，，先后后幾次次召開開標準準研討討會，，征求求各單位位對標標準的的意見見與建建議。。13整個試點點工作作歷時時7個月，，各試點點單位位對標標準草草案先先后提提出40多條補補充修修改意意見，，標準準起草草組根據試試點結結果先后進進行了了三次次較大大規(guī)模模的修修改。。主要要內容容包括括：--細化了了資產產的分分類方方法、、脆弱弱性的的識別別要求求，修修改并細細化了了風險險計算算的方方法；；--對自評評估、、檢查查評估估不同同評估估形式式的內內容與與實施施的重點點進行行了區(qū)區(qū)分；；--對風險險評估估的工工具進進行了了梳理理和區(qū)區(qū)分，，形成成了現現在的幾幾種類類型；；--細化了了生命命周期期不同同階段段風險險評估估的主主要內內容。。試點實實踐證證明，，試行行標準準基本本滿足足各試試點單單位評評估工工作的的需求求。14一、標標準的的制定定過程程1、前期期研究究準備備2、標準草草案編編制3、試點點實踐踐檢驗驗4、專家家評審審論證證152005年9月16日，國國家信信息中中心在在北京京組織織召開開了由周周仲義義院士士主持持的《信息安安全風風險評評估指指南（（征求求意見稿））》第一次次專家家評審審會。。4、專家家評審審論證證16第一次次專家家評審審會名名單姓名單位職務/職稱周仲義中國工程院院士熊四皓國務院信息辦處長王娜國家發(fā)改委高科技司處長姚世權中國標準化協(xié)會研究員賈穎禾全國信息安全標準化技術委員會副秘書長/研究員崔書昆國家信息化專家咨詢委員會委員/研究員景乾元公安部十一局處長李建彬國稅總局信息中心副處長張宏偉黑龍江省信息產業(yè)廳處長姚麗旋上海市信息化管理委員會處長肖京華總參三部三局處長馮惠中國電子技術標準化研究所副主任/高工吳偉國家電網公司處長詹榜華北京市CA中心總經理172005年10月27日，國國家信信息中中心在在北京京組織織召開開了信信息安安全風風險評評估國國家標標準征征求意意見稿稿的第第二次次專家家評審審會。。18第二次次專家家評審審會名名單姓名單位職務/職稱何義大全國信息安全標準化技術委員會副主任趙戰(zhàn)生國家信息化咨詢委員會研究員曲成義國家信息化咨詢委員會研究員馮登國信息安全863項目專家組組長研究員陳曉樺中國信息安全產品測評認證中心研究員崔書昆國家信息化咨詢委員會研究員景乾元公安部十一局處長肖京華解放軍信息安全測評中心處長賈穎禾全國信息安全標準化技術委員會副秘書長李守鵬中國信息安全產品測評認證中心副主任王同良中石油經濟技術中心副主任江志強民航總局人事科技司處長謝小權航天科技集團706所副所長呂仲濤中國工商銀行總行信息科技部總工19與會專家家認為為標準準起草草組做做了大大量卓卓有成成效的的工作作，標標準的的結構構合理理、內內容完完備、、可操操作性性強，，并充充分考考慮與與信息息安全全等級級保護護相關關標準準相銜銜接。。文本本的編編制符符合國國家標標準的的要求求。同同時，，專家家們也也對完完善標標準提提出了了進一一步的的修改改意見見。202005年12月14日，由由安標標委第第五工工作組組主持持召開開了由由沈昌昌祥院院士為為專家家組組組長的的信息息安全全風險險評估估國家家標準準送審審稿的的專家家評審審會。。21專家評評審會會名單單姓名單位職務/職稱沈昌祥海軍計算技術研究所院士吉增瑞公安部信息安全標委會委員研究員趙戰(zhàn)生國家信息化咨詢委員會研究員卿斯?jié)h中科院信息安全技術工程研究中心研究員杜虹國家保密技術研究所所長景乾元公安部十一局處長崔書昆國家信息化咨詢委員會研究員22與會專家家聽取取了起起草小小組的的編制制說明明及內內容介介紹，，審閱閱了相相關文文檔資資料，，經質質詢和和討論論，一一致認認為：：一、送送審稿稿規(guī)范范了風風險評評估的的評估估內容容與范范圍、、基本本概念念，明明確了資產產、威威脅、、脆弱弱性和和安全全風險險等關關鍵要要素及及其賦賦值原原則和和要求，，提出出了實實施流流程與與操作作步驟驟、評評估規(guī)規(guī)則與與基本本方法法，并并充分考考慮與與信息息安全全等級級保護護相關關標準準相銜銜接。。二、送送審稿稿的操操作性性較強強，對對開展展風險險評估估工作作具有有指導導作用用，并在國國務院院信息息辦組組織的的風險險評估估試點點中得得到了了進一一步的的實踐踐驗證和和充實實完善善。三、文文本的的編制制符合合國家家標準準GB1.1的要要求求。。專家家組組認認為為送送審審稿稿達達到到國國家家標標準準送送審審稿稿的的要要求求，，同同意意通通過過評評審。。建建議議起起草草組組根根據據專專家家意意見見盡盡快快修修改改完完善善后后申申報報。。232006年３３月月６６日日和和３３月月１１６６日日，，在在國國信信辦辦進進行行的的行業(yè)業(yè)和和省省市市的的風風險險評評估估政政策策文文件件的的兩兩次次宣宣貫貫會會上上，，信信息息安安全全風險險評評估估征征求求意意見見稿稿以以國國信信辦辦文文件件的的形形式式下下發(fā)發(fā)，，為為各各行行業(yè)業(yè)和和省市市開開展展風風險險評評估估提提供供技技術術依依據據。。242006年4月18日，，全全國國信信息息安安全全標標準準化化技技術術委委員員（安安標標委委））會會第第五五工工作作組組（（WG5）在在北北京京召召開開全全體體工工作作組組成成員員標準準投投票票會會議議，，對對信信息息安安全全風風險險評評估估國國家家標標準準送送審審稿稿進進行行工工作組組全全體體成成員員投投票票表表決決。。與與會會的的三三十十幾幾位位專專家家聽聽取取了了標標準準起起草組組對對《指南南》的編編制制過過程程以以及及主主要要內內容容的的介介紹紹，，經經投投票票一一致通通過過了了標標準準的的評評審審。。252006年6月19日，，全全國國信信息息安安全全標標準準化化技技術術委委員員會會秘秘書書處處在在北北京京組組織織召召開開了了信信息息安安全全風風險險評評估估標標準準送送審審稿稿的的專專家家審審查查會會，，與與會會專專家家經經質質詢詢和和討討論論，，將將標標準準正正式式命命名名為為《信息安安全技技術信信息安安全風風險評評估規(guī)規(guī)范》，認為該標標準達到國國家標準送送審稿的要要求，同意意通過評審審。會后，國家家信息中心心先后與各各起草單位位和有關專專家就標準準規(guī)范報批批稿的修改改進行了進進一步的研研討，并逐逐一落實了了專家提出出的意見。。262006年7月19日，全國國信息安全全標準化委委員會主任任辦公會上上討論通過過了《信息安全技技術信信息安全風風險評估規(guī)規(guī)范》(報批稿),目前已進入入報批程序序。27主要內容一、標準的的編制過程程二、標準的的主要內容容三、下一步步工作的幾幾點思考28二、標準的的主要內容容1、什么是風風險評估2、為什么要要做風險評評估3、風險評估估怎么做29二、標準的的主要內容容1、什么是風風險評估2、為什么要要做風險評評估3、風險評估估怎么做301、什么是風風險評估信息安全風風險人為或自然然的威脅利利用信息系系統(tǒng)及其管管理體系中中存在的脆脆弱性導致致安全事件件的發(fā)生及及其對組織織造成的影影響。信息安全風風險評估依據有關信信息安全技技術與管理理標準，對對信息系統(tǒng)統(tǒng)及由其處處理、傳輸輸和存儲的的信息的保保密性、完完整性和可可用性等安安全屬性進進行評價的的過程。它它要評估資資產面臨的的威脅以及及威脅利用用脆弱性導導致安全事事件的可能能性，并結結合安全事事件所涉及及的資產價價值來判斷斷安全事件件一旦發(fā)生生對組織造造成的影響響。31風險評估要要素關系圖圖圖中方框部部分的內容容為風險評評估的基本本要素;橢圓部分的的內容是與與這些要素素相關的屬屬性。風險評估圍圍繞著基本本要素展開開，同時需需要充分考考慮與基本本要素相關關的各類屬屬性。（1）業(yè)務戰(zhàn)略略的實現對對資產具有有依賴性，，依賴程度度越高，要要求其風險險越??；（2）資產是有有價值的，，組織的業(yè)業(yè)務戰(zhàn)略對對資產的依依賴程度越越高，資產產價值就越越大；（3）風險是由由威脅引發(fā)發(fā)的，資產產面臨的威威脅越多則則風險越大大，并可能能演變成安安全事件；；（4）資產的脆脆弱性可以以暴露資產產的價值，，資產具有有的弱點越越多則風險險越大；（5）脆弱性是是未被滿足足的安全需需求，威脅脅利用脆弱弱性危害資資產；（6）風險的存存在及對風風險的認識識導出安全全需求；（7）安全需求求可通過安安全措施得得以滿足，，需要結合合資產價值值考慮實施施成本；（8）安全措施施可抵御威威脅，降低低風險；（9）殘余風險險是未被安安全措施控控制的風險險。有些是是安全措施施不當或無無效,需要加強才才可控制的的風險；而而有些則是是在綜合考考慮了安全全成本與效效益后未去去控制的風風險；（10）殘余風險險應受到密密切監(jiān)視，，它可能會會在將來誘誘發(fā)新的安安全事件。。32二、標準的的主要內容容1、什么是風風險評估2、為什么要要做風險評評估3、風險評估估怎么做332、為什么要要做風險評評估安全源于風險險。在信息化建建設中，建建設與運營營的網絡與與信息系統(tǒng)統(tǒng)由于可能能存在的系系統(tǒng)設計缺缺陷、隱含含于軟硬件件設備的缺缺陷、系統(tǒng)統(tǒng)集成時帶帶來的缺陷陷，以及可可能存在的的某些管理理薄弱環(huán)節(jié)節(jié)，尤其當當網絡與信信息系統(tǒng)中中擁有極為為重要的信信息資產時時，都將使使得面臨復復雜環(huán)境的的網絡與信信息系統(tǒng)潛潛在著若干干不同程度度的安全風風險。34風險評估可可以不斷斷深入地地發(fā)現系系統(tǒng)建設設中的安安全隱患患，采取或完完善更加加經濟有有效的安安全保障障措施，，來消除安全全建設中中的盲目目樂觀或或盲目恐恐懼，提提出有針針對性的的從實際際出發(fā)的的解決方方法，提提高系統(tǒng)統(tǒng)安全的的科學管管理水平平，進而而全面提提升網絡絡與信息息系統(tǒng)的的安全保保障能力力。35信息安全風風險評估估，是從從風險管管理角度度，運用用科學的的方法和和手段，，系統(tǒng)地地分析網網絡與信信息系統(tǒng)統(tǒng)所面臨臨的威脅脅及其存存在的脆脆弱性，，評估安安全事件件一旦發(fā)發(fā)生可能能造成的的危害程程度，提提出有針針對性的的抵御威威脅的防防護對策策和整改改措施。。并為防防范和化化解信息息安全風風險，或或者將風風險控制制在可接接受的水水平，從從而最大大限度地地保障網網絡和信信息安全全提供科科學依據據。（國信辦辦[2006]5號文件））36二、標準準的主要要內容1、什么是是風險評評估2、為什么要做做風險評估3、風險評估怎怎么做373、風險評估怎怎么做-風險評估實施施流程-風險評估的形形式-信息系統(tǒng)生命命周期各階段段的風險評估估383、風險評估怎怎么做-風險評估實施施流程-風險評估的形形式-信息系統(tǒng)生命命周期各階段段的風險評估估39風險評估的實實施流程先期準備要素分析風險分析文檔記錄風險評估實施施流程圖40實施步驟(1)風險評估的準準備(2)資產識別(3)威脅識別(4)脆弱性識別(5)已有安全措施施的確認(6)風險分析(7)風險評估文件件記錄413、風險評估怎怎么做-風險評估實施施流程-風險評估的形形式-信息系統(tǒng)生命命周期各階段段的風險評估估42信息安全風險評評估分為自評評估、檢查評評估兩種形式式。自評估為為主，自評估估和檢查評估估相互結合、、互為補充。。自評估和檢檢查評估可依依托自身技術術力量進行，，也可委托第第三方機構提提供技術支持持。風險評估的形形式43自評估自評估可由發(fā)起起方實施或委委托風險評估估服務技術支支持方實施。。由發(fā)起方實實施的評估可可以降低實施施的費用、提提高信息系統(tǒng)統(tǒng)相關人員的的安全意識，，但可能由于于缺乏風險評評估的專業(yè)技技能，其結果果不夠深入準準確；同時，，受到組織內內部各種因素素的影響，其其評估結果的的客觀性易受受影響。委托托風險評估服服務技術支持持方實施的評評估，過程比比較規(guī)范、評評估結果的客客觀性比較好好，可信程度度較高；但由由于受到行業(yè)業(yè)知識技能及及業(yè)務了解的的限制，對被被評估系統(tǒng)的的了解，尤其其是在業(yè)務方方面的特殊要要求存在一定定的局限。但但由于引入第第三方本身就就是一個風險險因素，因此此，對其背景景與資質、評評估過程與結結果的保密要要求等方面應應進行控制。。44自評估中的““自”不僅僅僅是指自已做做評估的“自自”，也不僅僅僅是指自愿愿做評估的““自”。由于于“誰主管誰誰負責”，出出于對自身信信息系統(tǒng)的安安全責任考慮慮，信息系統(tǒng)統(tǒng)主管者應定定期對系統(tǒng)進進行風險評估估，具體實施施時可以依托托自身的評估估隊伍進行，，也可委托有有資質的第三三方提供評估估服務技術支支持，但無論論是哪一種形形式，責任都都是由信息系系統(tǒng)主管者自自已擔負的。。因此，自評評估中的“自自”的含義是是自已負責的的“自”。包包括自已負責責系統(tǒng)的安全全、自己發(fā)起起對信息系統(tǒng)統(tǒng)的風險評估估以及自己負負責為保障系系統(tǒng)安全所做做的風險評估估的安全等。。45此外，為保證證風險評估的的實施，與系系統(tǒng)相連的相相關方也應配配合，以防止止給其他方的的使用帶來困困難或引入新新的風險也往往往較多，因因此，要對實實施檢查評估估機構的資質質進行嚴格管管理。46檢查評估檢查評估是指信信息系統(tǒng)上級級管理部門組組織的或國家家有關職能部部門依法開展展的風險評估估。檢查評估可依依據本標準的的要求，實施施完整的風險險評估過程。。47一是風風險評評估究究其根根本是是評估估系統(tǒng)統(tǒng)的敏敏感信信息，，涉及及大量量的安安全問問題，，完全全委托托第三三方將將帶來來評估估本身身的風風險；；二是是進進行行風風險險評評估估要要求求評評估估人人員員既既要要了了解解評評估估本本身身的的一一套套方方法法與與流流程程，，還還要要了了解解被被評評估估系系統(tǒng)統(tǒng)的的業(yè)業(yè)務務特特性性，，這這對對于于完完全全從從事事評評估估的的第第三三方方來來講講，，在在短短時時間間內內了了解解每每個個系系統(tǒng)統(tǒng)的的業(yè)業(yè)務務特特性性難難度度是是比比較較大大的的；；三是是風風險險評評估估工工作作流流程程中中常常常常要要求求被被評評估估方方向向評評估估方方提提供供各各種種信信息息，，需需要要之之間間的的良良好好互互動動以以及及多多方方會會商商，，單單靠靠評評估估方方第第三三方方是是無無法法完完成成系系統(tǒng)統(tǒng)評評估估的的。。基于于以以上上原原因因，，委委托托評評估估技技術術支支持持比比委委托托評評估估的的提提法法更更為為切切合合實實際際。。并并且且，，提提供供委委托托評評估估技技術術支支持持的的機機構構應應具具有有相相應應的的資資質質。。483、風風險險評評估估怎怎么么做做-風險險評評估估實實施施流流程程-風險險評評估估的的形形式式-信息息系系統(tǒng)統(tǒng)生生命命周周期期各各階階段段的的風風險險評評估估49國信辦辦[2006]5號文文件件指指出出：：信息息安安全全風險險評評估估應應貫貫穿穿于于網網絡絡與與信信息息系系統(tǒng)統(tǒng)建建設設運運行行的的全全過過程程。。在在網網絡絡與與信信息息系系統(tǒng)統(tǒng)的的設設計計、、驗驗收收及及運運行行維維護護階階段段均均應應當當進進行行信信息息安安全全風風險險評評估估。。如如在在網網絡絡與與信信息息系系統(tǒng)統(tǒng)規(guī)規(guī)劃劃設設計計階階段段，，應應通通過過信信息息安安全全風風險險評評估估進進一一步步明明確確安安全全需需求求和和安安全全目目標標。。50信息系系統(tǒng)生生命周周期各各階段段的風風險評評估規(guī)劃階階段的的風險險評估估設計階階段的的風險險評估估實施階階段的的風險險評估估運行維維護階階段的的風險險評估估廢棄階階段的的風險險評估估51規(guī)劃階階段的的風險險評估估規(guī)劃階段段風險險評估估的目目的是是識別別系統(tǒng)統(tǒng)的業(yè)業(yè)務戰(zhàn)戰(zhàn)略，，以支支撐系系統(tǒng)安安全需需求及及安全全戰(zhàn)略略等。。規(guī)劃劃階段段的評評估應應能夠夠描述述信息息系統(tǒng)統(tǒng)建成成后對對現有有業(yè)務務模式式的作作用，，包括括技術術、管管理等等方面面，并并根據據其作作用確確定系系統(tǒng)建建設應應達到到的安安全目目標。。52設計階階段的的風險險評估估設計階段段的風風險評評估需需要根根據規(guī)規(guī)劃階階段所所明確確的系系統(tǒng)運運行環(huán)環(huán)境、、資產產重要要性，，提出出安全全功能能需求求。設設計階階段的的風險險評估估結果果應對對設計計方案案中所所提供供的安安全功功能符符合性性進行行判斷斷，作作為采采購過過程風風險控控制的的依據據。53實施階階段的的風險險評估估實施階段段風險險評估估的目目的是是根據據系統(tǒng)統(tǒng)安全全需求求和運運行環(huán)環(huán)境對對系統(tǒng)統(tǒng)開發(fā)發(fā)、實實施過過程進進行風風險識識別，，并對對系統(tǒng)統(tǒng)建成成后的的安全全功能能進行行驗證證。根根據設設計階階段分分析的的威脅脅和制制定的的安全全措施施，在在實施施及驗驗收時時進行行質量量控制制?；谠O設計階階段的的資產產列表表、安安全措措施，，實施施階段段應對對規(guī)劃劃階段段的安安全威威脅進進行進進一步步細分分，同同時評評估安安全措措施的的實現現程度度，從從而確確定安安全措措施能能否抵抵御現現有威威脅、、脆弱弱性的的影響響。實實施階階段風風險評評估主主要對對系統(tǒng)統(tǒng)的開開發(fā)與與技術術/產品獲獲取、、系統(tǒng)統(tǒng)交付付實施施兩個個過程程進行行評估估。54運行維維護階階段的的風險險評估估運行維維護階階段風風險評評估的的目的的是了了解和和控制制運行行過程程中的的安全全風險險，是是一種種較為為全面面的風風險評評估。。評估估內容容包括括對真真實運運行的的信息息系統(tǒng)統(tǒng)、資資產、、威脅脅、脆脆弱性性等各各方面面。資產評評估：：在真真實環(huán)環(huán)境下下較為為細致致的評評估。。包括括實施施階段段采購購的軟軟硬件件資產產、系系統(tǒng)運運行過過程中中生成成的信信息資資產、、相關關的人人員與與服務務等，，本階階段資資產識識別是是前期期資產產識別別的補補充與與增加加；威脅評評估：：應全全面地地分析析威脅脅的可可能性性和影影響程程度。。對非非故意意威脅脅導致致安全全事件件的評評估可可以參參照安安全事事件的的發(fā)生生頻率率；對對故意意威脅脅導致致安全全事件件的評評估主主要就就威脅脅的各各個影影響因因素做做出專專業(yè)判判斷；；脆弱性評估：：是全面的脆脆弱性評估。。包括運行環(huán)環(huán)境中物理、、網絡、系統(tǒng)統(tǒng)、應用、安安全保障設備備、管理等各各方面的脆弱弱性。技術脆脆弱性評估可