風(fēng)險評估管理制度及風(fēng)險評估管理程序

風(fēng)險評估管理制度第一章總則第一條為加強XXXX村鎮(zhèn)銀行風(fēng)險管理，及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)部控制目標(biāo)相關(guān)的風(fēng)險，合理確定風(fēng)險承受度和風(fēng)險應(yīng)對策略，根據(jù)有關(guān)法律法規(guī)和《企業(yè)內(nèi)部控制基本規(guī)范》等的有關(guān)規(guī)定，結(jié)合我行實際情況，制訂本制度。第二條本制度所稱風(fēng)險是指我行經(jīng)營活動中與我行實現(xiàn)內(nèi)部控制目標(biāo)相關(guān)的風(fēng)險，包括信息風(fēng)險、財務(wù)風(fēng)險、市場風(fēng)險、運營風(fēng)險和法律風(fēng)險等。本制度所稱風(fēng)險評估是指通過對基于事實的信息進(jìn)行分析，就如何處理特定風(fēng)險以及如何選擇風(fēng)險應(yīng)對策略進(jìn)行科學(xué)決策。第二章組織機(jī)構(gòu)及職責(zé)第三條各部門為我行風(fēng)險評估管理工作的責(zé)任機(jī)構(gòu)，具體職責(zé)：(一）對我行經(jīng)營活動中的風(fēng)險進(jìn)行識別；(二)對識別的風(fēng)險進(jìn)行評估，辨識評估出風(fēng)險等級并將中、高風(fēng)險以書面形式上報我行管理層，上報內(nèi)容應(yīng)包括：風(fēng)險發(fā)生地、發(fā)生原因、可能造成的損失和影響、擬采取的應(yīng)對措施等。(三)執(zhí)行審批后的風(fēng)險應(yīng)對預(yù)案，并及時反饋風(fēng)險的應(yīng)對、解決結(jié)果；(四)對識別的風(fēng)險進(jìn)行監(jiān)控，發(fā)生變化時重新評估，并根據(jù)新辨識評估的風(fēng)險等級進(jìn)行相應(yīng)的處理；(五)年中、年度對風(fēng)險評估管理工作進(jìn)行總結(jié)。第四條我行企劃部門為我行風(fēng)險評估管理工作的組織機(jī)構(gòu)，具體職責(zé)：（一）負(fù)責(zé)制定我行的風(fēng)險評估方案；（二）負(fù)責(zé)組建風(fēng)險評估工作小組；（三）負(fù)責(zé)審核風(fēng)險清單、應(yīng)對預(yù)案；（四）擬定我行風(fēng)險評估報告，上報我行管理層。（五）負(fù)責(zé)建立經(jīng)營環(huán)境監(jiān)控體系，切實監(jiān)控并記錄內(nèi)、外部經(jīng)營環(huán)境和條件的變化，以修正風(fēng)險識別與評估。（六）負(fù)責(zé)建立風(fēng)險預(yù)警指標(biāo)體系，要求各具體部門定期提供數(shù)據(jù)，進(jìn)行指標(biāo)分析；對于超過風(fēng)險預(yù)警值的指標(biāo)，應(yīng)確定相應(yīng)的整改措施。第五條財務(wù)部門的風(fēng)險評估（一）負(fù)責(zé)建立流程識別和應(yīng)對會計法規(guī)、準(zhǔn)則、制度的變化，評估對會計信息的影響。（二）負(fù)責(zé)建立溝通渠道和流程參與我行業(yè)務(wù)操作流程的變化，評估對會計核算的影響。第六條我行管理層主要職責(zé)為：（一）審定我行各部門風(fēng)險管理工作職責(zé)；（二）批準(zhǔn)風(fēng)險應(yīng)對預(yù)案；（三）研究、確定我行重大風(fēng)險事項及應(yīng)對預(yù)案；（四）審定內(nèi)部審計部門提交的我行風(fēng)險管理方面的報告，并報董事會審議。第七條董事會負(fù)責(zé)審議我行管理層提交的我行風(fēng)險評估報告報告，批準(zhǔn)風(fēng)險管理其他重大事項。第三章風(fēng)險評估的頻率第八條風(fēng)險評估每年至少進(jìn)行一次，并根據(jù)實際需要增加評估的頻率。第九條當(dāng)出現(xiàn)下述情況時，應(yīng)考慮重新進(jìn)行風(fēng)險評估：（一）企業(yè)經(jīng)營模式發(fā)生重大變動；（二）企業(yè)所使用的信息技術(shù)發(fā)生重大變動；（三）關(guān)鍵人員變動；（四）企業(yè)所適用的會計準(zhǔn)則發(fā)生重大變動；（五）購并的發(fā)生、金融工具的使用等等涉及到復(fù)雜的會計處理要求的事項發(fā)生；（六）其他。第四章控制目標(biāo)的設(shè)定和傳達(dá)第十條企業(yè)董事會應(yīng)當(dāng)按照戰(zhàn)略目標(biāo)，設(shè)定相關(guān)的經(jīng)營目標(biāo)、財務(wù)報告目標(biāo)、合規(guī)性目標(biāo)與資產(chǎn)安全完整目標(biāo)，并根據(jù)設(shè)定的目標(biāo)合理確定企業(yè)整體風(fēng)險承受能力和具體業(yè)務(wù)層次上的可接受的風(fēng)險水平。

第十一條我行董事會應(yīng)定期更新和修正我行的戰(zhàn)略目標(biāo)、經(jīng)營目標(biāo)、風(fēng)險管理目標(biāo)；第十二條我行管理層應(yīng)向各部門清晰傳達(dá)了我行的戰(zhàn)略目標(biāo)、經(jīng)營目標(biāo)和風(fēng)險管理目標(biāo)（如通過工作準(zhǔn)備會等），并進(jìn)行目標(biāo)分解。第十三條我行企劃部負(fù)責(zé)風(fēng)險評估方案的制訂，風(fēng)險評估方案須經(jīng)我行總經(jīng)理辦公會審批后執(zhí)行，風(fēng)險評估工作由企劃部組建風(fēng)險評估小組負(fù)責(zé)風(fēng)險評估的具體工作。第五章風(fēng)險識別第十四條我行各部門應(yīng)當(dāng)根據(jù)風(fēng)險評估方案的要求，全面系統(tǒng)持續(xù)地收集相關(guān)信息，結(jié)合實際情況，及時進(jìn)行風(fēng)險評估，準(zhǔn)確識別與實現(xiàn)控制目標(biāo)相關(guān)的內(nèi)部風(fēng)險和外部風(fēng)險。第十五條我行各部門在進(jìn)行風(fēng)險識別時，可以采取座談討論、問卷調(diào)查、案例分析、咨詢專業(yè)機(jī)構(gòu)意見等方法識別相關(guān)的風(fēng)險因素，特別應(yīng)注意總結(jié)、吸取企業(yè)過去的經(jīng)驗教訓(xùn)和同行業(yè)的經(jīng)驗教訓(xùn)，加強對高危性、多發(fā)性風(fēng)險因素的關(guān)注。

第十六條各部門及子我行應(yīng)廣泛、持續(xù)不斷地收集與本我行風(fēng)險和風(fēng)險管理相關(guān)的內(nèi)外部信息，包括歷史數(shù)據(jù)和未來預(yù)測。第十七條我行識別內(nèi)部風(fēng)險，應(yīng)當(dāng)關(guān)注下列因素：1.董事、監(jiān)事、經(jīng)理及其他高級管理人員的職業(yè)操守、員工專業(yè)勝任能力等人力資源因素。2.組織機(jī)構(gòu)、經(jīng)營方式、資產(chǎn)管理、業(yè)務(wù)流程等管理因素。3.研究開發(fā)、技術(shù)投入、信息技術(shù)運用等自主創(chuàng)新因素。4.財務(wù)狀況、經(jīng)營成果、現(xiàn)金流量等財務(wù)因素。5.營運安全、員工健康、環(huán)境保護(hù)等安全環(huán)保因素。6.其他有關(guān)內(nèi)部風(fēng)險因素。第十八條我行識別外部風(fēng)險，應(yīng)當(dāng)關(guān)注下列因素：1.經(jīng)濟(jì)形勢、產(chǎn)業(yè)政策、融資環(huán)境、市場競爭、資源供給等經(jīng)濟(jì)因素。2.法律法規(guī)、監(jiān)管要求等法律因素。3.安全穩(wěn)定、文化傳統(tǒng)、社會信用、教育水平、消費者行為等社會因素。4.技術(shù)進(jìn)步、工藝改進(jìn)等科學(xué)技術(shù)因素。5.自然災(zāi)害、環(huán)境狀況等自然環(huán)境因素。6.其他有關(guān)外部風(fēng)險因素。第六章風(fēng)險分析第十九條我行各部門應(yīng)當(dāng)針對已識別的風(fēng)險因素，從風(fēng)險發(fā)生的可能性和影響程度兩個方面進(jìn)行分析。企業(yè)應(yīng)當(dāng)根據(jù)實際情況，針對不同的風(fēng)險類別確定科學(xué)合理的定性、定量分析標(biāo)準(zhǔn)。具體如下：表一：風(fēng)險發(fā)生的可能性程度描述說明I大致確定事件可能在多數(shù)情況下發(fā)生II可能事件有時可能發(fā)生III可能性不高事件只在少數(shù)情況下可能發(fā)生IV罕見事件僅在很少的情況下發(fā)生V極不可能事件極少的情況下發(fā)生表二：風(fēng)險的后果或影響程度描述說明1微不足道沒有經(jīng)濟(jì)損失2輕微輕微經(jīng)濟(jì)損失3中度可以得到控制，經(jīng)濟(jì)損失不大4高度經(jīng)濟(jì)損失較大5災(zāi)難性經(jīng)濟(jì)損失巨大第二十條企業(yè)應(yīng)當(dāng)根據(jù)風(fēng)險分析的結(jié)果，依據(jù)風(fēng)險的重要性水平，運用專業(yè)判斷，按照風(fēng)險發(fā)生的可能性大小及其對企業(yè)影響的嚴(yán)重程度進(jìn)行風(fēng)險排序，確定應(yīng)當(dāng)重點關(guān)注的重要風(fēng)險。風(fēng)險程度定性分析表

可能性后果微不足道1輕微2中度3高度4災(zāi)難性5大致確定ICCDEE可能IIBCCDE可能性不高IIIABCDE罕見IVAABCD極不可能VAABCC注：E=極高；要立刻停止有關(guān)工作，直到風(fēng)險減低。在風(fēng)險減低前有關(guān)工作須完全禁止進(jìn)行。D=高風(fēng)險；要停止有關(guān)工作，直到風(fēng)險減低。如有關(guān)工作現(xiàn)正在進(jìn)行中，須提供有效監(jiān)控及緊急應(yīng)變程序。C=中等風(fēng)險；須規(guī)定有關(guān)管理職責(zé)及指引把危害控制，或在可行下進(jìn)一步減低風(fēng)險，如有關(guān)風(fēng)險可能產(chǎn)生嚴(yán)重的危害，應(yīng)作進(jìn)一步危害評估及加強控制。B=可接受的風(fēng)險；按正常運作程序管理，在不影響成本下可作進(jìn)一步改善。A=微不足道的風(fēng)險；無須作任何行動，按慣常運作。第七章風(fēng)險匯總及應(yīng)對預(yù)案第二十一條企業(yè)各部門應(yīng)當(dāng)根據(jù)風(fēng)險分析情況，結(jié)合風(fēng)險成因、企業(yè)整體風(fēng)險承受能力和具體業(yè)務(wù)層次上的可接受風(fēng)險水平，確定風(fēng)險應(yīng)對策略。風(fēng)險應(yīng)對策略主要包括風(fēng)險回避、風(fēng)險承擔(dān)、風(fēng)險管理和風(fēng)險分擔(dān)經(jīng)營。第二十二條我行各部門應(yīng)根據(jù)風(fēng)險分析的結(jié)果編制風(fēng)險清單，并制訂相應(yīng)的應(yīng)對預(yù)案，風(fēng)險清單、應(yīng)對預(yù)案須報我行風(fēng)險評估工作小組審核后，報總經(jīng)理辦公會審批。第八章風(fēng)險評估報告及執(zhí)行第二十三條我行風(fēng)險評估工作小組負(fù)責(zé)編制風(fēng)險評估報告，風(fēng)險評估報告經(jīng)我行總經(jīng)理辦公會審核后，報我行董事會審議。第二十四條風(fēng)險評估報告應(yīng)包括以下內(nèi)容：1、風(fēng)險評估的范圍；2、風(fēng)險評估的方法；3、風(fēng)險清單；4、風(fēng)險應(yīng)對預(yù)案；第二十五條各部門應(yīng)根據(jù)董事會批準(zhǔn)的風(fēng)險評估報告進(jìn)行實施，對風(fēng)險應(yīng)對預(yù)案的執(zhí)行情況進(jìn)行實時監(jiān)控，并及時反饋風(fēng)險應(yīng)對、解決的執(zhí)行情況。第二十六條內(nèi)部審計部門（或協(xié)同風(fēng)險管理部門或小組）負(fù)責(zé)定期或不定期檢查具體部門風(fēng)險控制措施的實施、整改情況，形成檢查記錄。第九章附則第二十七條本制度未盡事宜，按國家有關(guān)法律、法規(guī)和我行章程的規(guī)定執(zhí)行；如與國家日后頒布的法律、法規(guī)或經(jīng)合法程序修改后的我行章程相抵觸時，按國家有關(guān)法律、法規(guī)和我行章程的規(guī)定執(zhí)行，并及時修訂本制度，報董事會審議通過。第二十八條本制度由我行董事會負(fù)責(zé)解釋。第二十九條本制度自我行董事會審議通過之日起實施。XXXX村鎮(zhèn)銀行二〇XX年十月十六日風(fēng)險評估管理程序歷史修訂記錄序號更改單號更改說明修訂人生效日期現(xiàn)行版次目錄70611概述 5100092術(shù)語與定義 5118252.1風(fēng)險管理 5159202.1.1風(fēng)險評估 5306672.2其他 6168633風(fēng)險評估框架及流程 791923.1風(fēng)險要素關(guān)系 736373.2風(fēng)險分析原理 9272673.3實施流程 9242294風(fēng)險評估準(zhǔn)備過程 1059034.1確定范圍 10244704.2確定目標(biāo) 11246104.3確定組織結(jié)構(gòu) 114594.4確定風(fēng)險評估方法 11240214.5獲得最高管理者批準(zhǔn) 11178785風(fēng)險評估實施過程 1171435.1資產(chǎn)賦值 13102735.1.1資產(chǎn)分類 14281895.1.2資產(chǎn)價值屬性 17231335.1.3資產(chǎn)價值屬性賦值標(biāo)準(zhǔn) 1983085.2威脅評估 2375125.2.1威脅分類 23107885.2.2威脅賦值 26262445.3脆弱性評估 273945.4確定現(xiàn)有控制 3058155.5風(fēng)險評估 30246765.5.1風(fēng)險值計算 30296775.5.2風(fēng)險等級劃分 317885.5.3風(fēng)險評估結(jié)果紀(jì)錄 31261276風(fēng)險管理過程 326976.1安全控制的識別與選擇 33141016.2降低風(fēng)險 34105996.3接受風(fēng)險 35227696.4風(fēng)險管理要求 35227237相關(guān)文件 36

概述目前信息安全管理的發(fā)展趨勢是將風(fēng)險管理與信息安全管理緊密結(jié)合在一起，將風(fēng)險概念作為信息安全管理實踐的對象和出發(fā)點，信息安全管理的控制點以風(fēng)險出現(xiàn)的可能性作為對象而展開的。ISO27001標(biāo)準(zhǔn)對信息安全管理體系(ISMS)的要求即通過對信息資產(chǎn)的風(fēng)險管理,確定重要信息資產(chǎn)清單以及風(fēng)險等級,從而采取相應(yīng)的控制措施來實現(xiàn)信息資產(chǎn)的安全。信息安全管理是風(fēng)險管理的過程，風(fēng)險評估是風(fēng)險管理的基礎(chǔ)。風(fēng)險管理是指導(dǎo)和控制組織風(fēng)險的過程。風(fēng)險管理遵循管理的一般循環(huán)模式—計劃(Plan)、執(zhí)行(Do)、檢查(Check)、行動(Action)的持續(xù)改進(jìn)模式。ISO27001標(biāo)準(zhǔn)要求企業(yè)設(shè)計、實施、維護(hù)信息安全管理體系都要依據(jù)PDCA循環(huán)模式。術(shù)語與定義風(fēng)險管理風(fēng)險管理是以可接受成本識別、評估、控制、降低可能影響信息系統(tǒng)風(fēng)險的過程，通過風(fēng)險評估識別風(fēng)險，通過制定信息安全方針，采取適當(dāng)?shù)目刂颇繕?biāo)與控制方式對風(fēng)險進(jìn)行控制，使風(fēng)險被避免、轉(zhuǎn)移或降低到一個可以被接受的水平，同時考慮控制費用與風(fēng)險之間的平衡。風(fēng)險管理的核心是信息的保護(hù)。信息對于組織是一種具有重要價值的資產(chǎn)。建立信息安全管理體系(ISMS)的目的是在最大范圍內(nèi)保護(hù)信息資產(chǎn)，確保信息的機(jī)密性、完整性和可用性，將風(fēng)險管理自始至終的貫穿于整個信息安全管理體系中，這種體系并不能完全消除信息安全的風(fēng)險，只是盡量減少風(fēng)險，盡量將攻擊造成的損失降低到最低限度。風(fēng)險評估風(fēng)險評估指風(fēng)險分析和風(fēng)險評價的整個過程，其中風(fēng)險分析是指系統(tǒng)化地識別風(fēng)險來源和風(fēng)險類型，風(fēng)險評價是指按組織制定的風(fēng)險標(biāo)準(zhǔn)估算風(fēng)險水平，確定風(fēng)險嚴(yán)重性。風(fēng)險評估的出發(fā)點是對與風(fēng)險有關(guān)的各因素的確認(rèn)和分析，與信息安全風(fēng)險有關(guān)的因素可以包括四大類：資產(chǎn)、威脅、脆弱性、安全控制措施。風(fēng)險評估是對信息和信息處理設(shè)施的威脅、脆弱性和風(fēng)險的評估，它包含以下元素：風(fēng)險是被特定威脅利用的資產(chǎn)的一種或一組脆弱性，導(dǎo)致資產(chǎn)丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。資產(chǎn)是對組織具有價值的信息資源，是安全控制措施保護(hù)的對象。威脅是可能對資產(chǎn)或組織造成損害的事故的潛在原因。脆弱性是資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點。安全控制措施是降低風(fēng)險的措施、程序或機(jī)制。其他資產(chǎn)Asset：對組織具有價值的信息或資源，是安全策略保護(hù)的對象。資產(chǎn)價值A(chǔ)ssetValue：資產(chǎn)的重要程度或敏感程度的表征。資產(chǎn)價值是資產(chǎn)的屬性，也是進(jìn)行資產(chǎn)識別的主要內(nèi)容。機(jī)密性confidentiality：數(shù)據(jù)所具有的特性，即表示數(shù)據(jù)所達(dá)到的未提供或未泄露給未授權(quán)的個人、過程或其他實體的程度。完整性integrity：保證信息及信息系統(tǒng)不會被非授權(quán)更改或破壞的特性。包括數(shù)據(jù)完整性和系統(tǒng)完整性?？捎眯詀vailability：數(shù)據(jù)或資源的特性，被授權(quán)實體按要求能訪問和使用數(shù)據(jù)或資源。數(shù)據(jù)完整性dataintegrity：數(shù)據(jù)所具有的特性，即無論數(shù)據(jù)形式作何變化，數(shù)據(jù)的準(zhǔn)確性和一致性均保持不變。系統(tǒng)完整性systemintegrity：在防止非授權(quán)用戶修改或使用資源和防止授權(quán)用戶不正確地修改或使用資源的情況下，信息系統(tǒng)能履行其操作目的的品質(zhì)。信息安全風(fēng)險informationsecurityrisk：人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。信息安全風(fēng)險評估informationsecurityriskassessment：依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。信息系統(tǒng)informationsystem：由計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。典型的信息系統(tǒng)由三部分組成：硬件系統(tǒng)（計算機(jī)硬件系統(tǒng)和網(wǎng)絡(luò)硬件系統(tǒng)）；系統(tǒng)軟件（計算機(jī)系統(tǒng)軟件和網(wǎng)絡(luò)系統(tǒng)軟件）；應(yīng)用軟件（包括由其處理、存儲的信息）。檢查評估inspectionassessment：由被評估組織的上級主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的，依據(jù)國家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對信息系統(tǒng)及其管理進(jìn)行的具有強制性的檢查活動。組織organization：由作用不同的個體為實施共同的業(yè)務(wù)目標(biāo)而建立的結(jié)構(gòu)。組織的特性在于為完成目標(biāo)而分工、合作；一個單位是一個組織，某個業(yè)務(wù)部門也可以是一個組織。殘余風(fēng)險residualrisk：采取了安全措施后，仍然可能存在的風(fēng)險。自評估self-assessment：由組織自身發(fā)起，參照國家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對信息系統(tǒng)及其管理進(jìn)行的風(fēng)險評估活動。安全事件securityevent：指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別狀態(tài)的發(fā)生，它可能是對信息安全策略的違反或防護(hù)措施的失效，或未預(yù)知的不安全狀況。安全措施securitymeasure：保護(hù)資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實施的各種實踐、規(guī)程和機(jī)制的總稱。安全需求securityrequirement：為保證組織業(yè)務(wù)戰(zhàn)略的正常運作而在安全措施方面提出的要求。威脅threat：可能導(dǎo)致對系統(tǒng)或組織危害的不希望事故潛在原因。脆弱性vulnerability：可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的弱點。風(fēng)險評估框架及流程本章提出了風(fēng)險評估的要素關(guān)系、分析原理及實施流程。風(fēng)險要素關(guān)系資產(chǎn)所有者應(yīng)對信息資產(chǎn)進(jìn)行保護(hù)，通過分析信息資產(chǎn)的脆弱性來確定威脅可能利用哪些弱點來破壞其安全性。風(fēng)險評估要識別資產(chǎn)相關(guān)要素的關(guān)系，從而判斷資產(chǎn)面臨的風(fēng)險大小。風(fēng)險評估中各要素的關(guān)系如圖3-1所示：圖3-1風(fēng)險要素關(guān)系圖圖3-1中方框部分的內(nèi)容為風(fēng)險評估的基本要素，橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性。風(fēng)險評估圍繞著這些基本要素展開，在對這些要素的評估過程中，需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風(fēng)險等與這些基本要素相關(guān)的各類屬性。圖3-1中的風(fēng)險要素及屬性之間存在著以下關(guān)系：業(yè)務(wù)戰(zhàn)略的實現(xiàn)對資產(chǎn)具有依賴性，依賴程度越高，要求其風(fēng)險越小；資產(chǎn)是有價值的，組織的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依賴程度越高，資產(chǎn)價值就越大；資產(chǎn)價值越大，原則上則其面臨的風(fēng)險越大；風(fēng)險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險越大，并可能導(dǎo)致安全事件；弱點越多，威脅利用脆弱性導(dǎo)致安全事件的可能性越大；脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產(chǎn)，從而形成風(fēng)險；風(fēng)險的存在及對風(fēng)險的認(rèn)識導(dǎo)出安全需求；安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價值考慮實施成本；安全措施可抵御威脅，降低安全事件發(fā)生的可能性，并減少影響；風(fēng)險不可能也沒有必要降為零，在實施了安全措施后還可能有殘余風(fēng)險。有些殘余風(fēng)險的原因可能是安全措施不當(dāng)或無效,需要繼續(xù)控制；而有些殘余風(fēng)險則是在綜合考慮了安全成本與效益后未去控制的風(fēng)險，是可以接受的；殘余風(fēng)險應(yīng)受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件。風(fēng)險分析原理風(fēng)險分析原理如圖3-2所示：圖3-2風(fēng)險分析原理圖風(fēng)險分析中要涉及資產(chǎn)、威脅、脆弱性等基本要素。每個要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機(jī)等；脆弱性的屬性是資產(chǎn)弱點的嚴(yán)重程度。風(fēng)險分析的主要內(nèi)容為：對資產(chǎn)進(jìn)行識別，并對資產(chǎn)的價值進(jìn)行賦值；對威脅進(jìn)行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值；對資產(chǎn)的脆弱性進(jìn)行識別，并對具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；根據(jù)威脅及威脅利用弱點的難易程度判斷安全事件發(fā)生的可能性；根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用資產(chǎn)的價值計算安全事件的損失；根據(jù)安全事件發(fā)生的可能性以及安全事件的損失，計算安全事件一旦發(fā)生對組織的影響，即風(fēng)險值。實施流程圖3-3給出風(fēng)險評估的實施流程，第4章將圍繞風(fēng)險評估流程闡述風(fēng)險評估各具體實施步驟。圖3-3風(fēng)險評估實施流程圖風(fēng)險評估準(zhǔn)備過程風(fēng)險評估的準(zhǔn)備過程是運維中心進(jìn)行風(fēng)險評估的基礎(chǔ)，是整個風(fēng)險評估過程有效性的保證。運維中心對信息及信息系統(tǒng)進(jìn)行風(fēng)險評估是一種戰(zhàn)略性的考慮，其結(jié)果將受到運維中心業(yè)務(wù)需求及戰(zhàn)略目標(biāo)、文化、業(yè)務(wù)流程、安全要求、規(guī)模和結(jié)構(gòu)的影響。因此在風(fēng)險評估實施前，應(yīng)：確定風(fēng)險評估的范圍；確定風(fēng)險評估的目標(biāo)；建立適當(dāng)?shù)慕M織結(jié)構(gòu)；建立系統(tǒng)化的風(fēng)險評估方法；獲得最高管理者對風(fēng)險評估策劃的批準(zhǔn)。確定范圍進(jìn)行風(fēng)險評估是基于運維中心自身商業(yè)要求及戰(zhàn)略目標(biāo)的要求，國家法律法規(guī)和行業(yè)監(jiān)管要求，根據(jù)上述要求確定風(fēng)險評估范圍，每次評估范圍可以是全公司的信息和信息系統(tǒng)，可以是單獨的信息系統(tǒng)，可以是關(guān)鍵業(yè)務(wù)流程。此項工作需要在資產(chǎn)識別和分類工作基礎(chǔ)上進(jìn)行。確定目標(biāo)運維中心的信息、信息系統(tǒng)、應(yīng)用軟件和網(wǎng)絡(luò)是運維中心重要的資產(chǎn)，信息資產(chǎn)的機(jī)密性，完整性和可用性對于維持競爭優(yōu)勢，提高安全管理水平，符合法律法規(guī)要求和運維中心的形象是必要的。運維中心要面對來自四面八方日益增長的安全威脅，信息、信息系統(tǒng)、應(yīng)用軟件和網(wǎng)絡(luò)可能是嚴(yán)重威脅的目標(biāo)，同時由于運維中心信息化程度不斷提高，對信息系統(tǒng)和技術(shù)的依賴日益增加，則可能出現(xiàn)更多的脆弱性。運維中心風(fēng)險評估的目標(biāo)來源于業(yè)務(wù)持續(xù)發(fā)展的需要、滿足國家法律法規(guī)和行業(yè)監(jiān)管的要求等方面。確定組織結(jié)構(gòu)在風(fēng)險評估過程中，應(yīng)建立適合的組織結(jié)構(gòu)，以推進(jìn)評估過程，成立由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等組成的風(fēng)險評估小組，以保證能夠滿足風(fēng)險評估的范圍、目標(biāo)。確定風(fēng)險評估方法風(fēng)險評估方法應(yīng)考慮評估的范圍、目的、時間、效果、組織文化、人員素質(zhì)以及具體開展的程度等因素來確定，使之能夠與運維中心的環(huán)境和安全要求相適應(yīng)。獲得最高管理者批準(zhǔn)上述所有內(nèi)容應(yīng)得到運維中心管理層批準(zhǔn)，并對相關(guān)部門和員工進(jìn)行傳達(dá)，就風(fēng)險評估相關(guān)內(nèi)容進(jìn)行培訓(xùn)，以明確各有關(guān)人員在風(fēng)險評估中的任務(wù)。風(fēng)險評估實施過程信息安全各組成因素：資產(chǎn)的價值、對資產(chǎn)的威脅和威脅發(fā)生的可能性、資產(chǎn)脆弱性、現(xiàn)有的安全控制提供的保護(hù)，風(fēng)險評估過程是綜合以上因素而導(dǎo)出風(fēng)險的過程，如圖5-1所示：資產(chǎn)賦值資產(chǎn)賦值脆弱性評估威脅評估確定現(xiàn)有控制風(fēng)險評估圖5-1 風(fēng)險評估的過程詳細(xì)的風(fēng)險評估方法描述詳細(xì)的風(fēng)險評估是對資產(chǎn)、威脅和脆弱點進(jìn)行詳細(xì)的識別和估價，評估結(jié)果被用于評估風(fēng)險和安全控制的識別和選擇。通過識別資產(chǎn)的風(fēng)險并將風(fēng)險降低到可接受水平，來證明管理者所采用的安全控制是適當(dāng)?shù)?。詳?xì)的風(fēng)險評估，需要仔細(xì)地制定被評估的信息系統(tǒng)范圍內(nèi)的業(yè)務(wù)環(huán)境、業(yè)務(wù)運營、信息和資產(chǎn)的邊界，是一個需要管理者持續(xù)關(guān)注的方法，如下表：風(fēng)險評估評估活動資產(chǎn)賦值識別和列出信息安全管理范圍內(nèi)被評估的業(yè)務(wù)環(huán)境、業(yè)務(wù)運營和信息相關(guān)的所有的資產(chǎn)，定義一個價值尺度并為每一項資產(chǎn)分配價值（機(jī)密性、完整性和可用性的價值）。威脅評估識別與資產(chǎn)相關(guān)的所有威脅，并根據(jù)它們發(fā)生的可能性為它們賦值。脆弱性評估識別與資產(chǎn)相關(guān)的所有的脆弱點，并根據(jù)它們被威脅利用的程度和嚴(yán)重性來賦值。確定現(xiàn)有控制識別與記錄所有與資產(chǎn)相關(guān)聯(lián)的、現(xiàn)有的控制。風(fēng)險評估利用上述對資產(chǎn)、威脅、脆弱點的評價結(jié)果，進(jìn)行風(fēng)險評估，風(fēng)險為資產(chǎn)的相對價值、威脅發(fā)生的可能性與脆弱點被利用的可能性的函數(shù)，采用適當(dāng)?shù)娘L(fēng)險測量工具進(jìn)行風(fēng)險計算。表5-1詳細(xì)風(fēng)險評估內(nèi)容詳細(xì)風(fēng)險評估方法將安全風(fēng)險作為資產(chǎn)、威脅及脆弱點的函數(shù)來進(jìn)行識別與評估，具體程序包括：對資產(chǎn)（說明它們的價值、業(yè)務(wù)相關(guān)性）、威脅（說明它們發(fā)生的可能性）和脆弱性（說明有關(guān)它們的弱點和敏感性的程度）進(jìn)行測量與賦值。使用預(yù)定義風(fēng)險計算函數(shù)完成風(fēng)險測量。資產(chǎn)賦值資產(chǎn)賦值就是要識別影響信息系統(tǒng)的信息資產(chǎn)（以下簡稱資產(chǎn)），并評估其價值，包括資產(chǎn)識別與資產(chǎn)賦值兩部分。資產(chǎn)識別資產(chǎn)是影響信息系統(tǒng)運行而需要保護(hù)的有用資源，資產(chǎn)以多種形式存在。運維中心資產(chǎn)分為：硬件類、系統(tǒng)服務(wù)類、支撐服務(wù)類、信息類、人員、無形資產(chǎn)等，每類資產(chǎn)具有不同價值屬性和存在特點，固有的弱點、面臨的威脅、需要實施的保護(hù)和安全控制各不相同。為了對資產(chǎn)進(jìn)行有效的保護(hù)，組織需要在各個管理層對資產(chǎn)落實責(zé)任，進(jìn)行恰當(dāng)?shù)墓芾?。在信息安全體系范圍內(nèi)識別資產(chǎn)并為資產(chǎn)編制清單是一項重要工作，每項資產(chǎn)都應(yīng)該清晰地定義，在組織中明確資產(chǎn)所有權(quán)關(guān)系，進(jìn)行安全分類，并以文件方式詳細(xì)記錄在案。資產(chǎn)賦值為了明確對資產(chǎn)的保護(hù)，有必要對資產(chǎn)進(jìn)行估價，其價值大小不僅僅是考慮其自身的價值，還要考慮其業(yè)務(wù)的相關(guān)性和一定條件下的潛在價值。資產(chǎn)價值常常是以安全事件發(fā)生時所產(chǎn)生的潛在業(yè)務(wù)影響來衡量，安全事件會導(dǎo)致資產(chǎn)機(jī)密性、完整性和可用性的損失，從而導(dǎo)致企業(yè)資金、市場份額、企業(yè)形象的損失。為了資產(chǎn)評估的一致性與準(zhǔn)確性，組織應(yīng)當(dāng)建立一個資產(chǎn)的價值評估標(biāo)準(zhǔn)，對每一種資產(chǎn)和每一種可能的損失，例如機(jī)密性、完整性和可用性的損失，都可以賦予一個價值。但采用精確的方式給資產(chǎn)賦值是較困難的一件事，一般采用定性的方式，按照事前建立的資產(chǎn)的價值評估標(biāo)準(zhǔn)將資產(chǎn)的價值劃分為不同等級。經(jīng)過資產(chǎn)的識別與估價后，組織應(yīng)根據(jù)資產(chǎn)價值大小，進(jìn)一步確定要保護(hù)的關(guān)鍵資產(chǎn)。資產(chǎn)分別具有不同的安全屬性，機(jī)密性、完整性和可用性分別反映了資產(chǎn)在三個不同方面的特性。安全屬性的不同通常也意味著安全控制、保護(hù)功能需求的不同。通過考察三種不同安全屬性，可以得出一個能夠基本反映資產(chǎn)價值的數(shù)值。對信息資產(chǎn)進(jìn)行估價賦值的目的是為了更好地反映資產(chǎn)的價值，以便于進(jìn)一步考察資產(chǎn)相關(guān)的弱點、威脅和風(fēng)險屬性，并進(jìn)行量化。在評估過程，為了保證沒有資產(chǎn)被忽略和遺漏，應(yīng)該先確定信息安全管理體系(ISMS)范圍，建立資產(chǎn)的評審邊界。評估資產(chǎn)最簡單的方式是列出組織業(yè)務(wù)過程中、安全管理體系范圍內(nèi)所有具有價值的資產(chǎn)，然后對資產(chǎn)賦予一定的價值，這種價值應(yīng)該反映資產(chǎn)對組織業(yè)務(wù)運營的重要性，并以對業(yè)務(wù)的潛在影響程度表現(xiàn)出來。例如，資產(chǎn)價值越大，由于泄露、修改、損害、不可用等安全事件對組織業(yè)務(wù)的潛在影響就越大?；诮M織業(yè)務(wù)需要的資產(chǎn)的識別與估價，是建立信息安全體系，確定風(fēng)險的重要一步。資產(chǎn)的價值應(yīng)當(dāng)由資產(chǎn)的所有者和相關(guān)用戶來確定，只有他們才最清楚資產(chǎn)對組織業(yè)務(wù)的重要性，才能較準(zhǔn)確地評估出資產(chǎn)的實際價值。為確保資產(chǎn)賦值時的一致性和準(zhǔn)確性，組織應(yīng)建立一個資產(chǎn)價值評價尺度，以指導(dǎo)資產(chǎn)賦值。在對資產(chǎn)賦予價值時，一方面要考慮資產(chǎn)購買成本及維護(hù)成本，另一方面主要考慮當(dāng)這種資產(chǎn)的機(jī)密性、完整性、可用性受到損害時，對業(yè)務(wù)運營的負(fù)面影響程度。在信息安全管理中，并不是直接采用資產(chǎn)的賬面價值，在運維中心風(fēng)險評估中采用以定性分級的方式建立資產(chǎn)的相對價值，以相對價值來作為確定重要資產(chǎn)的依據(jù)和為這種資產(chǎn)的保護(hù)投入多大資源的依據(jù)。資產(chǎn)分類運維中心資產(chǎn)分類見下表：大類小類名稱硬件類H010大型機(jī)H020小型機(jī)H030PC服務(wù)器H040PC臺式機(jī)H050PC移動電腦H060業(yè)務(wù)終端H070通訊設(shè)施H080網(wǎng)絡(luò)交換機(jī)H090網(wǎng)絡(luò)路由器H100負(fù)載均衡器H110網(wǎng)絡(luò)安全設(shè)備H120數(shù)據(jù)存儲設(shè)備H130移動存儲設(shè)備H140存儲介質(zhì)H150紙質(zhì)文檔H160智能卡設(shè)備H170UPS設(shè)備H180發(fā)電機(jī)H190設(shè)備管理間H200電線電纜H210顯示設(shè)備H220監(jiān)控設(shè)備H230傳真機(jī)/傳真系統(tǒng)H240照明設(shè)施H250供電設(shè)施H260供水設(shè)施H270暖通空調(diào)H280消防設(shè)施H290門禁系統(tǒng)H300打印機(jī)H310復(fù)印機(jī)H320掃描儀H330投影機(jī)H340機(jī)架系統(tǒng)服務(wù)類S010核心業(yè)務(wù)應(yīng)用系統(tǒng)S020輔助業(yè)務(wù)應(yīng)用系統(tǒng)S030網(wǎng)絡(luò)基礎(chǔ)應(yīng)用系統(tǒng)S040網(wǎng)絡(luò)安全系統(tǒng)S050操作系統(tǒng)S060數(shù)據(jù)庫S070中間件S080軟件開發(fā)工具S090軟件測試工具S100其他系統(tǒng)或服務(wù)信息類I010軟件I020開發(fā)文檔及源代碼I030用戶文檔I040系統(tǒng)業(yè)務(wù)數(shù)據(jù)I050系統(tǒng)支撐數(shù)據(jù)I060密碼數(shù)據(jù)I070其他支撐服務(wù)類F010通訊服務(wù)F020系統(tǒng)運行F030系統(tǒng)維護(hù)F040軟件開發(fā)F050軟件維護(hù)F060安全保衛(wèi)F070人力資源服務(wù)F080財務(wù)服務(wù)F090供電F100供暖F110消防F120照明F130空調(diào)F140咨詢服務(wù)F150培訓(xùn)服務(wù)F160審計服務(wù)人員類R010管理層人員R020網(wǎng)絡(luò)管理人員R030系統(tǒng)管理人員R040安全管理人員R050軟件開發(fā)人員R060軟件測試人員R070通訊管理人員R080文檔管理人員R090系統(tǒng)用戶R100企業(yè)客戶R110簽約供應(yīng)商R120第三方人員R130臨時人員無形資產(chǎn)類W010公信力W020組織形象與聲譽W030商標(biāo)W040產(chǎn)品名稱W050知識產(chǎn)權(quán)表5-2資產(chǎn)分類表資產(chǎn)價值屬性除了機(jī)密性、完整性和可用性外，在運維中心風(fēng)險評估中引入系統(tǒng)對業(yè)務(wù)的重要程度、資產(chǎn)對系統(tǒng)的重要程度，資產(chǎn)花費等資產(chǎn)價值屬性，各價值屬性圖示如下：圖5-2資產(chǎn)價值屬性系統(tǒng)服務(wù)范圍：說明當(dāng)前業(yè)務(wù)系統(tǒng)應(yīng)用或服務(wù)的范圍，評估人員可以人工分析并選擇系統(tǒng)服務(wù)范圍值。業(yè)務(wù)對系統(tǒng)的依賴程度：用于衡量部門業(yè)務(wù)對當(dāng)前業(yè)務(wù)系統(tǒng)的依賴程度，評估人員可以人工分析并選擇業(yè)務(wù)對系統(tǒng)的依賴程度值。系統(tǒng)對業(yè)務(wù)的重要程度：用于衡量業(yè)務(wù)系統(tǒng)對業(yè)務(wù)的重要性，其值由系統(tǒng)服務(wù)范圍和業(yè)務(wù)對系統(tǒng)的依賴程度確定。信息保密性：說明信息資產(chǎn)本身或硬件、系統(tǒng)服務(wù)類資產(chǎn)所包含信息的保密性價值，評估人員可以人工分析并選擇信息保密性值。信息完整性：說明信息資產(chǎn)本身或硬件、系統(tǒng)服務(wù)類資產(chǎn)所包含信息的完整性價值，評估人員可以人工分析并選擇信息完整性值。信息可用性：說明信息資產(chǎn)本身或硬件、系統(tǒng)服務(wù)類資產(chǎn)所包含信息的可用性價值，評估人員可以人工分析并選擇信息可用性值。資產(chǎn)信息重要性：用于衡量信息資產(chǎn)本身或硬件、系統(tǒng)服務(wù)類資產(chǎn)所包含信息的信息價值，其值由信息保密性、信息完整性和信息可用性確定。資產(chǎn)對系統(tǒng)的重要程度：用于衡量硬件、系統(tǒng)服務(wù)類資產(chǎn)對業(yè)務(wù)系統(tǒng)的可用性價值，評估人員可以人工分析并選擇對系統(tǒng)的重要程度值。資產(chǎn)對業(yè)務(wù)的重要程度：用于衡量硬件、系統(tǒng)服務(wù)類資產(chǎn)對業(yè)務(wù)的重要性，其值由系統(tǒng)對業(yè)務(wù)的重要程度和資產(chǎn)對系統(tǒng)的重要程度確定。資產(chǎn)業(yè)務(wù)價值：用于衡量硬件、系統(tǒng)服務(wù)、人員及其它類資產(chǎn)對業(yè)務(wù)的價值，對于人員及無形類資產(chǎn)，其值由對業(yè)務(wù)的重要程度確定，對于硬件、系統(tǒng)服務(wù)類資產(chǎn)，其值由對業(yè)務(wù)的重要程度和資產(chǎn)信息重要性確定?；ㄙM：用于衡量購買或恢復(fù)被破壞的資產(chǎn)所需要的花消，評估人員可以人工分析并選擇花費值。資產(chǎn)價值：用于表示資產(chǎn)的重要性，其值由資產(chǎn)業(yè)務(wù)價值和花費確定。不同類別資產(chǎn)賦值可能采用不同的價值屬性。具體見下表：資產(chǎn)類別價值屬性硬件類系統(tǒng)服務(wù)類信息類支撐服務(wù)人員無形資產(chǎn)系統(tǒng)服務(wù)范圍√√√√√業(yè)務(wù)對系統(tǒng)的依賴程度√√√√√系統(tǒng)對業(yè)務(wù)的重要程度√√√√√保密性√√完整性√√可用性√√√√√資產(chǎn)CIA重要性√√√√√資產(chǎn)對系統(tǒng)的重要程度√√√√√資產(chǎn)對業(yè)務(wù)的重要程度√√√√√資產(chǎn)業(yè)務(wù)價值√√√√√花費√√√√√表5-3不同資產(chǎn)采用的價值屬性資產(chǎn)價值屬性賦值標(biāo)準(zhǔn)運維中心風(fēng)險評估使用的資產(chǎn)屬性賦值標(biāo)準(zhǔn)見下表：系統(tǒng)服務(wù)范圍賦值系統(tǒng)服務(wù)范圍賦值描述1運維中心內(nèi)部。2面向開發(fā)基地。3面向整個公司內(nèi)部。4面向整個公司內(nèi)部及客戶、政府、組織等。表5-4系統(tǒng)服務(wù)范圍賦值表業(yè)務(wù)對系統(tǒng)的依賴程度賦值業(yè)務(wù)對系統(tǒng)依賴程度賦值描述1整個業(yè)務(wù)處理流程可以通過手工方式或其他方式完成，而且這些替代方式對組織業(yè)務(wù)的開展沒有或極少影響。2整個業(yè)務(wù)處理流程可以通過手工方式或其他方式完成，但這些替代方式對組織業(yè)務(wù)的開展有較大的影響。3業(yè)務(wù)處理流程的部分環(huán)節(jié)可以通過手工方式或其他方式替代完成,這些替代方式對組織業(yè)務(wù)的開展有較大的影響。4業(yè)務(wù)處理流程完全依賴信息系統(tǒng)，手工方式無法完成。表5-5業(yè)務(wù)對系統(tǒng)的依賴程度賦值表系統(tǒng)對業(yè)務(wù)的重要程度計算系統(tǒng)重要程度權(quán)值（W）＝系統(tǒng)服務(wù)范圍值+業(yè)務(wù)對系統(tǒng)依賴程度值系統(tǒng)重要程度值＝T1（W） T1是非線性函數(shù)，用于將計算出的權(quán)值W映射到5級，得到系統(tǒng)重要程度值，見下表：系統(tǒng)對業(yè)務(wù)重要程度賦值描述1W={2，3}2W={4}3W={5}4W={6}5W={7，8}表5-6系統(tǒng)對業(yè)務(wù)的重要程度計算表信息保密性賦值信息保密性賦值描述1信息的未授權(quán)泄露對運維中心的業(yè)務(wù)以及利益基本不會受到影響或損害極小。2信息的未授權(quán)泄露對運維中心的業(yè)務(wù)以及利益帶來一定的損失或破壞。3信息的未授權(quán)泄露對運維中心的業(yè)務(wù)、利益以及整個公司利益帶來嚴(yán)重的損失或破壞。4信息的未授權(quán)泄露對運維中心的業(yè)務(wù)、利益以及整個公司利益帶來極其嚴(yán)重的損失或破壞。5信息的未授權(quán)泄露會對運維中心的業(yè)務(wù)、利益以及整個公司利益帶來災(zāi)難性的損失或破壞。表5-7信息保密性賦值表信息完整性賦值信息完整性賦值描述1信息的未授權(quán)的修改或破壞對運維中心的業(yè)務(wù)以及利益基本不會受到影響或損害極小。2信息的未授權(quán)的修改或破壞對運維中心的業(yè)務(wù)以及利益帶來一定的損失或破壞。3信息的未授權(quán)的修改或破壞對運維中心的業(yè)務(wù)、利益以及整個公司利益帶來嚴(yán)重的損失或破壞。4信息的未授權(quán)的修改或破壞會對運維中心的業(yè)務(wù)、利益以及整個公司利益帶來極其嚴(yán)重的損失或破壞。5信息的未授權(quán)的修改或破壞會對運維中心的業(yè)務(wù)、利益以及整個公司利益帶來災(zāi)難性的損失或破壞。表5-8信息完整性賦值表信息可用性賦值信息可用性賦值描述1可用性價值可以忽略，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于25%2可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達(dá)到25%以上3可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達(dá)到70%以上4可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到每天90%以上5可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上表5-9信息可用性賦值表資產(chǎn)CIA重要性計算資產(chǎn)CIA重要性值＝MAX（保密性值、完整性值、可用性值）資產(chǎn)對系統(tǒng)的重要程度賦值對系統(tǒng)的重要程度賦值描述1資產(chǎn)出現(xiàn)問題對整個業(yè)務(wù)系統(tǒng)的可用性影響極小或沒有影響。2資產(chǎn)出現(xiàn)問題對整個業(yè)務(wù)系統(tǒng)的可用性有一定的影響。3資產(chǎn)出現(xiàn)問題對整個業(yè)務(wù)系統(tǒng)的可用性有較大的影響。4資產(chǎn)出現(xiàn)問題將導(dǎo)致整個業(yè)務(wù)系統(tǒng)喪失可用性。表5-10資產(chǎn)對系統(tǒng)的重要程度賦值表資產(chǎn)對業(yè)務(wù)的重要程度計算資產(chǎn)對業(yè)務(wù)的重要程度權(quán)重(W)＝系統(tǒng)對業(yè)務(wù)的重要程度值×資產(chǎn)對系統(tǒng)的重要程度值 資產(chǎn)對業(yè)務(wù)的重要程度值＝T2（W） T2是非線性函數(shù)，用于將計算出的權(quán)值W映射到5級，得到資產(chǎn)對業(yè)務(wù)重要程度值，見下表：資產(chǎn)對業(yè)務(wù)重要程度賦值描述1W={1，2}2W={3，4，5}3W={6，8，9}4W={10，12}5W={15，16，20}表5-11資產(chǎn)對業(yè)務(wù)的重要程度計算表資產(chǎn)業(yè)務(wù)價值計算資產(chǎn)業(yè)務(wù)價值＝MAX（資產(chǎn)對業(yè)務(wù)的重要程度值、資產(chǎn)CIA重要性值）花費賦值資產(chǎn)花費賦值描述1購買或恢復(fù)資產(chǎn)花費<=0.1萬元。20.1萬元<購買或恢復(fù)資產(chǎn)花費<1萬元。31萬元<購買或恢復(fù)資產(chǎn)花費<10萬元。410萬元<購買或恢復(fù)資產(chǎn)花費<50萬元。550萬元<購買或恢復(fù)資產(chǎn)花費表5-12資產(chǎn)花費賦值表資產(chǎn)價值計算資產(chǎn)價值＝MAX（資產(chǎn)業(yè)務(wù)價值、花費）威脅評估威脅是一種對運維中心資產(chǎn)構(gòu)成潛在破壞的可能性因素或者事件。無論對于實施多少安全控制的信息系統(tǒng)，威脅始終是一個客觀存在的，因此在風(fēng)險評估中威脅是需要考慮的重要因素之一。威脅可以通過威脅主體、資源、動機(jī)、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動機(jī)，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗的因素和其它物理因素。威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊，在機(jī)密性、完整性或可用性等方面造成損害；也可能是偶發(fā)的、或蓄意的事件。威脅分類在對威脅進(jìn)行分類前，應(yīng)考慮威脅的來源。威脅來源如下表述：威脅編號威脅來源威脅來源描述TR01環(huán)境因素、意外事故或故障由于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境條件和自然災(zāi)害；意外事故或由于軟件、硬件、數(shù)據(jù)、通訊線路方面的故障TR02無惡意內(nèi)部人員內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心和不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或被攻擊；內(nèi)部人員由于缺乏培訓(xùn)，專業(yè)技能不足,不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊TR03惡意內(nèi)部人員不滿的或有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進(jìn)行惡意破壞；采用自主的或內(nèi)外勾結(jié)的方式盜竊機(jī)密信息或進(jìn)行篡改，獲取利益TR04第三方第三方合作伙伴和供應(yīng)商，包括電信、移動等業(yè)務(wù)合作伙伴以及軟件開發(fā)合作伙伴、系統(tǒng)集成商、服務(wù)商和產(chǎn)品供應(yīng)商；包括第三方惡意的和無惡意的行為TR05外部人員攻擊外部人員利用信息系統(tǒng)的脆弱性，對網(wǎng)絡(luò)和系統(tǒng)的機(jī)密性、完整性和可用性進(jìn)行破壞，以獲取利益或炫耀能力表5-13威脅來源表在威脅評估過程中，首先就要對運維中心需要保護(hù)的每一項關(guān)鍵資產(chǎn)進(jìn)行威脅識別。在威脅識別過程中，應(yīng)根據(jù)資產(chǎn)所處的環(huán)境條件和資產(chǎn)以前遭受威脅損害的情況來判斷。一項資產(chǎn)可能面臨著多個威脅，同樣一個威脅可能對不同的資產(chǎn)造成影響。在運維中心風(fēng)險評估中采用問卷調(diào)查和小組訪談進(jìn)行威脅識別和評估。對威脅進(jìn)行分類的方式有多種多樣，可以根據(jù)其表現(xiàn)形式將威脅分為以下種類：編號種類描述威脅子類TC01軟硬件故障由于設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件缺陷造成對業(yè)務(wù)實施、系統(tǒng)穩(wěn)定運行的影響。設(shè)備硬件故障、傳輸設(shè)備故障、存儲媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障。TC02物理環(huán)境影響斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境問題或自然災(zāi)害。TC03無作為或操作失誤由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意地執(zhí)行了錯誤的操作，對系統(tǒng)造成的影響。維護(hù)錯誤、操作失誤TC04管理不到位安全管理無法落實，不到位，造成安全管理不規(guī)范，或者管理混亂，從而破壞信息系統(tǒng)正常有序運行。TC05惡意代碼和病毒具有自我復(fù)制、自我傳播能力，對信息系統(tǒng)構(gòu)成破壞的程序代碼。惡意代碼、木馬后門、網(wǎng)絡(luò)病毒、間諜軟件、竊聽軟件TC06越權(quán)或濫用通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的職權(quán)，做出破壞信息系統(tǒng)的行為。未授權(quán)訪問網(wǎng)絡(luò)資源、未授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息TC07黑客攻擊利用工具和技術(shù)，如偵察、密碼破譯、安裝后門、嗅探、偽造和欺騙、拒絕服務(wù)等手段，對信息系統(tǒng)進(jìn)行攻擊和入侵。網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探（賬戶、口令、權(quán)限等）、用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運行的控制和破壞TC08物理攻擊通過物理的接觸造成對軟件、硬件、數(shù)據(jù)的破壞。物理接觸、物理破壞、盜竊TC09泄密信息泄露給不應(yīng)了解的他人。內(nèi)部信息泄露、外部信息泄露TC10篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用。篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息TC11抵賴不承認(rèn)收到的信息和所作的操作和交易。原發(fā)抵賴、接收抵賴、第三方抵賴表5-14威脅種類表威脅賦值判斷威脅出現(xiàn)的頻率是威脅識別的重要內(nèi)容，評估者應(yīng)根據(jù)經(jīng)驗和（或）有關(guān)的統(tǒng)計數(shù)據(jù)來進(jìn)行判斷。在評估中，需要綜合考慮以下三個方面，以形成在某種評估環(huán)境中各種威脅出現(xiàn)的頻率：以往安全事件報告中出現(xiàn)過的威脅及其頻率的統(tǒng)計；實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計；近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計，以及發(fā)布的威脅預(yù)警。可以對威脅出現(xiàn)的頻率進(jìn)行等級化處理，不同等級分別代表威脅出現(xiàn)的頻率的高低。等級數(shù)值越大，威脅出現(xiàn)的頻率越高。運維中心風(fēng)險評估對威脅發(fā)生可能性采用以下賦值方法：等級標(biāo)識定義5很高出現(xiàn)的頻率很高（或≥1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實經(jīng)常發(fā)生過。4高出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過。3中出現(xiàn)的頻率中等（或>1次/半年）；或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)生過。2低出現(xiàn)的頻率較??；或一般不太可能發(fā)生；或沒有被證實發(fā)生過。1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生。表5-15威脅賦值表脆弱性評估脆弱性評估也稱為漏洞評估，是風(fēng)險評估中重要內(nèi)容。脆弱性是信息資產(chǎn)自身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標(biāo)的損害。脆弱性包括物理環(huán)境、組織、過程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的弱點。值得注意的是，脆弱性雖然是信息資產(chǎn)本身固有的，但它本身不會造成損失，它只是一種條件或環(huán)境、可能導(dǎo)致被威脅利用而造成資產(chǎn)損失。所以如果沒有相應(yīng)的威脅發(fā)生，單純的脆弱性并不會對資產(chǎn)造成損害。那些沒有安全威脅的脆弱性可以不需要實施安全保護(hù)措施，但它們必須記錄下來以確保當(dāng)環(huán)境、條件有所變化時能隨之加以改變安全保護(hù)，需要注意的是不正確的、起不到應(yīng)有作用的或沒有正確實施的安全保護(hù)措施本身就可能是一個安全脆弱性環(huán)節(jié)。脆弱性評估將針對每一項需要保護(hù)的信息資產(chǎn)，找出每一種威脅所能利用的脆弱性，并對脆弱性的嚴(yán)重程度進(jìn)行評估，即對脆弱性被威脅利用的可能性進(jìn)行評估，最終為其賦值。在進(jìn)行脆弱性評估時，提供的數(shù)據(jù)應(yīng)該來自于這些資產(chǎn)的擁有者或使用者，來自于相關(guān)業(yè)務(wù)領(lǐng)域的專家以及軟硬件信息系統(tǒng)方面的專業(yè)人員。脆弱性評估所采用的方法主要為：問卷調(diào)查、訪談、工具掃描、手動檢查、文檔審查、滲透測試等。在運維中心風(fēng)險評估中采用問卷調(diào)查、小組訪談、工具掃描和人工檢查等方法。脆弱性的識別以資產(chǎn)為核心，即根據(jù)每個資產(chǎn)分別識別其存在的弱點，然后綜合評價該資產(chǎn)的脆弱性。脆弱性識別主要從技術(shù)和管理兩個方面進(jìn)行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的安全問題。管理脆弱性又可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動相關(guān)，后者與管理環(huán)境相關(guān)。脆弱性識別內(nèi)容如下表述：類型識別對象識別內(nèi)容技術(shù)脆弱性物理環(huán)境從機(jī)房場地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識別。服務(wù)器（含操作系統(tǒng)）從物理保護(hù)、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置（初始化）、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識別。網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識別。數(shù)據(jù)庫從補丁安裝、鑒別機(jī)制、口令機(jī)制、訪問控制、網(wǎng)絡(luò)和服務(wù)設(shè)置、備份恢復(fù)機(jī)制、審計機(jī)制等方面進(jìn)行識別。應(yīng)用系統(tǒng)審計機(jī)制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識別。管理脆弱性技術(shù)管理物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性。組織管理安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性表5-16弱點分類表安全控制措施的使用將減少脆弱性，考慮對現(xiàn)有安全控制措施的確認(rèn)，采用等級方式對已識別的脆弱性的嚴(yán)重程度進(jìn)行賦值。脆弱性嚴(yán)重程度的等級劃分為五級，分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。等級數(shù)值越大，脆弱性嚴(yán)重程度越高。運維中心風(fēng)險評估對脆弱性采用以下賦值方法：等級影響技術(shù)攻擊角度管理防范角度1(可忽略)如果被威脅利用，將對資產(chǎn)造成的損害可以忽略。技術(shù)方面存在著低等級缺陷，從技術(shù)角度很難被利用對于攻擊者來說，該漏洞目前還不能夠被直接或者間接利用，或者利用的難度極高組織管理中沒有相關(guān)的薄弱環(huán)節(jié)，很難被利用有規(guī)定，嚴(yán)格審核、記錄、校驗2(低)如果被威脅利用，將對資產(chǎn)造成較小損害。技術(shù)方面存在著低等級缺陷，從技術(shù)角度難以被利用對于攻擊者來說，該漏洞無法被直接利用(需要其他條件配合)或者利用的難度較高組織管理中沒有相應(yīng)的薄弱環(huán)節(jié)，難以被利用有規(guī)定，職責(zé)明確，有專人負(fù)責(zé)檢查執(zhí)行落實情況，有記錄3(中)如果被威脅利用，將對資產(chǎn)造成一般損害。技術(shù)方面存在著一般缺陷，從技術(shù)角度可以被利用可以配合其他條件被攻擊者加以直接利用，或者該漏洞的利用有一定的難度組織管理中沒有明顯的薄弱環(huán)節(jié)，可以被利用有規(guī)定，定期檢查落實，有記錄4(高)如果被威脅利用，將對資產(chǎn)造成重大損害。技術(shù)方面存在著嚴(yán)重的缺陷，比較容易被利用一個特定漏洞，可以配合其他條件被攻擊者加以直接利用，或者該漏洞的利用有一定的難度組織管理中存在著薄弱環(huán)節(jié)，比較容易被利用有規(guī)定．執(zhí)行完全靠人自覺5(極高)如果被威脅利用，將對資產(chǎn)造成完全損害。技術(shù)方面存在著非常嚴(yán)重的缺陷，很容易被利用在沒有任何保護(hù)措施的情況下，暴露于低安全級別網(wǎng)絡(luò)上組織管理中存在著明顯的薄弱環(huán)節(jié)，并且很容易被利用無人負(fù)責(zé)，無人過問表5-17弱點賦值表確定現(xiàn)有控制在識別脆弱性的同時，評估人員應(yīng)對已采取的安全措施的有效性進(jìn)行確認(rèn)。安全措施的確認(rèn)應(yīng)評估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。對有效的安全措施繼續(xù)保持，以避免不必要的工作和費用，防止安全措施的重復(fù)實施。對確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實是否應(yīng)被取消或?qū)ζ溥M(jìn)行修正，或用更合適的安全措施替代。安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如入侵檢測系統(tǒng)；保護(hù)性安全措施可以減少因安全事件發(fā)生后對組織或系統(tǒng)造成的影響，如業(yè)務(wù)持續(xù)性計劃。已有安全措施確認(rèn)與脆弱性識別存在一定的聯(lián)系。一般來說，安全措施的使用將減少系統(tǒng)技術(shù)或管理上的弱點，但安全措施確認(rèn)并不需要和脆弱性識別過程那樣具體到每個資產(chǎn)、組件的弱點，而是一類具體措施的集合，為風(fēng)險處理計劃的制定提供依據(jù)和參考。風(fēng)險評估完成資產(chǎn)評估、威脅評估、脆弱性評估后，并考慮已有安全措施的情況下，利用恰當(dāng)?shù)姆椒ㄅc工具確定威脅利用資產(chǎn)脆弱性發(fā)生安全事件的可能性，并結(jié)合資產(chǎn)的安全屬性受到破壞后的影響得出信息資產(chǎn)的風(fēng)險。風(fēng)險值計算在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及對已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對組織的影響，即安全風(fēng)險。使用本方法需要首先確定信息資產(chǎn)、威脅和脆弱性的賦值，要完成這些賦值，需要管理人員、技術(shù)人員的配合。運維中心風(fēng)險評估中風(fēng)險值計算方式如下：風(fēng)險值(RW)＝資產(chǎn)價值×威脅可能性值×脆弱性嚴(yán)重程度值風(fēng)險等級劃分確定風(fēng)險數(shù)值的大小不是風(fēng)險評估的最終目的，重要的是明確不同威脅對資產(chǎn)所產(chǎn)生的風(fēng)險的相對值，即要確定不同風(fēng)險的優(yōu)先次序或等級，對于風(fēng)險級別高的資產(chǎn)應(yīng)被優(yōu)先分配資源進(jìn)行保護(hù)。風(fēng)險等級在運維中心風(fēng)險評估中采用分值計算表示。分值越大，風(fēng)險越高。見下表。風(fēng)險等級標(biāo)識風(fēng)險值范圍描述建議處置方式1很低RW≤5發(fā)生安全事件的可能性極小，即使發(fā)生對系統(tǒng)或組織也基本沒影響。A-接受2低6≤RW≤10發(fā)生安全事件的可能性較小，安全事件發(fā)生后使系統(tǒng)受到的破壞較小或使組織利益受到的損失較少。A-接受3中11≤RW≤30發(fā)生安全事件的可能性一般，安全事件發(fā)生后將使系統(tǒng)受到一定的破壞或使組織利益受到一定的損失。B-降低4高31≤RW≤40發(fā)生安全事件的可能性較大，安全事件發(fā)生后將使系統(tǒng)受到較大的破壞或使組織利益受到較多的損失。B-降低5極高41≤RW發(fā)生安全事件的可能性很大，安全事件發(fā)生后將使系統(tǒng)受到很大的破壞或使組織利益受到很多的損失。B-降低表5-20風(fēng)險等級描述表風(fēng)險評估結(jié)果紀(jì)錄風(fēng)險評估的過程需要形成相關(guān)的文件及記錄，文檔管理考慮以下控制：文件發(fā)布前得到批準(zhǔn)，以確保文件是充分的；必要時對文件進(jìn)行評審、更新并再次批準(zhǔn)；確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；確保在使用時，可獲得有關(guān)版本的適用文件；確保文件保持清晰、易于識別；確保外來文件得到識別；確保文件的分發(fā)得到適當(dāng)?shù)目刂?；防止作廢文件的非預(yù)期使用，若因任何目的需保留作廢文件時，應(yīng)對這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識。對于風(fēng)險評估過程中形成的記錄，還應(yīng)規(guī)定記錄的標(biāo)識、儲存、保護(hù)、檢索、保存期限以及處置所需的控制。記錄是否需要以及詳略程度由管理過程來決定。風(fēng)險評估過程應(yīng)形成下列文件：風(fēng)險評估過程計劃：該計劃中應(yīng)闡述風(fēng)險評估的范圍、目標(biāo)、組織機(jī)構(gòu)、評估過程所需資源、形成的評估結(jié)果。風(fēng)險評估程序：程序中應(yīng)明確評估的目的、職責(zé)、過程、相關(guān)的文件要求，并且準(zhǔn)備評估階段需要的表格，如信息資產(chǎn)識別與評估表。信息資產(chǎn)識別清單：根據(jù)在風(fēng)險評估程序文件中規(guī)定的資產(chǎn)分類方法進(jìn)行資產(chǎn)的識別，并形成信息資產(chǎn)識別清單，清單中應(yīng)明確各資產(chǎn)的負(fù)責(zé)人/部門。威脅參考列表：應(yīng)根據(jù)評估對象、環(huán)境等因素，形成威脅的分類方法及具體的威脅列表，為風(fēng)險評估提供支持。脆弱性參考列表：應(yīng)針對不同分類的評估對象自身的弱點，形成脆弱性參考列表，為風(fēng)險評估提供支持。風(fēng)險評估記錄：根據(jù)組織的風(fēng)險評估程序文件，記錄對重要信息資產(chǎn)的風(fēng)險評估過程，包括脆弱性、威脅的賦值，已有安全控制措施的確認(rèn)，