信息安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理(完整版)

信息安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理2024/6/121一、風(fēng)險(xiǎn)評(píng)估中的概念及模型二、風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)三、風(fēng)險(xiǎn)評(píng)估流程與方法四、風(fēng)險(xiǎn)評(píng)估的輸出結(jié)果五、風(fēng)險(xiǎn)管理六、總結(jié)目錄2024/6/122信息安全的定義機(jī)密性（integrity）：確保該信息僅對(duì)已授權(quán)訪(fǎng)問(wèn)的人們才可訪(fǎng)問(wèn)只有擁有者許可，才可被其他人訪(fǎng)問(wèn)完整性（confidentiality）：保護(hù)信息及處理方法的準(zhǔn)確性和完備性；不因人為的因素改變?cè)械膬?nèi)容，保證不被非法改動(dòng)和銷(xiāo)毀可用性（availability）：當(dāng)要求時(shí)，即可使用信息和相關(guān)資產(chǎn)。不因系統(tǒng)故障或誤操作使資源丟失。響應(yīng)時(shí)間要求、故障下的持續(xù)運(yùn)行。其他：可控性、可審查性2024/6/123

KeywordsI信息安全：信息的保密性、完整性、可用性的保持。風(fēng)險(xiǎn)評(píng)估：對(duì)信息和信息處理設(shè)施的威脅，影響和薄弱點(diǎn)以及威脅發(fā)生的可能性的評(píng)估。風(fēng)險(xiǎn)管理：以可接受的費(fèi)用識(shí)別、控制、降低或消除可能影響信息系統(tǒng)安全的風(fēng)險(xiǎn)的過(guò)程。威脅：是指某個(gè)人、物、事件或概念對(duì)某一資源的保密性、完整性、可用性或合法使用所造成的危險(xiǎn)。2024/6/124KeywordII威脅(Threat):是指可能對(duì)資產(chǎn)或組織造成損害的事故的潛在原因。薄弱點(diǎn)(Vulnerability):是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點(diǎn)。風(fēng)險(xiǎn)(Risk):特定的威脅利用資產(chǎn)的一種或一組薄弱點(diǎn)，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。2024/6/125風(fēng)險(xiǎn)評(píng)估的目的和意義認(rèn)識(shí)現(xiàn)有的資產(chǎn)及其價(jià)值對(duì)信息系統(tǒng)安全的各個(gè)方面的當(dāng)前潛在威脅、弱點(diǎn)和影響進(jìn)行全面的評(píng)估通過(guò)安全評(píng)估，能夠清晰地了解當(dāng)前所面臨的安全風(fēng)險(xiǎn)，清晰地了解信息系統(tǒng)的安全現(xiàn)狀明確地看到當(dāng)前安全現(xiàn)狀與安全目標(biāo)之間的差距為下一步控制和降低安全風(fēng)險(xiǎn)、改善安全狀況提供客觀(guān)和翔實(shí)的依據(jù)2024/6/126信息系統(tǒng)風(fēng)險(xiǎn)模型

所有者攻擊者對(duì)策漏洞風(fēng)險(xiǎn)威脅資產(chǎn)2024/6/127風(fēng)險(xiǎn)計(jì)算依據(jù)價(jià)值資產(chǎn)擁有者信息資產(chǎn)威脅來(lái)源風(fēng)險(xiǎn)后果可能性難易程度嚴(yán)重性弱點(diǎn)可能性威脅影響2024/6/128一、風(fēng)險(xiǎn)評(píng)估中的概念及模型二、風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)三、風(fēng)險(xiǎn)評(píng)估流程與方法四、風(fēng)險(xiǎn)評(píng)估的輸出結(jié)果五、風(fēng)險(xiǎn)管理六、總結(jié)目錄2024/6/129國(guó)外相關(guān)信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)簡(jiǎn)介（1）ISO27001：信息安全管理體系規(guī)范、ISO17799信息安全管理實(shí)踐指南基于風(fēng)險(xiǎn)管理的理念，提出了11個(gè)控制大類(lèi)、34個(gè)控制目標(biāo)和133個(gè)控制措施；提出風(fēng)險(xiǎn)評(píng)估的要求，并未對(duì)適用于信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估方法和管理方法做具體的描述。OCTAVE：OperationallyCriticalThreat,Asset,andVulnerabilityEvaluationFramework卡耐基梅隆大學(xué)軟件工程研究所（CMU/SEI）開(kāi)發(fā)的一種綜合的、系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估方法3個(gè)階段8個(gè)過(guò)程。3個(gè)階段分別是建立企業(yè)范圍內(nèi)的安全需求、識(shí)別基礎(chǔ)設(shè)施脆弱性、決定安全風(fēng)險(xiǎn)管理策略。OCTAVE實(shí)施指南（OCTAVESMCatalogofPractices,Version2.0），該實(shí)施指南闡述了具體的安全策略、威脅輪廓和實(shí)施調(diào)查表。2024/6/1210AS/NZS4360：1999風(fēng)險(xiǎn)管理澳大利亞和新西蘭聯(lián)合開(kāi)發(fā)的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)將對(duì)象定位在“信息系統(tǒng)”；在資產(chǎn)識(shí)別和評(píng)估時(shí)，采取半定量化的方法，將威脅、風(fēng)險(xiǎn)發(fā)生可能性、造成的影響劃分為不同的等級(jí)。分為建立環(huán)境、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處置等步驟。ISO/IECTR13335信息技術(shù)安全管理指南提出了風(fēng)險(xiǎn)評(píng)估的方法、步驟和主要內(nèi)容。主要步驟包括：資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、已有控制措施確認(rèn)、風(fēng)險(xiǎn)計(jì)算等過(guò)程。NISTSP800-30：信息技術(shù)系統(tǒng)風(fēng)險(xiǎn)管理指南提出了風(fēng)險(xiǎn)評(píng)估的方法論和一般原則，風(fēng)險(xiǎn)及風(fēng)險(xiǎn)評(píng)估概念：風(fēng)險(xiǎn)就是不利事件發(fā)生的可能性。風(fēng)險(xiǎn)管理是評(píng)估風(fēng)險(xiǎn)、采取步驟將風(fēng)險(xiǎn)消減到可接受的水平并且維持這一風(fēng)險(xiǎn)級(jí)別的過(guò)程。國(guó)外相關(guān)信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)簡(jiǎn)介（2）2024/6/1211我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)發(fā)展歷程2001年，隨著GB/T18336的正式發(fā)布，從風(fēng)險(xiǎn)的角度來(lái)認(rèn)識(shí)、理解信息安全也逐步得到了業(yè)界的認(rèn)可。2003年，國(guó)務(wù)院信息化辦公室成立了風(fēng)險(xiǎn)評(píng)估研究課題組，對(duì)風(fēng)險(xiǎn)評(píng)估相關(guān)問(wèn)題進(jìn)行研究。2004年，提出了《信息安全風(fēng)險(xiǎn)評(píng)估指南》標(biāo)準(zhǔn)草案，其規(guī)定了風(fēng)險(xiǎn)評(píng)估的一些內(nèi)容和流程，基本與SP800-30中的內(nèi)容一致。2005年，國(guó)信辦在全國(guó)4個(gè)省市和3個(gè)行業(yè)進(jìn)行風(fēng)險(xiǎn)評(píng)估的試點(diǎn)工作，根據(jù)試點(diǎn)結(jié)果對(duì)《信息安全風(fēng)險(xiǎn)評(píng)估指南》進(jìn)行了修改。2005～2006年，通過(guò)了國(guó)家標(biāo)準(zhǔn)立項(xiàng)的一系列程序，目前已進(jìn)入正式發(fā)布階段。正式定名為：信息技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范。2024/6/1212《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》標(biāo)準(zhǔn)操作的主要內(nèi)容引言定義與術(shù)語(yǔ)風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估流程及模型風(fēng)險(xiǎn)評(píng)估實(shí)施資產(chǎn)識(shí)別脆弱性識(shí)別威脅識(shí)別已有安全措施確認(rèn)風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期中的不同要求風(fēng)險(xiǎn)評(píng)估的形式及角色附錄2024/6/1213標(biāo)準(zhǔn)內(nèi)容：引言提出了風(fēng)險(xiǎn)評(píng)估的作用、定位及目的。作用：過(guò)對(duì)信息系統(tǒng)的資產(chǎn)、面臨威脅、存在的脆弱性、采用的安全控制措施等進(jìn)行分析，確定信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)，從技術(shù)和管理兩個(gè)層面綜合判斷信息系統(tǒng)面臨的風(fēng)險(xiǎn)。定位建立信息安全保障機(jī)制中的一種科學(xué)方法。目的信息系統(tǒng)所有者：使用本標(biāo)準(zhǔn)為其選擇安全措施，實(shí)施信息系統(tǒng)保護(hù)提供技術(shù)支持，依據(jù)本標(biāo)準(zhǔn)中提出的安全風(fēng)險(xiǎn)理念選擇技術(shù)與管理控制措施；風(fēng)險(xiǎn)評(píng)估的實(shí)施者：依據(jù)本標(biāo)準(zhǔn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，依據(jù)本標(biāo)準(zhǔn)的判定準(zhǔn)則，做出科學(xué)的判斷。信息系統(tǒng)管理機(jī)構(gòu)：依據(jù)本標(biāo)準(zhǔn)對(duì)信息系統(tǒng)及其管理進(jìn)行安全檢查，推動(dòng)行業(yè)或地區(qū)信息安全風(fēng)險(xiǎn)管理的實(shí)施。2024/6/1214范圍本標(biāo)準(zhǔn)提出了風(fēng)險(xiǎn)評(píng)估的要素、實(shí)施流程、評(píng)估內(nèi)容、評(píng)估方法及其在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)，適用于組織開(kāi)展的風(fēng)險(xiǎn)評(píng)估工作。規(guī)范性引用文件說(shuō)明標(biāo)準(zhǔn)中引用到其他的標(biāo)準(zhǔn)文件或條款。術(shù)語(yǔ)和定義對(duì)標(biāo)準(zhǔn)中涉及的一些術(shù)語(yǔ)進(jìn)行定義。2024/6/1215風(fēng)險(xiǎn)評(píng)估框架及流程

風(fēng)險(xiǎn)評(píng)估中各要素的關(guān)系2024/6/1216風(fēng)險(xiǎn)分析原理

2024/6/1217（1）對(duì)資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)的價(jià)值進(jìn)行賦值；（2）對(duì)威脅進(jìn)行識(shí)別，描述威脅的屬性，并對(duì)威脅出現(xiàn)的頻率賦值；（3）對(duì)資產(chǎn)的脆弱性進(jìn)行識(shí)別，并對(duì)具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；（4）根據(jù)威脅及威脅利用弱點(diǎn)的難易程度判斷安全事件發(fā)生的可能性；（5）根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用資產(chǎn)的價(jià)值計(jì)算安全事件的損失；（6）根據(jù)安全事件發(fā)生的可能性以及安全事件的損失，計(jì)算安全事件一旦發(fā)生對(duì)組織的影響，即風(fēng)險(xiǎn)值。2024/6/1218風(fēng)險(xiǎn)評(píng)估實(shí)施(1)風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備

（1）確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)；（2）確定風(fēng)險(xiǎn)評(píng)估的范圍；（3）組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)；（4）進(jìn)行系統(tǒng)調(diào)研；（5）確定評(píng)估依據(jù)和方法；（6）獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持。2024/6/1219資產(chǎn)識(shí)別

資產(chǎn)分類(lèi)

資產(chǎn)賦值:機(jī)密性、完整性、可用性三方面的賦值資產(chǎn)重要性等級(jí)

威脅識(shí)別威脅分類(lèi)

威脅來(lái)源分類(lèi)威脅賦值

脆弱性識(shí)別

識(shí)別內(nèi)容：技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問(wèn)題。管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性?xún)煞矫?。脆弱性賦值：等級(jí)賦值，技術(shù)脆弱性與管理脆弱性的結(jié)合。 風(fēng)險(xiǎn)評(píng)估實(shí)施(2)2024/6/1220已有安全措施確認(rèn)

安全措施的確認(rèn)應(yīng)評(píng)估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。安全措施確認(rèn)并不需要和脆弱性識(shí)別過(guò)程那樣具體到每個(gè)資產(chǎn)、組件的弱點(diǎn)，而是一類(lèi)具體措施的集合，為風(fēng)險(xiǎn)處理計(jì)劃的制定提供依據(jù)和參考。風(fēng)險(xiǎn)分析

計(jì)算安全事件發(fā)生的可能性計(jì)算安全事件發(fā)生后的損失計(jì)算風(fēng)險(xiǎn)值風(fēng)險(xiǎn)等級(jí)判定

風(fēng)險(xiǎn)評(píng)估實(shí)施(3)2024/6/1221風(fēng)險(xiǎn)評(píng)估文件記錄風(fēng)險(xiǎn)評(píng)估文件記錄的要求

風(fēng)險(xiǎn)評(píng)估文件

的類(lèi)型、多少風(fēng)險(xiǎn)評(píng)估方案資產(chǎn)識(shí)別清單重要資產(chǎn)清單威脅列表脆弱性列表風(fēng)險(xiǎn)評(píng)估報(bào)告風(fēng)險(xiǎn)處理計(jì)劃風(fēng)險(xiǎn)評(píng)估實(shí)施(4)2024/6/1222信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估

規(guī)劃階段的風(fēng)險(xiǎn)評(píng)估

設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估

實(shí)施階段的風(fēng)險(xiǎn)評(píng)

運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)評(píng)估

廢棄階段的風(fēng)險(xiǎn)評(píng)估

每個(gè)階段的實(shí)施內(nèi)容稍有不同，目的和方法一致。2024/6/1223風(fēng)險(xiǎn)評(píng)估的工作形式

自評(píng)估

適用于對(duì)自身的信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)的識(shí)別、評(píng)價(jià)自評(píng)估可以委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施，也可以自行實(shí)施檢查評(píng)估：一般由主管機(jī)關(guān)發(fā)起，通常都是定期的、抽樣進(jìn)行的評(píng)估模式旨在檢查關(guān)鍵領(lǐng)域、或關(guān)鍵點(diǎn)的信息安全風(fēng)險(xiǎn)是否在可接受的范圍內(nèi)風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，檢查評(píng)估對(duì)自評(píng)估過(guò)程記錄與評(píng)估結(jié)果的基礎(chǔ)上，驗(yàn)證和確認(rèn)系統(tǒng)存在的技術(shù)、管理和運(yùn)行風(fēng)險(xiǎn)，以及用戶(hù)實(shí)施自評(píng)估后采取風(fēng)險(xiǎn)控制措施取得的效果。

2024/6/1224附錄風(fēng)險(xiǎn)的計(jì)算方法矩陣法：通過(guò)構(gòu)造兩兩要素計(jì)算矩陣，得到第三個(gè)要素的判斷值，是一種基于經(jīng)驗(yàn)的判斷方法。相乘法：直接使用兩個(gè)要素值進(jìn)行相乘得到另一個(gè)要素的值。相乘法的特點(diǎn)是簡(jiǎn)單明確，直接按照統(tǒng)一公式計(jì)算。風(fēng)險(xiǎn)評(píng)估的工具風(fēng)險(xiǎn)評(píng)估與管理工具

系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具

風(fēng)險(xiǎn)評(píng)估輔助工具

2024/6/1225一、風(fēng)險(xiǎn)評(píng)估中的概念及模型二、風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)三、風(fēng)險(xiǎn)評(píng)估流程與方法四、風(fēng)險(xiǎn)評(píng)估的輸出結(jié)果五、風(fēng)險(xiǎn)管理六、總結(jié)目錄2024/6/1226現(xiàn)有風(fēng)險(xiǎn)評(píng)估方法綜述（1）定性分析方法：針對(duì)某個(gè)被評(píng)估對(duì)象，確定其潛在的風(fēng)險(xiǎn)，描述可能引起風(fēng)險(xiǎn)的原因。定量分析方法：在某個(gè)基準(zhǔn)上，建立不同資產(chǎn)的等級(jí)化評(píng)價(jià)模型，定量描述某個(gè)資產(chǎn)的風(fēng)險(xiǎn)值，可以做到不同資產(chǎn)之間風(fēng)險(xiǎn)狀況的對(duì)比。基于系統(tǒng)安全模型體系的分析方法：針對(duì)某個(gè)典型的（或固定）的系統(tǒng)，建立其安全要素的模型，以及判定某個(gè)要素的條件和內(nèi)容，有相對(duì)完善、固定的評(píng)估模型體系。2024/6/1227現(xiàn)有風(fēng)險(xiǎn)評(píng)估方法綜述（2）定性分析方法定性分析方法一般適用于：a）風(fēng)險(xiǎn)識(shí)別；b）造成風(fēng)險(xiǎn)的原因分析；c）威脅發(fā)生所造成的影響分析等。例如：針對(duì)操作系統(tǒng)，采用掃描工具，發(fā)現(xiàn)其漏洞，指明漏洞的嚴(yán)重程度；2024/6/1228現(xiàn)有風(fēng)險(xiǎn)評(píng)估方法綜述（3）

定量分析方法以獲取到或采取一定方法量化后得到的被調(diào)查對(duì)象的定量數(shù)據(jù)為基本材料，依據(jù)一定的算法進(jìn)行分析、計(jì)算、綜合，然后得出結(jié)果數(shù)據(jù)。定量分析方法一般適用于：a）確立威脅發(fā)生概率；b）預(yù)測(cè)系統(tǒng)風(fēng)險(xiǎn)發(fā)生概率；c）確立系統(tǒng)總體風(fēng)險(xiǎn)評(píng)價(jià)等。例如：對(duì)運(yùn)行在某個(gè)平臺(tái)上的不同主機(jī)、應(yīng)用系統(tǒng)分別進(jìn)行等價(jià)化的賦值，綜合分析每個(gè)資產(chǎn)的威脅、脆弱性，得到各資產(chǎn)的風(fēng)險(xiǎn)量化值。2024/6/1229現(xiàn)有風(fēng)險(xiǎn)評(píng)估方法綜述（4）

基于系統(tǒng)安全模型體系的分析方法在一般風(fēng)險(xiǎn)評(píng)估原理的指導(dǎo)下，針對(duì)被評(píng)估信息系統(tǒng)實(shí)際情況（包括：系統(tǒng)技術(shù)特性、組織特性、資產(chǎn)情況、安全假設(shè)、脆弱點(diǎn)、威脅、保護(hù)措施等）建立有針對(duì)性、合理的評(píng)估安全需求；同時(shí)建立評(píng)估指標(biāo)體系、評(píng)估流程、評(píng)估模型，通過(guò)系統(tǒng)對(duì)評(píng)估要求的滿(mǎn)足程度進(jìn)行判斷風(fēng)險(xiǎn)評(píng)估的指導(dǎo)作用。例如：網(wǎng)上政務(wù)安信息系統(tǒng)安全保障要求HIS系統(tǒng)安全保障要求實(shí)際固化了前期的資產(chǎn)識(shí)別、威脅分析，僅做審核、結(jié)論性判斷。2024/6/12301）資產(chǎn)識(shí)別與賦值

2）資產(chǎn)的安全屬性賦值及權(quán)重計(jì)算；

3）威脅分析；

4）薄弱點(diǎn)分析；

5）已有控制措施分析；

6）影響分析；

7）可能性分析；

8）風(fēng)險(xiǎn)計(jì)算；

9）風(fēng)險(xiǎn)控制措施制定；

評(píng)估步驟2024/6/12311、資產(chǎn)的識(shí)別資產(chǎn)識(shí)別之前必須界定范圍識(shí)別資產(chǎn)最簡(jiǎn)單的方法就是列出對(duì)組織或組織的特定部門(mén)的業(yè)務(wù)過(guò)程有價(jià)值的任何事物資產(chǎn)包括:數(shù)據(jù)與文檔/書(shū)面文件/軟件/實(shí)物資產(chǎn)/人員/服務(wù)2024/6/1232資產(chǎn)識(shí)別的類(lèi)型2024/6/12332、資產(chǎn)的安全屬性賦值及權(quán)重計(jì)算

信息資產(chǎn)分別具有不同的安全屬性，機(jī)密性、完整性和可用性分別反映了資產(chǎn)在三個(gè)不同方面的特性。安全屬性的不同通常也意味著安全控制、保護(hù)功能需求的不同。通過(guò)考察三種不同安全屬性，可以得出一個(gè)能夠基本反映資產(chǎn)價(jià)值的數(shù)值。對(duì)信息資產(chǎn)進(jìn)行賦值的目的是為了更好地反映資產(chǎn)的價(jià)值，以便于進(jìn)一步考察資產(chǎn)相關(guān)的弱點(diǎn)、威脅和風(fēng)險(xiǎn)屬性，并進(jìn)行量化。2024/6/1234資產(chǎn)價(jià)值與信息安全特性的關(guān)系等級(jí)機(jī)密性1資產(chǎn)對(duì)防止信息非授權(quán)泄露、破壞方面的要求可以忽略。機(jī)密性?xún)r(jià)值或潛在影響可以忽略2資產(chǎn)對(duì)防止信息非授權(quán)泄露、破壞方面的要求有限。機(jī)密性?xún)r(jià)值較低，潛在影響可以忍受，較容易彌補(bǔ)3資產(chǎn)對(duì)防止信息非授權(quán)泄露、破壞方面的要求一般機(jī)密性?xún)r(jià)值中等，潛在影響重大，但可以彌補(bǔ)4資產(chǎn)對(duì)防止信息非授權(quán)泄露、破壞方面的要求較高機(jī)密性?xún)r(jià)值較高，潛在影響嚴(yán)重，企業(yè)將蒙受?chē)?yán)重?fù)p失，難以彌補(bǔ)5資產(chǎn)對(duì)防止信息非授權(quán)泄露、破壞方面的要求很高機(jī)密性?xún)r(jià)值非常關(guān)鍵，具有致命性的潛在影響例：對(duì)應(yīng)用軟件，其機(jī)密性表現(xiàn)在配置數(shù)據(jù)失密、賬號(hào)口令信息失密、關(guān)鍵算法失密等。2024/6/1235資產(chǎn)價(jià)值與信息安全特性的關(guān)系等級(jí)完整性1資產(chǎn)對(duì)防止信息非授權(quán)修改、破壞方面的要求可以忽略。完整性?xún)r(jià)值或潛在影響可以忽略2資產(chǎn)對(duì)防止信息非授權(quán)修改、破壞方面的要求有限。完整性?xún)r(jià)值較低，潛在影響可以忍受，較容易彌補(bǔ)3資產(chǎn)對(duì)防止信息非授權(quán)修改、破壞方面的要求一般完整性?xún)r(jià)值中等，潛在影響重大，但可以彌補(bǔ)4資產(chǎn)對(duì)防止信息非授權(quán)修改、破壞方面的要求較高完整性?xún)r(jià)值較高，潛在影響嚴(yán)重，企業(yè)將蒙受?chē)?yán)重?fù)p失，難以彌補(bǔ)5資產(chǎn)對(duì)防止信息非授權(quán)修改、破壞方面的要求很高完整性?xún)r(jià)值非常關(guān)鍵，具有致命性的潛在影響例：對(duì)應(yīng)用軟件，其完整性表現(xiàn)在配置數(shù)據(jù)被修改、軟件被修改、數(shù)據(jù)被修改2024/6/1236資產(chǎn)價(jià)值與信息安全特性的關(guān)系等級(jí)可用性1資產(chǎn)對(duì)防止信息不可用方面的要求可以忽略。可用性?xún)r(jià)值或潛在影響可以忽略2資產(chǎn)對(duì)防止信息不可用方面的要求有限?？捎眯?xún)r(jià)值較低，潛在影響可以忍受，較容易彌補(bǔ)3資產(chǎn)對(duì)防止信息不可用方面的要求一般可用性?xún)r(jià)值中等，潛在影響重大，但可以彌補(bǔ)4資產(chǎn)對(duì)防止信息不可用方面的要求較高可用性?xún)r(jià)值較高，潛在影響嚴(yán)重，企業(yè)將蒙受?chē)?yán)重?fù)p失，難以彌補(bǔ)5資產(chǎn)對(duì)防止信息不可用方面的要求很高可用性?xún)r(jià)值非常關(guān)鍵，具有致命性的潛在影響例：對(duì)應(yīng)用軟件，其完整性表現(xiàn)在軟件故障、喪失控制權(quán)。2024/6/12373、威脅分析與評(píng)價(jià)對(duì)組織需要保護(hù)的每一項(xiàng)重要信息資產(chǎn)進(jìn)行威脅識(shí)別應(yīng)考慮:資產(chǎn)所處的環(huán)境條件資產(chǎn)以前遭受威脅損害的情況來(lái)判斷:一項(xiàng)資產(chǎn)可能面臨著多個(gè)威脅一個(gè)威脅可能對(duì)不同的資產(chǎn)造成影響威脅識(shí)別應(yīng)確認(rèn)威脅由誰(shuí)或什么事物引發(fā)威脅可能來(lái)源于意外的，或有預(yù)謀的事件2024/6/1238威脅的識(shí)別與評(píng)價(jià) 威脅列表:空氣中的懸浮顆粒/灰塵維護(hù)錯(cuò)誤空調(diào)故障 惡意軟件存儲(chǔ)媒體的老化 用戶(hù)身份的偽裝電子郵件炸彈 未授權(quán)網(wǎng)絡(luò)訪(fǎng)問(wèn)地震 操作人員的錯(cuò)誤竊聽(tīng) 供電波動(dòng)環(huán)境污染 否定或抵賴(lài)極端的溫度和濕度 軟件故障通信服務(wù)故障 員工短缺2024/6/1239

威脅的識(shí)別與評(píng)價(jià)

威脅列表(續(xù)):火災(zāi)傳輸錯(cuò)誤洪水軟件未授權(quán)使用硬件故障存儲(chǔ)媒體未授權(quán)使用軟件的非法進(jìn)/出口軟件被未授權(quán)用戶(hù)使用軟件的非法使用軟件以未經(jīng)許可的方法使用工業(yè)活動(dòng)用戶(hù)錯(cuò)誤閃電故意破壞通信電纜損壞資源濫用網(wǎng)絡(luò)組件的故障盜竊電力供應(yīng)故障颶風(fēng)供應(yīng)故障通信量超載2024/6/1240分析威脅與C,I,A之間的關(guān)系例如:電腦遭遇黒客入侵資產(chǎn)是電腦威脅是黒客攻擊薄弱點(diǎn)是口令強(qiáng)度不夠等

在考慮此威脅發(fā)生時(shí),對(duì)此資產(chǎn)而言,最先遭破壞的是完整性,其次才是保密性或可用性。2024/6/12414、薄弱點(diǎn)分析與評(píng)價(jià)由于組織缺乏充分的安全控制，組織需要保護(hù)的信息資產(chǎn)或系統(tǒng)存在著可能被威脅所利用的弱點(diǎn)。來(lái)自組織結(jié)構(gòu)/人員/管理/程序/資產(chǎn)本身的缺陷應(yīng)針對(duì)每一項(xiàng)信息資產(chǎn)，找出每一種威脅所能利用的薄弱點(diǎn)2024/6/1242有關(guān)實(shí)物和環(huán)境安全方面的薄弱點(diǎn)列表薄弱點(diǎn)利用薄弱點(diǎn)的威脅對(duì)建筑、房屋和辦公室實(shí)物訪(fǎng)問(wèn)控制的不充分或疏忽故意破壞對(duì)于建筑、門(mén)和窗缺乏物理保護(hù)盜竊位于易受洪水影響的區(qū)域洪水未保護(hù)的儲(chǔ)藏庫(kù)盜竊缺乏維護(hù)程序或維護(hù)作業(yè)指導(dǎo)維護(hù)人員操作失誤缺乏定期的設(shè)備更新計(jì)劃存儲(chǔ)媒體老化設(shè)備缺乏必要防護(hù)措施空氣中的顆粒/灰塵設(shè)備對(duì)溫度變化敏感或缺乏空調(diào)設(shè)備極端溫度(高溫或低溫)設(shè)備易受電壓變化的影響、不穩(wěn)定的高壓輸電網(wǎng)、確保供電保護(hù)設(shè)施電壓波動(dòng)2024/6/1243

皮肌炎是一種引起皮膚、肌肉、心、肺、腎等多臟器嚴(yán)重?fù)p害的，全身性疾病，而且不少患者同時(shí)伴有惡性腫瘤。它的1癥狀表現(xiàn)如下：1、早期皮肌炎患者，還往往伴有全身不適癥狀，如-全身肌肉酸痛，軟弱無(wú)力，上樓梯時(shí)感覺(jué)兩腿費(fèi)力；舉手梳理頭發(fā)時(shí)，舉高手臂很吃力；抬頭轉(zhuǎn)頭緩慢而費(fèi)力。皮肌炎圖片——皮肌炎的癥狀表現(xiàn)例：常見(jiàn)系統(tǒng)薄弱點(diǎn)及其對(duì)應(yīng)威脅

2024/6/1245

5、已有安全控制分析與確認(rèn) 識(shí)別已經(jīng)存在和策劃了的安全控制 對(duì)現(xiàn)有的和已計(jì)劃好的控制加以確定，可以避免不必要的工作和費(fèi)用應(yīng)核查控制是否有效。移除？替換？增加？保留？現(xiàn)有的或已計(jì)劃好的控制是否和將要采取的安全控制相一致？2024/6/12466、威脅影響分析

評(píng)價(jià)威脅發(fā)生所造成的后果或潛在影響不同的威脅對(duì)同一資產(chǎn)或組織所產(chǎn)生的影響不同，即導(dǎo)致的價(jià)值損失也不同，但損失的程度應(yīng)以資產(chǎn)的相對(duì)價(jià)值(或重要度)為限。對(duì)影響的評(píng)估，應(yīng)在脆弱性嚴(yán)重程度的基礎(chǔ)上考慮。脆弱性越嚴(yán)重，表明被威脅利用后產(chǎn)生的后果越嚴(yán)重；被某個(gè)威脅利用的脆弱性越多，其造成的影響也越大。采用5個(gè)等級(jí)來(lái)描述影響程度，對(duì)不同的資產(chǎn)有不同評(píng)價(jià)原則。參考《威脅影響程度判斷準(zhǔn)則》2024/6/1247威脅影響程度判斷準(zhǔn)則

威脅影響保密性（C）客戶(hù)對(duì)業(yè)務(wù)/服務(wù)的影響

CI/AI/A1公開(kāi)信息幾乎無(wú)影響幾乎不影響2內(nèi)部公開(kāi)信息對(duì)單次合同產(chǎn)生負(fù)面影響影響單項(xiàng)業(yè)務(wù)，且可立即恢復(fù)3敏感信息可能導(dǎo)致一次中小合同流失影響單項(xiàng)業(yè)務(wù)，可部分恢復(fù)4屬于組織秘密，泄漏會(huì)引起經(jīng)濟(jì)賠償可能導(dǎo)致數(shù)次中小合同或一次大合同失敗，引起經(jīng)濟(jì)賠償導(dǎo)致系統(tǒng)資源故障，影響大部分業(yè)務(wù)5屬于組織機(jī)密，泄漏會(huì)引起法律訴訟及經(jīng)濟(jì)賠償可能導(dǎo)致客戶(hù)或合作伙伴的丟失，引起法律訴訟及經(jīng)濟(jì)賠償2天以上業(yè)務(wù)內(nèi)無(wú)法恢復(fù)2024/6/12487、威脅的可能性分析組織應(yīng)根據(jù)專(zhuān)家意見(jiàn)或有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)判斷威脅發(fā)生的頻率或者威脅發(fā)生的概率。威脅發(fā)生的可能性受下列因素的影響:資產(chǎn)的吸引力資產(chǎn)轉(zhuǎn)化成報(bào)酬的容易程度威脅的技術(shù)含量薄弱點(diǎn)被利用的難易程度2024/6/1249賦值描述說(shuō)明5很高預(yù)期在大多數(shù)情況下發(fā)生，不可避免（>90%）（或≥1次/周）4高（很可能）在大多數(shù)情況下，很有可能會(huì)發(fā)生（50%~90%）（或≥1次/月）3中等（可能）在某種情況下或某個(gè)時(shí)間，可能會(huì)發(fā)生（20%~50%）（或>1次/半年）2低（不太可能）發(fā)生的可能性很小，不太可能（<20%）1極低僅在非常例外的情況下發(fā)生，非常罕見(jiàn)，幾乎不可能（0%~1%）2024/6/12508、風(fēng)險(xiǎn)值的計(jì)算威脅的風(fēng)險(xiǎn)值（RT）＝威脅的影響值(I)×威脅發(fā)生的可能性(P)2024/6/12519、風(fēng)險(xiǎn)控制措施確定

組織根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，確定不可接受風(fēng)險(xiǎn)的范圍，制定風(fēng)險(xiǎn)處理計(jì)劃，增加控制措施，從而降低風(fēng)險(xiǎn)。安全控制的識(shí)別和選擇：依據(jù)---風(fēng)險(xiǎn)評(píng)估的結(jié)果原則---費(fèi)用與風(fēng)險(xiǎn)平衡構(gòu)成---技術(shù)控制措施或管理控制措施確定風(fēng)險(xiǎn)的等級(jí)和組織的可接受水平：2024/6/1252實(shí)施風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)確認(rèn)與接受為確保組織的信息安全，殘余風(fēng)險(xiǎn)應(yīng)在可接受范圍內(nèi)殘余風(fēng)險(xiǎn)R(r)=原有風(fēng)險(xiǎn)R(0)-控制R殘余風(fēng)險(xiǎn)R（r）<=可接受風(fēng)險(xiǎn)R(t)安全控制實(shí)施風(fēng)險(xiǎn)確認(rèn)接受不接受增加控制2024/6/1253風(fēng)險(xiǎn)控制曲線(xiàn)圖風(fēng)險(xiǎn)R資產(chǎn)序列原有風(fēng)險(xiǎn)曲線(xiàn)可接受風(fēng)險(xiǎn)曲線(xiàn)殘余風(fēng)險(xiǎn)曲線(xiàn)2024/6/12542024/6/12552024/6/1256風(fēng)險(xiǎn)控制要點(diǎn)風(fēng)險(xiǎn)是一個(gè)變數(shù)!要定期進(jìn)行風(fēng)險(xiǎn)評(píng)估在以下情況進(jìn)行臨時(shí)評(píng)估當(dāng)組織新增信息資產(chǎn)時(shí)當(dāng)系統(tǒng)發(fā)生重大變更時(shí)發(fā)生嚴(yán)重信息安全事故時(shí)2024/6/1257一、風(fēng)險(xiǎn)評(píng)估中的概念及模型二、風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)三、風(fēng)險(xiǎn)評(píng)估流程與方法四、風(fēng)險(xiǎn)評(píng)估的輸出結(jié)果五、風(fēng)險(xiǎn)管理六、總結(jié)目錄2024/6/1258風(fēng)險(xiǎn)評(píng)估的輸出結(jié)果資產(chǎn)識(shí)別4.1資產(chǎn)識(shí)別表資產(chǎn)賦值威脅分析4.3資產(chǎn)威脅表4.2重要資產(chǎn)賦值表

脆弱性分析4.6不可接受風(fēng)險(xiǎn)處理計(jì)劃表

影響、可能性分析4.5信息資產(chǎn)綜合風(fēng)險(xiǎn)值表

風(fēng)險(xiǎn)計(jì)算及評(píng)估結(jié)果4.4脆弱性匯總表風(fēng)險(xiǎn)評(píng)估報(bào)告2024/6/1259反映了：資產(chǎn)名稱(chēng)描述范圍重要性程度部門(mén)所屬業(yè)務(wù)流程4.1資產(chǎn)識(shí)別表

風(fēng)險(xiǎn)評(píng)估的輸出結(jié)果——資產(chǎn)識(shí)別表2024/6/1260反映了：資產(chǎn)名稱(chēng)描述范圍機(jī)密性、可用性、完整性評(píng)分等級(jí)資產(chǎn)與信息安全系數(shù)關(guān)系所屬業(yè)務(wù)流程4.2重要資產(chǎn)賦值表

風(fēng)險(xiǎn)評(píng)估的輸出結(jié)果——重要資產(chǎn)列表2024/6/1261反映了：資產(chǎn)名稱(chēng)面臨的威脅類(lèi)具體可能的威脅4.3資產(chǎn)威脅表

風(fēng)險(xiǎn)評(píng)估的輸出結(jié)果——威脅列表2024/6/1262反映了：脆弱性分類(lèi)（網(wǎng)絡(luò)、操作系統(tǒng)、管理、數(shù)據(jù)庫(kù)等）脆弱性的詳細(xì)描述脆弱性的嚴(yán)重程度與威脅的對(duì)應(yīng)關(guān)系可能影響的資產(chǎn)4.4脆弱性匯總表風(fēng)險(xiǎn)評(píng)估的輸出結(jié)果——脆弱性識(shí)別表2024/6/1263反映了：資產(chǎn)名稱(chēng)資產(chǎn)面臨的威脅可能被威脅利用的脆弱電威脅發(fā)生的可能性威脅的影響程度4.5信息資產(chǎn)綜合風(fēng)險(xiǎn)值表風(fēng)險(xiǎn)評(píng)估的輸出結(jié)果——資產(chǎn)風(fēng)險(xiǎn)表2024/6/1264反映了：資產(chǎn)名稱(chēng)威脅/薄弱點(diǎn)風(fēng)險(xiǎn)系數(shù)風(fēng)險(xiǎn)處理措施優(yōu)先處理等級(jí)，等。4.6不可接受風(fēng)險(xiǎn)處理計(jì)劃表

風(fēng)險(xiǎn)評(píng)估的輸出結(jié)果——風(fēng)險(xiǎn)處理計(jì)劃2024/6/1265風(fēng)險(xiǎn)評(píng)估報(bào)告評(píng)估方法信息系統(tǒng)分析與描述業(yè)務(wù)信息流分析資產(chǎn)識(shí)別與劃分威脅分析安全風(fēng)險(xiǎn)分析與統(tǒng)計(jì)信息系統(tǒng)脆弱性評(píng)估報(bào)告：以資產(chǎn)為主線(xiàn)，描述各資產(chǎn)存在的脆弱性，包括：主要服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)用系統(tǒng)網(wǎng)絡(luò)與交換設(shè)備安全管理體系物理環(huán)境4.7風(fēng)險(xiǎn)評(píng)估報(bào)告

風(fēng)險(xiǎn)評(píng)估的輸出結(jié)果——風(fēng)險(xiǎn)評(píng)估報(bào)告2024/6/1266一、風(fēng)險(xiǎn)評(píng)估中的概念及模型二、風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)三、風(fēng)險(xiǎn)評(píng)估流程與方法四、風(fēng)險(xiǎn)評(píng)估的輸出結(jié)果五、風(fēng)險(xiǎn)管理六、總結(jié)目錄2024/6/1267風(fēng)險(xiǎn)管理的目的和意義信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一項(xiàng)基礎(chǔ)性工作。1、信息安全風(fēng)險(xiǎn)管理體現(xiàn)在信息安全保障體系的技術(shù)、組織和管理等方面2、信息安全風(fēng)險(xiǎn)管理貫穿信息系統(tǒng)生命周期的全部過(guò)程。3、信息安全風(fēng)險(xiǎn)管理依據(jù)等級(jí)保護(hù)的思想和適度安全的原則，平衡成本與效益，合理部署和利用信息安全的信任體系、監(jiān)控體系和應(yīng)急處理等重要的基礎(chǔ)設(shè)施，確定合適的安全措施，從而確保機(jī)構(gòu)具有完成其使命的信息安全保障能力。2024/6/1268風(fēng)險(xiǎn)管理的對(duì)象與范圍信息自身：各類(lèi)以電子形式或紙面文檔方式表示的數(shù)據(jù)材料。信息載體：支持信息處理的網(wǎng)絡(luò)平臺(tái)、通信平臺(tái)、系統(tǒng)平臺(tái)、應(yīng)用軟件等。信息環(huán)境：支持系統(tǒng)運(yùn)行的環(huán)境。包括環(huán)境設(shè)施、運(yùn)行與維護(hù)、管理體系等內(nèi)容。2024/6/1269風(fēng)險(xiǎn)控制措施確定

組織根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，確定不可接受風(fēng)險(xiǎn)的范圍，制定風(fēng)險(xiǎn)處理計(jì)劃，增加控制措施，從而降低風(fēng)險(xiǎn)。安全控制的識(shí)別和選擇：依據(jù)---風(fēng)險(xiǎn)評(píng)估的結(jié)果原則---費(fèi)用與風(fēng)險(xiǎn)平衡構(gòu)成---技術(shù)控制措施或管理控制措施確定風(fēng)險(xiǎn)的等級(jí)和組織的可接受水平：2024/6/1270實(shí)施風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)降低示意圖

威脅發(fā)生可能性威脅的潛在影響(后果)R—風(fēng)險(xiǎn)

R1R3R2高中低低中高2024/6/1271風(fēng)險(xiǎn)確認(rèn)與接受

為確保組織的信息安全，殘余風(fēng)險(xiǎn)應(yīng)在可接受范圍內(nèi)殘余風(fēng)險(xiǎn)R(r)=原有風(fēng)險(xiǎn)R(0)-控制R殘余風(fēng)險(xiǎn)R（r）<=可接受風(fēng)險(xiǎn)R(t)安全控制實(shí)施風(fēng)險(xiǎn)確認(rèn)接受不接受增加控制2024/6/1272一、風(fēng)險(xiǎn)評(píng)估中的概念及模型二、風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)三、風(fēng)險(xiǎn)評(píng)估流程與方法四、風(fēng)險(xiǎn)評(píng)估的輸出結(jié)果五、風(fēng)險(xiǎn)管理六、總結(jié)目錄2024/6/1273識(shí)別本單位信息安全的風(fēng)險(xiǎn)狀況重要的資產(chǎn)面臨的威脅現(xiàn)有的安