風險評估方法

1、風險評估方法 對于風險評估來說，其三個關(guān)鍵要素是信息資產(chǎn)、弱點/脆弱性以及威脅。每個要素有其各自的屬性，信息資產(chǎn)的屬性是資產(chǎn)價值，弱點的屬性是弱點被威脅利用后對資產(chǎn)帶來的影響的嚴重程度，威脅的屬性是威脅發(fā)生的可能性。信息安全風險評估的具體工作流程如圖1所示。 一、 風險評估的準備 風險評估的準備過程是組織進行風險評估的基礎(chǔ)，是整個風險評估過程有效性的保證。組織對自身信息及信息系統(tǒng)進行風險評估是一種戰(zhàn)略性的考慮，其結(jié)果將受組織的商業(yè)需求及戰(zhàn)略目標、文化、業(yè)務流程、安全要求、規(guī)模和結(jié)構(gòu)所影響。不同組織對于風險評估過程中的各種子過程可能存在不同的要求，因此在風險評估實施前，組織應： 1確定風險評估的

2、范圍； 2確定風險評估的目的，為風險評估的實施提供導向； 3建立適當?shù)慕M織結(jié)構(gòu)； 4建立系統(tǒng)性的風險評估方法； 5獲得最高管理者對風險評估策劃的批準。 二、風險評估的實施 組織應根據(jù)策劃的結(jié)果，由評估的人員按照相應的職責和程序進行資產(chǎn)評估、威脅評估、脆弱性評估。在考慮已有安全措施的情況下，利用適當?shù)姆椒ㄅc工具確定威脅利用資產(chǎn)脆弱性發(fā)生安全事件的可能性，并結(jié)合資產(chǎn)的安全屬性受到破壞后的影響來得出資產(chǎn)的安全風險。 三、風險計算 風險計算的模型如圖2所示。 我們以下述函數(shù)進行表示： R= f(A,V,T)=f(Ia,L(Va,T) 其中：R表示風險；A表示資產(chǎn)；V表示脆弱性；T表示威脅； Ia表示資

3、產(chǎn)發(fā)生安全事件后對組織業(yè)務的影響(也稱為資產(chǎn)的重要程度); Va表示某一資產(chǎn)本身的脆弱性，L表示威脅利用資產(chǎn)的脆弱性造成安全事件發(fā)生的可能性。 具體而言分為以下幾個步驟： 1首先對資產(chǎn)的弱點進行排序； 2針對每一個弱點，確定可能利用此弱點造成安全事件的威脅的類型； 3給確定的威脅賦值； 4將威脅值與脆弱點值相乘，得出安全事件發(fā)生的可能性；即： 安全事件發(fā)生可能性=L（威脅可能性，脆弱點嚴重性）； 5根據(jù)資產(chǎn)的重要程度以及安全事件發(fā)生的可能性計算風險值，即： 風險值=R（資產(chǎn)重要程度，安全事件發(fā)生的可能性）。 四、風險識別 風險識別包括三個部分：分析風險來源；識別區(qū)域風險；風險關(guān)聯(lián)分析。 1分析

4、風險來源 經(jīng)過資產(chǎn)、威脅、脆弱性的計算后形成一個風險列表，需要對該列表的風險進行分類，并在分類的基礎(chǔ)上進行風險合并。在對風險進行分類合并時，首先需要考慮風險所發(fā)生的位置，然后考慮風險的來源。風險的來源可以從威脅、脆弱性和安全管理三個方面進行。 風險發(fā)生的位置可以從資產(chǎn)所在的安全域或從信息安全發(fā)生的層次進行劃分。資產(chǎn)所在的安全域指具有相同安全屬性的某一物理區(qū)域或邏輯區(qū)域，該區(qū)域和其他安全區(qū)域具有明顯的邊界；信息安全發(fā)生的層次指物理層安全、網(wǎng)絡層安全、操作系統(tǒng)層安全、應用層安全、數(shù)據(jù)層安全。風險的來源從威脅角度進行合并，可以從威脅的來源，發(fā)生的途經(jīng)，影響的大小角度進行劃分整理。風險的來源從脆弱性角

5、度進行合并，從大的方面有兩類，一類是IT技術(shù)類脆弱性，另一類是管理類脆弱性。安全管理類脆弱性可以從設(shè)計、開發(fā)、驗收、運行、維護、人員、業(yè)務持續(xù)性管理等方面進行分析。 2識別區(qū)域風險 分類合并后的風險需要再次進行人工判斷，通過這種判斷可以發(fā)現(xiàn)被分析的安全域的主要威脅、主要影響和發(fā)生的可能性。這種經(jīng)過判斷的風險需要進行單獨說明，使最后形成的風險具有更明確的意義。 3風險關(guān)聯(lián)分析 經(jīng)過風險識別后的風險是系統(tǒng)中的主要風險，對于復雜系統(tǒng)，還需要考慮多個風險之間的相互關(guān)系。這種主要風險之間的潛在相互影響包括：不同安全區(qū)域風險的相互影響，不同業(yè)務風險之間的影響，不同系統(tǒng)之間風險的影響分析。經(jīng)過風險關(guān)聯(lián)分析后

6、還需要重新修正風險識別列表。（未完待續(xù)） 判定風險結(jié)果 確定風險數(shù)值的大小不是組織風險評估的最終目的。重要的是明確不同威脅對資產(chǎn)所產(chǎn)生的風險的相對值，即，要確定不同風險的優(yōu)先次序或等級。對于風險級別高的資產(chǎn)應被優(yōu)先分配資源進行保護。組織可以采用按照風險數(shù)值排序的方法，也可以采用區(qū)間劃分的方法將風險劃分為不同的優(yōu)先等級，這包括將可接受風險與不可接受風險進行劃分，接受與不可接受的界限應當考慮風險控制成本與風險（機會損失成本）的平衡。風險的等級應得到組織管理層的評審并批準。 組織在對風險等級進行劃分后，應考慮法律法規(guī)（包括客戶及相關(guān)方）的要求、組織自身的發(fā)展要求。根據(jù)風險評估的結(jié)果確定安全水平，對不

7、可接受的風險選擇適當?shù)奶幚矸绞郊翱刂拼胧?，并形成風險處理計劃。風險處理的方式包括：回避風險、降低風險（降低發(fā)生的可能性或減小后果）、轉(zhuǎn)移風險、接受風險?？刂拼胧┑倪x擇應兼顧管理與技術(shù)，具體地說，針對各類風險應根據(jù)組織的實際情況考慮以下十個方面的控制：安全方針、組織安全、資產(chǎn)的分類與控制、人員安全、物理與環(huán)境安全、通信與運作管理、訪問控制、系統(tǒng)的開發(fā)與維護、業(yè)務持續(xù)性管理、符合性。在風險處理方式及控制措施的選擇上，組織應考慮發(fā)展戰(zhàn)略、企業(yè)文化、人員素質(zhì)，并特別關(guān)注成本與風險的平衡，處理安全風險以滿足法律法規(guī)及相關(guān)方的要求。管理性與技術(shù)性的措施均可以降低風險，但在控制措施的選擇上應遵循上述原則。單

8、純選擇某種控制措施可能會降低成本，但也可能引入新的風險，因此應注意預防性控制措施與檢查性控制措施之間的關(guān)系。在預防性控制不足以確保風險得到降低的情況下應追加檢查性控制措施。通常應該考慮聯(lián)合各種選擇。 對于不可接受范圍內(nèi)的風險，應在選擇了適當?shù)目刂拼胧┖?，對殘余風險進行評價，判定風險是否已經(jīng)降低到可接受的水平，為風險管理提供輸入。殘余風險的評價可以依據(jù)組織風險評估的準則進行，選擇的控制措施和已有的控制措施應當考慮降低威脅發(fā)生的可能性。某些風險可能在選擇了適當?shù)目刂拼胧┖笕蕴幱诓豢山邮艿娘L險范圍內(nèi)，應由管理層依據(jù)風險接受的原則，考慮是否接受此類風險或增加控制措施。為確保所選擇控制措施的充分性，必要

9、時可以進行再評估，通過控制措施實施的有效性，評價殘余風險是否可以接受。 記錄風險結(jié)果 風險評估過程需要形成相關(guān)的文件及記錄，記錄是一種特殊的文件，組織可考慮以下控制： 1文件發(fā)布前得到批準，以確保文件是充分的； 2必要時對文件進行評審、更新并再次批準； 3確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別； 4確保在使用時，可獲得有關(guān)版本的適用文件； 5確保文件保持清晰、易于識別； 6 確保外來文件得到識別； 7確保文件的分發(fā)得到適當?shù)目刂疲?8防止作廢文件的非預期使用，若因任何目的需保留作廢文件時，應對這些文件進行適當?shù)臉俗R。 風險評估的角色及職責 1風險評估的角色 信息安全風險評估（以下簡稱風險評估）在

10、具體實施過程中將涉及多個參與方，參與方在評估中扮演不同的角色。在一個完整的信息安全風險評估當中，一般包括主管機關(guān)、信息系統(tǒng)擁有者、信息系統(tǒng)承建者、信息安全評估機構(gòu)以及信息系統(tǒng)的相關(guān)機構(gòu)。 2風險評估的職責 其各自的職責為： （1）行政審批 主管機關(guān)具有風險評估的行政審批權(quán)力，主要負責提出、制定并批準本部門的信息安全風險管理策略，領(lǐng)導和組織本部門內(nèi)的信息安全評估工作?；诒静块T內(nèi)信息系統(tǒng)的特征以及風險評估的結(jié)果，判斷信息系統(tǒng)殘余風險是否可接受，并確定是否批準信息系統(tǒng)投入運行。檢查信息系統(tǒng)運行中產(chǎn)生的安全狀態(tài)報告；定期或不定期地開展新的信息安全風險評估工作。 （2）組織協(xié)調(diào) 信息系統(tǒng)擁有者具有風險

11、評估的組織協(xié)調(diào)權(quán)力，將負責制定安全計劃，報主管機關(guān)審批；組織實施信息系統(tǒng)自評估工作；配合強制性檢查評估或委托評估工作，并提供必要的文檔等資源；向主管機關(guān)提出新一輪風險評估的建議；改善信息安全防護措施，控制信息安全風險。 （3）措施整改 信息系統(tǒng)承建者應根據(jù)對信息系統(tǒng)建設(shè)方案的風險評估結(jié)果修正安全方案，使安全方案成本合理、積極有效，在方案中有效地控制風險；規(guī)范建設(shè)，減少在建設(shè)階段引入的新風險；確保安全組件產(chǎn)品得到了相關(guān)機構(gòu)的認證。 （4）具體實施 信息安全評估機構(gòu)提供獨立的信息安全風險評估；對信息系統(tǒng)中的安全防護措施進行評估，以判斷這些安全防護措施在特定運行環(huán)境中的有效性以及實現(xiàn)了這些措施后系統(tǒng)

12、中存在的殘余風險；提出調(diào)整建議，以減少或根除信息系統(tǒng)中的脆弱性，有效對抗安全威脅，控制風險；保護風險評估中獲得的敏感信息，防止被無關(guān)人員和單位獲得。 （5）輔助支持 信息系統(tǒng)的相關(guān)機構(gòu)為風險評估提供輔助支持，遵守安全策略、法規(guī)、合同等涉及信息系統(tǒng)交互行為的安全要求，減少信息安全風險；協(xié)助風險評估機構(gòu)確定評估邊界；在風險評估中提供必要的資源和資料。 風險評估形式 根據(jù)評估的目的、評估方與被評估方的關(guān)系，以及評估方和被評估信息資產(chǎn)的關(guān)系、評估的深淺程度等不同的劃分原則，國內(nèi)外現(xiàn)存的風險評估也有多種形式，本指南所指風險評估形式主要以評估的發(fā)起方為劃分依據(jù)。大體可分為自評估和他評估兩大類，自評估是由被