信息安全風險評估流程27p課件VIP

1、信息安全風險評估流程27pLOGO信息安全風險評估流程信息安全風險評估流程27p信息安全風險評估流程信息安全風險評估流程信息安全風險評估流程27p一、風險評估概述一、風險評估概述二、風險評估目的二、風險評估目的三、風險評估范圍三、風險評估范圍四、風險評估流程四、風險評估流程五、風險評估工作要點五、風險評估工作要點信息安全風險評估流程27p一、風險評估概述一、風險評估概述信息安全風險評估的概念在業(yè)內有多種說法，從國標信息安全風險評估的概念在業(yè)內有多種說法，從國標評評估指南估指南對信息安全風險評估的表述中看出，評估涉及資對信息安全風險評估的表述中看出，評估涉及資產、威脅、脆弱性和風險四個主要因素。

2、產、威脅、脆弱性和風險四個主要因素。風險管理是辨別信息系統(tǒng)潛在的風險，對其進行評估，并風險管理是辨別信息系統(tǒng)潛在的風險，對其進行評估，并采取措施將其降低到可接受的水平的過程，而風險評估是采取措施將其降低到可接受的水平的過程，而風險評估是其中最重要的環(huán)節(jié)。其中最重要的環(huán)節(jié)。信息安全風險評估流程27p一、風險評估概述一、風險評估概述信息安全風險評估信息安全風險評估是依據(jù)有關信息安全技術與管理標準，是依據(jù)有關信息安全技術與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機密性、完對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行評價的過程。整性和可用性等安全屬性進行評價的

3、過程。信息安全風險評估從管理的角度，運用科學的方法和手段，信息安全風險評估從管理的角度，運用科學的方法和手段，系統(tǒng)分析網絡與信息系統(tǒng)所面臨的威脅及存在的脆弱性。系統(tǒng)分析網絡與信息系統(tǒng)所面臨的威脅及存在的脆弱性。評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性地抵御安全威脅的防護措施，為防范和化解信息安全風性地抵御安全威脅的防護措施，為防范和化解信息安全風險，或將風險控制在可以接受的水平，最大限度地保障網險，或將風險控制在可以接受的水平，最大限度地保障網絡正常運行和信息安全提供科學依據(jù)。絡正常運行和信息安全提供科學依據(jù)。信息安全風險評估流程2

4、7p二、風險評估目的二、風險評估目的信息安全風險評估是加強信息安全保障體系建設和管理的關鍵環(huán)信息安全風險評估是加強信息安全保障體系建設和管理的關鍵環(huán)節(jié)，通過開展信息安全風險評估工作，可以發(fā)現(xiàn)信息系統(tǒng)存在的節(jié)，通過開展信息安全風險評估工作，可以發(fā)現(xiàn)信息系統(tǒng)存在的主要問題和矛盾，找到解決諸多關鍵問題的辦法。主要問題和矛盾，找到解決諸多關鍵問題的辦法。信息安全風險評估旨在認清信息安全環(huán)境，信息安全狀況，有助信息安全風險評估旨在認清信息安全環(huán)境，信息安全狀況，有助于達成共識，明確責任，采取和完善安全保障措施，使其更加經于達成共識，明確責任，采取和完善安全保障措施，使其更加經濟有效，并使信息安全策略保持

5、一致性和持續(xù)性。并為信息系統(tǒng)濟有效，并使信息安全策略保持一致性和持續(xù)性。并為信息系統(tǒng)的建設和改造提供依據(jù)，幫助信息安全建設者正確判斷系統(tǒng)存在的建設和改造提供依據(jù)，幫助信息安全建設者正確判斷系統(tǒng)存在風險與漏洞，并采取適當補救措施。風險與漏洞，并采取適當補救措施。風險評估可以科學地分析和理解信息系統(tǒng)在保密性、完整性、可風險評估可以科學地分析和理解信息系統(tǒng)在保密性、完整性、可用性等方面的工作，只有正確、全面地了解理解安全風險后才能用性等方面的工作，只有正確、全面地了解理解安全風險后才能決定如何處理安全風險，從而在信息安全的投資，信息安全措施決定如何處理安全風險，從而在信息安全的投資，信息安全措施的選

6、擇，信息安全保障體系的建設做出合理的決策。的選擇，信息安全保障體系的建設做出合理的決策。信息安全風險評估流程27p三、風險評估范圍三、風險評估范圍 信息安全風險評估適用于在信息安全管理體系下的所有信息資信息安全風險評估適用于在信息安全管理體系下的所有信息資產、網絡及任何管理和維護這些系統(tǒng)的流程所做的一切風險評估。產、網絡及任何管理和維護這些系統(tǒng)的流程所做的一切風險評估。信息安全風險評估包括信息資產的風險識別、評估與管理，即信信息安全風險評估包括信息資產的風險識別、評估與管理，即信息系統(tǒng)網絡、管理制度、使用或管理信息系統(tǒng)的相關人員以及由息系統(tǒng)網絡、管理制度、使用或管理信息系統(tǒng)的相關人員以及由信息

7、系統(tǒng)使用時產生的文檔、數(shù)據(jù)等的風險識別、評估與管理信息系統(tǒng)使用時產生的文檔、數(shù)據(jù)等的風險識別、評估與管理 。信息安全風險評估流程27p四、風險評估流程四、風險評估流程 信息安全風險評估的典型過程主要分為風險評估準備、資產識信息安全風險評估的典型過程主要分為風險評估準備、資產識別、威脅識別、脆弱性識別、已有安全措施確認和風險分析六個別、威脅識別、脆弱性識別、已有安全措施確認和風險分析六個階段。階段。風險評估準備風險評估準備資產識別資產識別威脅識別威脅識別脆弱性識別脆弱性識別已有安全措施確認已有安全措施確認風險分析風險分析信息安全風險評估流程27p四、風險評估流程四、風險評估流程 該階段的主要任務

8、是制訂評估工作計劃，包括評估目標、評估范圍、該階段的主要任務是制訂評估工作計劃，包括評估目標、評估范圍、制訂信息安全風險評估工作方案，并根據(jù)評估工作需要，組建評估團制訂信息安全風險評估工作方案，并根據(jù)評估工作需要，組建評估團隊，明確各方職責。隊，明確各方職責。 在風險評估準備階段，需要多次與被評估方磋商，了解被評估方在風險評估準備階段，需要多次與被評估方磋商，了解被評估方關注的重點，明確風險評估的目標和范圍，為整個風險評估工作提供關注的重點，明確風險評估的目標和范圍，為整個風險評估工作提供向導。在確定評估范圍和目標之后，根據(jù)被評估對象的網絡規(guī)模、復向導。在確定評估范圍和目標之后，根據(jù)被評估對象

9、的網絡規(guī)模、復雜度、特殊性，成立評估工作小組，明確各方人員組成及職責分工。雜度、特殊性，成立評估工作小組，明確各方人員組成及職責分工。建立評估團隊后，由評估工作人員進行現(xiàn)場調研，由被評估方介紹網建立評估團隊后，由評估工作人員進行現(xiàn)場調研，由被評估方介紹網絡構建情況，安全管理制度和采取的安全防護措施以及業(yè)務運行情況。絡構建情況，安全管理制度和采取的安全防護措施以及業(yè)務運行情況。評估工作小組根據(jù)調研情況撰寫信息安全風險評估工作方案。評估工作小組根據(jù)調研情況撰寫信息安全風險評估工作方案。1.1.風險評估準備風險評估準備信息安全風險評估流程27p四、風險評估流程四、風險評估流程確定目標確定目標確定范圍

10、確定范圍組建團隊組建團隊系統(tǒng)調研系統(tǒng)調研確定依據(jù)確定依據(jù)制定方案制定方案1.1.風險評估準備風險評估準備信息安全風險評估流程27p四、風險評估流程四、風險評估流程 做好風險評估準備階段的相關工作之后，需要通過多種途徑采做好風險評估準備階段的相關工作之后，需要通過多種途徑采集評估對象的資產信息，為風險評估后續(xù)各階段的工作提供基本集評估對象的資產信息，為風險評估后續(xù)各階段的工作提供基本素材。素材。 機密性、完整性和可用性是評價資產的三個安全屬性。風險評機密性、完整性和可用性是評價資產的三個安全屬性。風險評估中的資產價值不是以資產的經濟價值來衡量，而是由資產在這估中的資產價值不是以資產的經濟價值來衡

11、量，而是由資產在這三個安全屬性上的達成程度或其安全屬性未達成時所造成的影響三個安全屬性上的達成程度或其安全屬性未達成時所造成的影響程度來決定的。程度來決定的。 資產識別主要通過向被評估方發(fā)放資產調查表來完成。在識別資產識別主要通過向被評估方發(fā)放資產調查表來完成。在識別資產時，以被評估方提供的資產清單為依據(jù)，對重要和關鍵資產資產時，以被評估方提供的資產清單為依據(jù)，對重要和關鍵資產進行標注，對評估范圍內的資產詳細分類，防止遺漏，劃入風險進行標注，對評估范圍內的資產詳細分類，防止遺漏，劃入風險評估范圍和邊界內的每一項資產都應經過仔細確認。評估范圍和邊界內的每一項資產都應經過仔細確認。2.2.資產識別

12、資產識別信息安全風險評估流程27p四、風險評估流程四、風險評估流程資產分類資產分類 資產分類方法：根據(jù)資產的表現(xiàn)形式，可將資產分為數(shù)據(jù)、軟件、硬件、服資產分類方法：根據(jù)資產的表現(xiàn)形式，可將資產分為數(shù)據(jù)、軟件、硬件、服務、人員等類型。在實際工作中，具體的資產分類方法可根據(jù)具體的評估對象和要務、人員等類型。在實際工作中，具體的資產分類方法可根據(jù)具體的評估對象和要求，由評估者靈活把握。求，由評估者靈活把握。資產賦值資產賦值 根據(jù)資產在保密性、完整性、可用性上的不同要求，對資產進行保密性賦值、根據(jù)資產在保密性、完整性、可用性上的不同要求，對資產進行保密性賦值、完整性賦值、可用性賦值。完整性賦值、可用性

13、賦值。 資產價值應依據(jù)資產在保密性、完整性、可用性上的賦值等級，經過綜合評資產價值應依據(jù)資產在保密性、完整性、可用性上的賦值等級，經過綜合評定得出。定得出。2.2.資產識別資產識別信息安全風險評估流程27p四、風險評估流程四、風險評估流程 在識別威脅時，應根據(jù)資產目前所處的環(huán)境條件和以前的記錄在識別威脅時，應根據(jù)資產目前所處的環(huán)境條件和以前的記錄情況來判斷，威脅識別主要通過采集入侵檢測系統(tǒng)（情況來判斷，威脅識別主要通過采集入侵檢測系統(tǒng)（IDSIDS）的報）的報警信息、威脅問卷調查和對技術人員做顧問訪談的方式。為了確警信息、威脅問卷調查和對技術人員做顧問訪談的方式。為了確保收集到的威脅信息客觀準

14、確，威脅問卷調查的對象要覆蓋被評保收集到的威脅信息客觀準確，威脅問卷調查的對象要覆蓋被評估對象的領導層、技術主管、網絡管理人員、系統(tǒng)管理人員、安估對象的領導層、技術主管、網絡管理人員、系統(tǒng)管理人員、安全管理人員和普通員工等。顧問訪談要針對不同的訪談對象制訂全管理人員和普通員工等。顧問訪談要針對不同的訪談對象制訂不同的訪談提綱。不同的訪談提綱。 威脅識別的關鍵在于確認引發(fā)威脅的人或事物，威脅源可能是威脅識別的關鍵在于確認引發(fā)威脅的人或事物，威脅源可能是蓄意也可能是偶然的因素，通常包括人、系統(tǒng)和自然環(huán)境等。一蓄意也可能是偶然的因素，通常包括人、系統(tǒng)和自然環(huán)境等。一項資產可能面臨多個威脅，而一個威脅

15、也可能對不同的資產造成項資產可能面臨多個威脅，而一個威脅也可能對不同的資產造成影響。威脅識別完成后還應該對威脅發(fā)生的可能性進行評估，列影響。威脅識別完成后還應該對威脅發(fā)生的可能性進行評估，列出威脅清單，描述威脅屬性，并對威脅出現(xiàn)的頻率賦值。出威脅清單，描述威脅屬性，并對威脅出現(xiàn)的頻率賦值。3.3.威脅識別威脅識別信息安全風險評估流程27p四、風險評估流程四、風險評估流程威脅分類威脅分類 威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述，造成威脅的威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述，造成威脅的因素可分為人為因素和環(huán)境因素。在對威脅進行分類前，應考慮威脅的來源。因素可分為

16、人為因素和環(huán)境因素。在對威脅進行分類前，應考慮威脅的來源。威脅賦值威脅賦值 判斷威脅出現(xiàn)的頻率是威脅賦值的重要內容，評估者應根據(jù)經驗和（或）有判斷威脅出現(xiàn)的頻率是威脅賦值的重要內容，評估者應根據(jù)經驗和（或）有關統(tǒng)計數(shù)據(jù)來進行判斷。關統(tǒng)計數(shù)據(jù)來進行判斷。3.3.威脅識別威脅識別信息安全風險評估流程27p四、風險評估流程四、風險評估流程 脆弱性識別是風險評估工作過程中最為復雜、較難把握的環(huán)節(jié)，同脆弱性識別是風險評估工作過程中最為復雜、較難把握的環(huán)節(jié)，同時也是非常重要的環(huán)節(jié)，對評估工作小組成員的專業(yè)技術水平要求較時也是非常重要的環(huán)節(jié)，對評估工作小組成員的專業(yè)技術水平要求較高。脆弱性分為管理脆弱性和技

17、術脆弱性。管理脆弱性調查主要通過高。脆弱性分為管理脆弱性和技術脆弱性。管理脆弱性調查主要通過發(fā)放管理脆弱性調查問卷、顧問訪談以及收集分析現(xiàn)有的管理制度來發(fā)放管理脆弱性調查問卷、顧問訪談以及收集分析現(xiàn)有的管理制度來完成；技術脆弱性檢測主要借助專業(yè)的脆弱性檢測工具和對評估范圍完成；技術脆弱性檢測主要借助專業(yè)的脆弱性檢測工具和對評估范圍內的各種軟硬件安全配置進行檢查來識別。內的各種軟硬件安全配置進行檢查來識別。 在工作過程中，應注意脆弱性識別的全面性，包括物理、網絡、應在工作過程中，應注意脆弱性識別的全面性，包括物理、網絡、應用和管理等方面。為了分析脆弱性影響的嚴重程度，最好對關鍵資產用和管理等方面

18、。為了分析脆弱性影響的嚴重程度，最好對關鍵資產的脆弱性進行深度檢測和驗證，比如關鍵服務的身份認證等。識別完的脆弱性進行深度檢測和驗證，比如關鍵服務的身份認證等。識別完成之后，還要對具體資產的脆弱性嚴重程度進行賦值。脆弱性嚴重程成之后，還要對具體資產的脆弱性嚴重程度進行賦值。脆弱性嚴重程度可以等級化處理，不同等級分別表示資產脆弱性嚴重程度的高低。度可以等級化處理，不同等級分別表示資產脆弱性嚴重程度的高低。等級數(shù)值越大，脆弱性嚴重程度越高。等級數(shù)值越大，脆弱性嚴重程度越高。4.4.脆弱性識別脆弱性識別信息安全風險評估流程27p四、風險評估流程四、風險評估流程脆弱性識別脆弱性識別 脆弱性識別可以以資

19、產為核心，針對每一項需要保護的資產脆弱性識別可以以資產為核心，針對每一項需要保護的資產, ,識別可能被威脅利識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估；也可以從物理、網絡、系統(tǒng)、應用等用的弱點，并對脆弱性的嚴重程度進行評估；也可以從物理、網絡、系統(tǒng)、應用等層次進行識別，然后與資產、威脅對應起來。脆弱性識別的依據(jù)可以是國際或國家層次進行識別，然后與資產、威脅對應起來。脆弱性識別的依據(jù)可以是國際或國家安全標準，也可以是行業(yè)規(guī)范、應用流程的安全要求。對應用在不同環(huán)境中的相同安全標準，也可以是行業(yè)規(guī)范、應用流程的安全要求。對應用在不同環(huán)境中的相同的弱點，其脆弱性嚴重程度是不同的，評估者應從

20、組織安全策略的角度考慮、判斷的弱點，其脆弱性嚴重程度是不同的，評估者應從組織安全策略的角度考慮、判斷資產的脆弱性及其嚴重程度。資產的脆弱性及其嚴重程度。 脆弱性識別包括兩個方面，即技術脆弱性和管理脆弱性。脆弱性識別包括兩個方面，即技術脆弱性和管理脆弱性。 脆弱性識別所采用的方法：問卷調查、工具檢測、人工核查、文檔查閱、滲透脆弱性識別所采用的方法：問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等。性測試等。脆弱性賦值脆弱性賦值 根據(jù)對資產的損害程度、技術實現(xiàn)的難易程度、弱點的流行程度，采用等級方根據(jù)對資產的損害程度、技術實現(xiàn)的難易程度、弱點的流行程度，采用等級方式對已識別的脆弱性的嚴重程度進

21、行賦值。式對已識別的脆弱性的嚴重程度進行賦值。4.4.脆弱性識別脆弱性識別信息安全風險評估流程27p四、風險評估流程四、風險評估流程 安全措施的確認應評估其有效性，即是否真正地降低了系統(tǒng)的脆弱安全措施的確認應評估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。有效的安全控制措施，可以降低安全事件發(fā)生的可性，抵御了威脅。有效的安全控制措施，可以降低安全事件發(fā)生的可能性，也可以減輕安全事件造成的不良影響。對有效的安全措施繼續(xù)能性，也可以減輕安全事件造成的不良影響。對有效的安全措施繼續(xù)保持，以避免不必要的工作和費用，防止安全措施的重復實施。對確保持，以避免不必要的工作和費用，防止安全措施的重復

22、實施。對確認為不適當?shù)陌踩胧摵藢嵤欠駪蝗∠驅ζ溥M行修正，或采認為不適當?shù)陌踩胧摵藢嵤欠駪蝗∠驅ζ溥M行修正，或采用更合適的安全措施予以替代。用更合適的安全措施予以替代。 因此，在進行安全風險分析計算之前，有必要識別目前已有的安全因此，在進行安全風險分析計算之前，有必要識別目前已有的安全控制措施，包括安全控制措施的識別與確認、管理和操作控制措施的控制措施，包括安全控制措施的識別與確認、管理和操作控制措施的識別與確認。并對措施的有效性進行分析，為后續(xù)的風險分析提供參識別與確認。并對措施的有效性進行分析，為后續(xù)的風險分析提供參考依據(jù)。安全措施識別與確認，應由評估小組的安全控制措施識

23、別小考依據(jù)。安全措施識別與確認，應由評估小組的安全控制措施識別小組、安全設備管理人員及安全設備廠家技術人員共同參與。組、安全設備管理人員及安全設備廠家技術人員共同參與。5.5.已有安全措施確認已有安全措施確認信息安全風險評估流程27p四、風險評估流程四、風險評估流程 安全措施可分為預防性安全措施和保護性安全措施兩安全措施可分為預防性安全措施和保護性安全措施兩種。種。 預防性安全措施可以降低威脅利用脆弱性導致安全事預防性安全措施可以降低威脅利用脆弱性導致安全事件發(fā)生的可能性，如入侵檢測系統(tǒng)；保護性安全措施可以件發(fā)生的可能性，如入侵檢測系統(tǒng)；保護性安全措施可以減少因安全事件發(fā)生后對組織或系統(tǒng)造成的

24、影響。減少因安全事件發(fā)生后對組織或系統(tǒng)造成的影響。5.5.已有安全措施確認已有安全措施確認信息安全風險評估流程27p四、風險評估流程四、風險評估流程6.6.風險分析風險分析 脆弱性識別 威脅出現(xiàn)的頻率脆弱性的嚴重程度資產的重要性安全事件的損失風險值 資產識別安全事件的可能性 威脅識別 風險分析原理圖風險分析原理圖信息安全風險評估流程27p四、風險評估流程四、風險評估流程6.6.風險分析風險分析 構成風險的要素主要有資產、威脅和脆弱性，在識別了這些構成風險的要素主要有資產、威脅和脆弱性，在識別了這些要素之后，就可以確定存在什么風險。風險分析階段需要完成的要素之后，就可以確定存在什么風險。風險分析

25、階段需要完成的工作主要有工作主要有3 3項：風險計算、形成風險評估報告和給出風險控制項：風險計算、形成風險評估報告和給出風險控制建議。風險計算是針對每一項信息資產、根據(jù)其自身存在的脆弱建議。風險計算是針對每一項信息資產、根據(jù)其自身存在的脆弱性列表、所面臨的威脅列表，考慮資產自身在信息系統(tǒng)中的重要性列表、所面臨的威脅列表，考慮資產自身在信息系統(tǒng)中的重要程度（資產賦值），依據(jù)風險計算公式，計算出該信息資產的風程度（資產賦值），依據(jù)風險計算公式，計算出該信息資產的風險值，最終形成風險列表。風險評估報告主要結合風險評估工作險值，最終形成風險列表。風險評估報告主要結合風險評估工作過程中采集到的中間數(shù)據(jù)，

26、對信息系統(tǒng)中的安全風險進行定性和過程中采集到的中間數(shù)據(jù)，對信息系統(tǒng)中的安全風險進行定性和定量分析。風險控制建議主要由評估工作小組在對被評估對象的定量分析。風險控制建議主要由評估工作小組在對被評估對象的安全現(xiàn)狀進行綜合分析的基礎上，有針對性地給出。安全現(xiàn)狀進行綜合分析的基礎上，有針對性地給出。 風險只能被預防、避免、降低、轉移或接受，而不可能完全風險只能被預防、避免、降低、轉移或接受，而不可能完全消除。高風險和嚴重風險是不可接受的，必須選擇實施相應的對消除。高風險和嚴重風險是不可接受的，必須選擇實施相應的對策來消減。對于中等風險和低風險，可以選擇接受，一般評估工策來消減。對于中等風險和低風險，可

27、以選擇接受，一般評估工作小組應針對被評估對象的中低風險給出風險控制建議。作小組應針對被評估對象的中低風險給出風險控制建議。信息安全風險評估流程27p四、風險評估流程四、風險評估流程6.6.風險分析風險分析風險計算原理風險計算原理 風險值風險值=R(A,T,V)=R(L(T,V),F(La=R(A,T,V)=R(L(T,V),F(La，Va)Va) 其中，其中，R R 表示安全風險計算函數(shù)；表示安全風險計算函數(shù)；A A表示資產；表示資產；T T表示威脅；表示威脅；V V表示脆弱性；表示脆弱性； La La 表示安全事件所作用的資產價值；表示安全事件所作用的資產價值；Va Va 表示脆弱性嚴重程度

28、；表示脆弱性嚴重程度；L L 表示威脅利用資產的脆弱表示威脅利用資產的脆弱性導致安全事件發(fā)生的可能性；性導致安全事件發(fā)生的可能性；F F表示安全事件發(fā)生后產生的損失。表示安全事件發(fā)生后產生的損失。風險結果判斷風險結果判斷 為實現(xiàn)對風險的控制與管理，可以對風險評估的結果進行等級化處理。為實現(xiàn)對風險的控制與管理，可以對風險評估的結果進行等級化處理。風險處理計劃風險處理計劃 對不可接受的風險應根據(jù)導致該風險的脆弱性制定風險處理計劃。對不可接受的風險應根據(jù)導致該風險的脆弱性制定風險處理計劃。殘余風險評估殘余風險評估 在對于不可接受的風險選擇適當安全措施后，為確保安全措施的有效性，可進行再在對于不可接受

29、的風險選擇適當安全措施后，為確保安全措施的有效性，可進行再評估，以判斷實施安全措施后的殘余風險是否已經降低到可接受的水平。評估，以判斷實施安全措施后的殘余風險是否已經降低到可接受的水平。信息安全風險評估流程27p四、風險評估流程四、風險評估流程風險評估文件記錄風險評估文件記錄（1）風險評估方案：闡述風險評估的目標、范圍、團隊、評估方法、評估結果的形式和實施進度等；（2）風險評估程序：明確評估的目的、職責、過程、相關的文件要求，并且準備實施評估需要的文檔；（3）資產識別清單：根據(jù)組織在風險評估程序文件中所確定的資產分類方法進行資產識別，形成資產識別清單，清單中應明確各資產的責任人/部門；（4）重

30、要資產清單：根據(jù)資產識別和賦值的結果，形成重要資產列表，包括重要資產名稱、描述、類型、重要程度、責任人/部門等； （5）威脅列表：根據(jù)威脅識別和賦值的結果，形成威脅列表，包括威脅名稱、種類、來源、動機及出現(xiàn)的頻率等；（6）脆弱性列表：根據(jù)脆弱性識別和賦值的結果，形成脆弱性列表，包括脆弱性名稱、描述、類型及嚴重程度等； （7）已有安全措施確認表：根據(jù)已采取的安全措施確認的結果，形成已有安全措施確認表，包括已有安全措施名稱、類型、功能描述及實施效果等；（8）風險評估報告：對整個風險評估過程和結果進行總結，詳細說明被評估對象，風險評估方法，資產、威脅、脆弱性的識別結果，風險分析、風險統(tǒng)計和結論等內容

31、；（9）風險處理計劃：對評估結果中不可接受的風險制定風險處理計劃，選擇適當?shù)目刂颇繕思鞍踩胧?，明確責任、進度、資源，并通過對殘余風險的評價確保所選擇安全措施的有效性；（10）風險評估記錄：根據(jù)組織的風險評估程序文件，記錄對重要資產的風險評估過程。 信息安全風險評估流程27p五、風險評估工作的要點五、風險評估工作的要點第一，各級領導對評估工作的重視。風險評估工作只有得到各級第一，各級領導對評估工作的重視。風險評估工作只有得到各級領導的廣泛認同和支持，才能順利地開展并卓有成效地進行，獲領導的廣泛認同和支持，才能順利地開展并卓有成效地進行，獲得客觀、真實和有效的評估結果，作為今后信息安全建設的重要

32、得客觀、真實和有效的評估結果，作為今后信息安全建設的重要參考依據(jù)。參考依據(jù)。第二，加強評估工作的組織和管理。信息安全風險評估工作啟動第二，加強評估工作的組織和管理。信息安全風險評估工作啟動后，應及時組建評估項目組，加強對整個評估工作的組織和管理。后，應及時組建評估項目組，加強對整個評估工作的組織和管理。項目組主要包括項目領導小組、項目負責人和項目工作小組。項目組主要包括項目領導小組、項目負責人和項目工作小組。做好風險評估工作，特別要注意以下五方面的工作：做好風險評估工作，特別要注意以下五方面的工作：信息安全風險評估流程27p五、風險評估工作的要點五、風險評估工作的要點第三，注意評估過程中的風險

33、控制。評估工作過程中所面臨的風第三，注意評估過程中的風險控制。評估工作過程中所面臨的風險，主要是敏感信息泄露和評估過程中的各種技術性評估帶來的。險，主要是敏感信息泄露和評估過程中的各種技術性評估帶來的。規(guī)避敏感信息泄露風險，主要應該注意幾點：規(guī)避敏感信息泄露風險，主要應該注意幾點：參與評估的人員必須遵守國家有關信息安全的法律法規(guī)以及總行參與評估的人員必須遵守國家有關信息安全的法律法規(guī)以及總行關于信息安全的相關管理規(guī)定，承擔相應的義務和責任；關于信息安全的相關管理規(guī)定，承擔相應的義務和責任；被評估方應與參與評估的所有人員簽訂具有法律約束力的保密協(xié)被評估方應與參與評估的所有人員簽訂具有法律約束力的保密協(xié)議；議；評估過程中做好審核確認工作。對于規(guī)避技術性評估所帶來的風評估過程中做好審核確認工作。對于規(guī)避技術性評估所帶來的風險，例如進行漏洞掃描有時引起掃描對象宕機等，在制訂各種技險，例如進行漏洞掃描有時引起掃描對象宕機等，在制訂各種技術性評估方案時，應當由被評估方和評估方共同審核確認，盡量術性評估方案時，應當由被評估方和評估方共同審核確認，盡量避免采取可能造成不良影響的操作，最好事