信息安全風險評估指南

1、1信息安全風險評估國家標準信息安全風險評估國家標準編制及內(nèi)容介紹編制及內(nèi)容介紹2主要內(nèi)容主要內(nèi)容一、標準的編制過程一、標準的編制過程二、標準的主要內(nèi)容二、標準的主要內(nèi)容三、下一步工作的幾點思考三、下一步工作的幾點思考3主要內(nèi)容主要內(nèi)容一、標準的編制過程一、標準的編制過程二、標準的主要內(nèi)容二、標準的主要內(nèi)容三、下一步工作的幾點思考三、下一步工作的幾點思考4一、標準的編制過程一、標準的編制過程1 1、前期研究準備、前期研究準備2 2、標準草案編制標準草案編制3 3、試點實踐檢驗、試點實踐檢驗4、專家評審論證、專家評審論證5一、標準的編制過程一、標準的編制過程1 1、前期研究準備、前期研究準備2 2

2、、標準草案編制標準草案編制3 3、試點實踐檢驗、試點實踐檢驗4、專家評審論證、專家評審論證6 1、前期研究準備、前期研究準備 7 8一、標準的編制過程一、標準的編制過程1 1、前期研究準備、前期研究準備2 2、標準草案編制標準草案編制3 3、試點實踐檢驗、試點實踐檢驗4、專家評審論證、專家評審論證9 10 11 標準編制的過程中，標準起草組多次與相關主管標準編制的過程中，標準起草組多次與相關主管部門所屬機構的專家代表就技術標準有關主體內(nèi)容進行會部門所屬機構的專家代表就技術標準有關主體內(nèi)容進行會商；商；向相關單位發(fā)放標準文本，向相關單位發(fā)放標準文本，通過電子郵件等形式廣泛通過電子郵件等形式廣泛征

3、求業(yè)界意見；召開標準討論會議三十幾次，共收集征求業(yè)界意見；召開標準討論會議三十幾次，共收集100100多條修改意見。多條修改意見。 起草組逐一對修改意見進行研究，在充分吸納合理成起草組逐一對修改意見進行研究，在充分吸納合理成份的基礎上，對份的基礎上，對信息安全風險評估規(guī)范信息安全風險評估規(guī)范等標準進行了等標準進行了較大幅度的修改，使標準的體系結構更趨完善、合理。較大幅度的修改，使標準的體系結構更趨完善、合理。12一、標準的制定過程一、標準的制定過程1 1、前期研究準備、前期研究準備2 2、標準草案編制標準草案編制3 3、試點實踐檢驗、試點實踐檢驗4、專家評審論證、專家評審論證13 3、試點實踐

4、檢驗、試點實踐檢驗 年年2 2月月, , 根據(jù)根據(jù)國信辦國信辦2005420054號和號和5 5號文件，號文件，關于在銀行、稅務、電力等部門和電子政務外網(wǎng)，以及北關于在銀行、稅務、電力等部門和電子政務外網(wǎng)，以及北京、上海、黑龍江、云南等省市，開展信息安全風險評估京、上海、黑龍江、云南等省市，開展信息安全風險評估試點工作的要求，標準起草組配合風險評估試點工作專家試點工作的要求，標準起草組配合風險評估試點工作專家組開展了以下工作：組開展了以下工作： -為各試點單位提供標準草案文本和相關說明；為各試點單位提供標準草案文本和相關說明； -在試點準備階段與各試點單位的技術骨干進行標在試點準備階段與各試點

5、單位的技術骨干進行標 準技術交流；準技術交流； -根據(jù)標準草案文本涉及的關鍵技術，起草組成員根據(jù)標準草案文本涉及的關鍵技術，起草組成員 選擇試點環(huán)節(jié)參與實際試點；選擇試點環(huán)節(jié)參與實際試點； -在試點過程中，先后幾次召開標準研討會，征求在試點過程中，先后幾次召開標準研討會，征求 各單位對標準的意見與建議。各單位對標準的意見與建議。 14 個試點工作歷時個試點工作歷時7 7個月，個月，各試點單位對標準草案各試點單位對標準草案先后提出先后提出40 多條補充修改意見，標準起草組多條補充修改意見，標準起草組根據(jù)試點結果根據(jù)試點結果先后進行了三次較大規(guī)模的修改。主要內(nèi)容包括：先后進行了三次較大規(guī)模的修改。

6、主要內(nèi)容包括： -細化了資產(chǎn)的分類方法、脆弱性的識別要求，修細化了資產(chǎn)的分類方法、脆弱性的識別要求，修 改并細化了風險計算的方法；改并細化了風險計算的方法； -對自評估、檢查評估不同評估形式的內(nèi)容與實施對自評估、檢查評估不同評估形式的內(nèi)容與實施 的重點進行了區(qū)分；的重點進行了區(qū)分； -對風險評估的工具進行了梳理和區(qū)分，形成了現(xiàn)對風險評估的工具進行了梳理和區(qū)分，形成了現(xiàn) 在的幾種類型；在的幾種類型； -細化了生命周期不同階段風險評估的主要內(nèi)容。細化了生命周期不同階段風險評估的主要內(nèi)容。 試點實踐證明，試行標準基本滿足各試點單位評估工試點實踐證明，試行標準基本滿足各試點單位評估工作的需求。作的需求

7、。 15一、標準的制定過程一、標準的制定過程1 1、前期研究準備、前期研究準備2 2、標準草案編制標準草案編制3 3、試點實踐檢驗、試點實踐檢驗4、專家評審論證、專家評審論證16 年年9 9月月1616日，國家信息中心在北京組織召開日，國家信息中心在北京組織召開了由周仲義院士主持的了由周仲義院士主持的信息安全風險評估指南（征求意信息安全風險評估指南（征求意見稿）見稿）第一次專家評審會。第一次專家評審會。 4、專家評審論證、專家評審論證17第一次專家評審會名單第一次專家評審會名單姓姓 名名單單 位位職務職務/ /職稱職稱周仲義中國工程院院士熊四皓國務院信息辦處長王娜國家發(fā)改委高科技司處長姚世權中

8、國標準化協(xié)會研究員賈穎禾全國信息安全標準化技術委員會副秘書長/研究員崔書昆國家信息化專家咨詢委員會委員/研究員景乾元公安部十一局處長李建彬國稅總局信息中心副處長張宏偉黑龍江省信息產(chǎn)業(yè)廳處長姚麗旋上海市信息化管理委員會處長肖京華總參三部三局處長馮惠中國電子技術標準化研究所副主任/高工吳偉國家電網(wǎng)公司處長詹榜華北京市CA中心總經(jīng)理18 年年1010月月2727日，國家信息中心在北京組織召開了日，國家信息中心在北京組織召開了信息安全風險評估國家標準征求意見稿的第二次專家評審會。信息安全風險評估國家標準征求意見稿的第二次專家評審會。19第二次專家評審會名單第二次專家評審會名單姓姓 名名單單 位位職務職

9、務/ /職稱職稱何義大全國信息安全標準化技術委員會副主任趙戰(zhàn)生國家信息化咨詢委員會研究員曲成義國家信息化咨詢委員會研究員馮登國信息安全863項目專家組組長研究員陳曉樺中國信息安全產(chǎn)品測評認證中心研究員崔書昆國家信息化咨詢委員會研究員景乾元公安部十一局處長肖京華解放軍信息安全測評中心處長賈穎禾全國信息安全標準化技術委員會副秘書長李守鵬中國信息安全產(chǎn)品測評認證中心副主任王同良中石油經(jīng)濟技術中心副主任江志強民航總局人事科技司處長謝小權航天科技集團706所副所長呂仲濤中國工商銀行總行信息科技部總工20 會專家認為標準起草組做了大量卓有成效的工作，會專家認為標準起草組做了大量卓有成效的工作，標準的結構合

10、理、內(nèi)容完備、可操作性強，并充分考慮與信標準的結構合理、內(nèi)容完備、可操作性強，并充分考慮與信息安全等級保護相關標準相銜接。文本的編制符合國家標準息安全等級保護相關標準相銜接。文本的編制符合國家標準的要求。同時，專家們也對完善標準提出了進一步的修改意的要求。同時，專家們也對完善標準提出了進一步的修改意見。見。21 年年1212月月1414日，由安標委第五工作組主持召開了日，由安標委第五工作組主持召開了由沈昌祥院士為專家組組長的信息安全風險評估國家標準送由沈昌祥院士為專家組組長的信息安全風險評估國家標準送審稿的專家評審會。審稿的專家評審會。22專家評審會名單專家評審會名單姓姓 名名單單 位位職務職

11、務/ /職稱職稱沈昌祥海軍計算技術研究所院士吉增瑞公安部信息安全標委會委員研究員趙戰(zhàn)生國家信息化咨詢委員會研究員卿斯?jié)h中科院信息安全技術工程研究中心研究員杜虹國家保密技術研究所所長景乾元公安部十一局處長崔書昆國家信息化咨詢委員會研究員23 會專家聽取了起草小組的編制說明及內(nèi)容介紹，審閱了會專家聽取了起草小組的編制說明及內(nèi)容介紹，審閱了相關文檔資料，經(jīng)質詢和討論，一致認為：相關文檔資料，經(jīng)質詢和討論，一致認為： 一、送審稿規(guī)范了風險評估的評估內(nèi)容與范圍、基本概念，明確一、送審稿規(guī)范了風險評估的評估內(nèi)容與范圍、基本概念，明確 了資產(chǎn)、威脅、脆弱性和安全風險等關鍵要素及其賦值原則和了資產(chǎn)、威脅、脆弱

12、性和安全風險等關鍵要素及其賦值原則和 要求，提出了實施流程與操作步驟、評估規(guī)則與基本方法，并要求，提出了實施流程與操作步驟、評估規(guī)則與基本方法，并 充分考慮與信息安全等級保護相關標準相銜接。充分考慮與信息安全等級保護相關標準相銜接。 二、送審稿的操作性較強，對開展風險評估工作具有指導作用，二、送審稿的操作性較強，對開展風險評估工作具有指導作用， 并在國務院信息辦組織的風險評估試點中得到了進一步的實踐并在國務院信息辦組織的風險評估試點中得到了進一步的實踐 驗證和充實完善。驗證和充實完善。 三、文本的編制符合國家標準三、文本的編制符合國家標準GB1.1GB1.1的要求。的要求。 專家組認為送審稿達

13、到國家標準送審稿的要求，同意通過評專家組認為送審稿達到國家標準送審稿的要求，同意通過評 審。建議起草組根據(jù)專家意見盡快修改完善后申報。審。建議起草組根據(jù)專家意見盡快修改完善后申報。24 年月日和月日，在國信辦進行的年月日和月日，在國信辦進行的行業(yè)和省市的風險評估政策文件的兩次宣貫會上，信息安全行業(yè)和省市的風險評估政策文件的兩次宣貫會上，信息安全風險評估征求意見稿以國信辦文件的形式下發(fā)，為各行業(yè)和風險評估征求意見稿以國信辦文件的形式下發(fā)，為各行業(yè)和省市開展風險評估提供技術依據(jù)。省市開展風險評估提供技術依據(jù)。25 年年4 4月月1818日，全國信息安全標準化技術委員日，全國信息安全標準化技術委員（

14、安標委）會第五工作組（安標委）會第五工作組（WG5WG5）在北京召開全體工作組成員）在北京召開全體工作組成員標準投票會議，對信息安全風險評估國家標準送審稿進行工標準投票會議，對信息安全風險評估國家標準送審稿進行工作組全體成員投票表決。與會的三十幾位專家聽取了標準起作組全體成員投票表決。與會的三十幾位專家聽取了標準起草組對草組對指南指南的編制過程以及主要內(nèi)容的介紹，經(jīng)投票一的編制過程以及主要內(nèi)容的介紹，經(jīng)投票一致通過了標準的評審。致通過了標準的評審。 26 年年6 6月月1919日，全國信息安全標準化技術委日，全國信息安全標準化技術委員會秘書處在北京組織召開了信息安全風險評估標準送審員會秘書處在

15、北京組織召開了信息安全風險評估標準送審稿的專家審查會，與會專家經(jīng)質詢和討論，將標準正式命稿的專家審查會，與會專家經(jīng)質詢和討論，將標準正式命名為名為信息安全技術信息安全技術 信息安全風險評估規(guī)范信息安全風險評估規(guī)范，認為，認為該標準達到國家標準送審稿的要求，同意通過評審。該標準達到國家標準送審稿的要求，同意通過評審。 會后，國家信息中心先后與各起草單位和有關專家會后，國家信息中心先后與各起草單位和有關專家就標準規(guī)范報批稿的修改進行了進一步的研討，并逐一落就標準規(guī)范報批稿的修改進行了進一步的研討，并逐一落實了專家提出的意見。實了專家提出的意見。 27 年年7 7月月1919日，日， 全國信息安全標

16、準化委員全國信息安全標準化委員會主任辦公會上討論通過了會主任辦公會上討論通過了信息安全技術信息安全技術 信息安全風信息安全風險評估規(guī)范險評估規(guī)范( (報批稿報批稿),),目前已進入報批程序。目前已進入報批程序。28主要內(nèi)容主要內(nèi)容一、標準的編制過程一、標準的編制過程二、標準的主要內(nèi)容二、標準的主要內(nèi)容三、下一步工作的幾點思考三、下一步工作的幾點思考29二、標準的主要內(nèi)容二、標準的主要內(nèi)容1 1、什么是風險評估、什么是風險評估2 2、為什么要做風險評估、為什么要做風險評估3 3、風險評估怎么做、風險評估怎么做30二、標準的主要內(nèi)容二、標準的主要內(nèi)容1 1、什么是風險評估、什么是風險評估2 2、為

17、什么要做風險評估、為什么要做風險評估3 3、風險評估怎么做、風險評估怎么做311 1、什么是風險評估、什么是風險評估 信息安全風險信息安全風險 人為或自然的威脅利用信息系統(tǒng)及其人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響。造成的影響。 信息安全風險評估信息安全風險評估 依據(jù)有關信息安全技術與管理標依據(jù)有關信息安全技術與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。它要評估資完整性和可用性等安全屬

18、性進行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)并結合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。生對組織造成的影響。32風險評估要素關系圖風險評估要素關系圖 圖中方框部分的內(nèi)容為風險評估的基圖中方框部分的內(nèi)容為風險評估的基本要素本要素; ;橢圓部分的內(nèi)容是與這些要素相橢圓部分的內(nèi)容是與這些要素相關的屬性。關的屬性。 風險評估圍繞著基本要素展開，同時風險評估圍繞著基本要素展開，同時需要充分考慮與基本要素相關的各類屬性需要充分考慮與基本要素相關

19、的各類屬性。（1 1）業(yè)務戰(zhàn)略的實現(xiàn)對資產(chǎn)具有依賴性，依賴程度）業(yè)務戰(zhàn)略的實現(xiàn)對資產(chǎn)具有依賴性，依賴程度越高，要求其風險越小；越高，要求其風險越??；（2 2）資產(chǎn)是有價值的，組織的業(yè)務戰(zhàn)略對資產(chǎn)的依）資產(chǎn)是有價值的，組織的業(yè)務戰(zhàn)略對資產(chǎn)的依賴程度越高，資產(chǎn)價值就越大；賴程度越高，資產(chǎn)價值就越大；（3 3）風險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則）風險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風險越大，并可能演變成安全事件；風險越大，并可能演變成安全事件；（4 4）資產(chǎn)的脆弱性可以暴露資產(chǎn)的價值，資產(chǎn)具有）資產(chǎn)的脆弱性可以暴露資產(chǎn)的價值，資產(chǎn)具有的弱點越多則風險越大；的弱點越多則風險越大；（5 5）脆

20、弱性是未被滿足的安全需求，威脅利用脆弱）脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產(chǎn)；性危害資產(chǎn)；（6 6）風險的存在及對風險的認識導出安全需求；）風險的存在及對風險的認識導出安全需求；（7 7）安全需求可通過安全措施得以滿足，需要結合）安全需求可通過安全措施得以滿足，需要結合資產(chǎn)價值考慮實施成本；資產(chǎn)價值考慮實施成本；（8 8）安全措施可抵御威脅，降低風險；）安全措施可抵御威脅，降低風險；（9 9）殘余風險是未被安全措施控制的風險。有些是）殘余風險是未被安全措施控制的風險。有些是安全措施不當或無效安全措施不當或無效, ,需要加強才可控制的風險；而需要加強才可控制的風險；而有些則是在綜合

21、考慮了安全成本與效益后未去控制的有些則是在綜合考慮了安全成本與效益后未去控制的風險；風險；（1010）殘余風險應受到密切監(jiān)視，它可能會在將來誘）殘余風險應受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件。發(fā)新的安全事件。33二、標準的主要內(nèi)容二、標準的主要內(nèi)容1 1、什么是風險評估、什么是風險評估2 2、為什么要做風險評估、為什么要做風險評估3 3、風險評估怎么做、風險評估怎么做342 2、為什么要做風險評估、為什么要做風險評估 安安全源于風險全源于風險。 在信息化建設中，建設與運營的網(wǎng)絡與信息系統(tǒng)由于可能在信息化建設中，建設與運營的網(wǎng)絡與信息系統(tǒng)由于可能存在的系統(tǒng)設計缺陷、隱含于軟硬件設備的缺陷

22、、系統(tǒng)集成時存在的系統(tǒng)設計缺陷、隱含于軟硬件設備的缺陷、系統(tǒng)集成時帶來的缺陷，以及可能存在的某些管理薄弱環(huán)節(jié)，尤其當網(wǎng)絡帶來的缺陷，以及可能存在的某些管理薄弱環(huán)節(jié)，尤其當網(wǎng)絡與信息系統(tǒng)中擁有極為重要的信息資產(chǎn)時，都將使得面臨復雜與信息系統(tǒng)中擁有極為重要的信息資產(chǎn)時，都將使得面臨復雜環(huán)境的網(wǎng)絡與信息系統(tǒng)潛在著若干不同程度的安全風險。環(huán)境的網(wǎng)絡與信息系統(tǒng)潛在著若干不同程度的安全風險。 35 險評估可以不斷深入地發(fā)現(xiàn)系統(tǒng)建設中的安全隱患，險評估可以不斷深入地發(fā)現(xiàn)系統(tǒng)建設中的安全隱患，采取或完善更加經(jīng)濟有效的安全保障措施，來采取或完善更加經(jīng)濟有效的安全保障措施，來消除安全建設消除安全建設中的盲目樂觀或

23、盲目恐懼，提出有針對性的從實際出發(fā)的解中的盲目樂觀或盲目恐懼，提出有針對性的從實際出發(fā)的解決方法，提高系統(tǒng)安全的科學管理水平，進而全面提升網(wǎng)絡決方法，提高系統(tǒng)安全的科學管理水平，進而全面提升網(wǎng)絡與信息系統(tǒng)的安全保障能力。與信息系統(tǒng)的安全保障能力。 36 息安全風險評估，是從風險管理角度，運用科學息安全風險評估，是從風險管理角度，運用科學的方法和手段，系統(tǒng)地分析網(wǎng)絡與信息系統(tǒng)所面臨的威脅的方法和手段，系統(tǒng)地分析網(wǎng)絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。害程度，提

24、出有針對性的抵御威脅的防護對策和整改措施。并為防范和化解信息安全風險，或者將風險控制在可接受并為防范和化解信息安全風險，或者將風險控制在可接受的水平，從而最大限度地保障網(wǎng)絡和信息安全提供科學依的水平，從而最大限度地保障網(wǎng)絡和信息安全提供科學依據(jù)。據(jù)。（國信辦（國信辦2006520065號文件）號文件）37二、標準的主要內(nèi)容二、標準的主要內(nèi)容1 1、什么是風險評估、什么是風險評估2 2、為什么要做風險評估、為什么要做風險評估3 3、風險評估怎么做、風險評估怎么做383、風險評估怎么做、風險評估怎么做 - -風險評估實施流程風險評估實施流程 - -風險評估的形式風險評估的形式 - -信息系統(tǒng)生命周

25、期各階段的風險評估信息系統(tǒng)生命周期各階段的風險評估 393、風險評估怎么做、風險評估怎么做 - -風險評估實施流程風險評估實施流程 - -風險評估的形式風險評估的形式 - -信息系統(tǒng)生命周期各階段的風險評估信息系統(tǒng)生命周期各階段的風險評估 40風險評估的實施流程風險評估的實施流程41 實施步驟實施步驟(1) (1) 風險評估的準備風險評估的準備(2) (2) 資產(chǎn)識別資產(chǎn)識別(3) (3) 威脅識別威脅識別(4) (4) 脆弱性識別脆弱性識別(5) (5) 已有安全措施的確認已有安全措施的確認(6) (6) 風險分析風險分析(7) (7) 風險評估文件記錄風險評估文件記錄423、風險評估怎么做

26、、風險評估怎么做 - -風險評估實施流程風險評估實施流程 - -風險評估的形式風險評估的形式 - -信息系統(tǒng)生命周期各階段的風險評估信息系統(tǒng)生命周期各階段的風險評估 43 息安全風險評估分為自評估、檢查評估兩種形式。息安全風險評估分為自評估、檢查評估兩種形式。自評估為主，自評估和檢查評估相互結合、互為補充。自自評估為主，自評估和檢查評估相互結合、互為補充。自評估和檢查評估可依托自身技術力量進行，也可委托第三評估和檢查評估可依托自身技術力量進行，也可委托第三方機構提供技術支持。方機構提供技術支持。 風險評估的形式風險評估的形式44 自評估自評估 評估可由發(fā)起方實施或委托風險評估服務技術支持方評估

27、可由發(fā)起方實施或委托風險評估服務技術支持方實施。由發(fā)起方實施的評估可以降低實施的費用、提高信息系實施。由發(fā)起方實施的評估可以降低實施的費用、提高信息系統(tǒng)相關人員的安全意識，但可能由于缺乏風險評估的專業(yè)技能，統(tǒng)相關人員的安全意識，但可能由于缺乏風險評估的專業(yè)技能，其結果不夠深入準確；同時，受到組織內(nèi)部各種因素的影響，其結果不夠深入準確；同時，受到組織內(nèi)部各種因素的影響，其評估結果的客觀性易受影響。委托風險評估服務技術支持方其評估結果的客觀性易受影響。委托風險評估服務技術支持方實施的評估，過程比較規(guī)范、評估結果的客觀性比較好，可信實施的評估，過程比較規(guī)范、評估結果的客觀性比較好，可信程度較高；但由

28、于受到行業(yè)知識技能及業(yè)務了解的限制，對被程度較高；但由于受到行業(yè)知識技能及業(yè)務了解的限制，對被評估系統(tǒng)的了解，尤其是在業(yè)務方面的特殊要求存在一定的局評估系統(tǒng)的了解，尤其是在業(yè)務方面的特殊要求存在一定的局限。但由于引入第三方本身就是一個風險因素，因此，對其背限。但由于引入第三方本身就是一個風險因素，因此，對其背景與資質、評估過程與結果的保密要求等方面應進行控制。景與資質、評估過程與結果的保密要求等方面應進行控制。45 自評估中的自評估中的“自自”不僅僅是指自已做評估的不僅僅是指自已做評估的“自自”，也不，也不僅僅是指自愿做評估的僅僅是指自愿做評估的“自自”。由于。由于“誰主管誰負責誰主管誰負責”

29、，出，出于對自身信息系統(tǒng)的安全責任考慮，信息系統(tǒng)主管者應定期于對自身信息系統(tǒng)的安全責任考慮，信息系統(tǒng)主管者應定期對系統(tǒng)進行風險評估，具體實施時可以依托自身的評估隊伍對系統(tǒng)進行風險評估，具體實施時可以依托自身的評估隊伍進行，也可委托有資質的第三方提供評估服務技術支持，但進行，也可委托有資質的第三方提供評估服務技術支持，但無論是哪一種形式，責任都是由信息系統(tǒng)主管者自已擔負的。無論是哪一種形式，責任都是由信息系統(tǒng)主管者自已擔負的。因此，自評估中的因此，自評估中的“自自”的含義是自已負責的的含義是自已負責的“自自”。包括。包括自已負責系統(tǒng)的安全、自己發(fā)起對信息系統(tǒng)的風險評估以及自已負責系統(tǒng)的安全、自己

30、發(fā)起對信息系統(tǒng)的風險評估以及自己負責為保障系統(tǒng)安全所做的風險評估的安全等。自己負責為保障系統(tǒng)安全所做的風險評估的安全等。46 此外，為保證風險評估的實施，與系統(tǒng)相連的相關方也此外，為保證風險評估的實施，與系統(tǒng)相連的相關方也應配合，以防止給其他方的使用帶來困難或引入新的風險也應配合，以防止給其他方的使用帶來困難或引入新的風險也往往較多，因此，要對實施檢查評估機構的資質進行嚴格管往往較多，因此，要對實施檢查評估機構的資質進行嚴格管理。理。47 檢查評估檢查評估 查評估是指信息系統(tǒng)上級管理部門組織的或國家有查評估是指信息系統(tǒng)上級管理部門組織的或國家有關職能部門依法開展的風險評估。關職能部門依法開展的

31、風險評估。 檢查評估可依據(jù)本標準的要求，實施完整的風險評估過程。檢查評估可依據(jù)本標準的要求，實施完整的風險評估過程。48 一是風險評估究其根本是評估系統(tǒng)的敏感信息，涉及大量一是風險評估究其根本是評估系統(tǒng)的敏感信息，涉及大量的安全問題，完全委托第三方將帶來評估本身的風險；的安全問題，完全委托第三方將帶來評估本身的風險； 二是進行風險評估要求評估人員既要了解評估本身的一套二是進行風險評估要求評估人員既要了解評估本身的一套方法與流程，還要了解被評估系統(tǒng)的業(yè)務特性，這對于完全方法與流程，還要了解被評估系統(tǒng)的業(yè)務特性，這對于完全從事評估的第三方來講，在短時間內(nèi)了解每個系統(tǒng)的業(yè)務特從事評估的第三方來講，在

32、短時間內(nèi)了解每個系統(tǒng)的業(yè)務特性難度是比較大的；性難度是比較大的； 三是風險評估工作流程中常常要求被評估方向評估方提供三是風險評估工作流程中常常要求被評估方向評估方提供各種信息，需要之間的良好互動以及多方會商，單靠評估方各種信息，需要之間的良好互動以及多方會商，單靠評估方第三方是無法完成系統(tǒng)評估的。第三方是無法完成系統(tǒng)評估的。 基于以上原因，委托評估技術支持比委托評估的提法更為基于以上原因，委托評估技術支持比委托評估的提法更為切合實際。并且，提供委托評估技術支持的機構應具有相應切合實際。并且，提供委托評估技術支持的機構應具有相應的資質。的資質。493、風險評估怎么做、風險評估怎么做 - -風險評

33、估實施流程風險評估實施流程 - -風險評估的形式風險評估的形式 - -信息系統(tǒng)生命周期各階段的風險評估信息系統(tǒng)生命周期各階段的風險評估 50 51規(guī)劃階段的風險評估規(guī)劃階段的風險評估設計階段的風險評估設計階段的風險評估實施階段的風險評估實施階段的風險評估運行維護階段的風險評估運行維護階段的風險評估廢棄階段的風險評估廢棄階段的風險評估52 規(guī)劃階段的風險評估規(guī)劃階段的風險評估 劃階段風險評估的目的是識別系統(tǒng)的業(yè)務戰(zhàn)略，劃階段風險評估的目的是識別系統(tǒng)的業(yè)務戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。規(guī)劃階段的評估應能以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。規(guī)劃階段的評估應能夠描述信息系統(tǒng)建成后對現(xiàn)有業(yè)務模式的作

34、用，包括技術、夠描述信息系統(tǒng)建成后對現(xiàn)有業(yè)務模式的作用，包括技術、管理等方面，并根據(jù)其作用確定系統(tǒng)建設應達到的安全目管理等方面，并根據(jù)其作用確定系統(tǒng)建設應達到的安全目標。標。 53 設計階段的風險評估設計階段的風險評估 計階段的風險評估需要根據(jù)規(guī)劃階段所明確的系計階段的風險評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運行環(huán)境、資產(chǎn)重要性，提出安全功能需求。設計階段統(tǒng)運行環(huán)境、資產(chǎn)重要性，提出安全功能需求。設計階段的風險評估結果應對設計方案中所提供的安全功能符合性的風險評估結果應對設計方案中所提供的安全功能符合性進行判斷，作為采購過程風險控制的依據(jù)。進行判斷，作為采購過程風險控制的依據(jù)。54實施階段的風險評

35、估實施階段的風險評估 施階段風險評估的目的是根據(jù)系統(tǒng)安全需求和運行施階段風險評估的目的是根據(jù)系統(tǒng)安全需求和運行環(huán)境對系統(tǒng)開發(fā)、實施過程進行風險識別，并對系統(tǒng)建成后環(huán)境對系統(tǒng)開發(fā)、實施過程進行風險識別，并對系統(tǒng)建成后的安全功能進行驗證。根據(jù)設計階段分析的威脅和制定的安的安全功能進行驗證。根據(jù)設計階段分析的威脅和制定的安全措施，在實施及驗收時進行質量控制。全措施，在實施及驗收時進行質量控制。 基于設計階段的資產(chǎn)列表、安全措施，實施階段應對規(guī)基于設計階段的資產(chǎn)列表、安全措施，實施階段應對規(guī)劃階段的安全威脅進行進一步細分，同時評估安全措施的實劃階段的安全威脅進行進一步細分，同時評估安全措施的實現(xiàn)程度，

36、從而確定安全措施能否抵御現(xiàn)有威脅、脆弱性的影現(xiàn)程度，從而確定安全措施能否抵御現(xiàn)有威脅、脆弱性的影響。實施階段風險評估主要對系統(tǒng)的開發(fā)與技術響。實施階段風險評估主要對系統(tǒng)的開發(fā)與技術/ /產(chǎn)品獲取、產(chǎn)品獲取、系統(tǒng)交付實施兩個過程進行評估。系統(tǒng)交付實施兩個過程進行評估。55 運行維護階段的風險評估運行維護階段的風險評估 運行維護階段風險評估的目的是了解和控制運行過程中的安全風險，運行維護階段風險評估的目的是了解和控制運行過程中的安全風險，是一種較為全面的風險評估。評估內(nèi)容包括對真實運行的信息系統(tǒng)、資是一種較為全面的風險評估。評估內(nèi)容包括對真實運行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等各方面。產(chǎn)、威脅、脆

37、弱性等各方面。 資產(chǎn)評估：在真實環(huán)境下較為細致的評估。包括實施階段采購的軟資產(chǎn)評估：在真實環(huán)境下較為細致的評估。包括實施階段采購的軟硬件資產(chǎn)、系統(tǒng)運行過程中生成的信息資產(chǎn)、相關的人員與服務等，本硬件資產(chǎn)、系統(tǒng)運行過程中生成的信息資產(chǎn)、相關的人員與服務等，本階段資產(chǎn)識別是前期資產(chǎn)識別的補充與增加；階段資產(chǎn)識別是前期資產(chǎn)識別的補充與增加； 威脅評估：應全面地分析威脅的可能性和影響程度。對非故意威脅威脅評估：應全面地分析威脅的可能性和影響程度。對非故意威脅導致安全事件的評估可以參照安全事件的發(fā)生頻率；對故意威脅導致安導致安全事件的評估可以參照安全事件的發(fā)生頻率；對故意威脅導致安全事件的評估主要就威脅

38、的各個影響因素做出專業(yè)判斷；全事件的評估主要就威脅的各個影響因素做出專業(yè)判斷； 脆弱性評估：是全面的脆弱性評估。包括運行環(huán)境中物理、網(wǎng)絡、脆弱性評估：是全面的脆弱性評估。包括運行環(huán)境中物理、網(wǎng)絡、系統(tǒng)、應用、安全保障設備、管理等各方面的脆弱性。技術脆弱性評估系統(tǒng)、應用、安全保障設備、管理等各方面的脆弱性。技術脆弱性評估可以采取核查、掃描、案例驗證、滲透性測試的方式實施；安全保障設可以采取核查、掃描、案例驗證、滲透性測試的方式實施；安全保障設備的脆弱性評估，應考慮安全功能的實現(xiàn)情況和安全保障設備本身的脆備的脆弱性評估，應考慮安全功能的實現(xiàn)情況和安全保障設備本身的脆弱性；管理脆弱性評估可以采取文檔

39、、記錄核查等方式進行驗證；弱性；管理脆弱性評估可以采取文檔、記錄核查等方式進行驗證； 風險計算：根據(jù)本標準的相關方法，對重要資產(chǎn)的風險進行定性或風險計算：根據(jù)本標準的相關方法，對重要資產(chǎn)的風險進行定性或定量的風險分析，描述不同資產(chǎn)的風險高低狀況。定量的風險分析，描述不同資產(chǎn)的風險高低狀況。56 廢棄階段的風險評估廢棄階段的風險評估 當信息系統(tǒng)不能滿足現(xiàn)有要求時，信息系統(tǒng)進入廢棄階段。根據(jù)廢當信息系統(tǒng)不能滿足現(xiàn)有要求時，信息系統(tǒng)進入廢棄階段。根據(jù)廢棄的程度，又分為部分廢棄和全部廢棄兩種。棄的程度，又分為部分廢棄和全部廢棄兩種。 廢棄階段風險評估著重在以下幾方面：廢棄階段風險評估著重在以下幾方面： 1 1、確保硬件和軟件等資產(chǎn)及殘留信息得到了適當?shù)奶幹?，并確保系、確保硬件和軟件等資產(chǎn)及殘留信息得到了適當?shù)奶幹?，并確保系 統(tǒng)組件被合理地丟棄或更換；統(tǒng)組件被合理地丟棄或更換； 2 2、如果被廢棄的系統(tǒng)是某個系統(tǒng)的一部分，或與其他系統(tǒng)存在物理、如果被廢棄的系統(tǒng)是某個