CIS信息安全風(fēng)險(xiǎn)管理-v

信息安全風(fēng)險(xiǎn)管理吳金本：3.0發(fā)布日期：2014-12-1生效日期：2015-1-1課程內(nèi)容2知識(shí)體知識(shí)域知識(shí)子域信息安全風(fēng)險(xiǎn)管理信息安全風(fēng)險(xiǎn)管理主要內(nèi)容信息安全風(fēng)險(xiǎn)管理的基本內(nèi)容和過(guò)程信息安全風(fēng)險(xiǎn)管理概述風(fēng)險(xiǎn)相關(guān)基本概念信息系統(tǒng)生命周期與信息安全風(fēng)險(xiǎn)管理信息安全風(fēng)險(xiǎn)管理基礎(chǔ)信息安全風(fēng)險(xiǎn)相關(guān)政策與標(biāo)準(zhǔn)信息安全風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估工作形式風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估的實(shí)施流程風(fēng)險(xiǎn)評(píng)估工具知識(shí)域：信息安全風(fēng)險(xiǎn)管理基礎(chǔ)知識(shí)子域：風(fēng)險(xiǎn)相關(guān)基礎(chǔ)概念理解風(fēng)險(xiǎn)的概念，理解資產(chǎn)、威脅、脆弱性、業(yè)務(wù)戰(zhàn)略、安全事件、安全需求、安全措施等風(fēng)險(xiǎn)相關(guān)概念理解風(fēng)險(xiǎn)準(zhǔn)則、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)管理、殘余風(fēng)險(xiǎn)的概念，掌握信息安全風(fēng)險(xiǎn)評(píng)估的概念理解風(fēng)險(xiǎn)相關(guān)要素之間的關(guān)系3風(fēng)險(xiǎn)，指事態(tài)的概率及其結(jié)果的組合

（——GB/Z24364-2009《信息安全風(fēng)險(xiǎn)管理指南》）信息安全風(fēng)險(xiǎn)，指人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響（——GB/T20984-2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》）信息安全風(fēng)險(xiǎn)會(huì)破壞組織信息資產(chǎn)的保密性、完整性或可用性等屬性風(fēng)險(xiǎn)、信息安全風(fēng)險(xiǎn)的概念4風(fēng)險(xiǎn)的構(gòu)成包括五個(gè)方面：起源（威脅源）、方式（威脅行為）、途徑（脆弱性）、受體（資產(chǎn)）和后果（影響）風(fēng)險(xiǎn)的構(gòu)成5風(fēng)險(xiǎn)相關(guān)術(shù)語(yǔ)資產(chǎn)（Asset）威脅（Threat）脆弱性（Vunerability）可能性（Likelihood,Probability）安全措施/控制措施（Countermeasure,safeguard,control）6業(yè)務(wù)戰(zhàn)略安全事件安全需求風(fēng)險(xiǎn)準(zhǔn)則風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)管理殘余風(fēng)險(xiǎn)（ResidentalRisk）信息安全風(fēng)險(xiǎn)評(píng)估資產(chǎn)資產(chǎn)是任何對(duì)組織有價(jià)值的東西，是要保護(hù)的對(duì)象資產(chǎn)以多種形式存在（多種分類方法）物理的（如計(jì)算設(shè)備、網(wǎng)絡(luò)設(shè)備和存儲(chǔ)介質(zhì)等）和邏輯的（如體系結(jié)構(gòu)、通信協(xié)議、計(jì)算程序和數(shù)據(jù)文件等）硬件的（如計(jì)算機(jī)主板、機(jī)箱、顯示器、鍵盤和鼠標(biāo)等）和軟件的（如操作系統(tǒng)軟件、數(shù)據(jù)庫(kù)管理軟件、工具軟件和應(yīng)用軟件等）有形的（如機(jī)房、設(shè)備和人員等）和無(wú)形的（如品牌、信心和名譽(yù)等）靜態(tài)的（如設(shè)施和規(guī)程等）和動(dòng)態(tài)的（如人員和過(guò)程等）技術(shù)的（如計(jì)算機(jī)硬件、軟件和固件等）和管理的（如業(yè)務(wù)目標(biāo)、戰(zhàn)略、策略、規(guī)程、過(guò)程、計(jì)劃和人員等）等7威脅可能導(dǎo)致對(duì)系統(tǒng)或組織危害的不希望事故潛在起因引起風(fēng)險(xiǎn)的外因威脅源采取恰當(dāng)?shù)耐{方式才可能引發(fā)風(fēng)險(xiǎn)威脅舉例操作失誤濫用授權(quán)行為抵賴身份假冒口令攻擊密鑰分析8漏洞利用拒絕服務(wù)竊取數(shù)據(jù)物理破壞社會(huì)工程脆弱性可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)造成風(fēng)險(xiǎn)的內(nèi)因脆弱性本身并不對(duì)資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時(shí)，脆弱性會(huì)被威脅源利用恰當(dāng)?shù)耐{方式對(duì)信息資產(chǎn)造成危害脆弱性舉例系統(tǒng)程序代碼缺陷系統(tǒng)設(shè)備安全配置錯(cuò)誤系統(tǒng)操作流程有缺陷維護(hù)人員安全意識(shí)不足9可能性某件事發(fā)生的機(jī)會(huì)威脅源利用脆弱性造成不良后果的機(jī)會(huì)舉例脆弱性只有國(guó)家級(jí)測(cè)試人員采用專業(yè)工具才能利用，發(fā)生不良后果的機(jī)會(huì)很小系統(tǒng)存在漏洞，但只在與互聯(lián)網(wǎng)物理隔離的局域網(wǎng)運(yùn)行，發(fā)生不良后果的機(jī)會(huì)較小互聯(lián)網(wǎng)公開漏洞且有相應(yīng)的測(cè)試工具，發(fā)生不良后果的機(jī)會(huì)很大10對(duì)風(fēng)險(xiǎn)險(xiǎn)概念念的理理解威脅源源采用用某種種威脅脅方式式利用用脆弱弱性造造成不不良后后果的的可能能性網(wǎng)站存存在SQL注入漏漏洞，普通攻攻擊者者利用自自動(dòng)化化攻擊擊工具具很容容易控制網(wǎng)網(wǎng)站，，修改改網(wǎng)站站內(nèi)容容，從從而損損害國(guó)國(guó)家政政府部部門聲聲譽(yù)11威脅源源威脅方方式脆弱性性風(fēng)險(xiǎn)采取利用造成對(duì)信息息安全全風(fēng)險(xiǎn)險(xiǎn)的理理解信息安安全風(fēng)風(fēng)險(xiǎn)是是指一一種特特定的的威脅脅利用用一種種或一一組脆脆弱性性造成成組織織的信信息相相關(guān)資資產(chǎn)損損失或或損害害的可可能性性信息安安全風(fēng)風(fēng)險(xiǎn)是是指信信息資資產(chǎn)的的保密密性、、完整整性和和可用用性遭遭到破破壞的的可能能性信息安安全風(fēng)風(fēng)險(xiǎn)只只考慮慮那些些對(duì)組組織有有負(fù)面面影響響的事事件12信息安安全風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估13是依據(jù)有有關(guān)信信息安安全技技術(shù)與與管理理標(biāo)準(zhǔn)準(zhǔn)，對(duì)對(duì)信息息系統(tǒng)統(tǒng)及由由其處處理、、傳輸輸和存存儲(chǔ)的的信息息的保保密性性、完完整性性和可可用性性等安安全屬屬性進(jìn)進(jìn)行評(píng)評(píng)價(jià)的的過(guò)程它要評(píng)估估資產(chǎn)產(chǎn)面臨臨的威威脅以以及威威脅利利用脆脆弱性性導(dǎo)致致安全全事件件的可能能性，并結(jié)結(jié)合安安全事事件所所涉及及的資資產(chǎn)價(jià)價(jià)值來(lái)來(lái)判斷斷安全全事件件一旦旦發(fā)生生對(duì)組組織造造成的的影響響風(fēng)險(xiǎn)處處理、、風(fēng)險(xiǎn)險(xiǎn)管理理14風(fēng)險(xiǎn)處處理是是選擇擇并且且執(zhí)行行措施施來(lái)更更改風(fēng)風(fēng)險(xiǎn)的的過(guò)程風(fēng)險(xiǎn)管理理是識(shí)別別、控制制、消除除或最小小化可能能影響系系統(tǒng)資源源不確定定因素的的過(guò)程安全措施施/控制措施施保護(hù)資產(chǎn)產(chǎn)，抵御御威脅，，減少脆脆弱性，，降低安安全事件件的影響響，以及及打擊信信息犯罪罪而實(shí)施施的各種種實(shí)踐、、規(guī)程和和機(jī)制，，它是管管理風(fēng)險(xiǎn)險(xiǎn)的具體體手段和和方法根據(jù)安全全需求部部署，用用來(lái)防范范威脅，，降低風(fēng)風(fēng)險(xiǎn)的措措施舉例部署防火火墻、入入侵檢測(cè)測(cè)、審計(jì)計(jì)系統(tǒng)測(cè)試環(huán)節(jié)節(jié)操作審批批環(huán)節(jié)應(yīng)急體系系終端U盤管理制制度15殘余風(fēng)險(xiǎn)險(xiǎn)采取了安安全措施施后，信信息系統(tǒng)統(tǒng)仍然可可能存在在的風(fēng)險(xiǎn)險(xiǎn)有些殘余風(fēng)險(xiǎn)險(xiǎn)是在綜合合考慮了了安全成成本與效效益后不不去控制制的風(fēng)險(xiǎn)險(xiǎn)殘余風(fēng)險(xiǎn)險(xiǎn)應(yīng)受到到密切監(jiān)監(jiān)視，它它可能會(huì)會(huì)在將來(lái)來(lái)誘發(fā)新新的安全全事件舉例風(fēng)險(xiǎn)列表表中有10項(xiàng)風(fēng)險(xiǎn)，根根據(jù)風(fēng)險(xiǎn)險(xiǎn)成本效效益分析析，只有有前8項(xiàng)需要控控制，則則前8項(xiàng)處理后后剩余的的風(fēng)險(xiǎn)加加上另2項(xiàng)風(fēng)險(xiǎn)為為殘余風(fēng)風(fēng)險(xiǎn)，一一段時(shí)間間內(nèi)系統(tǒng)統(tǒng)處于風(fēng)風(fēng)險(xiǎn)可接接受水平平16風(fēng)險(xiǎn)相關(guān)關(guān)要素之之間的關(guān)關(guān)系17知識(shí)域：：信息安安全風(fēng)險(xiǎn)險(xiǎn)管理基基礎(chǔ)知識(shí)子域域：信息安全全風(fēng)險(xiǎn)管管理概述述理解實(shí)施施風(fēng)險(xiǎn)管管理的主主要原則則理解風(fēng)險(xiǎn)險(xiǎn)管理的的范圍和和對(duì)象18實(shí)施風(fēng)險(xiǎn)管理理的主要要原則風(fēng)險(xiǎn)管理創(chuàng)造造和保護(hù)護(hù)價(jià)值風(fēng)險(xiǎn)管理是所所有組織織過(guò)程不不可分割割的一個(gè)個(gè)部分，，促進(jìn)組組織的持持續(xù)改進(jìn)風(fēng)險(xiǎn)管理是透透明的，，參與人人員應(yīng)包包含廣泛泛，同時(shí)時(shí)考慮人人員和文文化因素風(fēng)險(xiǎn)管理是定定制的，，并具有有體系化化、結(jié)構(gòu)構(gòu)化的特點(diǎn)風(fēng)險(xiǎn)管理是動(dòng)動(dòng)態(tài)的、、反復(fù)的的和響應(yīng)應(yīng)變化的19風(fēng)險(xiǎn)管理理的范圍圍和對(duì)象象信息安全的概概念涵蓋蓋了信息息、信息息載體和和信息環(huán)環(huán)境三個(gè)個(gè)方面的的安全信息載體指承承載信息息的媒介介，即用用于記錄錄、傳輸輸、積累累和保存存信息的的實(shí)體，，如紙張張、硬盤盤、網(wǎng)線線等信息環(huán)境指信信息及信信息載體體所處的的環(huán)境，，包括物物理平臺(tái)臺(tái)、系統(tǒng)統(tǒng)平臺(tái)、、網(wǎng)絡(luò)平平臺(tái)和應(yīng)應(yīng)用平臺(tái)臺(tái)等硬環(huán)環(huán)境和軟環(huán)境信息安全風(fēng)險(xiǎn)險(xiǎn)管理涉及及信息安全上述述三個(gè)方面包含含的所有相相關(guān)對(duì)象對(duì)于一個(gè)個(gè)具體的的信息系系統(tǒng)，風(fēng)險(xiǎn)管理選擇擇的范圍圍和對(duì)象象重點(diǎn)應(yīng)應(yīng)有所不不同20知識(shí)域：：信息安安全風(fēng)險(xiǎn)險(xiǎn)管理基基礎(chǔ)知識(shí)子域域：信息安全全風(fēng)險(xiǎn)相相關(guān)政策策與標(biāo)準(zhǔn)準(zhǔn)了解我國(guó)有關(guān)關(guān)信息安安全風(fēng)險(xiǎn)險(xiǎn)管理的的政策要要求了解信息息安全風(fēng)風(fēng)險(xiǎn)管理理相關(guān)的的國(guó)內(nèi)外外標(biāo)準(zhǔn)21我國(guó)有關(guān)關(guān)信息安安全風(fēng)險(xiǎn)險(xiǎn)管理的的政策要要求《國(guó)家信信息化領(lǐng)領(lǐng)導(dǎo)小組組關(guān)于加加強(qiáng)信息息安全保保障工作作的意見(jiàn)見(jiàn)》（中辦發(fā)［［2003］27號(hào)）明確提提出要重視視信息安全全風(fēng)險(xiǎn)評(píng)估估工作，將將風(fēng)險(xiǎn)評(píng)估估作為提高高我國(guó)信息息安全保障障水平的一一項(xiàng)重要舉措《關(guān)于開展展信息安全全風(fēng)險(xiǎn)評(píng)估估工作的意意見(jiàn)》（國(guó)信辦[2006]5號(hào)），就信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估工工作的基本本內(nèi)容和原原則，以及及開展信息息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估工作作的有關(guān)安安排等做出出規(guī)定和部署《關(guān)于加強(qiáng)強(qiáng)國(guó)家電子子政務(wù)工程程建設(shè)項(xiàng)目目信息安全全風(fēng)險(xiǎn)評(píng)估估工作的通通知》（發(fā)改高技技[2008]2071號(hào)），規(guī)范了國(guó)家電子政務(wù)工工程建設(shè)項(xiàng)項(xiàng)目信息安安全風(fēng)險(xiǎn)評(píng)評(píng)估工作22《關(guān)于開展信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估工工作的意見(jiàn)見(jiàn)》（國(guó)信辦[2006]5號(hào)）的實(shí)施要求信息安全風(fēng)險(xiǎn)評(píng)評(píng)估工作應(yīng)應(yīng)當(dāng)貫穿信信息系統(tǒng)全全生命周期。。規(guī)劃設(shè)計(jì)計(jì)階段、驗(yàn)驗(yàn)收時(shí)均應(yīng)應(yīng)實(shí)施風(fēng)險(xiǎn)險(xiǎn)評(píng)估；運(yùn)運(yùn)行后應(yīng)定定期實(shí)施應(yīng)通過(guò)信息息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估為信信息系統(tǒng)確確定安全等等級(jí)提供依依據(jù)，根據(jù)據(jù)風(fēng)險(xiǎn)評(píng)估估的結(jié)果檢檢驗(yàn)網(wǎng)絡(luò)與與信息系統(tǒng)統(tǒng)的防護(hù)水水平是否符符合等級(jí)保保護(hù)的要求求23《關(guān)于開展信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估工工作的意見(jiàn)見(jiàn)》（國(guó)信辦[2006]5號(hào)）的管理要求為規(guī)避由于于風(fēng)險(xiǎn)評(píng)估估工作而引引入新的安安全風(fēng)險(xiǎn)，，必須高度重視信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估的的組織管理理工作。要求求：參與信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估工工作的單位位及其有關(guān)關(guān)人員必須須遵守國(guó)家家有關(guān)信息息安全的法法律法規(guī)，，并承擔(dān)相相應(yīng)的責(zé)任任和義務(wù)風(fēng)險(xiǎn)評(píng)估工作的的發(fā)起方必必須采取相相應(yīng)保密措措施，并與與參與評(píng)估估的有關(guān)單單位或人員員簽訂具有有法律約束束力的保密密協(xié)議對(duì)關(guān)系國(guó)計(jì)民民生和社會(huì)會(huì)穩(wěn)定的基基礎(chǔ)信息網(wǎng)網(wǎng)絡(luò)和重要要信息系統(tǒng)統(tǒng)的信息安安全風(fēng)險(xiǎn)評(píng)評(píng)估工作必必須遵循國(guó)國(guó)家的有關(guān)關(guān)規(guī)定進(jìn)行24《關(guān)于加強(qiáng)國(guó)國(guó)家電子政政務(wù)工程建建設(shè)項(xiàng)目信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估工工作的通知知》（發(fā)改高技【2008】】2071號(hào)）電子政務(wù)工工程建設(shè)項(xiàng)項(xiàng)目應(yīng)開展展信息安全全風(fēng)險(xiǎn)評(píng)估估工作項(xiàng)目建設(shè)單位應(yīng)應(yīng)在試運(yùn)行行期間開展展風(fēng)險(xiǎn)評(píng)估估工作，作作為項(xiàng)目驗(yàn)驗(yàn)收的重要要依據(jù)項(xiàng)目驗(yàn)收申申請(qǐng)時(shí)，應(yīng)應(yīng)提交信息息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估報(bào)告告系統(tǒng)投入運(yùn)運(yùn)行后，應(yīng)應(yīng)定期開展展信息安全全風(fēng)險(xiǎn)評(píng)估估25信息安全風(fēng)險(xiǎn)管管理相關(guān)的的國(guó)內(nèi)外標(biāo)標(biāo)準(zhǔn)GB/T20984-2007《信息安全全風(fēng)險(xiǎn)評(píng)估估規(guī)范》GB/Z24364-2009《信息安全全風(fēng)險(xiǎn)管理理指南》ISO/IEC27005:2011《信息安全全風(fēng)險(xiǎn)管理理》ISOGUIDE73:2009《風(fēng)險(xiǎn)管理理－術(shù)語(yǔ)》》ISO31000:2009《風(fēng)險(xiǎn)管理理－主要原原則和指南南》IEC/ISO31010:2009《風(fēng)險(xiǎn)管理理－風(fēng)險(xiǎn)評(píng)評(píng)估技術(shù)》》NISTSP800-30(2012)《實(shí)施風(fēng)險(xiǎn)險(xiǎn)評(píng)估指南南》NISTSP800-39(2011)《管理信息息安全風(fēng)險(xiǎn)險(xiǎn)：組織、、使命和信信息系統(tǒng)梗梗概》NISTSP800-37(2010)《聯(lián)邦信息息系統(tǒng)應(yīng)用用風(fēng)險(xiǎn)管理理框架指南南：安全生生命周期方方法》NISTSP800-53(2010)《為聯(lián)邦信信息系統(tǒng)和和組織推薦薦的安全控控制措施》》NISTSP800-53A(2010)《聯(lián)邦信息息系統(tǒng)和組組織安全控控制措施評(píng)評(píng)估指南：：建立有效效的安全評(píng)評(píng)估計(jì)劃》》26知識(shí)域：信信息安全風(fēng)風(fēng)險(xiǎn)管理主主要內(nèi)容知識(shí)子域：：信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理的的基基本本內(nèi)內(nèi)容容和和過(guò)過(guò)程程理解解背景景建建立立的的主主要要工工作作內(nèi)內(nèi)容容理解風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估的的主要要工作作內(nèi)容容理解風(fēng)風(fēng)險(xiǎn)處處理的的主要要工作作內(nèi)容容理解批批準(zhǔn)監(jiān)監(jiān)督的的主要要工作作內(nèi)容容理解監(jiān)監(jiān)控審審查的的主要要工作作內(nèi)容容理解溝溝通咨咨詢的的主要要工作作內(nèi)容容27信息安安全風(fēng)風(fēng)險(xiǎn)管管理工工作內(nèi)內(nèi)容背景建立風(fēng)險(xiǎn)評(píng)評(píng)估風(fēng)險(xiǎn)處處理批準(zhǔn)監(jiān)監(jiān)督監(jiān)控審查溝通咨詢GB/Z24364《《信息安安全風(fēng)風(fēng)險(xiǎn)管管理指指南》：四個(gè)個(gè)階段段，兩兩個(gè)貫貫穿28背景建建立背景建建立是是信息息安全全風(fēng)險(xiǎn)險(xiǎn)管理理的第第一步步驟，，確定定風(fēng)險(xiǎn)險(xiǎn)管理理的對(duì)對(duì)象和和范圍圍，確確立實(shí)實(shí)施風(fēng)風(fēng)險(xiǎn)管管理的的準(zhǔn)備備，進(jìn)進(jìn)行相相關(guān)信信息的的調(diào)查查和分分析風(fēng)險(xiǎn)管管理準(zhǔn)準(zhǔn)備：：確定定對(duì)象象、組組建團(tuán)團(tuán)隊(duì)、、制定定計(jì)劃劃、獲獲得支支持信息系系統(tǒng)調(diào)調(diào)查：：信息息系統(tǒng)統(tǒng)的業(yè)業(yè)務(wù)目目標(biāo)、、技術(shù)術(shù)和管管理上上的特特點(diǎn)信息系系統(tǒng)分分析：：信息息系統(tǒng)統(tǒng)的體體系結(jié)結(jié)構(gòu)、、關(guān)鍵鍵要素素信息安安全分分析：：分析析安全全要求求、分分析安安全環(huán)環(huán)境29背景建建立過(guò)過(guò)程30風(fēng)險(xiǎn)評(píng)評(píng)估信息安安全風(fēng)風(fēng)險(xiǎn)管管理要要依靠靠風(fēng)險(xiǎn)險(xiǎn)評(píng)估估的結(jié)結(jié)果來(lái)來(lái)確定定隨后后的風(fēng)風(fēng)險(xiǎn)處處理和和批準(zhǔn)準(zhǔn)監(jiān)督督活動(dòng)動(dòng)風(fēng)險(xiǎn)評(píng)估準(zhǔn)備：：制定定風(fēng)險(xiǎn)險(xiǎn)評(píng)估估方案案、選選擇評(píng)評(píng)估方方法風(fēng)險(xiǎn)要要素識(shí)識(shí)別：：發(fā)現(xiàn)現(xiàn)系統(tǒng)統(tǒng)存在在的威威脅、、脆弱弱性和和控制制措施施風(fēng)險(xiǎn)分分析：：判斷斷風(fēng)險(xiǎn)險(xiǎn)發(fā)生生的可可能性性和影影響的的程度度風(fēng)險(xiǎn)結(jié)結(jié)果判判定：：綜合合分析析結(jié)果果判定定風(fēng)險(xiǎn)險(xiǎn)等級(jí)級(jí)31風(fēng)險(xiǎn)評(píng)評(píng)估過(guò)過(guò)程32風(fēng)險(xiǎn)處處理風(fēng)險(xiǎn)處處理是是為了了將風(fēng)風(fēng)險(xiǎn)始始終控控制在在可接接受的的范圍圍內(nèi)?！，F(xiàn)存風(fēng)風(fēng)險(xiǎn)判判斷：：判斷斷信息息系統(tǒng)統(tǒng)中哪哪些風(fēng)風(fēng)險(xiǎn)可可以接接受，，哪些些不可可以處理目目標(biāo)確確認(rèn)：：不可可接受受的風(fēng)風(fēng)險(xiǎn)需需要控控制到到怎樣樣的程程度處理措措施選選擇：：選擇擇風(fēng)險(xiǎn)險(xiǎn)處理理方式式，確確定風(fēng)風(fēng)險(xiǎn)控控制措措施處理措措施實(shí)實(shí)施：：制定定具體體安全全方案案，部部署控控制措措施33風(fēng)險(xiǎn)處處理過(guò)過(guò)程34減低風(fēng)風(fēng)險(xiǎn)轉(zhuǎn)移風(fēng)風(fēng)險(xiǎn)規(guī)避風(fēng)風(fēng)險(xiǎn)接受風(fēng)風(fēng)險(xiǎn)常用的的四類類風(fēng)險(xiǎn)險(xiǎn)處置置方法法35減低風(fēng)風(fēng)險(xiǎn)通過(guò)對(duì)對(duì)面臨臨風(fēng)險(xiǎn)險(xiǎn)的資資產(chǎn)采采取保保護(hù)措措施來(lái)來(lái)降低低風(fēng)險(xiǎn)險(xiǎn)首先應(yīng)應(yīng)當(dāng)考考慮的的風(fēng)險(xiǎn)險(xiǎn)處置置措施施，通通常在在安全全投入入小于于負(fù)面面影響響價(jià)值值的情情況下下采用用保護(hù)措措施可可以從從構(gòu)成成風(fēng)險(xiǎn)險(xiǎn)的五五個(gè)方方面（（即威威脅源源、威威脅行行為、、脆弱弱性、、資產(chǎn)產(chǎn)和影影響））來(lái)降降低風(fēng)風(fēng)險(xiǎn)36減低風(fēng)風(fēng)險(xiǎn)的的具體體辦法法減少威脅源源采用法律的的手段制裁裁計(jì)算機(jī)犯犯罪，發(fā)揮揮法律的威威懾作用，，從而有效效遏制威脅脅源的動(dòng)機(jī)機(jī)減低威脅能能力采取身份認(rèn)認(rèn)證措施，，從而抵制制身份假冒冒這種威脅脅行為的能能力減少脆弱性性及時(shí)給系統(tǒng)統(tǒng)打補(bǔ)丁，，關(guān)閉無(wú)用用的網(wǎng)絡(luò)服服務(wù)端口，，從而減少少系統(tǒng)的脆脆弱性，降降低被利用用的可能性防護(hù)資產(chǎn)采用各種防防護(hù)措施，，建立資產(chǎn)產(chǎn)的安全域域，從而保保證資產(chǎn)不不受侵犯，，其價(jià)值得得到保持降低負(fù)面影響采取容災(zāi)備備份、應(yīng)急急響應(yīng)和業(yè)業(yè)務(wù)連續(xù)計(jì)計(jì)劃等措施施，從而減減少安全事事件造成的的影響程度37轉(zhuǎn)移風(fēng)險(xiǎn)通過(guò)將面臨臨風(fēng)險(xiǎn)的資資產(chǎn)或其價(jià)價(jià)值轉(zhuǎn)移到到更安全的的地方來(lái)避避免或降低低風(fēng)險(xiǎn)通常只有當(dāng)當(dāng)風(fēng)險(xiǎn)不能能被降低或或避免、且且被第三方方（被轉(zhuǎn)嫁嫁方）接受受時(shí)才被采采用。一般般用于那些些低概率、、但一旦風(fēng)風(fēng)險(xiǎn)發(fā)生時(shí)時(shí)會(huì)對(duì)組織織產(chǎn)生重大大影響的風(fēng)風(fēng)險(xiǎn)38購(gòu)買保險(xiǎn)服務(wù)外包規(guī)避風(fēng)險(xiǎn)通過(guò)不使用用面臨風(fēng)險(xiǎn)險(xiǎn)的資產(chǎn)來(lái)來(lái)避免風(fēng)險(xiǎn)險(xiǎn)。比如：：在沒(méi)有足夠夠安全保障障的信息系系統(tǒng)中，不不處理特別別敏感的信信息，從而而防止敏感感信息的泄泄漏對(duì)于只處理理內(nèi)部業(yè)務(wù)務(wù)的信息系系統(tǒng)，不使使用互聯(lián)網(wǎng)網(wǎng)，從而避避免外部的的有害入侵侵和不良攻攻擊通常在風(fēng)險(xiǎn)險(xiǎn)的損失無(wú)無(wú)法接受，，又難以通通過(guò)控制措措施減低風(fēng)風(fēng)險(xiǎn)的情況況下39接受風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)是是選擇對(duì)風(fēng)風(fēng)險(xiǎn)不采取取進(jìn)一步的的處理措施施，接受風(fēng)風(fēng)險(xiǎn)可能帶帶來(lái)的結(jié)果果用于那些在在采取了降降低風(fēng)險(xiǎn)和和避免風(fēng)險(xiǎn)險(xiǎn)措施后，，出于實(shí)際際和經(jīng)濟(jì)方方面的原因因，只要組組織進(jìn)行運(yùn)運(yùn)營(yíng)，就必必然存在并并必須接受受的風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)不不意味著不不聞不問(wèn)，，需要對(duì)風(fēng)風(fēng)險(xiǎn)態(tài)勢(shì)變變化進(jìn)行持持續(xù)的監(jiān)控控，一旦發(fā)發(fā)展為無(wú)法法接受的風(fēng)風(fēng)險(xiǎn)就要進(jìn)進(jìn)一步采取取措施40批準(zhǔn)監(jiān)督批準(zhǔn)：是指指機(jī)構(gòu)的決決策層依據(jù)據(jù)風(fēng)險(xiǎn)評(píng)估估和風(fēng)險(xiǎn)處處理的結(jié)果果是否滿足足信息系統(tǒng)統(tǒng)的安全要要求，做出出是否認(rèn)可可風(fēng)險(xiǎn)管理理活動(dòng)的決決定監(jiān)督：是指指檢查機(jī)構(gòu)構(gòu)及其信息息系統(tǒng)以及及信息安全全相關(guān)的環(huán)環(huán)境有無(wú)變變化，監(jiān)督督變化因素素是否有可可能引入新新風(fēng)險(xiǎn)41批準(zhǔn)監(jiān)督過(guò)過(guò)程42監(jiān)控審查的的意義監(jiān)控與審查查可以及時(shí)時(shí)發(fā)現(xiàn)已經(jīng)經(jīng)出現(xiàn)或即即將出現(xiàn)的的變化、偏偏差和延誤誤等問(wèn)題，，并采取適適當(dāng)?shù)拇胧┦┻M(jìn)行控制制和糾正，，從而減少少因此造成成的損失，，保證信息息安全風(fēng)險(xiǎn)險(xiǎn)管理主循循環(huán)的有效效性43類似信息系系統(tǒng)工程中中的監(jiān)理監(jiān)控審查過(guò)過(guò)程44溝通咨詢通過(guò)暢通的的交流和充充分的溝通通，保持行行動(dòng)的協(xié)調(diào)調(diào)和一致；；通過(guò)有效效的培訓(xùn)和和方便的咨咨詢，保證證行動(dòng)者具具有足夠的的知識(shí)和技技能，就是是溝通咨詢?cè)兊囊饬x所所在溝通咨詢與領(lǐng)導(dǎo)溝通，以得到理解和批準(zhǔn)單位內(nèi)部各有關(guān)部門相互溝通，以得到理解和協(xié)作與支持單位和系統(tǒng)用戶溝通，以得到了解和支持

為所有層面的相關(guān)人員提供咨詢和培訓(xùn)等，以提高人員的安全意識(shí)、知識(shí)和技能45溝通咨詢過(guò)過(guò)程46知識(shí)域：信信息安全風(fēng)風(fēng)險(xiǎn)管理主主要內(nèi)容知識(shí)子域：：信息系統(tǒng)使使命周期與與信息安全全風(fēng)險(xiǎn)管理理理解信息系統(tǒng)生生命周期與與信息安全全風(fēng)險(xiǎn)管理理的關(guān)系理解系統(tǒng)規(guī)規(guī)劃階段的的風(fēng)險(xiǎn)管理理工作內(nèi)容容理解系統(tǒng)設(shè)設(shè)計(jì)階段的的風(fēng)險(xiǎn)管理理工作內(nèi)容容理解系統(tǒng)實(shí)實(shí)施階段的的風(fēng)險(xiǎn)管理理工作內(nèi)容容理解系統(tǒng)運(yùn)運(yùn)行維護(hù)階階段的風(fēng)險(xiǎn)險(xiǎn)管理工作作內(nèi)容理解系統(tǒng)廢廢棄階段的的風(fēng)險(xiǎn)管理理工作內(nèi)容容47信息系統(tǒng)生生命周期與與信息安全全風(fēng)險(xiǎn)管理理的關(guān)系信息系統(tǒng)生生命周期的的每個(gè)階段段，有不同的信信息安全目目標(biāo)為了達(dá)到其安全全目標(biāo)，每一階段都需要相應(yīng)的的風(fēng)險(xiǎn)管理理手段作為為支持信息安全目目標(biāo)就是要要實(shí)現(xiàn)信息息系統(tǒng)的基基本安全特特性（即信信息安全基基本屬性）），并達(dá)到到所需的保保障級(jí)別48規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄系統(tǒng)規(guī)劃階階段的安全全目標(biāo)49明確信息系系統(tǒng)安全建建設(shè)的目的的,對(duì)信息系統(tǒng)統(tǒng)安全建設(shè)設(shè)實(shí)現(xiàn)的可可能性進(jìn)行行分析論證證并設(shè)計(jì)出出總體安全全規(guī)劃方案案為了保證安安全目標(biāo)的的實(shí)現(xiàn)，需需要對(duì)信息息系統(tǒng)規(guī)劃劃階段中可可能引入安安全風(fēng)險(xiǎn)的的環(huán)節(jié)進(jìn)行行風(fēng)險(xiǎn)管理理，從而降降低在項(xiàng)目目后期處理理相同安全全風(fēng)險(xiǎn)所帶帶來(lái)的高額額成本序號(hào)風(fēng)險(xiǎn)管理活動(dòng)風(fēng)險(xiǎn)管理工作內(nèi)容1明確安全總體方針背景建立2安全需求分析背景建立4風(fēng)險(xiǎn)評(píng)估準(zhǔn)則達(dá)成一致風(fēng)險(xiǎn)評(píng)估5安全實(shí)現(xiàn)論證分析風(fēng)險(xiǎn)處理、批準(zhǔn)監(jiān)督系統(tǒng)規(guī)劃階階段的信息息安全風(fēng)險(xiǎn)險(xiǎn)管理50系統(tǒng)設(shè)計(jì)階階段的安全全目標(biāo)51規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄依據(jù)規(guī)劃階階段輸出的的總體安全全規(guī)劃方案案來(lái)設(shè)計(jì)信息系系統(tǒng)安全的的實(shí)現(xiàn)結(jié)構(gòu)構(gòu)（包括功能能劃分、接接口協(xié)議和和性能指標(biāo)標(biāo)等）和實(shí)施方案案（包括實(shí)現(xiàn)現(xiàn)技術(shù)、設(shè)設(shè)備選型和和系統(tǒng)集成成等）在設(shè)計(jì)信息息系統(tǒng)的實(shí)實(shí)現(xiàn)結(jié)構(gòu)和和實(shí)施方案案時(shí)，在技技術(shù)的選擇擇、配合、、管理等眾眾多的環(huán)節(jié)節(jié)均容易引引入安全風(fēng)風(fēng)險(xiǎn)，因此此對(duì)關(guān)鍵的的環(huán)節(jié)應(yīng)提提出必要的的安全要求求并有針對(duì)對(duì)性地進(jìn)行行安全風(fēng)險(xiǎn)險(xiǎn)管理系統(tǒng)設(shè)計(jì)階階段的信息息安全風(fēng)險(xiǎn)險(xiǎn)管理序號(hào)風(fēng)險(xiǎn)管理活動(dòng)風(fēng)險(xiǎn)管理工作內(nèi)容1設(shè)計(jì)方案分析論證背景建立、風(fēng)險(xiǎn)評(píng)估2安全技術(shù)選擇風(fēng)險(xiǎn)處理3安全產(chǎn)品選擇風(fēng)險(xiǎn)處理4自開發(fā)軟件設(shè)計(jì)風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)處理52系統(tǒng)實(shí)施階階段的安全全目標(biāo)53規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄按照規(guī)劃和設(shè)設(shè)計(jì)階段所定定義的信息系系統(tǒng)安全實(shí)施施方案采購(gòu)設(shè)備和軟件，，開發(fā)定制功能集成、部署、、配置和測(cè)試試信息系統(tǒng)的安安全機(jī)制培訓(xùn)人員對(duì)是否允許系統(tǒng)統(tǒng)投入運(yùn)行進(jìn)行批準(zhǔn)監(jiān)督督系統(tǒng)實(shí)施階段段的信息安全全風(fēng)險(xiǎn)管理序號(hào)風(fēng)險(xiǎn)管理活動(dòng)風(fēng)險(xiǎn)管理工作內(nèi)容1安全測(cè)試風(fēng)險(xiǎn)評(píng)估2檢查與配置風(fēng)險(xiǎn)處理3人員培訓(xùn)風(fēng)險(xiǎn)處理4授權(quán)系統(tǒng)運(yùn)行批準(zhǔn)監(jiān)督54在信息系統(tǒng)經(jīng)經(jīng)過(guò)授權(quán)投入入運(yùn)行之后，，確保在運(yùn)行行過(guò)程中，以以及信息系統(tǒng)統(tǒng)或其運(yùn)行環(huán)環(huán)境發(fā)生變化化時(shí)維持系統(tǒng)統(tǒng)的正常運(yùn)行行和安全性系統(tǒng)運(yùn)維階段段的安全目標(biāo)標(biāo)55規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄系統(tǒng)運(yùn)維階段段的信息安全全風(fēng)險(xiǎn)管理序號(hào)風(fēng)險(xiǎn)管理活動(dòng)風(fēng)險(xiǎn)管理工作內(nèi)容1安全運(yùn)行和管理風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理2變更管理風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理3風(fēng)險(xiǎn)再評(píng)估風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理4定期重新審批批準(zhǔn)監(jiān)督56確保對(duì)信息系系統(tǒng)的過(guò)時(shí)或或無(wú)用部分進(jìn)進(jìn)行安全報(bào)廢廢處理，防止止信息系統(tǒng)的的安全要求和和安全功能遭遭到破壞系統(tǒng)廢棄階段段的安全目標(biāo)標(biāo)57規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄信息系統(tǒng)廢棄棄階段的風(fēng)險(xiǎn)險(xiǎn)管理序號(hào)風(fēng)險(xiǎn)管理活動(dòng)風(fēng)險(xiǎn)管理工作內(nèi)容1確定廢棄對(duì)象背景建立2廢棄對(duì)象的風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估3廢棄過(guò)程的風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)處理4廢棄后的評(píng)審批準(zhǔn)監(jiān)督58知識(shí)域：信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估知識(shí)子域：風(fēng)險(xiǎn)評(píng)估工作作形式理解自評(píng)估和檢查查評(píng)估的風(fēng)險(xiǎn)險(xiǎn)評(píng)估工作形形式理解自評(píng)估和和檢查評(píng)估的的區(qū)別及優(yōu)缺缺點(diǎn)理解風(fēng)險(xiǎn)評(píng)估估、檢查評(píng)估估和等級(jí)保護(hù)護(hù)測(cè)評(píng)之間的的關(guān)系59風(fēng)險(xiǎn)評(píng)估工作作形式信息安全風(fēng)險(xiǎn)評(píng)估估分為自評(píng)估估、檢查評(píng)估估兩種形式自評(píng)估為主，自自評(píng)估和檢查查評(píng)估相互結(jié)結(jié)合、互為補(bǔ)充自評(píng)估和檢查查評(píng)估可依依托自身技技術(shù)力量進(jìn)進(jìn)行，也可可委托第三三方機(jī)構(gòu)提提供技術(shù)支持60自評(píng)估信息系統(tǒng)擁有、運(yùn)營(yíng)營(yíng)或使用單單位發(fā)起的的對(duì)本單位位信息系統(tǒng)統(tǒng)進(jìn)行的風(fēng)風(fēng)險(xiǎn)評(píng)估61由發(fā)起方實(shí)實(shí)施優(yōu)點(diǎn)有利于降低實(shí)施的的費(fèi)用有利于保密密有利于發(fā)揮揮行業(yè)和部部門內(nèi)人員員的業(yè)務(wù)特特長(zhǎng)有利于提高相關(guān)人人員的安全全意識(shí)和評(píng)估能力力缺點(diǎn)可能結(jié)果不不夠深入準(zhǔn)準(zhǔn)確客觀性易受受影響由受委托方實(shí)施施優(yōu)點(diǎn)過(guò)程比較規(guī)規(guī)范客觀性比較較好缺點(diǎn)對(duì)業(yè)務(wù)了解解存在局限限性不利于保密密檢查評(píng)估信息系統(tǒng)上上級(jí)管理部部門組織的的或國(guó)家有有關(guān)職能部部門依法開開展的風(fēng)險(xiǎn)險(xiǎn)評(píng)估62優(yōu)點(diǎn)具權(quán)威性通過(guò)行政手手段加強(qiáng)信信息安全，具強(qiáng)制性缺點(diǎn)間隔時(shí)間較較長(zhǎng)，難以貫穿穿信息系統(tǒng)的的生命周期一般是以抽抽樣的方式式進(jìn)行，難難以覆蓋全全部評(píng)估對(duì)對(duì)象風(fēng)險(xiǎn)評(píng)估、、檢查評(píng)估估和等級(jí)保保護(hù)測(cè)評(píng)之之間的關(guān)系系等保測(cè)評(píng)、、安全檢查查都是在既既定安全基基線的基礎(chǔ)礎(chǔ)上開展的的符合性測(cè)測(cè)評(píng)，其中中等保測(cè)評(píng)評(píng)是符合國(guó)國(guó)家安全要要求的測(cè)評(píng)評(píng)，安全檢檢查是符合合行業(yè)主管管安全要求求的符合性性測(cè)評(píng)而風(fēng)險(xiǎn)評(píng)估估是在國(guó)家家、行業(yè)安安全要求的的基礎(chǔ)上，，以被評(píng)估估系統(tǒng)特定定安全要求求為目標(biāo)而而開展的風(fēng)風(fēng)險(xiǎn)識(shí)別、、風(fēng)險(xiǎn)分析析、風(fēng)險(xiǎn)評(píng)評(píng)價(jià)活動(dòng)63知識(shí)域：信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估知識(shí)子域：：風(fēng)險(xiǎn)評(píng)估方方法理解定性風(fēng)險(xiǎn)分析方法理解定量風(fēng)風(fēng)險(xiǎn)分析方方法，掌握握年度預(yù)期期損失（ALE）的計(jì)算方方法理解半定量量風(fēng)險(xiǎn)分析析方法理解定性和和定量風(fēng)險(xiǎn)險(xiǎn)分析方法法的優(yōu)缺點(diǎn)點(diǎn)64定性風(fēng)險(xiǎn)分分析定性風(fēng)險(xiǎn)分分析在風(fēng)險(xiǎn)險(xiǎn)評(píng)價(jià)時(shí)，，往往需要要憑借分析析者的經(jīng)驗(yàn)驗(yàn)和直覺(jué)，，或者業(yè)界界的標(biāo)準(zhǔn)和和慣例，為為風(fēng)險(xiǎn)諸要素的大小或高低低程度定性性分級(jí)定性風(fēng)險(xiǎn)分析更更具主觀性后果或影響響的定性量量度（示例例）65等級(jí)描述

詳細(xì)情形1可以忽略無(wú)傷害，低財(cái)務(wù)損失2

較小立即受控制，中等財(cái)務(wù)損失3

中等

受控，高財(cái)務(wù)損失4

較大大傷害，失去生產(chǎn)能力有較大財(cái)務(wù)損失5災(zāi)難性持續(xù)能力中斷，巨大財(cái)務(wù)損失可能性的定定性量度（（示例）等級(jí)描述

詳細(xì)情形A幾乎肯定預(yù)期在大多數(shù)情況發(fā)生B很可能在大多數(shù)情況下很可能會(huì)發(fā)生C可能在某個(gè)時(shí)間可能會(huì)發(fā)生D不太可能在某個(gè)時(shí)間能夠發(fā)生E罕見(jiàn)僅在例外的情況下可能發(fā)生定性風(fēng)險(xiǎn)分分析66根據(jù)預(yù)設(shè)的的等級(jí)劃分分規(guī)則判定定風(fēng)險(xiǎn)結(jié)果果依此類推，，得到所有有重要資產(chǎn)產(chǎn)的風(fēng)險(xiǎn)值值，并根據(jù)據(jù)風(fēng)險(xiǎn)等級(jí)級(jí)劃分表，，確定風(fēng)險(xiǎn)險(xiǎn)等級(jí)

可能性

影響可以忽略1較小2中等3較大4災(zāi)難性5A（幾乎肯定）HHEEEB（很可能）MHHEEC(可能）LMHEED（不太可能）LLMHEE（罕見(jiàn)）LLMHHE：極度風(fēng)險(xiǎn)險(xiǎn)H：高風(fēng)險(xiǎn)M：中等風(fēng)險(xiǎn)險(xiǎn)L:低風(fēng)險(xiǎn)定性風(fēng)險(xiǎn)分分析——矩陣法67定量風(fēng)險(xiǎn)分分析定量風(fēng)險(xiǎn)分分析試圖是是在風(fēng)險(xiǎn)評(píng)評(píng)估與成本本效益分析析期間收集集的各個(gè)組組成部分計(jì)計(jì)算客觀數(shù)數(shù)字值，定定量風(fēng)險(xiǎn)分分析更具客觀性例如，用替換成成本、生產(chǎn)產(chǎn)率損失成成本、品牌牌名譽(yù)成本本以及其他他直接和間間接商業(yè)價(jià)價(jià)值來(lái)估計(jì)計(jì)各項(xiàng)資產(chǎn)產(chǎn)的真實(shí)價(jià)值定量分析主要試圖從從財(cái)務(wù)數(shù)字字上對(duì)安全全風(fēng)險(xiǎn)進(jìn)行行評(píng)估，得得出可以量量化的風(fēng)險(xiǎn)險(xiǎn)分析結(jié)果果，準(zhǔn)確度度量風(fēng)險(xiǎn)的的可能性和和損失量因?yàn)槎糠址治鎏幚頂?shù)數(shù)字和金額額價(jià)值，它它必須有公式68定量風(fēng)險(xiǎn)分分析——年度預(yù)期損損失法步驟1-評(píng)估資產(chǎn)：：根據(jù)資產(chǎn)產(chǎn)價(jià)值（AV）清單,計(jì)算資產(chǎn)總總價(jià)值及資資產(chǎn)損失對(duì)對(duì)財(cái)務(wù)的直直接和間接接影響步驟2-確定單一預(yù)預(yù)期損失SLESLE是指發(fā)生一一次風(fēng)險(xiǎn)引引起的收入入損失總額額SLE是分配給單單個(gè)事件的的金額，代代表一個(gè)具具體威脅利利用漏洞時(shí)時(shí)將面臨的的潛在損失失（SLE類似于定定性風(fēng)險(xiǎn)險(xiǎn)分析的的影響））將資產(chǎn)價(jià)價(jià)值與暴暴露系數(shù)數(shù)相乘(EF)計(jì)算出SLE。暴露系系數(shù)表示示為現(xiàn)實(shí)實(shí)威脅對(duì)對(duì)某個(gè)資資產(chǎn)造成成的損失失百分比比步驟3-確定年發(fā)發(fā)生率AROARO是一年中中風(fēng)險(xiǎn)發(fā)發(fā)生的次次數(shù)69步驟4-確定年預(yù)預(yù)期損失失ALEALE是不采取取任何減減輕風(fēng)險(xiǎn)險(xiǎn)的措施施在一年年中可能能損失的的總金額額。SLE乘以ARO即可計(jì)算算出該值值（ALE類似于定定性風(fēng)險(xiǎn)險(xiǎn)分析的的相對(duì)級(jí)級(jí)別）步驟5-確定控制制成本控制成本本就是為為了規(guī)避避企業(yè)所所存在風(fēng)風(fēng)險(xiǎn)的發(fā)發(fā)生而應(yīng)應(yīng)投入的的費(fèi)用步驟6-安全投資資收益ROSIROSI=(實(shí)施控制制前的ALE）–（實(shí)施控控制后的的ALE）–（年控制制成本））70定量風(fēng)險(xiǎn)險(xiǎn)分析——年度預(yù)期期損失法法（續(xù)））定性分析析與定量量分析71

定量定性優(yōu)點(diǎn)結(jié)果可用貨幣值和具體數(shù)據(jù)（如百分比）來(lái)表達(dá)按財(cái)務(wù)影響確定風(fēng)險(xiǎn)優(yōu)先級(jí)；按財(cái)務(wù)價(jià)值確定資產(chǎn)優(yōu)先級(jí)通過(guò)安全投資收益分析推動(dòng)風(fēng)險(xiǎn)管理隨著組織建立的歷史數(shù)據(jù)記錄而獲得經(jīng)驗(yàn)，其精確度將隨時(shí)間的推移而提高可以對(duì)風(fēng)險(xiǎn)的處置排定優(yōu)先順序更容易達(dá)成一致意見(jiàn)無(wú)需量化威脅頻率無(wú)需確定資產(chǎn)的財(cái)務(wù)價(jià)值更便于非安全或計(jì)算機(jī)專業(yè)人員的參與缺點(diǎn)分配給風(fēng)險(xiǎn)的影響值以參與者的主觀意見(jiàn)為基礎(chǔ)達(dá)成可靠結(jié)果和一致意見(jiàn)的流程非常耗時(shí)計(jì)算可能會(huì)非常復(fù)雜且耗時(shí)流程專業(yè)技術(shù)性強(qiáng)，參與者若未獲指導(dǎo)則無(wú)法輕松執(zhí)行流程在重要的風(fēng)險(xiǎn)之間沒(méi)有足夠的區(qū)別沒(méi)有為成本效益分析，難以證明投資控制措施是否正確結(jié)果取決于風(fēng)險(xiǎn)管理團(tuán)隊(duì)的素質(zhì)、經(jīng)驗(yàn)和知識(shí)技能在風(fēng)險(xiǎn)分析析過(guò)程中中綜合使使用定性性和定量量風(fēng)險(xiǎn)分分析技術(shù)術(shù)對(duì)風(fēng)險(xiǎn)險(xiǎn)要素賦值值的方式，實(shí)現(xiàn)對(duì)對(duì)風(fēng)險(xiǎn)各各要素的的度量數(shù)數(shù)值化在實(shí)際的風(fēng)風(fēng)險(xiǎn)分析析活動(dòng)中中，經(jīng)常常采用半半定量的的風(fēng)險(xiǎn)分分析方法72半定量風(fēng)風(fēng)險(xiǎn)分析析半定量風(fēng)風(fēng)險(xiǎn)分析析——相乘法73

可能性影響可以忽略1較小2中等3較大4災(zāi)難性55（幾乎肯定）5101520254（很可能）481216203(可能）36912152（不太可能）2468101（罕見(jiàn)）12345知識(shí)域：：信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估知識(shí)子域域：風(fēng)險(xiǎn)評(píng)估估的實(shí)施施流程掌握風(fēng)險(xiǎn)評(píng)估估準(zhǔn)備階階段的工工作內(nèi)容容掌握風(fēng)險(xiǎn)險(xiǎn)要素識(shí)識(shí)別階段段的工作作內(nèi)容掌握風(fēng)險(xiǎn)險(xiǎn)分析階階段的工工作內(nèi)容容和工作作步驟掌握風(fēng)險(xiǎn)險(xiǎn)結(jié)果判判定階段段的工作作內(nèi)容74風(fēng)險(xiǎn)評(píng)估估準(zhǔn)備風(fēng)險(xiǎn)要素素識(shí)別風(fēng)險(xiǎn)分析析風(fēng)險(xiǎn)結(jié)果果判定75風(fēng)險(xiǎn)評(píng)估估實(shí)施流流程76風(fēng)險(xiǎn)評(píng)估估準(zhǔn)備77風(fēng)險(xiǎn)要要素識(shí)識(shí)別78資產(chǎn)識(shí)別別資產(chǎn)識(shí)識(shí)別在在整個(gè)個(gè)風(fēng)險(xiǎn)險(xiǎn)評(píng)估估中起起什么么作用用？?jī)牲c(diǎn)：：是整整個(gè)風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估工工作的的起點(diǎn)點(diǎn)和終終點(diǎn)資產(chǎn)識(shí)識(shí)別的的重點(diǎn)點(diǎn)和難難點(diǎn)是是什么么？一線：：業(yè)務(wù)務(wù)戰(zhàn)略略→信信息息化戰(zhàn)戰(zhàn)略→→系系統(tǒng)特特征（（管理理/技術(shù)））資產(chǎn)識(shí)識(shí)別的的方法法有哪哪些？？資產(chǎn)分分類：：樹狀狀法。。自然然形態(tài)態(tài)分類類（勾勾畫資資產(chǎn)樹樹：管管理、、技術(shù)術(shù)…逐步往往下細(xì)細(xì)化））；信信息形形態(tài)分分類（（信息息環(huán)境境、信信息載載體、、信息息）79按信息形態(tài)態(tài)分類資產(chǎn)識(shí)別8081威脅識(shí)別威脅識(shí)別與與資產(chǎn)識(shí)別別是何關(guān)系系？點(diǎn)和面：重重點(diǎn)識(shí)別和和全面識(shí)別別威脅識(shí)別的的重點(diǎn)和難難點(diǎn)是什么么？三問(wèn)：“敵敵人”在哪哪兒？效果果如何？如如何取證？？威脅識(shí)別的的方法有哪哪些？日志分析歷史安全事事件專家經(jīng)驗(yàn)互聯(lián)網(wǎng)信息息檢索威脅分類分為：人為故意威威脅威脅意圖評(píng)評(píng)估、威脅脅能力評(píng)估估、操作限限制評(píng)估、、威脅源特特點(diǎn)評(píng)估人為非故意意威脅判定威脅源源、評(píng)估威威脅源特點(diǎn)點(diǎn)、評(píng)估威威脅源環(huán)境境、評(píng)估事事故發(fā)生時(shí)時(shí)間自然威脅地震、海嘯嘯、洪水8283脆弱性識(shí)別脆弱性識(shí)別的的難點(diǎn)是什么么？三性：隱蔽性性、欺騙性、、復(fù)雜性脆弱性識(shí)別的的方法有哪些些？脆弱性分類管理脆弱性（（如缺少管理理制度）結(jié)構(gòu)脆弱性（如安安全域劃分不當(dāng)）操作脆弱性（如安安全審計(jì)員業(yè)業(yè)務(wù)生疏）技術(shù)脆弱性（（如系統(tǒng)有bug）物理脆弱性（（如一層的窗窗子沒(méi)有防護(hù)護(hù)欄）脆弱性識(shí)別與與威脅識(shí)別是是何關(guān)系？驗(yàn)證：以資產(chǎn)產(chǎn)為對(duì)象，對(duì)對(duì)威脅識(shí)別進(jìn)進(jìn)行驗(yàn)證脆弱性識(shí)別內(nèi)內(nèi)容84常見(jiàn)脆弱性識(shí)識(shí)別工作方式式85脆弱性識(shí)別方式工作對(duì)象安全配置核查服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端、中間件、應(yīng)用軟件漏洞掃描主機(jī)、應(yīng)用程序滲透測(cè)試系統(tǒng)各個(gè)層面安全架構(gòu)分析系統(tǒng)各個(gè)層面數(shù)據(jù)流分析網(wǎng)絡(luò)中的數(shù)據(jù)流訪談管理人員及系統(tǒng)開發(fā)、運(yùn)維技術(shù)人員......確認(rèn)已有的安安全控制考慮：預(yù)防性措施檢測(cè)性措施糾正性措施威懾性措施8687風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析GB/T20984-2007《《信息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估規(guī)范》給出信息安全全風(fēng)險(xiǎn)分析思思路88風(fēng)險(xiǎn)值=R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va））R表示安全風(fēng)險(xiǎn)險(xiǎn)計(jì)算函數(shù)A表示資產(chǎn)T表示威脅V表示脆弱性Ia表示安全事件件所作用的資資產(chǎn)價(jià)值Va表示脆弱性嚴(yán)嚴(yán)重程度L表示威脅利用用資產(chǎn)的脆弱弱性導(dǎo)致安全全事件的可能性F表示安全事件件發(fā)生后造成成的損失89風(fēng)險(xiǎn)結(jié)果判定定知識(shí)域：信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估知識(shí)子域：風(fēng)險(xiǎn)評(píng)估工具了解風(fēng)險(xiǎn)評(píng)估工具具的分類了解常用風(fēng)險(xiǎn)險(xiǎn)評(píng)估工具90風(fēng)險(xiǎn)評(píng)估工具具風(fēng)險(xiǎn)評(píng)估與管管理工具一套集成了風(fēng)風(fēng)險(xiǎn)評(píng)估各類類知識(shí)和判據(jù)據(jù)的管理信息息系統(tǒng)，以規(guī)規(guī)范風(fēng)險(xiǎn)評(píng)估估的過(guò)程和操操作方法；或或者是用于收收集評(píng)估所需需要的數(shù)據(jù)和和資料，基于于專家經(jīng)驗(yàn)，，對(duì)輸入輸出出進(jìn)行模型分分析系統(tǒng)基礎(chǔ)平臺(tái)臺(tái)風(fēng)險(xiǎn)評(píng)估工工具主要用于對(duì)信信息系統(tǒng)的主主要部件（如如操作系統(tǒng)、、數(shù)據(jù)庫(kù)系統(tǒng)統(tǒng)、網(wǎng)絡(luò)設(shè)備備等）的脆弱弱性進(jìn)行分析析，或?qū)嵤┗诖嗳跣缘牡墓麸L(fēng)險(xiǎn)評(píng)估輔助助工具實(shí)現(xiàn)對(duì)數(shù)據(jù)的的采集、現(xiàn)狀狀分析和趨勢(shì)勢(shì)分析等單項(xiàng)項(xiàng)功能，為風(fēng)風(fēng)險(xiǎn)評(píng)估各要要素的賦值、、定級(jí)提供依依據(jù)9192風(fēng)險(xiǎn)評(píng)估工具具風(fēng)險(xiǎn)評(píng)估與管管理工具基于標(biāo)準(zhǔn)的工工具，如基于NISTSP800-30或ISO27005開發(fā)的工具基于知識(shí)的工具，綜合各種風(fēng)險(xiǎn)分析方法，形成知知識(shí)庫(kù)，以此為基礎(chǔ)礎(chǔ)完成綜合評(píng)評(píng)估基于模型的工具，對(duì)典型系統(tǒng)的資資產(chǎn)、威脅、、脆弱性建立立量化或半量量化的模型系統(tǒng)基礎(chǔ)平臺(tái)臺(tái)風(fēng)險(xiǎn)評(píng)估工具脆弱性掃描工具：基于網(wǎng)絡(luò)的掃掃描器、基于于主機(jī)的掃描描器、分布式式網(wǎng)絡(luò)掃描器、數(shù)據(jù)庫(kù)脆弱性掃描器器滲透性測(cè)試工具：黑客工具、腳腳本文件風(fēng)險(xiǎn)評(píng)估輔助助工具檢查列表、入入侵檢測(cè)系統(tǒng)統(tǒng)、安全審計(jì)計(jì)工具、拓?fù)鋼浒l(fā)現(xiàn)工具和和資產(chǎn)信息收收集系統(tǒng)，用于評(píng)估過(guò)程參考考的評(píng)估指標(biāo)標(biāo)庫(kù)、知識(shí)庫(kù)庫(kù)、漏洞庫(kù)、、算法庫(kù)和模模型庫(kù)謝謝，請(qǐng)?zhí)釂?wèn)問(wèn)題！9、靜夜四無(wú)鄰鄰，荒居舊業(yè)業(yè)貧。。12月-2212月-22Tuesday,December20,202210、雨中黃葉樹樹，燈下白頭頭人。。17:28:4517:28:4517:2812/20/20225:28:45PM11、以我獨(dú)沈久久，愧君相見(jiàn)見(jiàn)頻。。12月-2217:28:4517:28Dec-2220-Dec-2212、故人江海海別，幾度度隔山川。。。17:28:4517:28:4517:28Tuesday,December20,202213、乍見(jiàn)見(jiàn)翻疑疑夢(mèng)，，相悲悲各問(wèn)問(wèn)年。。。12月月-2212月月-2217:28:4517:28:45December20,202214、他鄉(xiāng)鄉(xiāng)生白白發(fā)，，舊國(guó)國(guó)見(jiàn)青青山。。。20十十二二月20225:28:45下下午17:28:4512月月-2215、比不了了得就不不比，得得不到的的就不要要。。。。十二月225:28下