風險評估管理程序

風險評估管理程序歷史修訂記錄序號更改單號更改說明修訂人生效日期現(xiàn)行版次目錄TOC\o"1-5"\h\z1概述4\o"CurrentDocument"2術(shù)語與定義42.1風險管理4風險評估42.2其他5\o"CurrentDocument"3風險評估框架及流程63.1風險要素關(guān)系63.2風險分析原理73.3實施流程74風險評估準備過程74.1確定范圍84.2確定目標84.3確定組織結(jié)構(gòu)84.4確定風險評估方法84.5獲得最高管理者批準8\o"CurrentDocument"5風險評估實施過程85.1資產(chǎn)賦值10資產(chǎn)分類115.1.2資產(chǎn)價值屬性145.1.3資產(chǎn)價值屬性賦值標準155.2威脅評估195.2.1威脅分類19威脅賦值225.3脆弱性評估235.4確定現(xiàn)有控制255.5風險評估265.5.1風險值計算26風險等級劃分26風險評估結(jié)果紀錄276風險管理過程286.1安全控制的識別與選擇286.2降低風險296.3接受風險306.4風險管理要求307相關(guān)文件311根%述目前信息安全管理的發(fā)展趨勢是將風險管理與信息安全管理緊密結(jié)合在一起，將風險概念作為信息安全管理實踐的對象和出發(fā)點，信息安全管理的控制點以風險出現(xiàn)的可能性作為對象而展開的。IS027001標準對信息安全管理體系(ISMS)的要求即通過對信息資產(chǎn)的風險管理,確定重要信息資產(chǎn)清單以及風險等級，從而采取相應(yīng)的控制措施來實現(xiàn)信息資產(chǎn)的安全。信息安全管理是風險管理的過程，風險評估是風險管理的基礎(chǔ)。風險管理是指導和控制組織風險的過程。風險管理遵循管理的一般循環(huán)模式一計劃(Plan)、執(zhí)行(Do)、檢查(Check)、行動(Action)的持續(xù)改進模式。IS027001標準要求企業(yè)設(shè)計、實施、維護信息安全管理體系都要依據(jù)PDCA循環(huán)模式。2術(shù)語與定義2.1風險管理風險管理是以可接受成本識別、評估、控制、降低可能影響信息系統(tǒng)風險的過程，通過風險評估識別風險，通過制定信息安全方針，采取適當?shù)目刂颇繕伺c控制方式對風險進行控制，使風險被避免、轉(zhuǎn)移或降低到一個可以被接受的水平，同時考慮控制費用與風險之間的平衡。風險管理的核心是信息的保護。信息對于組織是一種具有重要價值的資產(chǎn)。建立信息安全管理體系(ISMS)的目的是在最大范圍內(nèi)保護信息資產(chǎn)，確保信息的機密性、完整性和可用性，將風險管理自始至終的貫穿于整個信息安全管理體系中，這種體系并不能完全消除信息安全的風險，只是盡量減少風險，盡量將攻擊造成的損失降低到最低限度。2.1.1風險評估風險評估指風險分析和風險評價的整個過程，其中風險分析是指系統(tǒng)化地識別風險來源和風險類型，風險評價是指按組織制定的風險標準估算風險水平，確定風險嚴重性。風險評估的出發(fā)點是對與風險有關(guān)的各因素的確認和分析，與信息安全風險有關(guān)的因素可以包括四大類：資產(chǎn)、威脅、脆弱性、安全控制措施。風險評估是對信息和信息處理設(shè)施的威脅、脆弱性和風險的評估，它包含以下元素：風險是被特定威脅利用的資產(chǎn)的一種或一組脆弱性，導致資產(chǎn)丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。資產(chǎn)是對組織具有價值的信息資源，是安全控制措施保護的對象。威脅是可能對資產(chǎn)或組織造成損害的事故的潛在原因。脆弱性是資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點。安全控制措施是降低風險的措施、程序或機制。2.2其他資產(chǎn)Asset:對組織具有價值的信息或資源，是安全策略保護的對象。資產(chǎn)價值A(chǔ)ssetValue:資產(chǎn)的重要程度或敏感程度的表征。資產(chǎn)價值是資產(chǎn)的屬性，也是進行資產(chǎn)識別的主要內(nèi)容。機密性confidentiality:數(shù)據(jù)所具有的特性，即表示數(shù)據(jù)所達到的未提供或未泄露給未授權(quán)的個人、過程或其他實體的程度。完整性integrity:保證信息及信息系統(tǒng)不會被非授權(quán)更改或破壞的特性。包括數(shù)據(jù)完整性和系統(tǒng)完整性?？捎眯詀vailability:數(shù)據(jù)或資源的特性，被授權(quán)實體按要求能訪問和使用數(shù)據(jù)或資源。數(shù)據(jù)完整性dataintegrity:數(shù)據(jù)所具有的特性，即無論數(shù)據(jù)形式作何變化，數(shù)據(jù)的準確性和一致性均保持不變。系統(tǒng)完整性systemintegrity:在防止非授權(quán)用戶修改或使用資源和防止授權(quán)用戶不正確地修改或使用資源的情況下，信息系統(tǒng)能履行其操作目的的品質(zhì)。信息安全風險informationsecurityrisk:人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響。信息安全風險評估informationsecurityriskassessment:依據(jù)有關(guān)信息安全技術(shù)與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。信息系統(tǒng)informationsystem:由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。典型的信息系統(tǒng)由三部分組成：硬件系統(tǒng)（計算機硬件系統(tǒng)和網(wǎng)絡(luò)硬件系統(tǒng)）；系統(tǒng)軟件（計算機系統(tǒng)軟件和網(wǎng)絡(luò)系統(tǒng)軟件）；應(yīng)用軟件（包括由其處理、存儲的信息）。檢查評估inspectionassessment:由被評估組織的上級主管機關(guān)或業(yè)務(wù)主管機關(guān)發(fā)起的，依據(jù)國家有關(guān)法規(guī)與標準，對信息系統(tǒng)及其管理進行的具有強制性的檢查活動。組織organization:由作用不同的個體為實施共同的業(yè)務(wù)目標而建立的結(jié)構(gòu)。組織的特性在于為完成目標而分工、合作；一個單位是一個組織，某個業(yè)務(wù)部門也可以是一個組織。殘余風險residualrisk:采取了安全措施后，仍然可能存在的風險。自評估self-assessment:由組織自身發(fā)起，參照國家有關(guān)法規(guī)與標準，對信息系統(tǒng)及其管理進行的風險評估活動。安全事件securityevent:指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別狀態(tài)的發(fā)生，它可能是對信息安全策略的違反或防護措施的失效，或未預(yù)知的不安全狀況。安全措施securitymeasure:保護資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實施的各種實踐、規(guī)程和機制的總稱。安全需求securityrequirement：為保證組織業(yè)務(wù)戰(zhàn)略的正常運作而在安全措施方面提出的要求。威脅threat：可能導致對系統(tǒng)或組織危害的不希望事故潛在原因。脆弱性vulnerability：可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的弱點。3風險評估框架及流程本章提出了風險評估的要素關(guān)系、分析原理及實施流程。3.1風險要素關(guān)系資產(chǎn)所有者應(yīng)對信息資產(chǎn)進行保護，通過分析信息資產(chǎn)的脆弱性來確定威脅可能利用哪些弱點來破壞其安全性。風險評估要識別資產(chǎn)相關(guān)要素的關(guān)系，從而判斷資產(chǎn)面臨的風險大小。風險評估中各要素的關(guān)系如圖3-1所示：圖3-1風險要素關(guān)系圖圖3-1中方框部分的內(nèi)容為風險評估的基本要素，橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性。風險評估圍繞著這些基本要素展開，在對這些要素的評估過程中，需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風險等與這些基本要素相關(guān)的各類屬性。圖3-1中的風險要素及屬性之間存在著以下關(guān)系：業(yè)務(wù)戰(zhàn)略的實現(xiàn)對資產(chǎn)具有依賴性，依賴程度越高，要求其風險越??；資產(chǎn)是有價值的，組織的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依賴程度越高，資產(chǎn)價值就越大；資產(chǎn)價值越大，原則上則其面臨的風險越大；風險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風險越大，并可能導致安全事件；弱點越多，威脅利用脆弱性導致安全事件的可能性越大；脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產(chǎn)，從而形成風險；風險的存在及對風險的認識導出安全需求；安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價值考慮實施成本；安全措施可抵御威脅，降低安全事件發(fā)生的可能性，并減少影響；風險不可能也沒有必要降為零，在實施了安全措施后還可能有殘余風險。有些殘余風險的原因可能是安全措施不當或無效，需要繼續(xù)控制；而有些殘余風險則是在綜合考慮了安全成本與效益后未去控制的風險，是可以接受的；殘余風險應(yīng)受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件。3.2風險分析原理風險分析原理如圖3-2所示：圖3-2風險分析原理圖風險分析中要涉及資產(chǎn)、威脅、脆弱性等基本要素。每個要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等；脆弱性的屬性是資產(chǎn)弱點的嚴重程度。風險分析的主要內(nèi)容為：對資產(chǎn)進行識別，并對資產(chǎn)的價值進行賦值；對威脅進行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值；對資產(chǎn)的脆弱性進行識別，并對具體資產(chǎn)的脆弱性的嚴重程度賦值；根據(jù)威脅及威脅利用弱點的難易程度判斷安全事件發(fā)生的可能性；根據(jù)脆弱性的嚴重程度及安全事件所作用資產(chǎn)的價值計算安全事件的損失；根據(jù)安全事件發(fā)生的可能性以及安全事件的損失，計算安全事件一旦發(fā)生對組織的影響，即風險值。3.3實施流程圖3-3給出風險評估的實施流程，第4章將圍繞風險評估流程闡述風險評估各具體實施步驟。圖3-3風險評估實施流程圖4風險評估準備過程風險評估的準備過程是運維中心進行風險評估的基礎(chǔ)，是整個風險評估過程有效性的保證。運維中心對信息及信息系統(tǒng)進行風險評估是一種戰(zhàn)略性的考慮，其結(jié)果將受到運維中心業(yè)務(wù)需求及戰(zhàn)略目標、文化、業(yè)務(wù)流程、安全要求、規(guī)模和結(jié)構(gòu)的影響。因此在風險評估實、小八I、’施前，應(yīng):確定風險評估的范圍；確定風險評估的目標；建立適當?shù)慕M織結(jié)構(gòu)；建立系統(tǒng)化的風險評估方法；獲得最高管理者對風險評估策劃的批準。4.1確定范圍進行風險評估是基于運維中心自身商業(yè)要求及戰(zhàn)略目標的要求，國家法律法規(guī)和行業(yè)監(jiān)管要求，根據(jù)上述要求確定風險評估范圍，每次評估范圍可以是全公司的信息和信息系統(tǒng)，可以是單獨的信息系統(tǒng)，可以是關(guān)鍵業(yè)務(wù)流程。此項工作需要在資產(chǎn)識別和分類工作基礎(chǔ)上進行。4.2確定目標運維中心的信息、信息系統(tǒng)、應(yīng)用軟件和網(wǎng)絡(luò)是運維中心重要的資產(chǎn)，信息資產(chǎn)的機密性，完整性和可用性對于維持競爭優(yōu)勢，提高安全管理水平，符合法律法規(guī)要求和運維中心的形象是必要的。運維中心要面對來自四面八方日益增長的安全威脅，信息、信息系統(tǒng)、應(yīng)用軟件和網(wǎng)絡(luò)可能是嚴重威脅的目標，同時由于運維中心信息化程度不斷提高，對信息系統(tǒng)和技術(shù)的依賴日益增加，則可能出現(xiàn)更多的脆弱性。運維中心風險評估的目標來源于業(yè)務(wù)持續(xù)發(fā)展的需要、滿足國家法律法規(guī)和行業(yè)監(jiān)管的要求等方面。4.3確定組織結(jié)構(gòu)在風險評估過程中，應(yīng)建立適合的組織結(jié)構(gòu)，以推進評估過程，成立由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等組成的風險評估小組，以保證能夠滿足風險評估的范圍、目標。4.4確定風險評估方法風險評估方法應(yīng)考慮評估的范圍、目的、時間、效果、組織文化、人員素質(zhì)以及具體開展的程度等因素來確定，使之能夠與運維中心的環(huán)境和安全要求相適應(yīng)。4.5獲得最高管理者批準上述所有內(nèi)容應(yīng)得到運維中心管理層批準，并對相關(guān)部門和員工進行傳達，就風險評估相關(guān)內(nèi)容進行培訓，以明確各有關(guān)人員在風險評估中的任務(wù)。5風險評估實施過程5-1所信息安全各組成因素：資產(chǎn)的價值、對資產(chǎn)的威脅和威脅發(fā)生的可能性、資產(chǎn)脆弱性、5-1所資產(chǎn)賦值脆弱性評估威脅評估確定現(xiàn)有控制風險評估圖5-1風險評估的過程詳細的風險評估方法描述詳細的風險評估是對資產(chǎn)、威脅和脆弱點進行詳細的識別和估價，評估結(jié)果被用于評估風險和安全控制的識別和選擇。通過識別資產(chǎn)的風險并將風險降低到可接受水平，來證明管理者所采用的安全控制是適當?shù)?。詳細的風險評估，需要仔細地制定被評估的信息系統(tǒng)范圍內(nèi)的業(yè)務(wù)環(huán)境、業(yè)務(wù)運營、信息和資產(chǎn)的邊界，是一個需要管理者持續(xù)關(guān)注的方法，如下表：風險評估評估活動資產(chǎn)賦值識別和列出信息安全管理范圍內(nèi)被評估的業(yè)務(wù)環(huán)境、業(yè)務(wù)運營和信息相關(guān)的所有的資產(chǎn)，定義一個價值尺度并為每一項資產(chǎn)分配價值（機密性、完整性和可用性的價值）。威脅評估識別與資產(chǎn)相關(guān)的所有威脅，并根據(jù)它們發(fā)生的可能性為它們賦值。脆弱性評估識別與資產(chǎn)相關(guān)的所有的脆弱點，并根據(jù)它們被威脅利用的程度和嚴重性來賦值。確定現(xiàn)有控制識別與記錄所有與資產(chǎn)相關(guān)聯(lián)的、現(xiàn)有的控制。風險評估利用上述對資產(chǎn)、威脅、脆弱點的評價結(jié)果，進行風險評估，風險為資產(chǎn)的相對價值、威脅發(fā)生的可能性與脆弱點被利用的可能性的函數(shù)，采用適當?shù)娘L險測量工具進行風險計算。表5-1詳細風險評估內(nèi)容詳細風險評估方法將安全風險作為資產(chǎn)、威脅及脆弱點的函數(shù)來進行識別與評估，具體程序包括：對資產(chǎn)（說明它們的價值、業(yè)務(wù)相關(guān)性）、威脅（說明它們發(fā)生的可能性）和脆弱性（說明有關(guān)它們的弱點和敏感性的程度）進行測量與賦值。使用預(yù)定義風險計算函數(shù)完成風險測量。5.1資產(chǎn)賦值資產(chǎn)賦值就是要識別影響信息系統(tǒng)的信息資產(chǎn)（以下簡稱資產(chǎn)），并評估其價值，包括資產(chǎn)識別與資產(chǎn)賦值兩部分。資產(chǎn)識別資產(chǎn)是影響信息系統(tǒng)運行而需要保護的有用資源，資產(chǎn)以多種形式存在。運維中心資產(chǎn)分為：硬件類、系統(tǒng)服務(wù)類、支撐服務(wù)類、信息類、人員、無形資產(chǎn)等，每類資產(chǎn)具有不同價值屬性和存在特點，固有的弱點、面臨的威脅、需要實施的保護和安全控制各不相同。為了對資產(chǎn)進行有效的保護，組織需要在各個管理層對資產(chǎn)落實責任，進行恰當?shù)墓芾?。在信息安全體系范圍內(nèi)識別資產(chǎn)并為資產(chǎn)編制清單是一項重要工作，每項資產(chǎn)都應(yīng)該清晰地定義，在組織中明確資產(chǎn)所有權(quán)關(guān)系，進行安全分類，并以文件方式詳細記錄在案。資產(chǎn)賦值為了明確對資產(chǎn)的保護，有必要對資產(chǎn)進行估價，其價值大小不僅僅是考慮其自身的價值，還要考慮其業(yè)務(wù)的相關(guān)性和一定條件下的潛在價值。資產(chǎn)價值常常是以安全事件發(fā)生時所產(chǎn)生的潛在業(yè)務(wù)影響來衡量，安全事件會導致資產(chǎn)機密性、完整性和可用性的損失，從而導致企業(yè)資金、市場份額、企業(yè)形象的損失。為了資產(chǎn)評估的一致性與準確性，組織應(yīng)當建立一個資產(chǎn)的價值評估標準，對每一種資產(chǎn)和每一種可能的損失，例如機密性、完整性和可用性的損失，都可以賦予一個價值。但采用精確的方式給資產(chǎn)賦值是較困難的一件事，一般采用定性的方式，按照事前建立的資產(chǎn)的價值評估標準將資產(chǎn)的價值劃分為不同等級。經(jīng)過資產(chǎn)的識別與估價后，組織應(yīng)根據(jù)資產(chǎn)價值大小，進一步確定要保護的關(guān)鍵資產(chǎn)。資產(chǎn)分別具有不同的安全屬性，機密性、完整性和可用性分別反映了資產(chǎn)在三個不同方面的特性。安全屬性的不同通常也意味著安全控制、保護功能需求的不同。通過考察三種不同安全屬性，可以得出一個能夠基本反映資產(chǎn)價值的數(shù)值。對信息資產(chǎn)進行估價賦值的目的是為了更好地反映資產(chǎn)的價值，以便于進一步考察資產(chǎn)相關(guān)的弱點、威脅和風險屬性，并進行量化。在評估過程，為了保證沒有資產(chǎn)被忽略和遺漏，應(yīng)該先確定信息安全管理體系（ISMS）范圍，建立資產(chǎn)的評審邊界。評估資產(chǎn)最簡單的方式是列出組織業(yè)務(wù)過程中、安全管理體系范圍內(nèi)所有具有價值的資產(chǎn)，然后對資產(chǎn)賦予一定的價值，這種價值應(yīng)該反映資產(chǎn)對組織業(yè)務(wù)運營的重要性，并以對業(yè)務(wù)的潛在影響程度表現(xiàn)出來。例如，資產(chǎn)價值越大，由于泄露、修改、損害、不可用等安全事件對組織業(yè)務(wù)的潛在影響就越大。基于組織業(yè)務(wù)需要的資產(chǎn)的識別與估價，是建立信息安全體系，確定風險的重要一步。資產(chǎn)的價值應(yīng)當由資產(chǎn)的所有者和相關(guān)用戶來確定，只有他們才最清楚資產(chǎn)對組織業(yè)務(wù)的重要性，才能較準確地評估出資產(chǎn)的實際價值。為確保資產(chǎn)賦值時的一致性和準確性，組織應(yīng)建立一個資產(chǎn)價值評價尺度，以指導資產(chǎn)賦值。在對資產(chǎn)賦予價值時，一方面要考慮資產(chǎn)購買成本及維護成本，另一方面主要考慮當這種資產(chǎn)的機密性、完整性、可用性受到損害時，對業(yè)務(wù)運營的負面影響程度。在信息安全管理中，并不是直接采用資產(chǎn)的賬面價值，在運維中心風險評估中采用以定性分級的方式建立資產(chǎn)的相對價值，以相對價值來作為確定重要資產(chǎn)的依據(jù)和為這種資產(chǎn)的保護投入多大資源的依據(jù)。5.1.1資產(chǎn)分類運維中心資產(chǎn)分類見下表：大類小類名稱硬件類H010大型機H020小型機H030PC服務(wù)器H040PC臺式機H050PC移動電腦H060業(yè)務(wù)終端H070通訊設(shè)施H080網(wǎng)絡(luò)交換機H090網(wǎng)絡(luò)路由器H100負載均衡器H110網(wǎng)絡(luò)安全設(shè)備H120數(shù)據(jù)存儲設(shè)備H130移動存儲設(shè)備H140存儲介質(zhì)

大類小類名稱H150紙質(zhì)文檔H160智能卡設(shè)備H170UPS設(shè)備H180發(fā)電機H190設(shè)備管理間H200c±3L/Md=l4些電線電纜H210顯示設(shè)備H220監(jiān)控設(shè)備H230傳真機/傳真系統(tǒng)H240照明設(shè)施H250供電設(shè)施H260供水設(shè)施H270暖通空調(diào)H280消防設(shè)施H290門禁系統(tǒng)H300打印機H310復(fù)印機H320掃描儀H330投影機H340機架系統(tǒng)服務(wù)類S010核心業(yè)務(wù)應(yīng)用系統(tǒng)S020輔助業(yè)務(wù)應(yīng)用系統(tǒng)S030網(wǎng)絡(luò)基礎(chǔ)應(yīng)用系統(tǒng)S040網(wǎng)絡(luò)安全系統(tǒng)S050操作系統(tǒng)S060數(shù)據(jù)庫S070中間件S080軟件開發(fā)工具S090軟件測試工具大類小類名稱S100其他系統(tǒng)或服務(wù)信息類1010軟件I020開發(fā)文檔及源代碼I030用戶文檔I040系統(tǒng)業(yè)務(wù)數(shù)據(jù)I050系統(tǒng)支撐數(shù)據(jù)I060密碼數(shù)據(jù)I070其他支撐服務(wù)類F010通訊服務(wù)F020系統(tǒng)運行F030系統(tǒng)維護F040軟件開發(fā)F050軟件維護F060安全保衛(wèi)F070人力資源服務(wù)F080財務(wù)服務(wù)F090供電F100供暖F110消防F120照明F130空調(diào)F140咨詢服務(wù)F150培訓服務(wù)F160審計服務(wù)人員類R010管理層人員R020網(wǎng)絡(luò)管理人員R030系統(tǒng)管理人員R040安全管理人員R050軟件開發(fā)人員大類小類名稱R060軟件測試人員R070通訊管理人員R080文檔管理人員R090系統(tǒng)用戶R100企業(yè)客戶R110簽約供應(yīng)商R120kk1第—萬人員R130臨時人員無形資產(chǎn)類W010公信力W020組織形象與聲譽W030商標W040產(chǎn)品名稱W050知識產(chǎn)權(quán)表5-2資產(chǎn)分類表5.1.2資產(chǎn)價值屬性除了機密性、完整性和可用性外，在運維中心風險評估中引入系統(tǒng)對業(yè)務(wù)的重要程度、資產(chǎn)對系統(tǒng)的重要程度，資產(chǎn)花費等資產(chǎn)價值屬性，各價值屬性圖示如下：圖5-2資產(chǎn)價值屬性系統(tǒng)服務(wù)范圍：說明當前業(yè)務(wù)系統(tǒng)應(yīng)用或服務(wù)的范圍，評估人員可以人工分析并選擇系統(tǒng)服務(wù)范圍值。業(yè)務(wù)對系統(tǒng)的依賴程度：用于衡量部門業(yè)務(wù)對當前業(yè)務(wù)系統(tǒng)的依賴程度，評估人員可以人工分析并選擇業(yè)務(wù)對系統(tǒng)的依賴程度值。系統(tǒng)對業(yè)務(wù)的重要程度：用于衡量業(yè)務(wù)系統(tǒng)對業(yè)務(wù)的重要性，其值由系統(tǒng)服務(wù)范圍和業(yè)務(wù)對系統(tǒng)的依賴程度確定。信息保密性：說明信息資產(chǎn)本身或硬件、系統(tǒng)服務(wù)類資產(chǎn)所包含信息的保密性價值，評估人員可以人工分析并選擇信息保密性值。信息完整性：說明信息資產(chǎn)本身或硬件、系統(tǒng)服務(wù)類資產(chǎn)所包含信息的完整性價值，評估人員可以人工分析并選擇信息完整性值。信息可用性：說明信息資產(chǎn)本身或硬件、系統(tǒng)服務(wù)類資產(chǎn)所包含信息的可用性價值，評估人員可以人工分析并選擇信息可用性值。資產(chǎn)信息重要性：用于衡量信息資產(chǎn)本身或硬件、系統(tǒng)服務(wù)類資產(chǎn)所包含信息的信息價值，其值由信息保密性、信息完整性和信息可用性確定。資產(chǎn)對系統(tǒng)的重要程度：用于衡量硬件、系統(tǒng)服務(wù)類資產(chǎn)對業(yè)務(wù)系統(tǒng)的可用性價值，評估人員可以人工分析并選擇對系統(tǒng)的重要程度值。資產(chǎn)對業(yè)務(wù)的重要程度：用于衡量硬件、系統(tǒng)服務(wù)類資產(chǎn)對業(yè)務(wù)的重要性，其值由系統(tǒng)對業(yè)務(wù)的重要程度和資產(chǎn)對系統(tǒng)的重要程度確定。資產(chǎn)業(yè)務(wù)價值：用于衡量硬件、系統(tǒng)服務(wù)、人員及其它類資產(chǎn)對業(yè)務(wù)的價值，對于人員及無形類資產(chǎn)，其值由對業(yè)務(wù)的重要程度確定，對于硬件、系統(tǒng)服務(wù)類資產(chǎn)，其值由對業(yè)務(wù)的重要程度和資產(chǎn)信息重要性確定?；ㄙM：用于衡量購買或恢復(fù)被破壞的資產(chǎn)所需要的花消，評估人員可以人工分析并選擇花費值。資產(chǎn)價值：用于表示資產(chǎn)的重要性，其值由資產(chǎn)業(yè)務(wù)價值和花費確定。不同類別資產(chǎn)賦值可能采用不同的價值屬性。具體見下表：資產(chǎn)類別價值屬性硬件類系統(tǒng)服務(wù)類信息類支撐服務(wù)人員無形資產(chǎn)系統(tǒng)服務(wù)范圍:V「VVV業(yè)務(wù)對系統(tǒng)的依賴程度VVVVV系統(tǒng)對業(yè)務(wù)的重要程度VVVVV保密性VV完整性VV可用性VVVVV資產(chǎn)CIA重要性VVVVV資產(chǎn)對系統(tǒng)的重要程度VVVVV資產(chǎn)對業(yè)務(wù)的重要程度VVVVV資產(chǎn)業(yè)務(wù)價值VVVVV花費VVVVV表5-3不同資產(chǎn)采用白勺價值屬性5.1.3資產(chǎn)價值屬性賦值標準運維中心風險評估使用的資產(chǎn)屬性賦值標準見下表:系統(tǒng)服務(wù)范圍賦值系統(tǒng)服務(wù)范圍賦值描述運維中心內(nèi)部。面向開發(fā)基地。面向整個公司內(nèi)部。面向整個公司內(nèi)部及客戶、政府、組織等。表5-4系統(tǒng)服務(wù)范圍賦值表業(yè)務(wù)對系統(tǒng)的依賴程度賦值業(yè)務(wù)對系統(tǒng)依賴程度描述賦值整個業(yè)務(wù)處理流程可以通過手工方式或其他方式完成，而且這些替代方式對組織業(yè)務(wù)的開展沒有或極少影響。整個業(yè)務(wù)處理流程可以通過手工方式或其他方式完成，但這些替代方式對組織業(yè)務(wù)的開展有較大的影響。業(yè)務(wù)處理流程的部分環(huán)節(jié)可以通過手工方式或其他方式替代完3成，這些替代方式對組織業(yè)務(wù)的開展有較大的影響。4|業(yè)務(wù)處理流程完全依賴信息系統(tǒng)，手工方式無法完成。一表5-5業(yè)務(wù)對系統(tǒng)的依賴程度賦值表系統(tǒng)對業(yè)務(wù)的重要程度計算系統(tǒng)重要程度權(quán)值(W二系統(tǒng)服務(wù)范圍值+業(yè)務(wù)對系統(tǒng)依賴程度值系統(tǒng)重要程度值二T1(WT1是非線性函數(shù)，用于將計算出的權(quán)值W央射到5級，得到系統(tǒng)重要程度值，見下表：系統(tǒng)對業(yè)務(wù)重要程度賦值描述1W={23}W={4}W={5}W={6}W={78}表5-6系統(tǒng)對業(yè)務(wù)的重要程度計算表信息保密性賦值信息保密性賦值描述信息的未授權(quán)泄露對運維中心的業(yè)務(wù)以及利益基本不會受到影響或損害極小。信息的未授權(quán)泄露對運維中心的業(yè)務(wù)以及利益帶來一定的損失或破壞。信息的未授權(quán)泄露對運維中心的業(yè)務(wù)、利益以及整個公司利益帶來嚴重的損失或破壞。信息的未授權(quán)泄露對運維中心的業(yè)務(wù)、利益以及整個公司利益帶來極其嚴重的損失或破壞。信息的未授權(quán)泄露會對運維中心的業(yè)務(wù)、利益以及整個公司利益帶來災(zāi)難性的損失或破壞。表5-7信息保密性賦值表信息完整性賦值信息完整性賦值描述信息保密性賦值信息保密性賦值描述信息的未授權(quán)泄露對運維中心的業(yè)務(wù)以及利益基本不會受到影響或損害極小。信息的未授權(quán)泄露對運維中心的業(yè)務(wù)以及利益帶來一定的損失或破壞。信息的未授權(quán)泄露對運維中心的業(yè)務(wù)、利益以及整個公司利益帶來嚴重的損失或破壞。信息的未授權(quán)泄露對運維中心的業(yè)務(wù)、利益以及整個公司利益帶來極其嚴重的損失或破壞。信息的未授權(quán)泄露會對運維中心的業(yè)務(wù)、利益以及整個公司利益帶來災(zāi)難性的損失或破壞。表5-7信息保密性賦值表信息完整性賦值信息完整性賦值描述信息的未授權(quán)的修改或破壞對運維中心的業(yè)務(wù)以及利益帶來定的損失或破壞。信息的未授權(quán)的修改或破壞對運維中心的業(yè)務(wù)、利益以及整個信息的未授權(quán)的修改或破壞會對運維中心的業(yè)務(wù)、利益以及整個公司利益帶來極其嚴重的損失或破壞。公司利益帶來嚴重的損失或破壞。信息的未授權(quán)的修改或破壞會對運維中心的業(yè)務(wù)、利益以及整個公司利益帶來極其嚴重的損失或破壞。信息的未授權(quán)的修改或破壞會對運維中心的業(yè)務(wù)、利益以及整個公司利益帶來災(zāi)難性的損失或破壞。表5-8信息完整性賦值表信息可用性賦值信息可用性賦值描述1可用性價值可以忽略，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間彳低于25%

信息可用性賦值描述可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到25%以上可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用每天90%以上用度達到年度99.9%以上度在正常工作時間達到70%以上可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可表5-9信息可用性賦值表可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度達到資產(chǎn)CIA重要性計算資產(chǎn)CIA重要性值信息可用性賦值描述每天90%以上用度達到年度99.9%以上可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可表5-9信息可用性賦值表對系統(tǒng)的重要程度賦值描述1資產(chǎn)出現(xiàn)問題對整個業(yè)務(wù)系統(tǒng)的可用性影響極小或沒有影響。2資產(chǎn)出現(xiàn)問題對整個業(yè)務(wù)系統(tǒng)的可用性有一定的影響。3資產(chǎn)出現(xiàn)問題對整個業(yè)務(wù)系統(tǒng)的可用性有較大的影響。4資產(chǎn)出現(xiàn)問題將導致整個業(yè)務(wù)系統(tǒng)喪失可用性。表5-10資產(chǎn)對系統(tǒng)的重要程度賦值表資產(chǎn)對業(yè)務(wù)的重要程度計算資產(chǎn)對業(yè)務(wù)的重要程度權(quán)重(W)=系統(tǒng)對業(yè)務(wù)的重要程度值x資產(chǎn)對系統(tǒng)的重要程度值資產(chǎn)對業(yè)務(wù)的重要程度值二T2(WT2是非線性函數(shù)，用于將計算出的權(quán)值W央射到5級，得到資產(chǎn)對業(yè)務(wù)重要程度值，見F表：資產(chǎn)對業(yè)務(wù)重要程度賦值描述1W={1,2}

2W=(34,5}表5-11資產(chǎn)對業(yè)務(wù)的重要程度計算表資產(chǎn)業(yè)務(wù)價值計算資產(chǎn)業(yè)務(wù)價值=MAX（資產(chǎn)對業(yè)務(wù)的重要程度值、資產(chǎn)CIA重要性值）花費賦值資產(chǎn)花費賦值描述購買或恢復(fù)資產(chǎn)花費＜=0.1萬元。0.1萬元＜購買或恢復(fù)資產(chǎn)花費＜1萬元。1萬元＜購買或恢復(fù)資產(chǎn)花費＜10萬元。310萬元＜購買或恢復(fù)資產(chǎn)花費＜50萬元。50萬元＜購買或恢復(fù)資產(chǎn)花費表5-12資產(chǎn)花費賦值表資產(chǎn)價值計算資產(chǎn)價值二MAX（資產(chǎn)業(yè)務(wù)價值、花費）5.2威脅評估威脅是一種對運維中心資產(chǎn)構(gòu)成潛在破壞的可能性因素或者事件。無論對于實施多少安全控制的信息系統(tǒng)，威脅始終是一個客觀存在的，因此在風險評估中威脅是需要考慮的重要因素之一。威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動機，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗的因素和其它物理因素。威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊，在機密性、完整性或可用性等方面造成損害；也可能是偶發(fā)的、或蓄意的事件。5.2.1威脅分類在對威脅進行分類前，應(yīng)考慮威脅的來源。威脅來源如下表述:威脅編號威脅來源威脅來源描述威脅編號威脅來源威脅來源描述TR01環(huán)境因素、意外事故或故障由于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境條件和自然災(zāi)害；意外事故或由于軟件、硬件、數(shù)據(jù)、通訊線路方面的故障TR02無惡意內(nèi)部人員內(nèi)部人員由于缺之責任心，或者由于不關(guān)心和不專注，或者沒有遵循規(guī)章制度和操作流程而導致故障或被攻擊；內(nèi)部人員由于缺之培訓，專業(yè)技能不足，不具備崗位技能要求而導致信息系統(tǒng)故障或被攻擊TR03惡意內(nèi)部人員不滿的或有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進行惡意破壞；米用自主的或內(nèi)外勾結(jié)的方式盜竊機密信息或進行篡改，獲取利益TR04kE—第——方第三方合作伙伴和供應(yīng)商，包括電信、移動等業(yè)務(wù)合作伙伴以及軟件開發(fā)合作伙伴、系統(tǒng)集成商、服務(wù)商和產(chǎn)品供應(yīng)商；包括第三方惡意的和無惡意的行為TR05外部人員攻擊外部人員利用信息系統(tǒng)的脆弱性，對網(wǎng)絡(luò)和系統(tǒng)的機密性、完整性和可用性進行破壞，以獲取利益或炫耀能力表5-13威脅來源表在威脅評估過程中，首先就要對運維中心需要保護的每一項關(guān)鍵資產(chǎn)進行威脅識別。在威脅識別過程中，應(yīng)根據(jù)資產(chǎn)所處的環(huán)境條件和資產(chǎn)以前遭受威脅損害的情況來判斷。一項資產(chǎn)可能面臨著多個威脅，同樣一個威脅可能對不同的資產(chǎn)造成影響。在運維中心風險評估中采用問卷調(diào)查和小組訪談進行威脅識別和評估。對威脅進行分類的方式有多種多樣，可以根據(jù)其表現(xiàn)形式將威脅分為以下種類:種類描述威脅子類TC0軟硬件由于設(shè)備硬件故障、通訊鏈路中設(shè)備硬件故障、傳輸設(shè)備種類描述威脅子類TC0軟硬件由于設(shè)備硬件故障、通訊鏈路中設(shè)備硬件故障、傳輸設(shè)備1故障斷、系統(tǒng)本身或軟件缺陷造成對故障、存儲媒體故障、系

編號種類描述威脅子類業(yè)務(wù)實施、系統(tǒng)穩(wěn)定運行的影響。統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障。TCO2物理環(huán)境影響斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境問題或自然災(zāi)害。TCO3尢作為或操作失誤由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意地執(zhí)行了錯誤的操作，對系統(tǒng)造成的影響。維護錯誤、操作失誤TCO4管理不到位安全管理無法落實，不到位，造成安全管理不規(guī)范，或者管理混舌L,從而破壞信息系統(tǒng)正常有序運行。TCO5惡意代碼和病毒具有自我復(fù)制、自我傳播能力，對信息系統(tǒng)構(gòu)成破壞的程序代碼。惡意代碼、木馬后門、網(wǎng)絡(luò)病毒、間諜軟件、竊聽軟件TCO6越權(quán)或濫用通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的職權(quán)，做出破壞信息系統(tǒng)的行為。未授權(quán)訪問網(wǎng)絡(luò)資源、未授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息TCO7黑客攻擊利用工具和技術(shù)，如偵祭、密碼破譯、安裝后門、嗅探、偽造和欺驪、拒絕服務(wù)等手段，對信息系統(tǒng)進行攻擊和入侵。網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探（賬戶、口令、權(quán)限等）、用戶身份偽造和欺驪、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運行的控制和破壞TCO物理攻通過物理的接觸造成對軟件、硬物理接觸、物理破壞、盜

編號種類描述威脅子類8擊件、數(shù)據(jù)的破壞。切TCO9泄密信息泄露給不應(yīng)了解的他人。內(nèi)部信息泄露、外部信息泄露TC10篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用。篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息TC11抵賴不承認收到的信息和所作的操作和交易。原發(fā)抵賴、接收抵賴、第三方抵賴表5-14威脅種類表522威脅賦值判斷威脅出現(xiàn)的頻率是威脅識別的重要內(nèi)容，評估者應(yīng)根據(jù)經(jīng)驗和（或）有關(guān)的統(tǒng)計數(shù)據(jù)來進行判斷。在評估中，需要綜合考慮以下三個方面，以形成在某種評估環(huán)境中各種威脅出現(xiàn)的頻率：以往安全事件報告中出現(xiàn)過的威脅及其頻率的統(tǒng)計；實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計；近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計，以及發(fā)布的威脅預(yù)警?？梢詫ν{出現(xiàn)的頻率進行等級化處理，不同等級分別代表威脅出現(xiàn)的頻率的高低。等級數(shù)值越大，威脅出現(xiàn)的頻率越高。運維中心風險評估對威脅發(fā)生可能性采用以下賦值方法：等級標識定義5很高出現(xiàn)的頻率很周（或》1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實經(jīng)常發(fā)生過。4高出現(xiàn)的頻率較周（或》1次/月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過。3中出現(xiàn)的頻率中等（或〉1次/半年）；或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)生過。等級標識定義2低出現(xiàn)的頻率較小；或一般不太可能發(fā)生；或沒有被證實發(fā)生過。1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生。表5-15威脅賦值表5.3脆弱性評估脆弱性評估也稱為漏洞評估，是風險評估中重要內(nèi)容。脆弱性是信息資產(chǎn)自身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標的損害。脆弱性包括物理環(huán)境、組織、過程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的弱點。值得注意的是，脆弱性雖然是信息資產(chǎn)本身固有的，但它本身不會造成損失，它只是一種條件或環(huán)境、可能導致被威脅利用而造成資產(chǎn)損失。所以如果沒有相應(yīng)的威脅發(fā)生，單純的脆弱性并不會對資產(chǎn)造成損害。那些沒有安全威脅的脆弱性可以不需要實施安全保護措施，但它們必須記錄下來以確保當環(huán)境、條件有所變化時能隨之加以改變安全保護，需要注意的是不正確的、起不到應(yīng)有作用的或沒有正確實施的安全保護措施本身就可能是一個安全脆弱性環(huán)節(jié)。脆弱性評估將針對每一項需要保護的信息資產(chǎn)，找出每一種威脅所能利用的脆弱性，并對脆弱性的嚴重程度進行評估，即對脆弱性被威脅利用的可能性進行評估，最終為其賦值。在進行脆弱性評估時，提供的數(shù)據(jù)應(yīng)該來自于這些資產(chǎn)的擁有者或使用者，來自于相關(guān)業(yè)務(wù)領(lǐng)域的專家以及軟硬件信息系統(tǒng)方面的專業(yè)人員。脆弱性評估所采用的方法主要為：問卷調(diào)查、訪談、工具掃描、手動檢查、文檔審查、滲透測試等。在運維中心風險評估中采用問卷調(diào)查、小組訪談、工具掃描和人工檢查等方法。脆弱性的識別以資產(chǎn)為核心即根據(jù)每個資產(chǎn)分別識別其存在的弱點，然后綜合評價該資產(chǎn)的脆弱性。脆弱性識別主要從技術(shù)和管理兩個方面進行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的安全問題。管理脆弱性又可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動相關(guān)，后者與管理環(huán)境相關(guān)。

脆弱性識別內(nèi)容如下表述:類型識別對象識別內(nèi)容類型識別對象識別內(nèi)容技術(shù)脆弱性物理環(huán)境從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通信線路的保護、機房區(qū)域防護、機房設(shè)備管理等方面進行識別。服務(wù)器（含操作系統(tǒng)）從物理保護、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置（初始化）、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進行識別。網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界保護、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進行識別。數(shù)據(jù)庫從補丁安裝、鑒別機制、口令機制、訪問控制、網(wǎng)絡(luò)和服務(wù)設(shè)置、備份恢復(fù)機制、審計機制等方面進行識別。應(yīng)用系統(tǒng)審計機制、審計存儲、訪問控制策略、數(shù)據(jù)兀整性、通信、鑒別機制、密碼保護等方面進行識別。管理脆弱性技術(shù)管理物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務(wù)連續(xù)性。組織管理安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性表5-16弱點分類表安全控制措施的使用將減少脆弱性，考慮對現(xiàn)有安全控制措施的確認，采用等級方式對已識別的脆弱性的嚴重程度進行賦值。脆弱性嚴重程度的等級劃分為五級，分別代表資產(chǎn)脆弱性嚴重程度的高低。等級數(shù)值越大，脆弱性嚴重程度越高。運維中心風險評估對脆弱性采用以下賦值方法:等級影響技術(shù)攻擊角度管理防范角度1（可忽略）如果被威脅利用，將對資產(chǎn)造成的損