信息安全管理課件

信息平安管理

〔第二版〕授課內(nèi)容：信息平安風(fēng)險(xiǎn)評(píng)估信息平安管理Informationsecuritymanagement第3章信息平安風(fēng)險(xiǎn)評(píng)估3.1概述3.2信息平安風(fēng)險(xiǎn)評(píng)估策略3.3信息平安風(fēng)險(xiǎn)評(píng)估流程3.4信息平安風(fēng)險(xiǎn)評(píng)估方法3.5風(fēng)險(xiǎn)評(píng)估案例3.6本章小結(jié)3.7習(xí)題從一個(gè)故事開始認(rèn)識(shí)“風(fēng)險(xiǎn)〞3.1 概述

故事梗概傻根在外地打工掙了錢，隨身攜帶著10萬元錢坐上了一輛混雜著很多小偷的長(zhǎng)途火車回家。傻根把錢就放在了普通的布質(zhì)書包里。傻根沒有坐軟臥包廂，而是坐在擠滿了上百人的硬座車廂。有時(shí)候累了，就坐著打個(gè)瞌睡。一路上，葛優(yōu)等小偷團(tuán)伙頻頻出手，嘗試著偷這10萬元錢。但是在好心人劉德華和劉假設(shè)英等的保護(hù)下，葛優(yōu)等小偷團(tuán)伙未能得逞。好險(xiǎn)啊，如果這錢被偷走了，傻根就娶不上媳婦了。天下無賊？3.1 概述資產(chǎn)〔asset〕------對(duì)組織具有價(jià)值的任何東西[ISO/IECTR13335-1：2024]概念威脅〔threat〕------可能導(dǎo)致對(duì)系統(tǒng)或組織損害的不希望事故潛在起因[ISO/IECTR13335-1：2024]脆弱性〔vulnerability〕〔也稱脆弱點(diǎn)、漏洞〕------可能會(huì)被威脅所利用的資產(chǎn)或假設(shè)干資產(chǎn)的弱點(diǎn)[ISO/IECTR13335-1：2024]3.1 概述風(fēng)險(xiǎn)管理〔riskmanagement〕------在風(fēng)險(xiǎn)方面指揮或控制一個(gè)組織的協(xié)調(diào)活動(dòng)，一般包括風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)接受和風(fēng)險(xiǎn)傳遞[ISOGuide73：2024]風(fēng)險(xiǎn)〔risk〕------事件的概率及其結(jié)果的組合[ISOGuide73：2024]風(fēng)險(xiǎn)評(píng)價(jià)〔riskevaluation〕------對(duì)照風(fēng)險(xiǎn)準(zhǔn)那么比較被估計(jì)的風(fēng)險(xiǎn)，以確定風(fēng)險(xiǎn)嚴(yán)重性的過程[ISOGuide73：2024]概念3.1 概述信息平安風(fēng)險(xiǎn)信息平安風(fēng)險(xiǎn)是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性。信息平安風(fēng)險(xiǎn)只考慮那些對(duì)組織有負(fù)面影響的事件。風(fēng)險(xiǎn)值=資產(chǎn)價(jià)值×威脅可能性×脆弱性嚴(yán)重性〔簡(jiǎn)單理解〕3.1 概述對(duì)信息和信息處理設(shè)施的威脅、影響(Impact，指平安事件所帶來的直接和間接損失)和脆弱性及三者發(fā)生的可能性的評(píng)估。3.1 概述風(fēng)險(xiǎn)評(píng)估〔RiskAssessment〕故事分析在火車開動(dòng)到停止這段時(shí)間內(nèi)，綜合資產(chǎn)、脆弱性、威脅和平安措施等各方面因素進(jìn)行風(fēng)險(xiǎn)評(píng)估的結(jié)果是：因?yàn)?0萬元錢不是一筆小數(shù)目〔資產(chǎn)〕，葛優(yōu)等小偷能力很強(qiáng)且決心堅(jiān)決〔威脅〕，且傻根對(duì)錢的保管手段〔技術(shù)〕和意識(shí)〔管理〕都缺乏〔脆弱性〕，差一點(diǎn)發(fā)生“娶不上媳婦〞這樣的結(jié)果〔風(fēng)險(xiǎn)〕。因好心人劉德華和劉假設(shè)英等的保護(hù)到位〔平安措施〕，最終錢保住了〔風(fēng)險(xiǎn)消減〕。3.1 概述以風(fēng)險(xiǎn)為核心的平安模型〔ISO13335〕風(fēng)險(xiǎn)安全措施信息資產(chǎn)威脅脆弱性安全需求降低增加增加利用暴露價(jià)值擁有抗擊增加引出被滿足3.1 概述信息平安風(fēng)險(xiǎn)評(píng)估的意義和作用信息平安中的風(fēng)險(xiǎn)評(píng)估是傳統(tǒng)的風(fēng)險(xiǎn)理論和方法在信息系統(tǒng)中的運(yùn)用，是科學(xué)地分析和理解信息與信息系統(tǒng)在保密性、完整性、可用性等方面所面臨的風(fēng)險(xiǎn)，并在風(fēng)險(xiǎn)的減少、轉(zhuǎn)移和躲避等風(fēng)險(xiǎn)控制方法之間做出決策的過程。風(fēng)險(xiǎn)評(píng)估將導(dǎo)出信息系統(tǒng)的平安需求，因此，所有信息平安建設(shè)都應(yīng)該以風(fēng)險(xiǎn)評(píng)估為起點(diǎn)。信息平安建設(shè)的最終目的是效勞于信息化，但其直接目的是為了控制平安風(fēng)險(xiǎn)。只有在正確、全面地了解和理解平安風(fēng)險(xiǎn)后，才能決定如何處理平安風(fēng)險(xiǎn)，從而在信息平安的投資、信息平安措施的選擇、信息平安保障體系的建設(shè)等問題中做出合理的決策。持續(xù)的風(fēng)險(xiǎn)評(píng)估工作可以成為檢查信息系統(tǒng)本身乃至信息系統(tǒng)擁有單位的績(jī)效的有力手段，風(fēng)險(xiǎn)評(píng)估的結(jié)果能夠供相關(guān)主管單位參考，并使主管單位通過行政手段對(duì)信息系統(tǒng)的立項(xiàng)、投資、運(yùn)行產(chǎn)生影響，促進(jìn)信息系統(tǒng)擁有單位加強(qiáng)信息平安建設(shè)。3.1 概述3.1 概述3.1.1信息平安風(fēng)險(xiǎn)評(píng)估相關(guān)要素信息平安風(fēng)險(xiǎn)評(píng)估的對(duì)象是信息系統(tǒng)，信息系統(tǒng)的資產(chǎn)、信息系統(tǒng)可能面對(duì)的威脅、系統(tǒng)中存在的弱點(diǎn)〔脆弱性〕、系統(tǒng)中已有的平安措施等是影響信息平安風(fēng)險(xiǎn)的根本要素，它們和平安風(fēng)險(xiǎn)、平安風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的影響以及系統(tǒng)平安需求等構(gòu)成信息平安風(fēng)險(xiǎn)評(píng)估的要素。1. 資產(chǎn)根據(jù)ISO/IEC13335-1,資產(chǎn)是指任何對(duì)組織有價(jià)值的東西，資產(chǎn)包括：物理資產(chǎn)、信息/數(shù)據(jù)、軟件、提供產(chǎn)品和效勞的能力、人員、無形資產(chǎn)。?信息平安風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)?——資產(chǎn)是指對(duì)組織具有價(jià)值的信息資源，是平安策略保護(hù)的對(duì)象。以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有效勞、形象等。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、效勞、人員等類。3.1 概述2.威脅威脅是可能對(duì)資產(chǎn)或組織造成損害的潛在原因。威脅有潛力導(dǎo)致不期望發(fā)生的事件發(fā)生，該事件可能對(duì)系統(tǒng)或組織及其資產(chǎn)造成損害。這些損害可能是蓄意的對(duì)信息系統(tǒng)和效勞所處理信息的直接或間接攻擊。也可能是偶發(fā)事件。根據(jù)威脅源的不同，威脅可分為：自然威脅、環(huán)境威脅、系統(tǒng)威脅、人員威脅3.脆弱性脆弱性是一個(gè)或一組資產(chǎn)所具有的，可能被威脅利用對(duì)資產(chǎn)造成損害的薄弱環(huán)節(jié)。4.風(fēng)險(xiǎn)根據(jù)ISO/IEC13335-1，信息平安風(fēng)險(xiǎn)是指威脅利用利用一個(gè)或一組資產(chǎn)的脆弱性導(dǎo)致組織受損的潛在，并以威脅利用脆弱性造成的一系列不期望發(fā)生的事件〔或稱為平安事件〕表達(dá)3.1 概述5. 影響影響是威脅利用資產(chǎn)的脆弱性導(dǎo)致不期望發(fā)生事件的后果。這些后果可能表現(xiàn)為直接形式，如物理介質(zhì)或設(shè)備的破壞、人員的損傷、直接的資金損失等；也可能表現(xiàn)為間接的損失如公司信用、形象受損、市場(chǎng)分額損失、法律責(zé)任等。6.平安措施平安措施是指為保護(hù)資產(chǎn)、抵御威脅、減少脆弱性、限制不期望發(fā)生事件的影響、加速不期望發(fā)生事件的檢測(cè)及響應(yīng)而采取的各種實(shí)踐、規(guī)程和機(jī)制的總稱。7.平安需求平安需求是指為保證組織業(yè)務(wù)戰(zhàn)略的正常運(yùn)作而在平安措施方面提出的要求。3.1 概述3.1.2信息平安風(fēng)險(xiǎn)評(píng)估信息平安風(fēng)險(xiǎn)評(píng)估是指依據(jù)有關(guān)信息平安技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性等平安屬性進(jìn)行評(píng)價(jià)的過程。3.1.3風(fēng)險(xiǎn)要素相互間的關(guān)系資產(chǎn)、威脅、脆弱性是信息平安風(fēng)險(xiǎn)的根本要素與信息平安風(fēng)險(xiǎn)有關(guān)的要素還包括：平安措施、平安需求、影響等。ISO/IEC13335-1對(duì)它們之間的關(guān)系描述如圖2-1所示

3.1 概述?信息平安風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)?GB/T20984對(duì)ISO/IEC13335-1提出風(fēng)險(xiǎn)要素關(guān)系模型進(jìn)行了擴(kuò)展我國提出的信息風(fēng)險(xiǎn)要素關(guān)系圖3.2 信息平安風(fēng)險(xiǎn)評(píng)估策略3.2.1基線風(fēng)險(xiǎn)評(píng)估要求組織根據(jù)自己的實(shí)際情況〔所在行業(yè)、業(yè)務(wù)環(huán)境與性質(zhì)等〕，對(duì)信息系統(tǒng)進(jìn)行基線平安檢查〔將現(xiàn)有的平安措施與平安基線規(guī)定的措施進(jìn)行比較，找出其中的差距〕，得出根本的平安需求，通過選擇并實(shí)施標(biāo)準(zhǔn)的平安措施來消減和控制風(fēng)險(xiǎn)。可以根據(jù)以下資源來選擇平安基線：(1) 國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)(2) 行業(yè)標(biāo)準(zhǔn)或推薦(3)來自其他有類似商務(wù)目標(biāo)和規(guī)模的組織的慣例3.2 信息平安風(fēng)險(xiǎn)評(píng)估策略基線評(píng)估的優(yōu)點(diǎn)是：(1)風(fēng)險(xiǎn)分析和每個(gè)防護(hù)措施的實(shí)施管理只需要最少數(shù)量的資源，并且在選擇防護(hù)措施時(shí)花費(fèi)更少的時(shí)間和努力(2)如果組織的大量系統(tǒng)都在普通環(huán)境下運(yùn)行并且如果平安需要類似，那么很多系統(tǒng)都可以采用相同或相似的基線防護(hù)措施而不需要太多的努力基線評(píng)估的的缺點(diǎn)是：(1)基線水平難以設(shè)置(2)風(fēng)險(xiǎn)評(píng)估不全面、不透徹，且不易處理變更3.2 信息平安風(fēng)險(xiǎn)評(píng)估策略3.2.2詳細(xì)風(fēng)險(xiǎn)評(píng)估詳細(xì)風(fēng)險(xiǎn)評(píng)估要求對(duì)資產(chǎn)、威脅和脆弱性進(jìn)行詳細(xì)識(shí)別和評(píng)價(jià)，并對(duì)可能引起風(fēng)險(xiǎn)的水平進(jìn)行評(píng)估通過不期望事件的潛在負(fù)面業(yè)務(wù)影響評(píng)估和他們發(fā)生的可能性來完成。根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來識(shí)別和選擇平安措施，將風(fēng)險(xiǎn)降低到可接受的水平詳細(xì)評(píng)估的優(yōu)點(diǎn)是：(1) 有可能為所有系統(tǒng)識(shí)別出適當(dāng)?shù)钠桨泊胧?2) 詳細(xì)分析的結(jié)果可用于平安變更管理。詳細(xì)評(píng)估的缺點(diǎn)：需要更多的時(shí)間、努力和專業(yè)知識(shí)3.2 信息平安風(fēng)險(xiǎn)評(píng)估策略3.2.3綜合風(fēng)險(xiǎn)評(píng)估基線風(fēng)險(xiǎn)評(píng)估消耗資源少、周期短、操作簡(jiǎn)單，但不夠準(zhǔn)確，適合一般環(huán)境的評(píng)估詳細(xì)風(fēng)險(xiǎn)評(píng)估準(zhǔn)確而細(xì)致，但消耗資源較多，適合嚴(yán)格限定邊界的較小范圍內(nèi)的評(píng)估實(shí)踐中，多采用二者結(jié)合的綜合評(píng)估方式3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程3.3.1風(fēng)險(xiǎn)評(píng)估流程概述風(fēng)險(xiǎn)評(píng)估四個(gè)階段:階段1:評(píng)估準(zhǔn)備階段2:風(fēng)險(xiǎn)識(shí)別階段3:風(fēng)險(xiǎn)評(píng)價(jià)階段4:風(fēng)險(xiǎn)處理3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程3.3.2風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備是整個(gè)風(fēng)險(xiǎn)評(píng)估過程有效性的保證包括：1．確定風(fēng)險(xiǎn)評(píng)估目標(biāo)2．確定風(fēng)險(xiǎn)評(píng)估的對(duì)象和范圍3．組建團(tuán)隊(duì)。組建適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估管理與實(shí)施團(tuán)隊(duì)，以支持整個(gè)過程的推進(jìn)4．選擇方法應(yīng)考慮評(píng)估的目的、范圍、時(shí)間、效果、人員素質(zhì)等因素來選擇具體的風(fēng)險(xiǎn)判斷方法，使之能夠與組織環(huán)境和平安要求相適應(yīng)。5．獲得支持6．準(zhǔn)備相關(guān)的評(píng)估工具3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程3.3.3資產(chǎn)識(shí)別與評(píng)估1．資產(chǎn)識(shí)別資產(chǎn)識(shí)別是風(fēng)險(xiǎn)識(shí)別的必要環(huán)節(jié)。資產(chǎn)識(shí)別的任務(wù)就是對(duì)確定的評(píng)估對(duì)象所涉及或包含的資產(chǎn)進(jìn)行詳細(xì)的標(biāo)識(shí)資產(chǎn)識(shí)別過程中要特別注意無形資產(chǎn)的遺漏，同時(shí)還應(yīng)注意不同資產(chǎn)間的相互依賴關(guān)系，關(guān)系緊密的資產(chǎn)可作為一個(gè)整體來考慮，同一中類型的資產(chǎn)也應(yīng)放在一起考慮。資產(chǎn)識(shí)別方法:

訪談、現(xiàn)場(chǎng)調(diào)查、問卷、文檔查閱

3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程2．資產(chǎn)評(píng)估資產(chǎn)的評(píng)價(jià)是對(duì)資產(chǎn)的價(jià)值或重要程度進(jìn)行評(píng)估，資產(chǎn)本身的貨幣價(jià)值是資產(chǎn)價(jià)值的表達(dá)，但更重要的是資產(chǎn)對(duì)組織關(guān)鍵業(yè)務(wù)的順利開展乃至組織目標(biāo)實(shí)現(xiàn)的重要程度。由于多數(shù)資產(chǎn)不能以貨幣形式的價(jià)值來衡量，資產(chǎn)評(píng)價(jià)很難以定量的方式來進(jìn)行，多數(shù)情況下只能以定性的形式，依據(jù)重要程度的不同劃分等級(jí)定性：非常重要→重要→比較重要→不太重要→不重要〔5級(jí)劃分〕定量：54321信息資產(chǎn)的機(jī)密性、完整性、可用性、可審計(jì)性和不可抵賴性等是評(píng)價(jià)資產(chǎn)的平安屬性可以先分別對(duì)資產(chǎn)在以上各方面的重要程度進(jìn)行評(píng)估，然后通過一定的方法進(jìn)行綜合,可得資產(chǎn)的綜合價(jià)值2.資產(chǎn)評(píng)估資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級(jí)，經(jīng)過綜合評(píng)定得出電子信息資產(chǎn)紙介資產(chǎn)軟件資產(chǎn)物理資產(chǎn)人員效勞性資產(chǎn)公司形象和名譽(yù)3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程2.資產(chǎn)評(píng)估資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級(jí)，經(jīng)過綜合評(píng)定得出最大原那么：取5個(gè)屬性中最大的那個(gè)屬性賦值作為綜合評(píng)價(jià)值VA=Max(VAc,VAi,VAa,VAac,VAn)加權(quán)原那么：根據(jù)屬性保護(hù)對(duì)業(yè)務(wù)開展影響賦權(quán)重Wc+Wi+Wa+Wac+Wn=1，VA=VAc·Wc+VAi·Wi+VAa·Wa+VAac·Wac+VAn·Wn3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程2.資產(chǎn)評(píng)估?信息平安風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)?GB/T20984推薦方法：首先，對(duì)資產(chǎn)的機(jī)密性、完整性、可用性定性賦值其次，用一定方法進(jìn)行綜合，根本屬于最大原那么機(jī)密性賦值表2-3〔P28〕完整性賦值表2-4〔P29〕資產(chǎn)可用性賦值表2-5〔P29〕對(duì)關(guān)鍵資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估是重點(diǎn)3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程2.資產(chǎn)評(píng)估3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程賦值標(biāo)識(shí)定義5很高包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運(yùn)，對(duì)組織根本利益有著決定性的影響，如果泄露會(huì)造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受嚴(yán)重?fù)p害3中等組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到損害2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴(kuò)散有可能對(duì)組織的利益造成輕微損害1很低可對(duì)社會(huì)公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等資產(chǎn)機(jī)密性賦值表?信息平安風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)?GB/T209842.資產(chǎn)評(píng)估3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程資產(chǎn)完整性賦值表賦值標(biāo)識(shí)定義5很高完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無法接受的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)4高完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響，對(duì)業(yè)務(wù)沖擊嚴(yán)重，較難彌補(bǔ)3中等完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)2低完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響，對(duì)業(yè)務(wù)沖擊輕微，容易彌補(bǔ)1很低完整性價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞對(duì)組織造成的影響可以忽略，對(duì)業(yè)務(wù)沖擊可以忽略?信息平安風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)?GB/T209842.資產(chǎn)評(píng)估3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程資產(chǎn)可用性賦值表賦值標(biāo)識(shí)定義5很高可用性價(jià)值非常高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上，或系統(tǒng)不允許中斷4高可用性價(jià)值較高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到每天90%以上，或系統(tǒng)允許中斷時(shí)間小于10min3中等可用性價(jià)值中等，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到70%以上，或系統(tǒng)允許中斷時(shí)間小于30min2低可用性價(jià)值較低，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到25%以上，或系統(tǒng)允許中斷時(shí)間小于60min5很高可用性價(jià)值非常高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上，或系統(tǒng)不允許中斷?信息平安風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)?GB/T209842.資產(chǎn)評(píng)估3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程資產(chǎn)等級(jí)及含義描述等級(jí)標(biāo)識(shí)描述5很高非常重要，其安全屬性破壞后可能對(duì)組織造成非常嚴(yán)重的損失4高重要，其安全屬性破壞后可能對(duì)組織造成比較嚴(yán)重的損失3中比較重要，其安全屬性破壞后可能對(duì)組織造成中等程度的損失2低不太重要，其安全屬性破壞后可能對(duì)組織造成較低的損失1很低不重要，其安全屬性破壞后對(duì)組織造成導(dǎo)很小的損失，甚至忽略不計(jì)?信息平安風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)?GB/T209843.3 信息平安風(fēng)險(xiǎn)評(píng)估流程3.3.4威脅識(shí)別與評(píng)估1．威脅識(shí)別威脅識(shí)別的任務(wù)是對(duì)組織資產(chǎn)面臨的威脅進(jìn)行全面的標(biāo)識(shí)威脅識(shí)別可從威脅源進(jìn)行分析，也可根據(jù)有關(guān)標(biāo)準(zhǔn)、組織所提供的威脅參考目錄進(jìn)行分析。如威脅樹〔P30〕系統(tǒng)故障威脅樹〔P31〕2．威脅評(píng)估平安風(fēng)險(xiǎn)的大小是由平安事件發(fā)生的可能性以及它造成的影響決定，平安事件發(fā)生的可能性與威脅出現(xiàn)的頻率有關(guān)，而平安事件的影響那么與威脅的強(qiáng)度或破壞能力有關(guān)威脅評(píng)估就是對(duì)威脅出現(xiàn)的頻率及強(qiáng)度進(jìn)行評(píng)估，這是風(fēng)險(xiǎn)評(píng)估的重要環(huán)節(jié)評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和〔或〕有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來分析威脅出現(xiàn)的頻率及其強(qiáng)度或破壞能力威脅評(píng)估的通用方法為威脅列表中的全部可賦值威脅類進(jìn)行賦值

3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程等級(jí)標(biāo)識(shí)定義5很高出現(xiàn)的頻率很高（或≥1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實(shí)經(jīng)常發(fā)生過4高出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)情況下很有可能會(huì)發(fā)生；或可以證實(shí)多次發(fā)生過3中出現(xiàn)的頻率中等（或>1次/半年）；或在某種情況下可能會(huì)發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過2低出現(xiàn)的頻率較?。换蛞话悴惶赡馨l(fā)生；或沒有被證實(shí)發(fā)生過1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生威脅賦值表?信息平安風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)?GB/T20984威脅評(píng)估的通用方法判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，應(yīng)根據(jù)經(jīng)驗(yàn)和〔或〕有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來進(jìn)行判斷。需要綜合考慮以下三個(gè)方面，以形成在某種評(píng)估環(huán)境中各種威脅出現(xiàn)的頻率：--以往平安事件報(bào)告中出現(xiàn)過的威脅及其頻率的統(tǒng)計(jì)；--實(shí)際環(huán)境中通過檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)；--近一兩年來國際組織發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及發(fā)布的威脅預(yù)警。為簡(jiǎn)化后續(xù)的風(fēng)險(xiǎn)計(jì)算過程，防止不必要的計(jì)算工作，僅采用TOP5或者TOP10威脅參與風(fēng)險(xiǎn)計(jì)算3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程威脅舉例3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程外部威脅開展網(wǎng)絡(luò)欺騙或訛詐感染惡意代碼泄露重要信息手機(jī)攻擊網(wǎng)絡(luò)仿冒網(wǎng)頁篡改網(wǎng)頁惡意代碼垃圾郵件拒絕服務(wù)攻擊病毒蠕蟲木馬3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程3.3.5脆弱性識(shí)別與評(píng)估1．脆弱性識(shí)別也稱為弱點(diǎn)識(shí)別。弱點(diǎn)是資產(chǎn)本身存在的，如果沒有相應(yīng)的威脅發(fā)生，單純的弱點(diǎn)本身不會(huì)對(duì)資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健，再嚴(yán)重的威脅也不會(huì)導(dǎo)致平安事件，并造成損失。即,威脅總是要利用資產(chǎn)的脆弱性才可能造成危害脆弱性識(shí)別時(shí)的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等脆弱性識(shí)別所采用的方法主要有：?jiǎn)柧碚{(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)試等3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程3.3.5脆弱性識(shí)別與評(píng)估1．脆弱性識(shí)別脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的平安問題管理脆弱性又可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)1．脆弱性識(shí)別類型識(shí)別對(duì)象識(shí)別內(nèi)容技術(shù)脆弱性網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別系統(tǒng)軟件從補(bǔ)丁安裝、物理保護(hù)、用戶帳號(hào)、口令策略、資源共享、事件審計(jì)、訪問控制、新系統(tǒng)配置、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識(shí)別應(yīng)用系統(tǒng)從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別管理脆弱性技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識(shí)別組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進(jìn)行識(shí)別3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程脆弱性識(shí)別內(nèi)容表

3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程2.脆弱性評(píng)估對(duì)脆弱性被利用后對(duì)資產(chǎn)損害程度、技術(shù)實(shí)現(xiàn)的難易程度、弱點(diǎn)流行程度進(jìn)行評(píng)估，評(píng)估的結(jié)果一般都是定性等級(jí)劃分形式，綜合的標(biāo)識(shí)脆弱性的嚴(yán)重程度。也可對(duì)脆弱性被利用后對(duì)資產(chǎn)的損害程度以及被利用的可能性分別評(píng)估，然后以一定方式綜合。假設(shè)多個(gè)脆弱性反映同一個(gè)問題，應(yīng)綜合考慮這些脆弱性，確定該類脆弱性嚴(yán)重程度脆弱性評(píng)估3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程等級(jí)標(biāo)識(shí)定義5很高如果被威脅利用，將對(duì)資產(chǎn)造成完全損害。4高如果被威脅利用，將對(duì)資產(chǎn)造成重大損害。3中等如果被威脅利用，將對(duì)資產(chǎn)造成一般損害。2低如果被威脅利用，將對(duì)資產(chǎn)造成較小損害。1很低如果被威脅利用，將對(duì)資產(chǎn)造成的損害可以忽略。脆弱性嚴(yán)重程度賦值表

脆弱性嚴(yán)重程度可以進(jìn)行等級(jí)化處理，不同的等級(jí)分別代表資產(chǎn)脆弱性嚴(yán)重程度的上下。等級(jí)數(shù)值越大，脆弱性嚴(yán)重程度越高?信息平安風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)?GB/T209843.3 信息平安風(fēng)險(xiǎn)評(píng)估流程3.3.6已有平安措施確實(shí)認(rèn)平安措施可以分為預(yù)防性平安措施和保護(hù)性平安措施兩種預(yù)防性平安措施可以降低威脅利用脆弱性導(dǎo)致平安事件發(fā)生的可能性，如入侵檢測(cè)系統(tǒng)通過兩個(gè)方面的作用來實(shí)現(xiàn)〔1〕減少威脅出現(xiàn)的頻率，如通過立法或健全制度加大對(duì)員工惡意行為的懲罰，可以減少員工成心行為威脅出現(xiàn)的頻率，通過平安培訓(xùn)可以減少無意行為導(dǎo)致平安事件出現(xiàn)的頻率；〔2〕減少脆弱性，如及時(shí)為系統(tǒng)打補(bǔ)丁、對(duì)硬件設(shè)備定期檢查能夠減少系統(tǒng)的技術(shù)脆弱性等。保護(hù)性平安措施可以減少因平安事件發(fā)生后對(duì)組織或系統(tǒng)造成的影響。3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程3.3.6已有平安措施確實(shí)認(rèn)對(duì)已采取的平安措施進(jìn)行確認(rèn)，至少有兩個(gè)方面的意義〔1〕有助于對(duì)當(dāng)前信息系統(tǒng)面臨的風(fēng)險(xiǎn)進(jìn)行分析〔2〕通過對(duì)當(dāng)前平安措施確實(shí)認(rèn)，分析其有效性，對(duì)有效的平安措施繼續(xù)保持，以防止不必要的工作和費(fèi)用，防止平安措施的重復(fù)實(shí)施3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程3.3.7風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析就是利用資產(chǎn)、威脅、脆弱性識(shí)別與評(píng)估結(jié)果以及對(duì)已有平安措施確認(rèn)后，采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致平安事件發(fā)生的可能性。綜合平安事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷平安事件造成的損失對(duì)組織的影響，即平安風(fēng)險(xiǎn)3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程3.3.7風(fēng)險(xiǎn)分析1．風(fēng)險(xiǎn)計(jì)算如前所述，風(fēng)險(xiǎn)可形式化的表示為R=(A,T,V)，其中R表示風(fēng)險(xiǎn)、A表示資產(chǎn)、T表示威脅、V表示脆弱性。相應(yīng)的風(fēng)險(xiǎn)值由A、T、V的取值決定，是它們的函數(shù)，可以表示為：風(fēng)險(xiǎn)值=R〔A，T，V〕=R(L(T，V)，F(xiàn)(Ia，Va))Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致平安事件發(fā)生的可能性；F表示平安事件發(fā)生后產(chǎn)生的損失3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程3.3.7風(fēng)險(xiǎn)分析1．風(fēng)險(xiǎn)計(jì)算三個(gè)關(guān)鍵計(jì)算環(huán)節(jié)：a〕計(jì)算平安事件發(fā)生的可能性根據(jù)威脅出現(xiàn)頻率及弱點(diǎn)的狀況，計(jì)算威脅利用脆弱性導(dǎo)致平安事件發(fā)生的可能性，即：平安事件發(fā)生的可能性=L(威脅出現(xiàn)頻率，脆弱性)=L(T，V)在具體評(píng)估中，應(yīng)綜合攻擊者技術(shù)能力〔專業(yè)技術(shù)程度、攻擊設(shè)備等〕、脆弱性被利用的難易程度〔可訪問時(shí)間、設(shè)計(jì)和操作知識(shí)公開程度等〕、資產(chǎn)吸引力等因素來判斷平安事件發(fā)生的可能性。3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程3.3.7風(fēng)險(xiǎn)分析1．風(fēng)險(xiǎn)計(jì)算三個(gè)關(guān)鍵計(jì)算環(huán)節(jié)：b〕計(jì)算平安事件發(fā)生后的損失根據(jù)資產(chǎn)價(jià)值及脆弱性嚴(yán)重程度，計(jì)算平安事件一旦發(fā)生后的損失，即：平安事件的損失=F(資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度)=F(Ia，Va)局部平安事件的發(fā)生造成的損失不僅僅是針對(duì)該資產(chǎn)本身，還可能影響業(yè)務(wù)的連續(xù)性；不同平安事件的發(fā)生對(duì)組織造成的影響也是不一樣的。在計(jì)算某個(gè)平安事件的損失時(shí)，應(yīng)將對(duì)組織的影響也考慮在內(nèi)。對(duì)發(fā)生可能性極小的平安事件，可以不計(jì)算其損失3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程3.3.7風(fēng)險(xiǎn)分析1．風(fēng)險(xiǎn)計(jì)算三個(gè)關(guān)鍵計(jì)算環(huán)節(jié)：c〕計(jì)算風(fēng)險(xiǎn)值根據(jù)計(jì)算出的平安事件發(fā)生的可能性以及平安事件的損失，計(jì)算風(fēng)險(xiǎn)值，即：風(fēng)險(xiǎn)值=R(平安事件發(fā)生的可能性，平安事件造成的損失)=R(L(T，V)，F(xiàn)(Ia，Va))可根據(jù)自身情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算風(fēng)險(xiǎn)值，如矩陣法或相乘法。矩陣法通過構(gòu)造一個(gè)二維矩陣，形成平安事件發(fā)生的可能性與平安事件的損失之間的二維關(guān)系相乘法通過構(gòu)造經(jīng)驗(yàn)函數(shù)，將平安事件發(fā)生的可能性與平安事件的損失進(jìn)行運(yùn)算得到風(fēng)險(xiǎn)值。3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程2．影響分析平安事件對(duì)組織的影響可表達(dá)在以下方面：直接經(jīng)濟(jì)損失、物理資產(chǎn)的損壞、業(yè)務(wù)影響、法律責(zé)任、人員平安危害、信譽(yù)〔形象〕損失上述損失有些容易定量表示，有些那么很難3．可能性分析平安事件發(fā)生的可能性的因素有：資產(chǎn)吸引力、威脅出現(xiàn)的可能性、脆弱性的屬性、平安措施的效能等。根據(jù)威脅源的分類，引起平安事件發(fā)生的原因可能自然災(zāi)害、環(huán)境及系統(tǒng)威脅、人員無意行為、人員成心行為等不同類型的平安事件，其可能性影響因素也有點(diǎn)不同3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程4.

風(fēng)險(xiǎn)結(jié)果判定為實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制與管理，可以對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行等級(jí)化處理?？梢詫L(fēng)險(xiǎn)劃分為五級(jí)，等級(jí)越高，風(fēng)險(xiǎn)越高根據(jù)所采用的風(fēng)險(xiǎn)計(jì)算方法，計(jì)算每種資產(chǎn)面臨的風(fēng)險(xiǎn)值根據(jù)風(fēng)險(xiǎn)值的分布狀況，為每個(gè)等級(jí)設(shè)定風(fēng)險(xiǎn)值范圍，并對(duì)所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)處理。每個(gè)等級(jí)代表了相應(yīng)風(fēng)險(xiǎn)的嚴(yán)重程度等級(jí)標(biāo)識(shí)描述5很高一旦發(fā)生將產(chǎn)生非常嚴(yán)重的經(jīng)濟(jì)或社會(huì)影響，如組織信譽(yù)嚴(yán)重破壞、嚴(yán)重影響組織的正常經(jīng)營(yíng)，經(jīng)濟(jì)損失重大、社會(huì)影響惡劣4高一旦發(fā)生將產(chǎn)生較大的經(jīng)濟(jì)或社會(huì)影響，在一定范圍內(nèi)給組織的經(jīng)營(yíng)和組織信譽(yù)造成損害3中等一旦發(fā)生會(huì)造成一定的經(jīng)濟(jì)、社會(huì)或生產(chǎn)經(jīng)營(yíng)影響，但影響面和影響程度不大2低一旦發(fā)生造成的影響程度較低，一般僅限于組織內(nèi)部，通過一定手段很快能解決1很低一旦發(fā)生造成的影響幾乎不存在，通過簡(jiǎn)單的措施就能彌補(bǔ)風(fēng)險(xiǎn)等級(jí)劃分表

3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程3.3.8平安措施的選取風(fēng)險(xiǎn)評(píng)估的目的不僅是獲取組織面臨的有關(guān)風(fēng)險(xiǎn)信息，更重要的是采取適當(dāng)?shù)拇胧⑵桨诧L(fēng)險(xiǎn)控制在可接受的范圍內(nèi)。平安措施可以降低平安事件造成的影響，也可以降低平安事件發(fā)生的可能性，在對(duì)組織面臨的平安風(fēng)險(xiǎn)有全面認(rèn)識(shí)后，應(yīng)根據(jù)風(fēng)險(xiǎn)的性質(zhì)選取適宜的平安措施，并對(duì)對(duì)可能的剩余風(fēng)險(xiǎn)進(jìn)行分析，直到剩余風(fēng)險(xiǎn)為可接受風(fēng)險(xiǎn)為止。3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程3.3.9風(fēng)險(xiǎn)評(píng)估文件記錄風(fēng)險(xiǎn)評(píng)估文件包括在整個(gè)風(fēng)險(xiǎn)評(píng)估過程中產(chǎn)生的評(píng)估過程文檔和評(píng)估結(jié)果文檔，這些文檔包括：(1)風(fēng)險(xiǎn)評(píng)估方案(2)風(fēng)險(xiǎn)評(píng)估程序(3)資產(chǎn)識(shí)別清單(4)重要資產(chǎn)清單(5)威脅列表(6)脆弱性列表(7)已有平安措施確認(rèn)表(8)風(fēng)險(xiǎn)評(píng)估報(bào)告(9)風(fēng)險(xiǎn)處理方案(10)風(fēng)險(xiǎn)評(píng)估記錄3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程3.3.10信息系統(tǒng)生命周期各階段評(píng)估風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于信息系統(tǒng)生命周期的各階段中信息系統(tǒng)生命周期各階段中涉及的風(fēng)險(xiǎn)評(píng)估的原那么和方法是一致的，但由于各階段實(shí)施的內(nèi)容、對(duì)象、平安需求不同，使得風(fēng)險(xiǎn)評(píng)估的對(duì)象、目的、要求等各方面也有所不同。規(guī)劃設(shè)計(jì)階段，通過風(fēng)險(xiǎn)評(píng)估以確定系統(tǒng)的平安目標(biāo)；建設(shè)驗(yàn)收階段，通過風(fēng)險(xiǎn)評(píng)估以確定系統(tǒng)的平安目標(biāo)達(dá)成與否；運(yùn)行維護(hù)階段，要不斷地實(shí)施風(fēng)險(xiǎn)評(píng)估以識(shí)別系統(tǒng)面臨的不斷變化的風(fēng)險(xiǎn)和脆弱性，從而確定平安措施的有效性，確保平安目標(biāo)得以實(shí)現(xiàn)。每個(gè)階段風(fēng)險(xiǎn)評(píng)估的具體實(shí)施應(yīng)根據(jù)該階段的特點(diǎn)有所側(cè)重有條件時(shí)，應(yīng)采用風(fēng)險(xiǎn)評(píng)估工具開展風(fēng)險(xiǎn)評(píng)估活動(dòng)3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程3.3.10信息系統(tǒng)生命周期各階段評(píng)估規(guī)劃階段的風(fēng)險(xiǎn)評(píng)估〔詳見GB/T20984—2024〕設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估〔詳見GB/T20984—2024〕實(shí)施階段的風(fēng)險(xiǎn)評(píng)估〔詳見GB/T20984—2024〕運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)評(píng)估〔詳見GB/T20984—2024〕廢棄階段的風(fēng)險(xiǎn)評(píng)估〔詳見GB/T20984—2024〕3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程3.3.11風(fēng)險(xiǎn)評(píng)估的工作形式分為自評(píng)估和檢查評(píng)估兩種形式。信息平安風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相結(jié)合、互為補(bǔ)充自評(píng)估是指信息系統(tǒng)擁有、運(yùn)營(yíng)或使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估自評(píng)估應(yīng)在本標(biāo)準(zhǔn)的指導(dǎo)下，結(jié)合系統(tǒng)特定的平安要求進(jìn)行實(shí)施周期性進(jìn)行的自評(píng)估可以在評(píng)估流程上適當(dāng)簡(jiǎn)化，重點(diǎn)考察自上次評(píng)估后系統(tǒng)發(fā)生變化后引入的新威脅，以及系統(tǒng)脆弱性的完整識(shí)別，以便于兩次評(píng)估結(jié)果的比照但系統(tǒng)發(fā)生重大變更時(shí)，應(yīng)依據(jù)本標(biāo)準(zhǔn)進(jìn)行完整的評(píng)估3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程3.3.11風(fēng)險(xiǎn)評(píng)估的工作形式分為自評(píng)估和檢查評(píng)估兩種形式。信息平安風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相結(jié)合、互為補(bǔ)充檢查評(píng)估是指信息系統(tǒng)上級(jí)管理部門組織或國家有關(guān)職能部門依法開展的風(fēng)險(xiǎn)評(píng)估。檢查評(píng)估可依據(jù)本標(biāo)準(zhǔn)的要求，實(shí)施完整的風(fēng)險(xiǎn)評(píng)估過程。檢查評(píng)估也可在自評(píng)估實(shí)施的根底上，對(duì)關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評(píng)估3.3 信息平安風(fēng)險(xiǎn)評(píng)估流程3.3.11風(fēng)險(xiǎn)評(píng)估的工作形式檢查評(píng)估包括以下內(nèi)容a〕自評(píng)估隊(duì)伍及技術(shù)人員審查；b〕自評(píng)估方法的檢查；c〕自評(píng)估過程控制與文檔記錄檢查；d〕自評(píng)估資產(chǎn)列表審查；e〕自評(píng)估威脅列表審查；f〕自評(píng)估脆弱性列表審查；g〕現(xiàn)有平安措施有效性檢查；h〕自評(píng)估結(jié)果審查與采取相應(yīng)措施的跟蹤檢查；i〕自評(píng)估技術(shù)技能限制未完成工程的檢查評(píng)估；j〕上級(jí)關(guān)注或要求的關(guān)鍵環(huán)節(jié)和重點(diǎn)內(nèi)容的檢查評(píng)估；k〕軟硬件維護(hù)制度及實(shí)施管理的檢查；l〕突發(fā)事件應(yīng)對(duì)措施的檢查；3.4 信息平安風(fēng)險(xiǎn)評(píng)估方法3.4.1概述信息平安風(fēng)險(xiǎn)評(píng)估是通過采用一定的方法對(duì)組織面臨的風(fēng)險(xiǎn)進(jìn)行識(shí)別，并分析風(fēng)險(xiǎn)對(duì)組織帶來的影響以及其發(fā)生的可能性大小，然后通過一定的綜合評(píng)價(jià)方法來評(píng)估組織面臨的風(fēng)險(xiǎn)，并選取適當(dāng)?shù)拇胧﹣砜刂骑L(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估的復(fù)雜性決定了風(fēng)險(xiǎn)評(píng)估方法的多樣性。從理論上看，風(fēng)險(xiǎn)評(píng)估方法的理論根底包括：概率風(fēng)險(xiǎn)分析方法、模糊決策方法、人工智能、定性推理方法、灰色決策理論、綜合評(píng)價(jià)方法等。從風(fēng)險(xiǎn)評(píng)估過程整體上看，風(fēng)險(xiǎn)評(píng)估方法有：基于資產(chǎn)驅(qū)動(dòng)的風(fēng)險(xiǎn)評(píng)估方法、威脅驅(qū)動(dòng)的風(fēng)險(xiǎn)評(píng)估方法、脆弱性驅(qū)動(dòng)的風(fēng)險(xiǎn)評(píng)估方法、基于案例的風(fēng)險(xiǎn)評(píng)估方法等。從風(fēng)險(xiǎn)分析方法來看，風(fēng)險(xiǎn)評(píng)估方法可分為兩大類：定量方法與定性方法。3.4 信息平安風(fēng)險(xiǎn)評(píng)估方法3.4.2信息平安風(fēng)險(xiǎn)評(píng)估理論根底1.概率風(fēng)險(xiǎn)分析概率風(fēng)險(xiǎn)分析方法的思想是利用概率論方法來識(shí)別和分析風(fēng)險(xiǎn)，這類方法主要包括：故障樹分析法〔FTA〕，故障模式影響和危害程度分析方法〔FMECA〕，危害及可操作性研究分析方法〔HazOp〕和Markov分析法。2.模糊決策方法風(fēng)險(xiǎn)評(píng)估的對(duì)象以及信息系統(tǒng)的狀態(tài)具有不確定性，經(jīng)典的數(shù)學(xué)模型由于其精確性特點(diǎn)使得它很難很好的把握問題的實(shí)質(zhì)，模糊決策方法填補(bǔ)了這方面的缺乏。模糊決策理論不是把問題變成模糊不清的東西，相反，它具有數(shù)學(xué)的共性：條理清楚、一絲不茍，它是通過標(biāo)準(zhǔn)化的理論體系來描述模糊的對(duì)象，使模糊對(duì)象能清晰的呈現(xiàn)在決策者面前，這是經(jīng)典的數(shù)學(xué)理論所不能做到的。3.4 信息平安風(fēng)險(xiǎn)評(píng)估方法3.人工智能人工智能是20世紀(jì)中期產(chǎn)生的并正在迅速開展的新興邊緣學(xué)科,它是探索和模擬人的智能和思維過程的規(guī)律,并進(jìn)而設(shè)計(jì)出類似人的某些智能化的科學(xué)。信息系統(tǒng)狀態(tài)變化規(guī)律的復(fù)雜性決定了很難用一確定的數(shù)學(xué)模型來描述，應(yīng)綜合神經(jīng)網(wǎng)絡(luò)、智能推理，知識(shí)庫等多方面知識(shí)，建立一個(gè)具有自學(xué)習(xí)能力的專家系統(tǒng)，目前基于案例的風(fēng)險(xiǎn)評(píng)估方法就是這一理論的具體應(yīng)用。6.灰色系統(tǒng)理論局部信息、局部信息未知的系統(tǒng)稱為灰色系統(tǒng)。灰色系統(tǒng)理論是研究和解決灰色系統(tǒng)分析、建模、預(yù)測(cè)和控制的理論。在信息世界，由于數(shù)據(jù)的短缺或事物本身的特性，很多現(xiàn)象是“灰色〞的，其意義是指其中含有的、未知的與非確定的種種信息。3.4 信息平安風(fēng)險(xiǎn)評(píng)估方法7.綜合評(píng)價(jià)方法信息平安風(fēng)險(xiǎn)評(píng)估對(duì)象是多指標(biāo)的復(fù)雜系統(tǒng)，對(duì)于多指標(biāo)系統(tǒng)，評(píng)價(jià)指標(biāo)有多個(gè)，不同指標(biāo)有不同的量綱，多指標(biāo)系統(tǒng)的評(píng)價(jià)過程中必須解決以下兩個(gè)問題：其一是采用什么方法將不同量綱指標(biāo)無量綱化，其二是采用何種方式確定不同指標(biāo)的相對(duì)重要性，通常是引入權(quán)向量來描述。不同綜合評(píng)價(jià)方法有不同的處理方法，常用的綜合評(píng)價(jià)方法有綜合指數(shù)法、成效評(píng)分法、TOPSIS法、層次分析法、主成份分析法、聚類分析法等(1)綜合指數(shù)法是多指標(biāo)系統(tǒng)的一種評(píng)價(jià)方法。綜合指數(shù)法通過計(jì)算各評(píng)價(jià)對(duì)象對(duì)每個(gè)指標(biāo)折算指數(shù)值來實(shí)現(xiàn)不同指標(biāo)值的無量綱化，并通過加權(quán)平均方法計(jì)算綜合指數(shù)值3.4 信息平安風(fēng)險(xiǎn)評(píng)估方法(2)成效評(píng)分法通過成效系數(shù)來實(shí)現(xiàn)不同指標(biāo)的無量綱化，然后在利用其他方法來確定成效權(quán)值，如均權(quán)法、層次分析法、離差權(quán)法等。(3)TOPSIS法3.4 信息平安風(fēng)險(xiǎn)評(píng)估方法3.4 信息平安風(fēng)險(xiǎn)評(píng)估方法(4)層次分析法是將決策問題的有關(guān)元素分解成目標(biāo)、準(zhǔn)那么、方案等層次，在此根底上進(jìn)行定量和定性分析的一種決策方法。層次分析法的決策過程如下：a)分析各影響因素間的關(guān)系，建立層次模型b)構(gòu)建兩兩比較判斷矩陣c)計(jì)算單個(gè)判斷矩陣對(duì)應(yīng)的權(quán)重向量d)計(jì)算各層元素對(duì)目標(biāo)層的合成權(quán)重向量(5)主成分分析是一種多元統(tǒng)計(jì)分析方法，對(duì)于多指標(biāo)的復(fù)雜評(píng)價(jià)系統(tǒng)，由于指標(biāo)多，數(shù)據(jù)處理相當(dāng)復(fù)雜，由于指標(biāo)之間存在一定的關(guān)系，可以適當(dāng)簡(jiǎn)化。主成分分析的思想是通過一定的變換，用較少的指標(biāo)來代替原先較多的指標(biāo)，從而到達(dá)簡(jiǎn)化問題的處理與分析的目的。(6)聚類分析法是解決“物以類聚〞，解決事務(wù)分類的一種數(shù)學(xué)方法。它是在沒有或不用樣品所述類別信息的情況下，依據(jù)對(duì)樣品采集的數(shù)據(jù)的內(nèi)在結(jié)構(gòu)以及相互間的關(guān)系，在樣品間相似性度量的根底上，對(duì)樣品進(jìn)行分類的一種方法3.4 信息平安風(fēng)險(xiǎn)評(píng)估方法3.4.3定量方法定量方法試圖用具體的貨幣表示形式的損失值來分析和度量風(fēng)險(xiǎn)，定量方法主要有基于期望損失的風(fēng)險(xiǎn)評(píng)估方法與基于期望損失效用的風(fēng)險(xiǎn)評(píng)估方法等。1．基于期望損失的風(fēng)險(xiǎn)評(píng)估方法類似的定義還有期望年損失ALE〔AnnualLossExpectancy〕，它是以組織在目前平安狀態(tài)下平均年損失作為風(fēng)險(xiǎn)度量的標(biāo)準(zhǔn)。假設(shè)風(fēng)險(xiǎn)事件E造成的相對(duì)損失為loss，其發(fā)生的可能性為L(zhǎng)，loss和L均為取值在[0,1]區(qū)間定量值。假設(shè)依據(jù)期望損失理論，將根據(jù)loss×L值大小劃分等級(jí)，等級(jí)劃分方法結(jié)果如圖2-9所示3.4 信息平安風(fēng)險(xiǎn)評(píng)估方法2．基于期望損失效用的風(fēng)險(xiǎn)評(píng)估方法假設(shè)經(jīng)過風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)事件E造成的相對(duì)損失為loss，其發(fā)生的可能性為L(zhǎng)，loss和L均為取值在[0,1]區(qū)間定量值。建立風(fēng)險(xiǎn)等級(jí)劃分方法，結(jié)果見圖所示這種方法的好處就是能夠更好的區(qū)分“高損失、低可能性〞及“低損失、高可能性〞兩種不同平安事件的風(fēng)險(xiǎn)。3.4 信息平安風(fēng)險(xiǎn)評(píng)估方法3.4.4定性方法定性方法不是給出具體的貨幣形式的損失，而是用諸如“極為嚴(yán)重、嚴(yán)重、一般、可忽略〞等定性方法來度量風(fēng)險(xiǎn)。定性方法一般基于一定的定量方法，在定量方法的根底上進(jìn)行裁剪和簡(jiǎn)化。典型的定性風(fēng)險(xiǎn)分析與評(píng)價(jià)方法有風(fēng)險(xiǎn)矩陣測(cè)量、威脅分級(jí)法、風(fēng)險(xiǎn)綜合評(píng)價(jià)等。1．風(fēng)險(xiǎn)矩陣測(cè)量這種方法的特點(diǎn)是事先建立資產(chǎn)價(jià)值、威脅等級(jí)和脆弱性等級(jí)的一個(gè)對(duì)應(yīng)矩陣，預(yù)先將風(fēng)險(xiǎn)等級(jí)進(jìn)行了確定。然后根據(jù)不同資產(chǎn)的賦值從矩陣中確定不同的風(fēng)險(xiǎn)。2．威脅分級(jí)法這種方法是直接考慮威脅、威脅導(dǎo)致的平安事件對(duì)資產(chǎn)產(chǎn)生的影響以及威脅導(dǎo)致平安事件發(fā)生的可能性來確定風(fēng)險(xiǎn)。3．風(fēng)險(xiǎn)綜合評(píng)價(jià)這種方法中風(fēng)險(xiǎn)由威脅導(dǎo)致的平安事件發(fā)生的可能性、對(duì)資產(chǎn)的影響程