(高清版)GBT 20984-2022 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法

代替GB/T20984—2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法2022-04-15發(fā)布2022-11-01實(shí)施國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)GB/T20984—2022 I 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義、縮略語(yǔ) 3.1術(shù)語(yǔ)和定義 3.2縮略語(yǔ) 4風(fēng)險(xiǎn)評(píng)估框架及流程 24.1風(fēng)險(xiǎn)要素關(guān)系 24.2風(fēng)險(xiǎn)分析原理 34.3風(fēng)險(xiǎn)評(píng)估流程 35風(fēng)險(xiǎn)評(píng)估實(shí)施 45.1風(fēng)險(xiǎn)評(píng)估準(zhǔn)備 45.2風(fēng)險(xiǎn)識(shí)別 5.3風(fēng)險(xiǎn)分析 5.4風(fēng)險(xiǎn)評(píng)價(jià) 5.5溝通與協(xié)商 5.6風(fēng)險(xiǎn)評(píng)估文檔記錄 附錄A(資料性)評(píng)估對(duì)象生命周期各階段的風(fēng)險(xiǎn)評(píng)估 附錄B(資料性)風(fēng)險(xiǎn)評(píng)估的工作形式 附錄C(資料性)風(fēng)險(xiǎn)評(píng)估的工具 附錄D(資料性)資產(chǎn)識(shí)別 附錄E(資料性)威脅識(shí)別 附錄F(資料性)風(fēng)險(xiǎn)計(jì)算示例 參考文獻(xiàn) I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件代替GB/T20984—2007《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》,與GB/T20984—2007相比，除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外，主要技術(shù)變化如下：b)刪除了“業(yè)務(wù)戰(zhàn)略”的術(shù)語(yǔ)和定義(見(jiàn)2007年版的3.4);d)更改了風(fēng)險(xiǎn)評(píng)估框架及流程中的風(fēng)險(xiǎn)要素關(guān)系、風(fēng)險(xiǎn)分析原理和評(píng)估實(shí)施流程(見(jiàn)第4章，2007年版的第4章);e)更改了風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程中風(fēng)險(xiǎn)要素識(shí)別和關(guān)聯(lián)分析內(nèi)容(見(jiàn)5.2和5.3,2007年版的5.2、f)將原標(biāo)準(zhǔn)中評(píng)估對(duì)象生命周期各階段的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)評(píng)估的工作形式調(diào)整到規(guī)范性附錄A和資料性附錄B中(見(jiàn)附錄A和附錄B,2007年版的第6章和第7章)。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本文件起草單位：國(guó)家信息中心、北京安信天行科技有限公司、信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心、北京信息安全測(cè)評(píng)中心、中國(guó)信息安全測(cè)評(píng)中心、中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、公安部信息安全等級(jí)保護(hù)評(píng)估中心、公安部第一研究所、上海觀安信息技術(shù)股份有限公司、成都民航電子技術(shù)有限責(zé)任公司、河南金盾信安檢測(cè)評(píng)估中心有限公司、深圳市南山區(qū)政務(wù)服務(wù)數(shù)據(jù)管理局、云南公路聯(lián)網(wǎng)收費(fèi)管理有限公司、國(guó)網(wǎng)寧夏電力有限公司、國(guó)網(wǎng)新疆電力有限公司。本文件及其所代替文件的歷次版本發(fā)布情況為：——2007年首次發(fā)布為GB/T20984—2007;——本次為第一次修訂。1信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法本文件描述了信息安全風(fēng)險(xiǎn)評(píng)估的基本概念、風(fēng)險(xiǎn)要素關(guān)系、風(fēng)險(xiǎn)分析原理、風(fēng)險(xiǎn)評(píng)估實(shí)施流程和評(píng)估方法，以及風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)和工作形式。本文件適用于各類組織開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改版)適用于本文件。GB/T25069信息安全技術(shù)術(shù)語(yǔ)GB/T33132—2016信息安全技術(shù)信息安全風(fēng)險(xiǎn)處理實(shí)施指南3.1術(shù)語(yǔ)和定義GB/T25069界定的以及下列術(shù)語(yǔ)和定義適用于本文件。信息安全風(fēng)險(xiǎn)informationsecurityrisk特定威脅利用單個(gè)或一組資產(chǎn)脆弱性的可能性以及由此可能給組織帶來(lái)的損害。注：它以事態(tài)的可能性及其后果的組合來(lái)度量。風(fēng)險(xiǎn)評(píng)估riskassessment風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過(guò)程。注：本文件專指信息安全風(fēng)險(xiǎn)評(píng)估。組織organization具有自身的職責(zé)、權(quán)威和關(guān)系以實(shí)現(xiàn)其目標(biāo)的個(gè)人或集體。組合，無(wú)論注冊(cè)成立與否、是公共的還是私營(yíng)的。組織為實(shí)現(xiàn)某項(xiàng)發(fā)展規(guī)劃而開(kāi)展的運(yùn)營(yíng)活動(dòng)。注：該活動(dòng)具有明確的目標(biāo)，并延續(xù)一段時(shí)間。2為保證組織業(yè)務(wù)規(guī)劃的正常運(yùn)作而在安全措施方面提出的要求。程和機(jī)制。由評(píng)估對(duì)象所有者自身發(fā)起，組成機(jī)構(gòu)內(nèi)部的評(píng)估小組，依據(jù)國(guó)家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對(duì)評(píng)估對(duì)象安全管理進(jìn)行評(píng)估的活動(dòng)。檢查評(píng)估inspectionassessment由評(píng)估對(duì)象所有者的上級(jí)主管部門、業(yè)務(wù)主管部門或國(guó)家相關(guān)監(jiān)管部門發(fā)起，依據(jù)國(guó)家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對(duì)評(píng)估對(duì)象安全管理進(jìn)行的評(píng)估活動(dòng)。下列縮略語(yǔ)適用于本文件。App:應(yīng)用程序(Application)PaaS:平臺(tái)即服務(wù)(PlatformasaService)UPS:不間斷電源(UninterruptedPowerSupply)VPN:虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork)4風(fēng)險(xiǎn)評(píng)估框架及流程4.1風(fēng)險(xiǎn)要素關(guān)系風(fēng)險(xiǎn)評(píng)估中基本要素的關(guān)系如圖1所示。風(fēng)險(xiǎn)評(píng)估基本要素包括資產(chǎn)、威脅、脆弱性和安全措施，并基于以上要素開(kāi)展風(fēng)險(xiǎn)評(píng)估。3脆弱性標(biāo)引序號(hào)說(shuō)明：風(fēng)險(xiǎn)要素；要素關(guān)系；風(fēng)險(xiǎn)。導(dǎo)致資產(chǎn)潛在影響風(fēng)險(xiǎn)安全搭施抵御威脅圖1風(fēng)險(xiǎn)要素及其關(guān)系開(kāi)展風(fēng)險(xiǎn)評(píng)估時(shí)，基本要素之間的關(guān)系如下：a)風(fēng)險(xiǎn)要素的核心是資產(chǎn)，而資產(chǎn)存在脆弱性；b)安全措施的實(shí)施通過(guò)降低資產(chǎn)脆弱性被利用難易程度，抵御外部威脅，以實(shí)現(xiàn)對(duì)資產(chǎn)的保護(hù)；c)威脅通過(guò)利用資產(chǎn)存在的脆弱性導(dǎo)致風(fēng)險(xiǎn)；d)風(fēng)險(xiǎn)轉(zhuǎn)化成安全事件后，會(huì)對(duì)資產(chǎn)的運(yùn)行狀態(tài)產(chǎn)生影響。風(fēng)險(xiǎn)分析時(shí)，應(yīng)綜合考慮資產(chǎn)、脆弱性、威脅和安全措施等基本因素。4.2風(fēng)險(xiǎn)分析原理風(fēng)險(xiǎn)分析原理如下：a)根據(jù)威脅的來(lái)源、種類、動(dòng)機(jī)等，并結(jié)合威脅相關(guān)安全事件、日志等歷史數(shù)據(jù)統(tǒng)計(jì)，確定威脅的能力和頻率；b)根據(jù)脆弱性訪問(wèn)路徑、觸發(fā)要求等，以及已實(shí)施的安全措施及其有效性確定脆弱性被利用難易程度；c)確定脆弱性被威脅利用導(dǎo)致安全事件發(fā)生后對(duì)資產(chǎn)所造成的影響程度；d)根據(jù)威脅的能力和頻率，結(jié)合脆弱性被利用難易程度，確定安全事件發(fā)生的可能性；e)根據(jù)資產(chǎn)在發(fā)展規(guī)劃中所處的地位和資產(chǎn)的屬性，確定資產(chǎn)價(jià)值；f)根據(jù)影響程度和資產(chǎn)價(jià)值，確定安全事件發(fā)生后對(duì)評(píng)估對(duì)象造成的損失；g)根據(jù)安全事件發(fā)生的可能性以及安全事件造成的損失，確定評(píng)估對(duì)象的風(fēng)險(xiǎn)值；h)依據(jù)風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則，確定風(fēng)險(xiǎn)等級(jí)，用于風(fēng)險(xiǎn)決策。4.3風(fēng)險(xiǎn)評(píng)估流程風(fēng)險(xiǎn)評(píng)估的實(shí)施流程如圖2所示。風(fēng)險(xiǎn)評(píng)估流程應(yīng)包括如下內(nèi)容。a)評(píng)估準(zhǔn)備，此階段應(yīng)包括：1)確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)；2)確定風(fēng)險(xiǎn)評(píng)估的對(duì)象、范圍和邊界；3)組建評(píng)估團(tuán)隊(duì)；4)開(kāi)展前期調(diào)研；5)確定評(píng)估依據(jù)；4評(píng)佔(zhàn)準(zhǔn)備評(píng)佔(zhàn)準(zhǔn)備評(píng)估過(guò)程脆弱性識(shí)別風(fēng)險(xiǎn)分析評(píng)估過(guò)程文檔風(fēng)險(xiǎn)評(píng)價(jià)已有安全措施識(shí)別溝通與協(xié)風(fēng)險(xiǎn)威脅識(shí)別資產(chǎn)識(shí)別圖2風(fēng)險(xiǎn)評(píng)估實(shí)施流程圖6)建立風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則；7)制定評(píng)估方案。組織應(yīng)形成完整的風(fēng)險(xiǎn)評(píng)估實(shí)施方案，并獲得組織最高管理者的支持和批準(zhǔn)。b)風(fēng)險(xiǎn)識(shí)別，此階段應(yīng)包括：1)資產(chǎn)識(shí)別(見(jiàn)5.2.1);2)威脅識(shí)別(見(jiàn)5.2.2);3)已有安全措施識(shí)別(見(jiàn)5.2.3);4)脆弱性識(shí)別(見(jiàn)5.2.4)。c)風(fēng)險(xiǎn)分析，此階段依據(jù)識(shí)別的結(jié)果計(jì)算得到風(fēng)險(xiǎn)值。d)風(fēng)險(xiǎn)評(píng)價(jià)，此階段依據(jù)風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則確定風(fēng)險(xiǎn)等級(jí)。溝通與協(xié)商和評(píng)估過(guò)程文檔管理貫穿于整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程。風(fēng)險(xiǎn)評(píng)估工作是持續(xù)性的活動(dòng)，當(dāng)評(píng)估對(duì)象的政策環(huán)境、外部威脅環(huán)境、業(yè)務(wù)目標(biāo)、安全目標(biāo)等發(fā)生變化時(shí)，應(yīng)重新開(kāi)展風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估的結(jié)果能夠?yàn)轱L(fēng)險(xiǎn)處理提供決策支撐，風(fēng)險(xiǎn)處理是指對(duì)風(fēng)險(xiǎn)進(jìn)行處理的一系列活動(dòng)，如接受風(fēng)險(xiǎn)、規(guī)避風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)等。風(fēng)險(xiǎn)處理按照GB/T33132—2016開(kāi)展。5風(fēng)險(xiǎn)評(píng)估實(shí)施5.1風(fēng)險(xiǎn)評(píng)估準(zhǔn)備組織實(shí)施風(fēng)險(xiǎn)評(píng)估是一種戰(zhàn)略性的考慮，其結(jié)果將受到組織規(guī)劃、業(yè)務(wù)、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。因此，在風(fēng)險(xiǎn)評(píng)估實(shí)施前應(yīng)準(zhǔn)備以下工作。a)在考慮風(fēng)險(xiǎn)評(píng)估的工作形式、在生命周期中所處階段和被評(píng)估單位的安全評(píng)估需求的基礎(chǔ)上，確定風(fēng)險(xiǎn)評(píng)估目標(biāo)。附錄A給出了評(píng)估對(duì)象生命周期各階段的風(fēng)險(xiǎn)評(píng)估內(nèi)容，附錄B給出了風(fēng)險(xiǎn)評(píng)估的工作形式描述。b)確定風(fēng)險(xiǎn)評(píng)估的對(duì)象、范圍和邊界。c)組建評(píng)估團(tuán)隊(duì)、明確評(píng)估工具。附錄C給出了風(fēng)險(xiǎn)評(píng)估的工具。d)開(kāi)展前期調(diào)研。e)確定評(píng)估依據(jù)。f)建立風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則：組織應(yīng)在考慮國(guó)家法律法規(guī)要求及行業(yè)背景和特點(diǎn)的基礎(chǔ)上，建立風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則，以實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制與管理。5風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則應(yīng)滿足以下要求：1)符合組織的安全策略或安全需求；2)滿足利益相關(guān)方的期望；3)符合組織業(yè)務(wù)價(jià)值。建立風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則的目的包括但不限于：4)對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行等級(jí)化處理；5)能實(shí)現(xiàn)對(duì)不同風(fēng)險(xiǎn)的直觀比較；6)能確定組織后期的風(fēng)險(xiǎn)控制策略。g)制定評(píng)估方案。h)獲得最高管理者支持。評(píng)估方案需得到組織最高管理者的支持和批準(zhǔn)。5.2風(fēng)險(xiǎn)識(shí)別資產(chǎn)識(shí)別是風(fēng)險(xiǎn)評(píng)估的核心環(huán)節(jié)。資產(chǎn)按照層次可劃分為業(yè)務(wù)資產(chǎn)、系統(tǒng)資產(chǎn)、系統(tǒng)組件和單元資產(chǎn)，如圖3所示。因此資產(chǎn)識(shí)別應(yīng)從三個(gè)層次進(jìn)行識(shí)別。系系統(tǒng)資產(chǎn)系統(tǒng)組件和單元資產(chǎn)通信網(wǎng)絡(luò)數(shù)據(jù)資源信息系統(tǒng)…其他資產(chǎn)人力資源通信網(wǎng)絡(luò)系統(tǒng)組件系統(tǒng)單元其他資產(chǎn)人力資源數(shù)據(jù)資源系統(tǒng)組件系統(tǒng)單元其他資產(chǎn)人力資源信息系統(tǒng)系統(tǒng)組件系統(tǒng)單元業(yè)務(wù)資產(chǎn)業(yè)務(wù)組織業(yè)務(wù)資產(chǎn)圖3資產(chǎn)層次圖業(yè)務(wù)是實(shí)現(xiàn)組織發(fā)展規(guī)劃的具體活動(dòng)，業(yè)務(wù)識(shí)別是風(fēng)險(xiǎn)評(píng)估的關(guān)鍵環(huán)節(jié)。業(yè)務(wù)識(shí)別內(nèi)容包括業(yè)務(wù)的屬性、定位、完整性和關(guān)聯(lián)性識(shí)別。業(yè)務(wù)識(shí)別主要識(shí)別業(yè)務(wù)的功能、對(duì)象、流程和范圍等。業(yè)務(wù)的定位主要識(shí)別業(yè)務(wù)在發(fā)展規(guī)劃中的地位。業(yè)務(wù)的完整性主要識(shí)別其為獨(dú)立業(yè)務(wù)或非獨(dú)立業(yè)務(wù)。業(yè)務(wù)的關(guān)聯(lián)性識(shí)別主要識(shí)別與其他業(yè)務(wù)之間的關(guān)系。表1提供了一種業(yè)務(wù)識(shí)別內(nèi)容的參考。6表1業(yè)務(wù)識(shí)別內(nèi)容表識(shí)別內(nèi)容示例屬性業(yè)務(wù)功能、業(yè)務(wù)對(duì)象、業(yè)務(wù)流程、業(yè)務(wù)范圍、覆蓋地域等定位發(fā)展規(guī)劃中的業(yè)務(wù)屬性和職能定位、與發(fā)展規(guī)劃目標(biāo)的契合度、業(yè)務(wù)布局中的位置和作用、競(jìng)爭(zhēng)關(guān)系中競(jìng)爭(zhēng)力強(qiáng)弱等完整性獨(dú)立業(yè)務(wù)：業(yè)務(wù)獨(dú)立，整個(gè)業(yè)務(wù)流程和環(huán)節(jié)閉環(huán)非獨(dú)立業(yè)務(wù)：業(yè)務(wù)屬于業(yè)務(wù)環(huán)節(jié)的某一部分，可能與其他業(yè)務(wù)具有關(guān)聯(lián)性關(guān)聯(lián)性關(guān)聯(lián)類別：并列關(guān)系(業(yè)務(wù)與業(yè)務(wù)間并列關(guān)系包括業(yè)務(wù)間相互依賴或單向依賴，業(yè)務(wù)間共用同一信息系統(tǒng)，業(yè)務(wù)屬于同一業(yè)務(wù)流程的不同業(yè)務(wù)環(huán)節(jié)等)、父子關(guān)系(業(yè)務(wù)與業(yè)務(wù)之間存在包含關(guān)系等)、間接關(guān)系(通過(guò)其他業(yè)務(wù)，或者其他業(yè)務(wù)流程產(chǎn)生的關(guān)聯(lián)性等)關(guān)聯(lián)程度：如果被評(píng)估業(yè)務(wù)遭受重大損害，將會(huì)造成關(guān)聯(lián)業(yè)務(wù)無(wú)法正常開(kāi)展，此類關(guān)聯(lián)為緊密關(guān)聯(lián)，其他為非緊密關(guān)聯(lián)業(yè)務(wù)識(shí)別數(shù)據(jù)應(yīng)來(lái)自熟悉組織業(yè)務(wù)結(jié)構(gòu)的業(yè)務(wù)人員或管理人員。業(yè)務(wù)識(shí)別既可通過(guò)訪談、文檔查閱、資料查閱，還可通過(guò)對(duì)信息系統(tǒng)進(jìn)行梳理后總結(jié)整理進(jìn)行補(bǔ)充。應(yīng)根據(jù)業(yè)務(wù)的重要程度進(jìn)行等級(jí)劃分，并對(duì)其重要性進(jìn)行賦值。表2提供了一種業(yè)務(wù)重要性賦值的參考。表2業(yè)務(wù)重要性賦值表賦值標(biāo)識(shí)定義5很高業(yè)務(wù)在規(guī)劃中極其重要，在發(fā)展規(guī)劃中的業(yè)務(wù)屬性及職能定位層面具有重大影響，在規(guī)劃的發(fā)展目標(biāo)層面中短期目標(biāo)或長(zhǎng)期目標(biāo)中占據(jù)極其重要的地位4高業(yè)務(wù)在規(guī)劃中較為重要，在發(fā)展規(guī)劃中的業(yè)務(wù)屬性及職能定位層面具有較大影響，在規(guī)劃的發(fā)展目標(biāo)層面中短期目標(biāo)或長(zhǎng)期目標(biāo)中占據(jù)極其重要的地位3中等業(yè)務(wù)在規(guī)劃中具有一定重要性，在發(fā)展規(guī)劃中的業(yè)務(wù)屬性及職能定位層面具有一定影響，在規(guī)劃的發(fā)展目標(biāo)層面中短期目標(biāo)或長(zhǎng)期目標(biāo)中占據(jù)重要的地位2低業(yè)務(wù)在規(guī)劃中具有一定重要性，在發(fā)展規(guī)劃中的業(yè)務(wù)屬性及職能定位層面影響較低，在規(guī)劃的發(fā)展目標(biāo)層面中短期目標(biāo)或長(zhǎng)期目標(biāo)中占據(jù)一定的地位1很低業(yè)務(wù)在規(guī)劃中具有一定重要性，在發(fā)展規(guī)劃中的業(yè)務(wù)屬性及職能定位層面影響很低，在規(guī)劃的發(fā)展目標(biāo)層面中短期目標(biāo)或長(zhǎng)期目標(biāo)中占據(jù)較低的地位業(yè)務(wù)的關(guān)聯(lián)性會(huì)對(duì)業(yè)務(wù)的重要性造成影響。若被評(píng)估業(yè)務(wù)與高于其重要性賦值的業(yè)務(wù)具有緊密關(guān)聯(lián)關(guān)系，則該業(yè)務(wù)重要性賦值應(yīng)在原賦值基礎(chǔ)上進(jìn)行賦值調(diào)整。附錄D中表D.1給出了一種存在緊密關(guān)聯(lián)業(yè)務(wù)影響時(shí)的業(yè)務(wù)重要性賦值調(diào)整方法。系統(tǒng)資產(chǎn)識(shí)別包括資產(chǎn)分類和業(yè)務(wù)承載性識(shí)別兩個(gè)方面。表3給出了系統(tǒng)資產(chǎn)識(shí)別的主要內(nèi)容描述。系統(tǒng)資產(chǎn)分類包括信息系統(tǒng)、數(shù)據(jù)資源和通信網(wǎng)絡(luò)，業(yè)務(wù)承載性包括承載類別和關(guān)聯(lián)程度。7表3系統(tǒng)資產(chǎn)識(shí)別表識(shí)別內(nèi)容示例分類信息系統(tǒng)：信息系統(tǒng)是指由計(jì)算機(jī)硬件、計(jì)算機(jī)軟件、網(wǎng)絡(luò)和通信設(shè)備等組成的，并按照一定的應(yīng)用目標(biāo)和規(guī)則進(jìn)行信息處理或過(guò)程控制的系統(tǒng)。典型的信息系統(tǒng)如門戶網(wǎng)站、業(yè)務(wù)系統(tǒng)、云計(jì)算平臺(tái)、工業(yè)控制系統(tǒng)等數(shù)據(jù)資源：數(shù)據(jù)是指任何以電子或者非電子形式對(duì)信息的記錄。數(shù)據(jù)資源是指具有或預(yù)期具有價(jià)值的數(shù)據(jù)集。在進(jìn)行數(shù)據(jù)資源風(fēng)險(xiǎn)評(píng)估時(shí)，應(yīng)將數(shù)據(jù)活動(dòng)及其關(guān)聯(lián)的數(shù)據(jù)平臺(tái)進(jìn)行整體評(píng)估。數(shù)據(jù)活動(dòng)包括數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)銷毀等通信網(wǎng)絡(luò)：通信網(wǎng)絡(luò)是指以數(shù)據(jù)通信為目的，按照特定的規(guī)則和策略，將數(shù)據(jù)處理結(jié)點(diǎn)、網(wǎng)絡(luò)設(shè)備設(shè)施互連起來(lái)的一種網(wǎng)絡(luò)。將通信網(wǎng)絡(luò)作為獨(dú)立評(píng)估對(duì)象時(shí)，一般是指電信業(yè)或單位的專用通信網(wǎng)等以承載通信為目的的網(wǎng)絡(luò)業(yè)務(wù)承載性承載類別：系統(tǒng)資產(chǎn)承載業(yè)務(wù)信息采集、傳輸、存儲(chǔ)、處理、交換、銷毀過(guò)程中的一個(gè)或多個(gè)環(huán)節(jié)關(guān)聯(lián)程度：業(yè)務(wù)關(guān)聯(lián)程度(如果資產(chǎn)遭受損害，將會(huì)對(duì)承載業(yè)務(wù)環(huán)節(jié)運(yùn)行造成的影響，并綜合考慮可替代性)、資產(chǎn)關(guān)聯(lián)程度(如果資產(chǎn)遭受損害，將會(huì)對(duì)其他資產(chǎn)造成的影響，并綜合考慮可替代性)系統(tǒng)資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)的保密性、完整性和可用性賦值，結(jié)合業(yè)務(wù)承載性、業(yè)務(wù)重要性，進(jìn)行綜合計(jì)算，并設(shè)定相應(yīng)的評(píng)級(jí)方法進(jìn)行價(jià)值等級(jí)劃分，等級(jí)越高表示資產(chǎn)越重要。表4中給出了系統(tǒng)資產(chǎn)價(jià)值等級(jí)劃分的描述。資產(chǎn)保密性、完整性、可用性賦值以及業(yè)務(wù)承載性賦值方法見(jiàn)附錄D。表4系統(tǒng)資產(chǎn)價(jià)值等級(jí)表等級(jí)標(biāo)識(shí)系統(tǒng)資產(chǎn)價(jià)值等級(jí)描述5很高綜合評(píng)價(jià)等級(jí)為很高，安全屬性破壞后對(duì)組織造成非常嚴(yán)重的損失4高綜合評(píng)價(jià)等級(jí)為高，安全屬性破壞后對(duì)組織造成比較嚴(yán)重的損失3中等綜合評(píng)價(jià)等級(jí)為中，安全屬性破壞后對(duì)組織造成中等程度的損失2低綜合評(píng)價(jià)等級(jí)為低，安全屬性破壞后對(duì)組織造成較低的損失1很低綜合評(píng)價(jià)等級(jí)為很低，安全屬性破壞后對(duì)組織造成很小的損失，甚至忽略不計(jì)系統(tǒng)組件和單元資產(chǎn)應(yīng)分類識(shí)別，系統(tǒng)組件和單元資產(chǎn)分類包括系統(tǒng)組件、系統(tǒng)單元、人力資源和其他資產(chǎn)。表5給出了系統(tǒng)組件和單元資產(chǎn)識(shí)別的主要內(nèi)容描述。8表5系統(tǒng)組件和單元資產(chǎn)識(shí)別表分類示例系統(tǒng)單元計(jì)算機(jī)設(shè)備：大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、便攜計(jì)算機(jī)等存儲(chǔ)設(shè)備：磁帶機(jī)、磁盤陣列、磁帶、光盤、軟盤、移動(dòng)硬盤等智能終端設(shè)備：感知節(jié)點(diǎn)設(shè)備(物聯(lián)網(wǎng)感知終端)、移動(dòng)終端等網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等傳輸線路：光纖、雙絞線等安全設(shè)備：防火墻、入侵檢測(cè)/防護(hù)系統(tǒng)、防病毒網(wǎng)關(guān)、VPN等系統(tǒng)組件應(yīng)用系統(tǒng)：用于提供某種業(yè)務(wù)服務(wù)的應(yīng)用軟件集合應(yīng)用軟件：辦公軟件、各類工具軟件、移動(dòng)應(yīng)用軟件等系統(tǒng)軟件：操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、中間件、開(kāi)發(fā)系統(tǒng)、語(yǔ)句包等支撐平臺(tái)：支撐系統(tǒng)運(yùn)行的基礎(chǔ)設(shè)施平臺(tái)，如云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)等服務(wù)接口：系統(tǒng)對(duì)外提供服務(wù)以及系統(tǒng)之間的信息共享邊界，如云計(jì)算PaaS層服務(wù)向其他信息系統(tǒng)提供的服務(wù)接口等人力資源運(yùn)維人員：對(duì)基礎(chǔ)設(shè)施、平臺(tái)、支撐系統(tǒng)、信息系統(tǒng)或數(shù)據(jù)進(jìn)行運(yùn)維的網(wǎng)絡(luò)管理員、系統(tǒng)管理員等業(yè)務(wù)操作人員：對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行操作的業(yè)務(wù)人員或管理員等安全管理人員：安全管理員、安全管理領(lǐng)導(dǎo)小組等外包服務(wù)人員：外包運(yùn)維人員、外包安全服務(wù)或其他外包服務(wù)人員等其他資產(chǎn)保存在信息媒介上的各種數(shù)據(jù)資料：源代碼、數(shù)據(jù)庫(kù)數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶手冊(cè)、各類紙質(zhì)的文檔等辦公設(shè)備：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等保障設(shè)備：UPS、變電設(shè)備、空調(diào)、保險(xiǎn)柜、文件柜、門禁、消防設(shè)施等服務(wù)：為了支撐業(yè)務(wù)、信息系統(tǒng)運(yùn)行、信息系統(tǒng)安全，采購(gòu)的服務(wù)等知識(shí)產(chǎn)權(quán)：版權(quán)、專利等5.2.1.4.2系統(tǒng)組件和單元資產(chǎn)價(jià)值賦值系統(tǒng)組件和單元資產(chǎn)價(jià)值應(yīng)依據(jù)其保密性、完整性、可用性賦值進(jìn)行綜合計(jì)算，并設(shè)定相應(yīng)的評(píng)級(jí)方法進(jìn)行價(jià)值等級(jí)劃分，等級(jí)越高表示資產(chǎn)越重要。表6中給出了系統(tǒng)組件和單元資產(chǎn)價(jià)值等級(jí)劃分的描述。資產(chǎn)保密性、完整性、可用性賦值方法見(jiàn)附錄D。表6系統(tǒng)組件和單元資產(chǎn)價(jià)值等級(jí)表等級(jí)標(biāo)識(shí)系統(tǒng)組件和單元資產(chǎn)價(jià)值等級(jí)描述5很高綜合評(píng)價(jià)等級(jí)為很高，安全屬性破壞后對(duì)業(yè)務(wù)和系統(tǒng)資產(chǎn)造成非常嚴(yán)重的影響4高綜合評(píng)價(jià)等級(jí)為高，安全屬性破壞后對(duì)業(yè)務(wù)和系統(tǒng)資產(chǎn)造成比較嚴(yán)重的影響3中等綜合評(píng)價(jià)等級(jí)為中，安全屬性破壞后對(duì)業(yè)務(wù)和系統(tǒng)資產(chǎn)造成中等程度的影響2低綜合評(píng)價(jià)等級(jí)為低，安全屬性破壞后對(duì)業(yè)務(wù)和系統(tǒng)資產(chǎn)造成較低的影響1很低綜合評(píng)價(jià)等級(jí)為很低，安全屬性破壞后對(duì)業(yè)務(wù)和系統(tǒng)資產(chǎn)造成很小的影響，甚至忽略不計(jì)9在對(duì)威脅進(jìn)行分類前，應(yīng)識(shí)別威脅的來(lái)源。威脅來(lái)源包括環(huán)境、意外和人為三類，附錄E給出了威脅識(shí)別的參考方法。表E.1給出了一種威脅來(lái)源的分類方法。根據(jù)威脅來(lái)源的不同，威脅可劃分為信息損害和未授權(quán)行為等威脅種類。表E.2給出了一種威脅種類劃分的參考。威脅主體依據(jù)人為和環(huán)境進(jìn)行區(qū)分，人為的分為國(guó)家、組織團(tuán)體和個(gè)人，環(huán)境的分為一般的自然災(zāi)害、較為嚴(yán)重的自然災(zāi)害和嚴(yán)重的自然災(zāi)害。威脅動(dòng)機(jī)是指引導(dǎo)、激發(fā)人為威脅進(jìn)行某種活動(dòng)，對(duì)組織業(yè)務(wù)、資產(chǎn)產(chǎn)生影響的內(nèi)部動(dòng)力和原因。威脅動(dòng)機(jī)可劃分為惡意和非惡意，惡意包括攻擊、破壞、竊取等，非惡意包括誤操作、好奇心等。表E.3給出了一種威脅動(dòng)機(jī)分類的參考。威脅時(shí)機(jī)可劃分為普通時(shí)期、特殊時(shí)期和自然規(guī)律。威脅頻率應(yīng)根據(jù)經(jīng)驗(yàn)和有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)進(jìn)行判斷，綜合考慮以下四個(gè)方面，形成特定評(píng)估環(huán)境中各種威脅出現(xiàn)的頻率：a)以往安全事件報(bào)告中出現(xiàn)過(guò)的威脅及其頻率統(tǒng)計(jì)；b)實(shí)際環(huán)境中通過(guò)檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率統(tǒng)計(jì)；c)實(shí)際環(huán)境中監(jiān)測(cè)發(fā)現(xiàn)的威脅及其頻率統(tǒng)計(jì)；d)近期公開(kāi)發(fā)布的社會(huì)或特定行業(yè)威脅及其頻率統(tǒng)計(jì)，以及發(fā)布的威脅預(yù)警。威脅賦值應(yīng)基于威脅行為，依據(jù)威脅的行為能力和頻率，結(jié)合威脅發(fā)生的時(shí)機(jī)，進(jìn)行綜合計(jì)算，并設(shè)定相應(yīng)的評(píng)級(jí)方法進(jìn)行等級(jí)劃分，等級(jí)越高表示威脅利用脆弱性的可能性越大。表7中給出了威脅賦值等級(jí)劃分的描述。表7威脅賦值表等級(jí)標(biāo)識(shí)威脅賦值描述5很高根據(jù)威脅的行為能力、頻率和時(shí)機(jī)，綜合評(píng)價(jià)等級(jí)為很高4高根據(jù)威脅的行為能力、頻率和時(shí)機(jī)，綜合評(píng)價(jià)等級(jí)為高3中等根據(jù)威脅的行為能力、頻率和時(shí)機(jī)，綜合評(píng)價(jià)等級(jí)為中2低根據(jù)威脅的行為能力、頻率和時(shí)機(jī)，綜合評(píng)價(jià)等級(jí)為低1很低根據(jù)威脅的行為能力、頻率和時(shí)機(jī)，綜合評(píng)價(jià)等級(jí)為很低威脅能力是指威脅來(lái)源完成對(duì)組織業(yè)務(wù)、資產(chǎn)產(chǎn)生影響的活動(dòng)所具備的資源和綜合素質(zhì)。組織及業(yè)務(wù)所處的地域和環(huán)境決定了威脅的來(lái)源、種類、動(dòng)機(jī)，進(jìn)而決定了威脅的能力；應(yīng)對(duì)威脅能力進(jìn)行等級(jí)劃分，級(jí)別越高表示威脅能力越強(qiáng)，表E.4給出了一種特定威脅行為能力賦值的參考。其中，威脅動(dòng)機(jī)對(duì)威脅能力有調(diào)整作用。威脅的種類和資產(chǎn)決定了威脅的行為。表E.5給出了威脅行為列表的參考，E.6給出了一種資產(chǎn)、威脅種類、威脅行為關(guān)聯(lián)分析的示例。威脅出現(xiàn)的頻率應(yīng)進(jìn)行等級(jí)化處理，不同等級(jí)分別代表威脅出現(xiàn)頻率的高低。等級(jí)數(shù)值越大，威脅出現(xiàn)的頻率越高。威脅的頻率應(yīng)參考組織、行業(yè)和區(qū)域有關(guān)的統(tǒng)計(jì)數(shù)據(jù)進(jìn)行判斷。表E.7給出了一種威脅頻率的賦值方法。其中，威脅時(shí)機(jī)對(duì)威脅頻率有調(diào)整作用。5.2.3已有安全措施識(shí)別安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，保護(hù)性安全措施可以減少安全事件發(fā)生后對(duì)組織或系統(tǒng)造成的影響。在識(shí)別脆弱性的同時(shí)，評(píng)估人員應(yīng)對(duì)已采取的安全措施的有效性進(jìn)行確認(rèn)。安全措施的確認(rèn)應(yīng)評(píng)估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。如果脆弱性沒(méi)有對(duì)應(yīng)的威脅，則無(wú)需實(shí)施控制措施，但應(yīng)注意并監(jiān)視他們是否發(fā)生變化。相反，如果威脅沒(méi)有對(duì)應(yīng)的脆弱性，也不會(huì)導(dǎo)致風(fēng)險(xiǎn)。應(yīng)注意，控制措施的不合理實(shí)施、控制措施故障或控制措施的誤用本身也是脆弱性?？刂拼胧┮蚱溥\(yùn)行的環(huán)境，可能有效或無(wú)效。脆弱性可從技術(shù)和管理兩個(gè)方面進(jìn)行審視。技術(shù)脆弱性涉及IT環(huán)境的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問(wèn)題或隱患。管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)。脆弱性識(shí)別可以以資產(chǎn)為核心，針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，識(shí)別可能被威脅利用的脆弱性，并對(duì)來(lái)。脆弱性識(shí)別的依據(jù)可以是國(guó)際或國(guó)家安全標(biāo)準(zhǔn)，也可以是行業(yè)規(guī)范、應(yīng)用流程的安全要求。對(duì)應(yīng)用在不同環(huán)境中的相同的脆弱性，其影響程度是不同的，評(píng)估方應(yīng)從組織安全策略的角度考慮，判斷資產(chǎn)的脆弱性被利用難易程度及其影響程度。同時(shí)，應(yīng)識(shí)別信息系統(tǒng)所采用的協(xié)議、應(yīng)用流程的完備與否、與其他網(wǎng)絡(luò)的互聯(lián)等。對(duì)不同的識(shí)別對(duì)象，其脆弱性識(shí)別的具體要求應(yīng)參照相應(yīng)的技術(shù)或管理標(biāo)準(zhǔn)實(shí)施。表8給出了一種脆弱性識(shí)別內(nèi)容的參考。表8脆弱性識(shí)別內(nèi)容表類型識(shí)別對(duì)象識(shí)別方面技術(shù)脆弱性物理環(huán)境從機(jī)房場(chǎng)地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識(shí)別網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問(wèn)控制策略、內(nèi)部訪問(wèn)控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別系統(tǒng)軟件從補(bǔ)丁安裝、物理保護(hù)、用戶賬號(hào)、口令策略、資源共享、事件審計(jì)、訪問(wèn)控制、新系統(tǒng)配置、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識(shí)別應(yīng)用系統(tǒng)從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問(wèn)控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別管理脆弱性技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問(wèn)控制、系統(tǒng)開(kāi)發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識(shí)別組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進(jìn)行識(shí)別5.2.4.2脆弱性被利用難易程度賦值脆弱性被利用難易程度賦值需要綜合考慮已有安全措施的作用。一般來(lái)說(shuō)，安全措施的使用將降低系統(tǒng)技術(shù)或管理上脆弱性被利用難易程度，但安全措施確認(rèn)并不需要和脆弱性識(shí)別過(guò)程那樣具體到每個(gè)資產(chǎn)、組件的脆弱性，而是一類具體措施的集合。依據(jù)脆弱性和已有安全措施識(shí)別結(jié)果，得出脆弱性被利用難易程度，并進(jìn)行等級(jí)化處理，不同的等級(jí)代表脆弱性被利用難易程度高低。等級(jí)數(shù)值越大，脆弱性越容易被利用。表9給出了脆弱性被利用難易程度的一種賦值方法。表9脆弱性被利用難易程度賦值表等級(jí)標(biāo)識(shí)定義5很高實(shí)施了控制措施后，脆弱性仍然很容易被利用4高實(shí)施了控制措施后，脆弱性較容易被利用3中等實(shí)施了控制措施后，脆弱性被利用難易程度一般2低實(shí)施了控制措施后，脆弱性難被利用1很低實(shí)施了控制措施后，脆弱性基本不可能被利用影響程度賦值是指脆弱性被威脅利用導(dǎo)致安全事件發(fā)生后對(duì)資產(chǎn)價(jià)值所造成影響的輕重程度分析并賦值的過(guò)程。識(shí)別和分析資產(chǎn)可能受到的影響時(shí)，需要考慮受影響資產(chǎn)的層面。可從業(yè)務(wù)層面、系統(tǒng)層面、系統(tǒng)組件和單元三個(gè)層面進(jìn)行分析。影響程度賦值需要綜合考慮安全事件對(duì)資產(chǎn)保密性、完整性和可用性的影響。影響程度賦值采用等級(jí)劃分處理方式，不同的等級(jí)分別代表對(duì)資產(chǎn)影響的高低。等級(jí)數(shù)值越大，影響程度越高。表10給出了影響程度的一種賦值方法。表10影響程度賦值表等級(jí)標(biāo)識(shí)定義5很高如果脆弱性被威脅利用，將對(duì)資產(chǎn)造成特別重大損害4高如果脆弱性被威脅利用，將對(duì)資產(chǎn)造成重大損害3中等如果脆弱性被威脅利用，將對(duì)資產(chǎn)造成一般損害2低如果脆弱性被威脅利用，將對(duì)資產(chǎn)造成較小損害1很低如果脆弱性被威脅利用，將對(duì)資產(chǎn)造成的損害可以忽略5.3風(fēng)險(xiǎn)分析組織應(yīng)在風(fēng)險(xiǎn)識(shí)別基礎(chǔ)上開(kāi)展風(fēng)險(xiǎn)分析，風(fēng)險(xiǎn)分析應(yīng)：a)根據(jù)威脅的能力和頻率，以及脆弱性被利用難易程度，計(jì)算安全事件發(fā)生的可能性；b)根據(jù)安全事件造成的影響程度和資產(chǎn)價(jià)值，計(jì)算安全事件發(fā)生后對(duì)評(píng)估對(duì)象造成的損失；c)根據(jù)安全事件發(fā)生的可能性以及安全事件發(fā)生后造成的損失，計(jì)算系統(tǒng)資產(chǎn)面臨的風(fēng)險(xiǎn)值；d)根據(jù)業(yè)務(wù)所涵蓋的系統(tǒng)資產(chǎn)風(fēng)險(xiǎn)值綜合計(jì)算得出業(yè)務(wù)風(fēng)險(xiǎn)值。具體風(fēng)險(xiǎn)計(jì)算過(guò)程見(jiàn)附錄F。5.4風(fēng)險(xiǎn)評(píng)價(jià)5.4.1系統(tǒng)資產(chǎn)風(fēng)險(xiǎn)評(píng)價(jià)根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則對(duì)系統(tǒng)資產(chǎn)風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)處理。表11給出了一種系統(tǒng)資產(chǎn)風(fēng)險(xiǎn)等級(jí)劃分方法。表11系統(tǒng)資產(chǎn)風(fēng)險(xiǎn)等級(jí)劃分表等級(jí)標(biāo)識(shí)描述5很高風(fēng)險(xiǎn)發(fā)生的可能性很高，對(duì)系統(tǒng)資產(chǎn)產(chǎn)生很高的影響4高風(fēng)險(xiǎn)發(fā)生的可能性很高，對(duì)系統(tǒng)資產(chǎn)產(chǎn)生中等及高影響風(fēng)險(xiǎn)發(fā)生的可能性高，對(duì)系統(tǒng)資產(chǎn)產(chǎn)生高及以上影響風(fēng)險(xiǎn)發(fā)生的可能性中，對(duì)系統(tǒng)資產(chǎn)產(chǎn)生很高影響3中等風(fēng)險(xiǎn)發(fā)生的可能性很高，對(duì)系統(tǒng)資產(chǎn)產(chǎn)生低及以下影響風(fēng)險(xiǎn)發(fā)生的可能性高，對(duì)系統(tǒng)資產(chǎn)產(chǎn)生中及以下影響風(fēng)險(xiǎn)發(fā)生的可能性中，對(duì)系統(tǒng)資產(chǎn)產(chǎn)生高、中、低影響2低風(fēng)險(xiǎn)發(fā)生的可能性中，對(duì)系統(tǒng)資產(chǎn)產(chǎn)生很低影響風(fēng)險(xiǎn)發(fā)生的可能性低，對(duì)系統(tǒng)資產(chǎn)產(chǎn)生低及以下影響風(fēng)險(xiǎn)發(fā)生的可能性很低，對(duì)系統(tǒng)資產(chǎn)產(chǎn)生中、低影響1很低風(fēng)險(xiǎn)發(fā)生的可能性很低，發(fā)生后對(duì)系統(tǒng)資產(chǎn)幾乎無(wú)影響根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則對(duì)業(yè)務(wù)風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)處理，在進(jìn)行業(yè)務(wù)風(fēng)險(xiǎn)評(píng)價(jià)時(shí)，可從社會(huì)影響和組織影響兩個(gè)層面進(jìn)行分析。社會(huì)影響涵蓋國(guó)家安全，社會(huì)秩序，公共利益，公民、法人和其他組織的合法權(quán)益等方面；組織影響涵蓋職能履行、業(yè)務(wù)開(kāi)展、觸犯國(guó)家法律法規(guī)、財(cái)產(chǎn)損失等方面。表12給出了一種基于后果的業(yè)務(wù)風(fēng)險(xiǎn)等級(jí)劃分方法。表12業(yè)務(wù)風(fēng)險(xiǎn)等級(jí)劃分表等級(jí)標(biāo)識(shí)描述5很高社會(huì)影響：a)對(duì)國(guó)家安全、社會(huì)秩序和公共利益造成影響；b)對(duì)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重影響組織影響：a)導(dǎo)致職能無(wú)法履行或業(yè)務(wù)無(wú)法開(kāi)展；b)觸犯國(guó)家法律法規(guī)；c)造成非常嚴(yán)重的財(cái)產(chǎn)損失4高社會(huì)影響：對(duì)公民、法人和其他組織的合法權(quán)益造成較大影響組織影響：a)導(dǎo)致職能履行或業(yè)務(wù)開(kāi)展受到嚴(yán)重影響；b)造成嚴(yán)重的財(cái)產(chǎn)損失3中等社會(huì)影響：對(duì)公民、法人和其他組織的合法權(quán)益造成影響組織影響：a)導(dǎo)致職能履行或業(yè)務(wù)開(kāi)展受到影響；b)造成較大的財(cái)產(chǎn)損失表12業(yè)務(wù)風(fēng)險(xiǎn)等級(jí)劃分表(續(xù))等級(jí)標(biāo)識(shí)描述2低組織影響：a)導(dǎo)致職能履行或業(yè)務(wù)開(kāi)展受到較小影響；b)造成一定的財(cái)產(chǎn)損失1很低組織影響：造成較少的財(cái)產(chǎn)損失5.5溝通與協(xié)商風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)?wèi)?yīng)在風(fēng)險(xiǎn)評(píng)估過(guò)程中與內(nèi)部相關(guān)方和外部相關(guān)方保持溝通并對(duì)溝通內(nèi)容予以記a)為理解風(fēng)險(xiǎn)及相關(guān)問(wèn)題和決策而就風(fēng)險(xiǎn)及其相關(guān)因素相互交流信息和意見(jiàn)；b)相關(guān)方已表達(dá)的對(duì)風(fēng)險(xiǎn)事件的關(guān)注、意見(jiàn)以及相應(yīng)的反應(yīng)。5.6風(fēng)險(xiǎn)評(píng)估文檔記錄5.6.1風(fēng)險(xiǎn)評(píng)估文檔記錄要求記錄風(fēng)險(xiǎn)評(píng)估過(guò)程的相關(guān)文檔，應(yīng)符合以下要求(包括但不限于):a)確保文檔發(fā)布前是得到批準(zhǔn)的；b)確保文檔的更改和現(xiàn)行修訂狀態(tài)是可識(shí)別的(有版本控制措施);c)確保文檔的分發(fā)得到適當(dāng)控制，并確保在使用時(shí)可獲得有關(guān)版本的適用文檔；d)防止作廢文檔的非預(yù)期使用，若因任何目的需保留作廢文檔時(shí)，應(yīng)對(duì)這些文檔進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。對(duì)于風(fēng)險(xiǎn)評(píng)估過(guò)程中形成的相關(guān)文檔，還應(yīng)規(guī)定其標(biāo)識(shí)、存儲(chǔ)、保護(hù)、檢索、保存期限以及處置所需的控制。相關(guān)文檔是否需要以及詳略程度由組織的管理者來(lái)決定。5.6.2風(fēng)險(xiǎn)評(píng)估文檔風(fēng)險(xiǎn)評(píng)估文檔是指在風(fēng)險(xiǎn)評(píng)估過(guò)程中產(chǎn)生的過(guò)程文檔和結(jié)果文檔，包括(但不僅限于此):a)風(fēng)險(xiǎn)評(píng)估方案：闡述風(fēng)險(xiǎn)評(píng)估目標(biāo)、范圍、人員、評(píng)估方法、評(píng)估結(jié)果的形式和實(shí)施進(jìn)度等；b)資產(chǎn)識(shí)別清單：根據(jù)組織所確定的資產(chǎn)分類方法進(jìn)行資產(chǎn)識(shí)別，形成資產(chǎn)識(shí)別清單(包括業(yè)務(wù)資產(chǎn)、系統(tǒng)資產(chǎn)、系統(tǒng)組件和單元資產(chǎn)),明確資產(chǎn)的責(zé)任人和責(zé)任部門；c)重要資產(chǎn)清單：根據(jù)資產(chǎn)識(shí)別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類頻率等；e)已有安全措施列表：對(duì)已采取的安全措施進(jìn)行識(shí)別并形成已有安全措施列表，包括已有安全措f)脆弱性列表：根據(jù)脆弱性識(shí)別和賦值的結(jié)果，形成脆弱性列表，包括具體脆弱性的名稱、描述、類型、被利用難易程度及影響程度等；g)風(fēng)險(xiǎn)列表：根據(jù)威脅利用脆弱性導(dǎo)致安全事件的情況，形成風(fēng)險(xiǎn)列表，包括具體風(fēng)險(xiǎn)的名稱、描述等；h)風(fēng)險(xiǎn)評(píng)估報(bào)告：對(duì)風(fēng)險(xiǎn)評(píng)估過(guò)程和結(jié)果進(jìn)行總結(jié)，詳細(xì)說(shuō)明評(píng)估對(duì)象、風(fēng)險(xiǎn)評(píng)估方法、資產(chǎn)、威脅、脆弱性和已有安全措施的識(shí)別結(jié)果、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)統(tǒng)計(jì)和結(jié)論等內(nèi)容；i)風(fēng)險(xiǎn)評(píng)估記錄：風(fēng)險(xiǎn)評(píng)估過(guò)程中的各種現(xiàn)場(chǎng)記錄應(yīng)可復(fù)現(xiàn)評(píng)估過(guò)程，以作為產(chǎn)生歧義后解決問(wèn)題的依據(jù)。(資料性)評(píng)估對(duì)象生命周期各階段的風(fēng)險(xiǎn)評(píng)估A.1概述風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于評(píng)估對(duì)象生命周期各階段中。評(píng)估對(duì)象生命周期各階段中涉及的風(fēng)險(xiǎn)評(píng)估原則面也有所不同。在規(guī)劃設(shè)計(jì)階段，通過(guò)風(fēng)險(xiǎn)評(píng)估以確定評(píng)估對(duì)象的安全目標(biāo)；在建設(shè)驗(yàn)收階段，通過(guò)風(fēng)險(xiǎn)評(píng)估以確定評(píng)估對(duì)象的安全目標(biāo)達(dá)成與否；在運(yùn)行維護(hù)階段，要持續(xù)的實(shí)施風(fēng)險(xiǎn)評(píng)估以識(shí)別評(píng)估對(duì)象面臨的不斷變化的風(fēng)險(xiǎn)和脆弱性，從而確定安全措施的有效性，確保安全目標(biāo)得以實(shí)現(xiàn)。因此，每個(gè)階段風(fēng)險(xiǎn)評(píng)估的具體實(shí)施應(yīng)根據(jù)該階段的特點(diǎn)有所側(cè)重的進(jìn)行。A.2規(guī)劃階段的風(fēng)險(xiǎn)評(píng)估規(guī)劃階段風(fēng)險(xiǎn)評(píng)估的目的是識(shí)別評(píng)估對(duì)象的業(yè)務(wù)規(guī)劃，以支撐評(píng)估對(duì)象安全需求及安全規(guī)劃等。規(guī)劃階段的評(píng)估應(yīng)能夠描述評(píng)估對(duì)象建成后對(duì)現(xiàn)有業(yè)務(wù)模式的作用，包括技術(shù)、管理等方面，并根據(jù)其作用確定評(píng)估對(duì)象建設(shè)應(yīng)達(dá)到的安全目標(biāo)。等方面進(jìn)行分析。評(píng)估著重在以下幾方面：a)是否依據(jù)相關(guān)規(guī)則，建立了與業(yè)務(wù)規(guī)劃相一致的安全規(guī)劃，并得到最高管理者的認(rèn)可；b)是否依據(jù)業(yè)務(wù)建立與之相契合的安全策略，并得到最高安全管理者的認(rèn)可；c)系統(tǒng)規(guī)劃中是否明確評(píng)估對(duì)象開(kāi)發(fā)的組織、業(yè)務(wù)變更的管理、開(kāi)發(fā)優(yōu)先級(jí)；d)系統(tǒng)規(guī)劃中是否考慮評(píng)估對(duì)象的威脅、環(huán)境，并制定總體的安全方針；e)系統(tǒng)規(guī)劃中是否描述評(píng)估對(duì)象預(yù)期使用的信息，包括預(yù)期的信息系統(tǒng)、資產(chǎn)的重要性、潛在的價(jià)值、可能的使用限制、對(duì)業(yè)務(wù)的支持程度等；f)系統(tǒng)規(guī)劃中是否描述所有與評(píng)估對(duì)象安全相關(guān)的運(yùn)行環(huán)境，包括物理和人員的安全配置，以及明確相關(guān)的法規(guī)、組織安全策略、專門技術(shù)和知識(shí)等。規(guī)劃階段的評(píng)估結(jié)果應(yīng)體現(xiàn)在評(píng)估對(duì)象整體規(guī)劃或項(xiàng)目建議書中。A.3設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估需要根據(jù)規(guī)劃階段所明確的運(yùn)行環(huán)境、業(yè)務(wù)重要性、資產(chǎn)重要性，提出安全功能需求設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估結(jié)果應(yīng)對(duì)設(shè)計(jì)方案中所提供的安全功能符合性進(jìn)行判斷，作為實(shí)施過(guò)程風(fēng)險(xiǎn)控制的依據(jù)。本階段評(píng)估中，應(yīng)詳細(xì)評(píng)估設(shè)計(jì)方案中面臨威脅的描述，將評(píng)估對(duì)象使用的具體設(shè)備、軟件等資產(chǎn)及其安全功能形成需求列表。對(duì)設(shè)計(jì)方案的評(píng)估著重在以下幾方面：a)設(shè)計(jì)方案是否符合評(píng)估對(duì)象建設(shè)規(guī)劃，并得到最高管理者的認(rèn)可；b)設(shè)計(jì)方案是否對(duì)評(píng)估對(duì)象建設(shè)后面臨的威脅進(jìn)行了分析，重點(diǎn)分析來(lái)自物理環(huán)境和自然的威c)設(shè)計(jì)方案中的安全需求是否符合規(guī)劃階段的安全目標(biāo)，并基于威脅的分析，制定評(píng)估對(duì)象的總體安全策略；d)設(shè)計(jì)方案是否采取了一定的手段來(lái)應(yīng)對(duì)可能的故障；e)設(shè)計(jì)方案是否對(duì)設(shè)計(jì)原型中的技術(shù)實(shí)現(xiàn)以及人員、組織管理等方面的脆弱性進(jìn)行評(píng)估，包括設(shè)計(jì)過(guò)程中的管理脆弱性和技術(shù)平臺(tái)固有的脆弱性；f)設(shè)計(jì)方案是否考慮隨著其他系統(tǒng)接入而可能產(chǎn)生的風(fēng)險(xiǎn)；g)系統(tǒng)性能是否滿足用戶需求，并考慮到峰值的影響，是否在技術(shù)上考慮了滿足系統(tǒng)性能要求的方法；h)應(yīng)用系統(tǒng)(含數(shù)據(jù)庫(kù))是否根據(jù)業(yè)務(wù)需要進(jìn)行了安全設(shè)計(jì)；i)設(shè)計(jì)方案是否根據(jù)開(kāi)發(fā)的規(guī)模、時(shí)間及系統(tǒng)的特點(diǎn)選擇開(kāi)發(fā)方法，并根據(jù)設(shè)計(jì)開(kāi)發(fā)計(jì)劃及用戶需求，對(duì)系統(tǒng)涉及的軟件、硬件與網(wǎng)絡(luò)進(jìn)行分析和選型；j)設(shè)計(jì)活動(dòng)中所采用的安全控制措施、安全技術(shù)保障手段對(duì)風(fēng)險(xiǎn)的影響。在安全需求變更和設(shè)計(jì)變更后，也需要重復(fù)這項(xiàng)評(píng)估。設(shè)計(jì)階段的評(píng)估可以以安全建設(shè)方案評(píng)審的方式進(jìn)行，判定方案所提供的安全功能與信息技術(shù)安全技術(shù)標(biāo)準(zhǔn)的符合性。評(píng)估結(jié)果應(yīng)體現(xiàn)在評(píng)估對(duì)象需求分析報(bào)告或建設(shè)實(shí)施方案中。A.4實(shí)施階段的風(fēng)險(xiǎn)評(píng)估實(shí)施階段風(fēng)險(xiǎn)評(píng)估的目的是根據(jù)安全需求和運(yùn)行環(huán)境對(duì)系統(tǒng)開(kāi)發(fā)、實(shí)施過(guò)程進(jìn)行風(fēng)險(xiǎn)識(shí)別，并對(duì)建成后的安全功能進(jìn)行驗(yàn)證。根據(jù)設(shè)計(jì)階段分析的威脅和制定的安全措施，在實(shí)施及驗(yàn)收時(shí)進(jìn)行質(zhì)量控制。基于設(shè)計(jì)階段的資產(chǎn)列表、安全措施，實(shí)施階段應(yīng)對(duì)規(guī)劃階段的安全威脅進(jìn)行進(jìn)一步細(xì)分，同時(shí)評(píng)估安全措施的實(shí)現(xiàn)程度，從而確定安全措施能否抵御現(xiàn)有威脅、脆弱性的影響。實(shí)施階段風(fēng)險(xiǎn)評(píng)估主要對(duì)業(yè)務(wù)及其相關(guān)信息系統(tǒng)的開(kāi)發(fā)、技術(shù)與產(chǎn)品獲取，系統(tǒng)交付實(shí)施兩個(gè)過(guò)程進(jìn)行評(píng)估。開(kāi)發(fā)、技術(shù)與產(chǎn)品獲取過(guò)程的評(píng)估要點(diǎn)包括：a)法律、政策、適用標(biāo)準(zhǔn)和指導(dǎo)方針：直接或間接影響評(píng)估對(duì)象安全需求的特定法律；影響評(píng)估對(duì)象安全需求、產(chǎn)品選擇的政府政策、國(guó)際或國(guó)家標(biāo)準(zhǔn)；b)評(píng)估對(duì)象的功能需要：安全需求是否有效地支持系統(tǒng)的功能；c)成本效益風(fēng)險(xiǎn)：是否根據(jù)評(píng)估對(duì)象的資產(chǎn)、威脅和脆弱性的分析結(jié)果，確定在符合相關(guān)法律、政策、標(biāo)準(zhǔn)和功能需要的前提下選擇最合適的安全措施；d)評(píng)估保證級(jí)別：是否明確系統(tǒng)建設(shè)后應(yīng)進(jìn)行怎樣的測(cè)試和檢查，從而確定是否滿足項(xiàng)目建設(shè)、實(shí)施規(guī)范的要求。A.5交付階段的風(fēng)險(xiǎn)評(píng)估系統(tǒng)交付實(shí)施過(guò)程的評(píng)估要點(diǎn)包括：a)根據(jù)實(shí)際建設(shè)的系統(tǒng)，詳細(xì)分析資產(chǎn)、面臨的威脅和脆弱性；b)根據(jù)系統(tǒng)建設(shè)目標(biāo)和安全需求，對(duì)系統(tǒng)的安全功能進(jìn)行驗(yàn)收測(cè)試；評(píng)價(jià)安全措施能否抵御安全威脅；c)評(píng)估是否建立了與整體安全策略一致的組織管理制度；d)對(duì)系統(tǒng)實(shí)現(xiàn)的風(fēng)險(xiǎn)控制效果與預(yù)期設(shè)計(jì)的符合性進(jìn)行判斷，如存在較大的不符合，應(yīng)重新進(jìn)行評(píng)估對(duì)象安全策略的設(shè)計(jì)與調(diào)整。本階段風(fēng)險(xiǎn)評(píng)估可以采取對(duì)照實(shí)施方案和標(biāo)準(zhǔn)要求的方式，對(duì)實(shí)際建設(shè)結(jié)果進(jìn)行測(cè)試、分析。A.6運(yùn)行階段的風(fēng)險(xiǎn)評(píng)估運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評(píng)估的目的是了解和控制運(yùn)行過(guò)程中的安全風(fēng)險(xiǎn)，是一種較為全面的風(fēng)險(xiǎn)評(píng)估。評(píng)估內(nèi)容包括對(duì)真實(shí)運(yùn)行的資產(chǎn)、威脅、脆弱性等各方面。a)資產(chǎn)評(píng)估：包括對(duì)業(yè)務(wù)、系統(tǒng)資產(chǎn)、系統(tǒng)組件和單元資產(chǎn)的評(píng)估。業(yè)務(wù)評(píng)估包括業(yè)務(wù)定位、業(yè)務(wù)關(guān)聯(lián)性、完整性、業(yè)務(wù)流程分析；系統(tǒng)資產(chǎn)評(píng)估包括系統(tǒng)分類和業(yè)務(wù)承載連續(xù)性的評(píng)估；系統(tǒng)組件和單元資產(chǎn)是在真實(shí)環(huán)境下較為細(xì)致的評(píng)估，包括實(shí)施階段采購(gòu)的軟硬件資產(chǎn)、系統(tǒng)運(yùn)行過(guò)程中生成的信息資產(chǎn)、相關(guān)的人員與服務(wù)等，本階段資產(chǎn)識(shí)別是前期資產(chǎn)識(shí)別的補(bǔ)充與增加。b)威脅評(píng)估：應(yīng)全面地分析威脅的可能性和嚴(yán)重程度。對(duì)威脅導(dǎo)致安全事件的評(píng)估可以參照威脅來(lái)源動(dòng)機(jī)、能力和安全事件的發(fā)生頻率。理等各方面的脆弱性。技術(shù)脆弱性評(píng)估可以采取核查、掃描、案例驗(yàn)證、滲透性測(cè)試的方式實(shí)施；安全保障設(shè)備的脆弱性評(píng)估，應(yīng)包括安全功能的實(shí)現(xiàn)情況和安全保障設(shè)備本身的脆弱性；管理脆弱性評(píng)估可以采取文檔、記錄核查等方式進(jìn)行驗(yàn)證。d)風(fēng)險(xiǎn)計(jì)算：根據(jù)本文件的相關(guān)方法，對(duì)風(fēng)險(xiǎn)進(jìn)行定性或定量的風(fēng)險(xiǎn)分析，描述不同業(yè)務(wù)、系統(tǒng)資產(chǎn)的風(fēng)險(xiǎn)高低狀況。運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)評(píng)估應(yīng)定期執(zhí)行；當(dāng)組織的業(yè)務(wù)流程、系統(tǒng)狀況發(fā)生重大變更時(shí)，也應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，重大變更包括以下情況(但不限于):a)增加新的應(yīng)用或應(yīng)用發(fā)生較大變更；b)網(wǎng)絡(luò)結(jié)構(gòu)和連接狀況發(fā)生較大變更；c)技術(shù)平臺(tái)大規(guī)模的更新；d)系統(tǒng)擴(kuò)容或改造；e)發(fā)生重大安全事件后，或基于某些運(yùn)行記錄懷疑將發(fā)生重大安全事件；f)組織結(jié)構(gòu)發(fā)生重大變動(dòng)對(duì)系統(tǒng)產(chǎn)生了影響。A.7廢棄階段的風(fēng)險(xiǎn)評(píng)估廢棄階段風(fēng)險(xiǎn)評(píng)估著重在以下幾方面：a)確保硬件和軟件等資產(chǎn)及殘留信息得到了適當(dāng)?shù)奶幹?，并確保系統(tǒng)組件被合理地丟棄或更換；b)如果被廢棄的系統(tǒng)是某個(gè)系統(tǒng)的一部分，或與其他系統(tǒng)存在物理或邏輯上的連接，還需考慮系統(tǒng)廢棄后與其他系統(tǒng)的連接是否被關(guān)閉；c)如果在系統(tǒng)變更中廢棄，除對(duì)廢棄部分外，還應(yīng)對(duì)變更的部分進(jìn)行評(píng)估，以確定是否會(huì)增加風(fēng)險(xiǎn)或引入新的風(fēng)險(xiǎn)；d)是否建立了流程，確保更新過(guò)程在一個(gè)安全、系統(tǒng)化的狀態(tài)下完成。本階段應(yīng)重點(diǎn)對(duì)廢棄資產(chǎn)對(duì)組織的影響進(jìn)行分析，并根據(jù)不同的影響制定不同的處理方式。對(duì)由于系統(tǒng)廢棄可能帶來(lái)的新的威脅進(jìn)行分析，并改進(jìn)新系統(tǒng)或管理模式。對(duì)廢棄資產(chǎn)的處理過(guò)程應(yīng)在有效的監(jiān)督之下實(shí)施，同時(shí)對(duì)廢棄的執(zhí)行人員進(jìn)行安全教育，評(píng)估對(duì)象的維護(hù)技術(shù)人員和管理人員均應(yīng)參與此階段的評(píng)估。(資料性)風(fēng)險(xiǎn)評(píng)估的工作形式自評(píng)估是指評(píng)估對(duì)象的擁有、運(yùn)營(yíng)或使用單位發(fā)起的對(duì)本單位進(jìn)行的風(fēng)險(xiǎn)評(píng)估。自評(píng)估應(yīng)在本文件的指導(dǎo)下，結(jié)合評(píng)估對(duì)象特定的安全要求實(shí)施。周期性進(jìn)行的自評(píng)估可以在評(píng)估流程上適當(dāng)簡(jiǎn)化，重點(diǎn)針對(duì)自上次評(píng)估后評(píng)估對(duì)象發(fā)生變化后引入的新威脅，以及脆弱性的完整識(shí)別，以便于兩次評(píng)估結(jié)果的對(duì)比。但評(píng)估對(duì)象發(fā)生A.6中所列的重大變更時(shí)，應(yīng)依據(jù)本文件進(jìn)行完整的評(píng)估。自評(píng)估可由發(fā)起方實(shí)施或委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施。由發(fā)起方實(shí)施的評(píng)估可以降低實(shí)施的費(fèi)用、提高相關(guān)人員的安全意識(shí)，但可能由于缺乏風(fēng)險(xiǎn)評(píng)估的專業(yè)技能，其結(jié)果不夠深入準(zhǔn)確；同時(shí)，受到組織內(nèi)部各種因素的影響，其評(píng)估結(jié)果的客觀性易受影響。委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施的評(píng)估，過(guò)程比較規(guī)范、評(píng)估結(jié)果的客觀性比較好，可信程度較高；但由于受到行業(yè)知識(shí)技能及業(yè)務(wù)了解的限制，對(duì)評(píng)估對(duì)象的了解，尤其是在業(yè)務(wù)方面的特殊要求存在一定的局限。由于引入風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方本身就是一個(gè)風(fēng)險(xiǎn)因素，因此，對(duì)其背景與資質(zhì)、評(píng)估過(guò)程與結(jié)果的保密要求等方面應(yīng)進(jìn)行控制。此外，為保證風(fēng)險(xiǎn)評(píng)估的實(shí)施，與評(píng)估對(duì)象相連的相關(guān)方也應(yīng)配合，以防止給其他方的使用帶來(lái)困難或引入新的風(fēng)險(xiǎn)。B.2檢查評(píng)估檢查評(píng)估是指評(píng)估對(duì)象上級(jí)管理部門組織的或國(guó)家有關(guān)職能部門開(kāi)展的風(fēng)險(xiǎn)評(píng)估。檢查評(píng)估可依據(jù)本文件的要求，實(shí)施完整的風(fēng)險(xiǎn)評(píng)估過(guò)程。檢查評(píng)估也可在自評(píng)估實(shí)施的基礎(chǔ)上，對(duì)關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評(píng)估，包括以下內(nèi)容(但不限于):a)自評(píng)估隊(duì)伍及技術(shù)人員審查；b)自評(píng)估方法的檢查；c)自評(píng)估過(guò)程控制與文檔記錄檢查；d)自評(píng)估資產(chǎn)列表審查；e)自評(píng)估威脅列表審查；f)自評(píng)估脆弱性列表審查；g)現(xiàn)有安全措施有效性檢查；h)自評(píng)估結(jié)果審查與采取相應(yīng)措施的跟蹤檢查；i)自評(píng)估技術(shù)技能限制未完成項(xiàng)目的檢查評(píng)估；j)上級(jí)關(guān)注或要求的關(guān)鍵環(huán)節(jié)和重點(diǎn)內(nèi)容的檢查評(píng)估；k)軟硬件維護(hù)制度及實(shí)施管理的檢查；1)突發(fā)事件應(yīng)對(duì)措施的檢查。檢查評(píng)估也可委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施，但評(píng)估結(jié)果僅對(duì)檢查評(píng)估的發(fā)起單位負(fù)責(zé)。由于檢查評(píng)估代表了主管機(jī)關(guān)，涉及評(píng)估對(duì)象也往往較多，因此，要對(duì)實(shí)施檢查評(píng)估機(jī)構(gòu)的資質(zhì)進(jìn)行嚴(yán)格管理。(資料性)風(fēng)險(xiǎn)評(píng)估的工具C.1概述風(fēng)險(xiǎn)評(píng)估工具是風(fēng)險(xiǎn)評(píng)估的輔助手段，是保證風(fēng)險(xiǎn)評(píng)估結(jié)果可信度的一個(gè)重要因素。風(fēng)險(xiǎn)評(píng)估工具的使用不但在一定程度上解決了手動(dòng)評(píng)估的局限性，最主要的是它能夠?qū)＜抑R(shí)進(jìn)行集中，使專家的經(jīng)驗(yàn)知識(shí)被廣泛地應(yīng)用。根據(jù)在風(fēng)險(xiǎn)評(píng)估過(guò)程中的主要任務(wù)和作用原理的不同，風(fēng)險(xiǎn)評(píng)估的工具可以分成風(fēng)險(xiǎn)評(píng)估與管理工具、系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具、風(fēng)險(xiǎn)評(píng)估輔助工具三類。風(fēng)險(xiǎn)評(píng)估與管理工具是一套集成了風(fēng)險(xiǎn)評(píng)估各類知識(shí)和判據(jù)的管理信息系統(tǒng)，以規(guī)范風(fēng)險(xiǎn)評(píng)估的過(guò)程和操作方法；或者是用于收集評(píng)估所需要的數(shù)據(jù)和資料，基于專家經(jīng)驗(yàn)，對(duì)輸入輸出進(jìn)行模型分析。系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具主要用于對(duì)信息系統(tǒng)的主要部件(如操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備等)的脆弱性進(jìn)行分析，或?qū)嵤┗诖嗳跣缘墓?。風(fēng)險(xiǎn)評(píng)估輔助工具則實(shí)現(xiàn)對(duì)數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢(shì)分析等單項(xiàng)功能，為風(fēng)險(xiǎn)評(píng)估各要素的賦值、定級(jí)提供依據(jù)。C.2風(fēng)險(xiǎn)評(píng)估與管理工具風(fēng)險(xiǎn)評(píng)估與管理工具大部分是基于某種標(biāo)準(zhǔn)方法或某組織自行開(kāi)發(fā)的評(píng)估方法，可以有效地通過(guò)輸入數(shù)據(jù)來(lái)分析風(fēng)險(xiǎn)，給出對(duì)風(fēng)險(xiǎn)的評(píng)價(jià)并推薦控制風(fēng)險(xiǎn)的安全措施。風(fēng)險(xiǎn)評(píng)估與管理工具通常建立在一定的模型或算法之上，風(fēng)險(xiǎn)由業(yè)務(wù)重要性、資產(chǎn)重要性、所面臨的威脅以及威脅所利用的脆弱性來(lái)確定；也有的通過(guò)建立專家系統(tǒng)，利用專家經(jīng)驗(yàn)進(jìn)行分析，給出專家結(jié)論。這種評(píng)估工具需要不斷進(jìn)行知識(shí)庫(kù)的擴(kuò)充。此類工具實(shí)現(xiàn)了對(duì)風(fēng)險(xiǎn)評(píng)估全過(guò)程的實(shí)施和管理，包括：評(píng)估對(duì)象基本信息獲取、業(yè)務(wù)信息獲取、資產(chǎn)信息獲取、脆弱性識(shí)別與管理、威脅識(shí)別、風(fēng)險(xiǎn)計(jì)算、評(píng)估過(guò)程與評(píng)估結(jié)果管理等功能。評(píng)估的方式可以通過(guò)問(wèn)卷的方式，也可以通過(guò)結(jié)構(gòu)化的推理過(guò)程，建立模型、輸入相關(guān)信息，得出評(píng)估結(jié)論。通常這類工具在對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估后都會(huì)有針對(duì)性地提出風(fēng)險(xiǎn)控制措施。根據(jù)實(shí)現(xiàn)方法的不同，風(fēng)險(xiǎn)評(píng)估與管理工具可以分為三類。a)基于信息安全標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估與管理工具。目前，市面上存在多種不同的風(fēng)險(xiǎn)分析標(biāo)準(zhǔn)或指南，不同的風(fēng)險(xiǎn)分析方法側(cè)重點(diǎn)不同，例如本文件、GB/T31509、NISTSP800-30、ISO/IEC27005、ISO/IEC13335等。以這些標(biāo)準(zhǔn)或指南的內(nèi)容為基礎(chǔ)，分別開(kāi)發(fā)相應(yīng)的評(píng)估工具，完成遵循標(biāo)準(zhǔn)或指南的風(fēng)險(xiǎn)評(píng)估過(guò)程。b)基于知識(shí)的風(fēng)險(xiǎn)評(píng)估與管理工具?；谥R(shí)的風(fēng)險(xiǎn)評(píng)估與管理工具并不僅僅遵循某個(gè)單一的標(biāo)準(zhǔn)或指南，而是將各種風(fēng)險(xiǎn)分析方法進(jìn)行綜合，并結(jié)合實(shí)踐經(jīng)驗(yàn)，形成風(fēng)險(xiǎn)評(píng)估知識(shí)庫(kù)，以此為基礎(chǔ)完成綜合評(píng)估。它還涉及來(lái)自類似組織的最佳實(shí)踐，主要通過(guò)多種途徑采集相關(guān)信息，識(shí)別組織的風(fēng)險(xiǎn)和當(dāng)前的安全措施；與特定的標(biāo)準(zhǔn)或最佳實(shí)踐進(jìn)行比較，從中找出不符合的地方；按照標(biāo)準(zhǔn)或最佳實(shí)踐的推薦選擇安全措施以控制風(fēng)險(xiǎn)。c)基于模型的風(fēng)險(xiǎn)評(píng)估與管理工具?；跇?biāo)準(zhǔn)或基于知識(shí)的風(fēng)險(xiǎn)評(píng)估與管理工具，都使用了定性分析方法或定量分析方法，或者將定性與定量相結(jié)合。定性分析方法是目前廣泛采用的方法，需要憑借評(píng)估方的知識(shí)、經(jīng)驗(yàn)和直覺(jué)，或者業(yè)界的標(biāo)準(zhǔn)和實(shí)踐，為風(fēng)險(xiǎn)的各個(gè)要素定級(jí)。定性分析法操作相對(duì)容易，但也可能因?yàn)樵u(píng)估方經(jīng)驗(yàn)和直覺(jué)的偏差而使分析結(jié)果失準(zhǔn)。定量分析則對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失水平賦予數(shù)值或貨幣金額，通過(guò)對(duì)度量風(fēng)險(xiǎn)的所有要素進(jìn)行賦值，建立綜合評(píng)價(jià)的數(shù)學(xué)模型，從而完成風(fēng)險(xiǎn)的量化計(jì)算。定量分析方法準(zhǔn)確，但前期建立系統(tǒng)風(fēng)險(xiǎn)模型較困難。定性與定量結(jié)合分析方法就是將風(fēng)險(xiǎn)要素的賦值和計(jì)算，根據(jù)需要分別采取定性和定量的方法完成?；谀Ｐ偷娘L(fēng)險(xiǎn)評(píng)估與管理工具是在對(duì)系統(tǒng)各組成部分、安全要素充分研究的基礎(chǔ)上，對(duì)典型系統(tǒng)的資產(chǎn)、威脅、脆弱性建立量化或半量化的模型，根據(jù)采集信息的輸入，得到評(píng)價(jià)的結(jié)果。C.3系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具包括脆弱性掃描工具、滲透性測(cè)試工具、代碼審計(jì)工具、移動(dòng)應(yīng)用安全測(cè)試工具、工控安全測(cè)試工具、機(jī)房檢測(cè)工具等。脆弱性掃描工具又稱為安全掃描器、漏洞掃描儀等，主要用于識(shí)別網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)的脆弱性。通常情況下，這些工具能夠發(fā)現(xiàn)軟件和硬件中已知的脆弱性，以決定系統(tǒng)是否易受已知攻擊的影響。脆弱性掃描工具是目前應(yīng)用最廣泛的風(fēng)險(xiǎn)評(píng)估工具，主要完成操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)等的安全脆弱性檢測(cè)功能，目前常見(jiàn)的脆弱性掃描工具有以下幾種類型：a)基于網(wǎng)絡(luò)的掃描器：在網(wǎng)絡(luò)中運(yùn)行，能夠檢測(cè)如防火墻錯(cuò)誤配置或連接到網(wǎng)絡(luò)上的易受攻擊的網(wǎng)絡(luò)服務(wù)器的關(guān)鍵漏洞；b)基于主機(jī)的掃描器：發(fā)現(xiàn)主機(jī)的操作系統(tǒng)、特殊服務(wù)和配置的細(xì)節(jié)，發(fā)現(xiàn)潛在的用戶行為風(fēng)險(xiǎn)，如密碼強(qiáng)度不夠，也可實(shí)施對(duì)文件系統(tǒng)的檢查；c)基于平臺(tái)的掃描器：能夠發(fā)現(xiàn)平臺(tái)存在的脆弱性，平臺(tái)包括云平臺(tái)、大數(shù)據(jù)平臺(tái)等；d)分布式網(wǎng)絡(luò)掃描器：由遠(yuǎn)程掃描代理、對(duì)這些代理的即插即用更新機(jī)制、中心管理點(diǎn)三部分構(gòu)成，用于企業(yè)級(jí)網(wǎng)絡(luò)的脆弱性評(píng)估，分布和位于不同的位置、城市甚至不同的國(guó)家；e)數(shù)據(jù)庫(kù)脆弱性掃描器：對(duì)數(shù)據(jù)庫(kù)的授權(quán)、認(rèn)證和完整性進(jìn)行詳細(xì)的分析，也可以識(shí)別數(shù)據(jù)庫(kù)系統(tǒng)中潛在的脆弱性。滲透性測(cè)試工具是根據(jù)脆弱性掃描工具掃描的結(jié)果進(jìn)行模擬攻擊測(cè)試，判斷被非法訪問(wèn)者利用的可能性。這類工具通常包括黑客工具、腳本文件。滲透性測(cè)試的目的是檢測(cè)已發(fā)現(xiàn)的脆弱性是否真正會(huì)給系統(tǒng)或網(wǎng)絡(luò)帶來(lái)影響。通常滲透性工具與脆弱性掃描工具一起使用，并可能會(huì)對(duì)被評(píng)估系統(tǒng)的運(yùn)行帶來(lái)一定影響。代碼審計(jì)工具是通過(guò)對(duì)程序源代碼逐條進(jìn)行檢查和分析，發(fā)現(xiàn)這些源代碼缺陷引發(fā)的安全漏洞，并提供代碼修訂措施和建議。App安全測(cè)試工具是通過(guò)對(duì)App的代碼、會(huì)話、數(shù)據(jù)、通信等進(jìn)行安全測(cè)試，以發(fā)現(xiàn)App中存在的脆弱性的工具。工控安全測(cè)試工具是對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)和應(yīng)用進(jìn)行安全性測(cè)試，以發(fā)現(xiàn)工業(yè)控制系統(tǒng)中存在的脆弱性的工具。C.4風(fēng)險(xiǎn)評(píng)估輔助工具科學(xué)的風(fēng)險(xiǎn)評(píng)估需要大量的實(shí)踐和經(jīng)驗(yàn)數(shù)據(jù)的支持，這些數(shù)據(jù)的積累是風(fēng)險(xiǎn)評(píng)估科學(xué)性的基礎(chǔ)。風(fēng)險(xiǎn)評(píng)估過(guò)程中，可以利用一些輔助性的工具和方法來(lái)采集數(shù)據(jù)，幫助完成現(xiàn)狀分析和趨勢(shì)判斷。a)國(guó)家漏洞庫(kù)、專業(yè)機(jī)構(gòu)發(fā)布的漏洞與威脅統(tǒng)計(jì)數(shù)據(jù)。b)檢查列表和基線檢查工具：檢查列表是基于特定標(biāo)準(zhǔn)或基線建立的，對(duì)特定系統(tǒng)進(jìn)行審查的項(xiàng)目條款。通過(guò)檢查列表，操作者可以快速定位系統(tǒng)目前的安全狀況與基線要求之間的差距，該檢查工作可以通過(guò)基線檢查工具實(shí)現(xiàn)。c)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)：全流量威脅檢測(cè)系統(tǒng)、基于日志的失陷檢測(cè)工具和入侵檢測(cè)系統(tǒng)等通過(guò)部署檢測(cè)引擎，收集、處理整個(gè)網(wǎng)絡(luò)中的通信信息，以獲取可能對(duì)網(wǎng)絡(luò)或主機(jī)造成危害的入侵攻擊事件；幫助檢測(cè)各種攻擊試探和誤操作；同時(shí)也可以作為一個(gè)警報(bào)器，提醒管理員發(fā)生的安全狀況。d)態(tài)勢(shì)感知系統(tǒng)：態(tài)勢(shì)感知系統(tǒng)通過(guò)綜合分析網(wǎng)絡(luò)安全要素，評(píng)估安全狀況，預(yù)測(cè)其發(fā)展趨勢(shì)，以可視化的方式展現(xiàn)給用戶，并給出相應(yīng)的報(bào)表和應(yīng)對(duì)措施；它的相應(yīng)報(bào)表可以作為安全現(xiàn)狀數(shù)據(jù)，并用于分析威脅情況。e)安全審計(jì)工具：用于記錄網(wǎng)絡(luò)行為，分析系統(tǒng)或網(wǎng)絡(luò)安全現(xiàn)狀；它的審計(jì)記錄可以作為風(fēng)險(xiǎn)評(píng)估中的安全現(xiàn)狀數(shù)據(jù)，并可用于判斷評(píng)估對(duì)象威脅信息的來(lái)源。f)拓?fù)浒l(fā)現(xiàn)工具：通過(guò)接入點(diǎn)接入被評(píng)估網(wǎng)絡(luò)，完成被評(píng)估網(wǎng)絡(luò)中的資產(chǎn)發(fā)現(xiàn)功能，并提供網(wǎng)絡(luò)資產(chǎn)的相關(guān)信息，包括操作系統(tǒng)版本、型號(hào)等。拓?fù)浒l(fā)現(xiàn)工具主要是自動(dòng)完成網(wǎng)絡(luò)硬件設(shè)備的g)資產(chǎn)信息收集系統(tǒng)：通過(guò)提供調(diào)查表形式，完成被評(píng)估信息系統(tǒng)數(shù)據(jù)、管理、人員等資產(chǎn)信息的收集功能，了解到組織的主要業(yè)務(wù)、重要資產(chǎn)、威脅、管理上的缺陷、采用的控制措施和安全策略的執(zhí)行情況。此類系統(tǒng)主要采取電子調(diào)查表形式，需要被評(píng)估系統(tǒng)管理人員參與填寫，并自動(dòng)完成資產(chǎn)信息獲取。h)機(jī)房檢測(cè)工具：對(duì)機(jī)房環(huán)境進(jìn)行檢測(cè)的一類工具，用以發(fā)現(xiàn)當(dāng)前機(jī)房的情況，具體包括溫度檢(資料性)資產(chǎn)識(shí)別D.1業(yè)務(wù)重要性賦值調(diào)整表業(yè)務(wù)重要性賦值調(diào)整見(jiàn)表D.1。表D.1業(yè)務(wù)重要性賦值調(diào)整表賦值標(biāo)識(shí)定義5很高業(yè)務(wù)重要性為4,緊密關(guān)聯(lián)業(yè)務(wù)的重要性為5,該業(yè)務(wù)重要性調(diào)整為54高業(yè)務(wù)重要性為3,緊密關(guān)聯(lián)業(yè)務(wù)的重要性為4以上(含),該業(yè)務(wù)重要性調(diào)整為43中等業(yè)務(wù)重要性為2,緊密關(guān)聯(lián)業(yè)務(wù)的重要性為3以上(含),該業(yè)務(wù)重要性調(diào)整為32低業(yè)務(wù)重要性為1,緊密關(guān)聯(lián)業(yè)務(wù)的重要性為2以上(含),該業(yè)務(wù)重要性調(diào)整為2D.2資產(chǎn)保密性賦值方法根據(jù)資產(chǎn)在保密性上的不同要求，將其分為5個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在保密性上應(yīng)達(dá)成的不同程度或者保密性缺失時(shí)對(duì)資產(chǎn)造成的影響。表D.2提供了一種保密性賦值的參考。賦值標(biāo)識(shí)定義5很高4高3中等2低1很低D.3資產(chǎn)完整性賦值方法根據(jù)資產(chǎn)在完整性上的不同要求，將其分為5個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在完整性上應(yīng)達(dá)成的不同程度或者完整性缺失時(shí)對(duì)資產(chǎn)造成的影響。表D.3提供了一種完整性賦值的參考。表D.3資產(chǎn)完整性賦值表賦值標(biāo)識(shí)定義5很高資產(chǎn)的完整性要求非常高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)資產(chǎn)造成重大的或無(wú)法接受的影響4高資產(chǎn)的完整性要求較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)資產(chǎn)造成較大影響3中等資產(chǎn)的完整性要求中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)資產(chǎn)造成影響2低資產(chǎn)的完整性要求較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)資產(chǎn)造成輕微影響1很低資產(chǎn)的完整性要求非常低，未經(jīng)授權(quán)的修改或破壞對(duì)資產(chǎn)造成的影響可以忽略D.4資產(chǎn)可用性賦值方法根據(jù)資產(chǎn)在可用性上的不同要求，將其分為5個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在可用性上應(yīng)達(dá)成的不同程度或者可用性缺失時(shí)對(duì)資產(chǎn)造成的影響。表D.4提供了一種可用性賦值的參考。表D.4資產(chǎn)可用性賦值表賦值標(biāo)識(shí)定義5很高資產(chǎn)的可用性要求非常高，合法使用者對(duì)資產(chǎn)的可用度達(dá)到年度99.9%以上，或系統(tǒng)不準(zhǔn)許中斷4高資產(chǎn)的可用性要求較高，合法使用者對(duì)資產(chǎn)的可用度達(dá)到每天90%以上，或系統(tǒng)允許中斷時(shí)間小于10min3中等資產(chǎn)的可用性要求中等，合法使用者對(duì)資產(chǎn)的可用度在正常工作時(shí)間達(dá)到70%以上，或系統(tǒng)允許中斷時(shí)間小于30min2低資產(chǎn)的可用性要求較低，合法使用者對(duì)資產(chǎn)的可用度在正常工作時(shí)間達(dá)到25%以上，或系統(tǒng)允許中斷時(shí)間小于60min1很低資產(chǎn)的可用性要求非常低，合法使用者對(duì)資產(chǎn)的可用度在正常工作時(shí)間低于25%D.5系統(tǒng)資產(chǎn)業(yè)務(wù)承載性賦值方法根據(jù)系統(tǒng)資產(chǎn)對(duì)所承載業(yè)務(wù)的影響不同，將其分為5個(gè)不同的等級(jí)，分別對(duì)應(yīng)系統(tǒng)資產(chǎn)在業(yè)務(wù)承載性上應(yīng)達(dá)成的不同程度或者資產(chǎn)安全屬性被破壞時(shí)對(duì)業(yè)務(wù)的影響程度。表D.5提供了一種系統(tǒng)資產(chǎn)業(yè)務(wù)承載性賦值的參考。表D.5系統(tǒng)資產(chǎn)業(yè)務(wù)承載性賦值表等級(jí)標(biāo)識(shí)描述5很高資產(chǎn)對(duì)于某種業(yè)務(wù)的影響非常大，其安全屬性破壞后可能對(duì)業(yè)務(wù)造成非常嚴(yán)重的損失4高資產(chǎn)對(duì)于某種業(yè)務(wù)的影響比較大，其安全屬性破壞后可能對(duì)業(yè)務(wù)造成比較嚴(yán)重的損失3中等資產(chǎn)對(duì)于某種業(yè)務(wù)的影響一般，其安全屬性破壞后可能對(duì)業(yè)務(wù)造成中等程度的損失2低資產(chǎn)對(duì)于某種業(yè)務(wù)的影響較低，其安全屬性破壞后可能對(duì)業(yè)務(wù)造成較低的損失1很低資產(chǎn)對(duì)于某種業(yè)務(wù)的影響較低，其安全屬性破壞后對(duì)業(yè)務(wù)造成很小的損失，甚至忽略不計(jì)(資料性)威脅識(shí)別E.1威脅來(lái)源分類威脅來(lái)源分類見(jiàn)表E.1。表E.1威脅來(lái)源列表來(lái)源描述環(huán)境斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震、意外事故等環(huán)境危害或自然災(zāi)害意外非人為因素導(dǎo)致的軟件、硬件、數(shù)據(jù)、通信線路等方面的故障，或者依賴的第三方平臺(tái)或者信息系統(tǒng)等方面的故障人為人為因素導(dǎo)致資產(chǎn)的保密性、完整性和可用性遭到破壞E.2威脅種類威脅種類見(jiàn)表E.2。表E.2威脅種類列表種類描述物理?yè)p害對(duì)業(yè)務(wù)實(shí)施或系統(tǒng)運(yùn)行產(chǎn)生影響的物理?yè)p害自然災(zāi)害自然界中所發(fā)生的異?，F(xiàn)象，且對(duì)業(yè)務(wù)開(kāi)展或者系統(tǒng)運(yùn)行會(huì)造成危害的現(xiàn)象和事件信息損害對(duì)系統(tǒng)或資產(chǎn)中的信息產(chǎn)生破壞、篡改、丟失、盜取等行為技術(shù)失效信息系統(tǒng)所依賴的軟硬件設(shè)備不可用未授權(quán)行為超出權(quán)限設(shè)置或授權(quán)進(jìn)行操作或者使用的行為功能損害造成業(yè)務(wù)或系統(tǒng)運(yùn)行的部分功能不可用或者損害供應(yīng)鏈?zhǔn)I(yè)務(wù)或系統(tǒng)所依賴的供應(yīng)商、接口等不可用E.3威脅動(dòng)機(jī)分類威脅動(dòng)機(jī)分類見(jiàn)表E.3。表E.3威脅動(dòng)機(jī)分類表分類動(dòng)機(jī)惡意挑戰(zhàn)、叛亂、地位、金