信息安全風險管理程序

城云科技（杭州）有限公司

信息平安風險管理程序

文檔編號3.1受控狀態(tài)受控

版本號V2.0作者鄂鵬羽

審核人李振華批準人夏敏

發(fā)布日期2014/12/1批準日期2014/12/1

書目

信息平安風險管理程序..................................................................1

第一章目的........................................................................1

其次章范圍........................................................................1

第三章名詞說明.....................................................................1

第四章風險評估方法................................................................2

第五章風險評估實施................................................................5

第六章風險管理要求................................................................18

第七章附則......................................................................19

第八章檢查要求....................................................................19

第一章目的

第一條目的：指導信息平安組織針對信息系統(tǒng)及其管理開展的信息

風險評估工作。本指南定義了風險評估的基本概念、原理及實施流程；對

資產(chǎn)、威逼和脆弱性識別要求進行了詳細描述。

第二章范圍

第二條范圍：適用于風險評估組開展各項信息平安風險評估工作。

第三章名詞說明

第三條資產(chǎn)

對組織具有價值的信息或資源，是平安策略愛惜的對象。

第四條資產(chǎn)價值

資產(chǎn)的重要程度或敏感程度的表征。資產(chǎn)價值是資產(chǎn)的屬性，也是進

行資產(chǎn)識別的主要內(nèi)容。資產(chǎn)價值通過機密性、完整性和可用性三個方面

評估計算獲得。

(一)機密性(Confidentiality)：確保只有經(jīng)過授權的人才能訪問

信息；

(二)完整性(Integrality)：愛惜信息和信息的處理方法精確而完

整；

(三)可用性(Availability)：確保經(jīng)過授權的用戶在須要時可以

訪問信息并運用相關信息資產(chǎn)。

第五條威逼

可能導致對系統(tǒng)或組織危害的不希望事故潛在起因。

第六條脆弱性

可能被威逼所利用的資產(chǎn)或若干資產(chǎn)的弱點。

第七條信息平安風險

人為或自然的威逼利用信息系統(tǒng)及其管理體系中存在的脆弱性導致

平安事務的發(fā)生及其對組織造成的影響。

第八條信息平安評估

依據(jù)有關信息平安技術與管理標準，對信息系統(tǒng)及由其處理、傳輸和

存儲的信息的機密性、完整性和可用性等平安屬性進行評價的過程。它要

評估資產(chǎn)面臨的威逼以及威逼利用脆弱性導致平安事務的可能性，并結合

平安事務所涉及的資產(chǎn)價值來推斷平安事務一旦發(fā)生對組織造成的影響。

第九條殘余風險

實行了平安措施后，信息系統(tǒng)照舊可能存在的風險。

第四章風險評估方法

第十條風險管理模型

圖1風險管理模型

圖1為風險管理的基本模型，橢圓部分的內(nèi)容是與這些要素相關的屬

性。風險管理圍圍著資產(chǎn)、威逼、脆弱性和平安措施這些基本要素綻開。

信息平安風險評估在對風險管理要素的評估過程中，須要充分考慮業(yè)務戰(zhàn)

略、資產(chǎn)價值、平安需求、平安事務、殘余風險等與這些基本要素相關的

各類屬性。

圖1中的風險管理要素及屬性之間存在著以下關系：

（一）業(yè)務戰(zhàn)略的實現(xiàn)對資產(chǎn)具有依靠性，依靠程度越高，要求其風

險越??；

（二）資產(chǎn)是有價值的，組織的業(yè)務戰(zhàn)略對資產(chǎn)的依靠程度越高，資

產(chǎn)價值就越大；

（三）風險是由威逼引發(fā)的，資產(chǎn)面臨的威逼越多則風險越大，并可

能演化成為平安事務；

（四）資產(chǎn)的脆弱性可能暴露資產(chǎn)的價值，資產(chǎn)具有的弱點越多則風

險越大；

（五）脆弱性是未被滿足的平安需求，威逼利用脆弱性危害資產(chǎn)；

（六）風險的存在及對風險的相識導出平安需求；

（七）平安需求可通過平安措施得以滿足，須要結合資產(chǎn)價值考慮實

施成本；

（八）平安措施可抵抗威逼，降低風險；

（九）殘余風險有些是平安措施不當或無效,須要加強才可限制的風

險；而有些則是在綜合考慮了平安成本與效益后不去限制的風險；

（十）殘余風險應受到密切監(jiān)視，它可能會在將來誘發(fā)新的平安事務。

第十一條風險評估模型

圖2風險評估原理圖

風險評估的過程中主要包含信息資產(chǎn)（InformationAsset）,脆弱性

（Vulnerability）＞喊逼（Threat）、影響（Impact）和風險（Risk）五

個要素。信息資產(chǎn)的基木屬性是資產(chǎn)價值(AssetsValue),脆弱性的基

本屬性是被威逼利用的難易程度(HowEasilyExploitedbyThreats)、

威逼的基本屬性是威逼的可能性(ThreatLikelihood)、影響度的基本屬

性是嚴峻性(Severity),它們干脆影響風險的兩個屬性，風險的后果(Risk

Consequence)和風險的可能性(RiskLikelihood)。其中資產(chǎn)價值和影

響的嚴峻性構成風險的后果，脆弱性被威逼利用的難易程度和威逼的可能

性構成風險的可能性，風險的后果和風險的可能性構成風險。

第十二條風險評估方法

圖3風險評估方法

風險評估的主要內(nèi)容為：

(一)對資產(chǎn)進行識別，并對資產(chǎn)的價值進行賦值；

(二)對威逼進行識別，描述威逼的屬性，并對威逼出現(xiàn)的頻率賦值;

(三)對脆弱性進行識別，并對詳細資產(chǎn)的脆弱性的嚴峻程度賦值；

(四)依據(jù)威逼及威逼利用脆弱性的難易程度推斷平安事務發(fā)生的可

能性；

(五)依據(jù)脆弱性的嚴峻程度及平安事務所作用的資產(chǎn)的價值計算平

安事務的損失；

(六)依據(jù)平安事務發(fā)生的可能性以及平安事務出現(xiàn)后的損失，計算

平安事務一旦發(fā)生對組織的影響;

（七）綜合分析，接受適當?shù)姆绞接嬎泔L險值。

第五章風險評估實施

第十三條風險評估的準備

風險評估的準備是整個風險評估過程有效性的保證。組織實施風險評

估是一種戰(zhàn)略性的考慮，其結果將受到組織業(yè)務戰(zhàn)略、業(yè)務流程、平安需

求、系統(tǒng)規(guī)模和結構等方面的影響。因此，在風險評估實施前應：

（一）確定風險評估的目標；

（二）確定風險評估的范圍；

（三）組建適當?shù)脑u估管理與實施團隊；

（四）進行系統(tǒng)調(diào)研；

（五）確定評估依據(jù)和方法（即評估列表）；

（六）獲得最高管理者對風險評估工作的支持。

第十四條資產(chǎn)識別

資產(chǎn)識別是對干脆賜予了價值因而須要愛惜的資產(chǎn)進行分類卻價值

等級賦值。資產(chǎn)分類和賦值方法可依據(jù)IS027001體系結合組織自身狀況

完成，資產(chǎn)價值作為風險計算的輸入。

第十五條威逼評估

平安威逼是一種對系統(tǒng)、組織及其資產(chǎn)構成潛在破壞的可能性因素或

者事務。產(chǎn)生平安威逼的主要因素可以分為人為因素和環(huán)境因素。人為因

素包括有意因素和無意因素。環(huán)境因素包括自然界的不行抗力因素和其它

物理因素。

威逼可能是對信息系統(tǒng)干脆或間接的攻擊，例如非授權的泄露、篡改、

刪除等，在機密性、完整性或可用性等方面造成損害。威逼也可能是偶發(fā)

的、或蓄意的事務。一般來說，威逼總是要利用網(wǎng)絡、系統(tǒng)、應用或數(shù)據(jù)

的弱點才可能成功地對資產(chǎn)造成損害。

平安事務及其后果是分析威逼的重要依據(jù)。但是有相當一部分威逼發(fā)

生時，由于未能造成后果，或者沒有意識到，而被平安限制人員忽視。這

將導致對平安威逼的相識出現(xiàn)偏差。

威逼分析方法首先須要考慮威逼的來源，然后分析各種來源存在哪些

威逼種類，最終做出威逼來源和威逼種類的列表進行威逼賦值。

（一）威逼來源分析

信息系統(tǒng)的平安威逼來源可考慮以下方面：

表1:威逼來源

威逼源威逼分類威逼來源描述

內(nèi)部人員由于缺乏責任心，或者由于不關切和不專注，或者沒有遵

非惡意人員循規(guī)章制度和操作流程而導致故障或被攻擊：內(nèi)部人員由于缺乏培

威逼事務訓，專業(yè)技能不足，不具備崗位技能要求而導致信息系統(tǒng)故障或被攻

擊。

不滿的或有預謀的內(nèi)部人員對信息系統(tǒng)進行惡意破壞；接受自主的

人為因

或內(nèi)外勾結的方式盜竊機密信息或進行篡改，獲得利益。

素

第三方合作伙伴和供應商，包括業(yè)務合作伙伴以及軟件開發(fā)合作伙

惡意人員

伴、系統(tǒng)集成商、服務商和產(chǎn)品供應商；包括第三方惡意的和無惡

威逼事務

意的行為。

外部人員利用信息系統(tǒng)的弱點，對網(wǎng)絡和系統(tǒng)的機密性、完整性和

可用性進行破壞，以獲得利益或炫耀實力。

自然威逼事

洪災、火災、地震等環(huán)境條件和自然災難

務

環(huán)境威物理威逼事

由于斷電、靜電、灰塵、潮濕、溫度、鼠蚊蟲害、電磁干擾、；

逼務

非人為系統(tǒng)

意外事故或由于軟件、硬件、數(shù)據(jù)、通訊線路方面的故障。

威逼事務

社會動亂

社會因素威逼

恐怖攻擊

（二）威逼種類分析

對平安威逼進行分類的方式有多種多樣，針對卜表威逼來源，組織信

息管理部的平安威逼種類按類列舉如下表所示。

威逼的編號依據(jù)類別進行劃分，以字母“T”開頭(Threats),其次

個字母為威逼類型，洌如人員威逼為TP為前綴，以連接，以數(shù)字后

綴為序列。

威逼威逼分威逼編

威逼類型威逼表現(xiàn)威逼注釋

源類號

在正常工作或運用過程中，由

無作為或操作于技能不足或精神不集中導致

TP-01操作失誤、錯誤

失誤的操作不當、設置錯誤，無意

中造成對資產(chǎn)的侵害

無作為或操作無意識傳播惡運用個人電腦、移動介質(zhì)等時

TP-02

失誤意代碼無意識中傳播了惡意的代碼，

非惡意

TP-03管理不到位遺失無意遺失重要資產(chǎn)

人員

感染流行病或傳染病導致無法

威逼事TP-04管理不到位生病

正常出勤

務

因事假或離職導致無法正常工

TP-05管理不到位事假、離職

作

在正常工作或運用過程中，由

無作為或操作工作疏忽、監(jiān)控于技能不足或精神不集中導致

TP-06

失誤不力、推斷失誤的監(jiān)察不力、響應不剛好等，

無意中造成對資產(chǎn)的侵害

蓄意以各種方式破壞信息資

TP-07物理攻擊蓄意破壞產(chǎn)，可能導致資產(chǎn)不行用，如

人為

縱火，在系統(tǒng)中有意留后門

因素

對系統(tǒng)中數(shù)據(jù)進行惡意刪除等

TP-08篡改數(shù)據(jù)破壞

行為

非授權地對網(wǎng)絡或系統(tǒng)進行訪

非授權訪問/運問，非授權地運用設備或軟件，

TP-09越權或濫用

用如對系統(tǒng)內(nèi)容非法下載或批量

惡意人導出，非授權掃描

員病毒、蠕蟲、邏輯炸彈、木馬

TP-10惡意代碼惡意代碼攻擊

威逼事后門等惡意代碼的攻擊

務對系統(tǒng)或數(shù)據(jù)進行非授權篡

TP-11篡改非授權篡改

改，導致完整性丟失

擅自通過互聯(lián)網(wǎng)下載、運用公

擅自運用非授

TP-12管理不到位司非授權軟件，可能造成版權

權軟件

等符合性問題

黑客利用各種手段對公司信息

TP-13網(wǎng)絡攻擊黑客入侵

系統(tǒng)實施攻擊

TP-14網(wǎng)絡攻擊DOS攻擊攻擊方發(fā)動拒絕服務攻擊

TP-15物理環(huán)境影響盜竊竊取物品

非授權人員冒用他人或授權人

TP-16越權或濫用身份假冒

員身份

通過網(wǎng)絡嗅探、偷聽、搭線竊

TP-17網(wǎng)絡攻擊竊聽

聽等途徑非法獲得信息

完成某項工作的合格的人力資

TP-18管理不到位人員短缺

源不足

TP-19管理不到位泄密泄漏敏感信息或電子數(shù)據(jù)

以非技術手段（例如欺瞞）獲

TP-20管理不到位社會工程/欺瞞

得特定信息，包括間諜行為

無法進行審查不承認之前的行為或操作，無

TP-21抵賴

的抵賴行為法追查當事人責任

TP-22管理不到位商業(yè)間諜行為通過賄賂等行為刺探商業(yè)情報

向主管機關和利益集團申告存

TP-23管理不到位惡意申告在的軟件正版化等問題，或由

此進行敲詐

TE-01物理環(huán)境影響雷電資產(chǎn)所處地點可能發(fā)生雷電

TE-02物理環(huán)境影響臺風資產(chǎn)所處地點可能發(fā)生臺風

TE-03物理環(huán)境影響暴雨資產(chǎn)所處地點可能發(fā)生暴雨

自然威

TE-04物理環(huán)境影響海嘯資產(chǎn)所處地點可能發(fā)生海嘯

逼事務

TE-05物理環(huán)境影響洪水資產(chǎn)所處地點可能發(fā)生洪水

TE-06物理環(huán)境影響冰雹資產(chǎn)所處地點可能發(fā)生冰直

TE-07物理環(huán)境影響地震資產(chǎn)所處地點可能發(fā)生地震

極端的溫度/濕資產(chǎn)所處環(huán)境的溫度/濕度發(fā)

TE-08軟硬件故障

度生猛烈變更，超出正常范圍。

TE-09物理環(huán)境影響落塵資產(chǎn)所處物理環(huán)境灰塵大

TE-10物理環(huán)境影響老鼠、蟲蚊咬食資產(chǎn)被老鼠、蟲蟻破壞

TE-11軟硬件故障電力故障電力中斷或者供電不穩(wěn)定

TE-12物理環(huán)境影響灰塵環(huán)境中存在嚴峻的落塵問題

環(huán)境

資產(chǎn)所處環(huán)境受到污染，包括

威逼TE-13物理環(huán)境影響環(huán)境污染

有毒氣體和液體

資產(chǎn)所處環(huán)境存在電磁輻射或

TE-14物理環(huán)境影響電磁輻射/干擾

物理威干擾

逼事務資產(chǎn)所處環(huán)境存在嚴峻的靜電

TE-15物理環(huán)境影響靜電

問題

TE-16物理環(huán)境影響供水故障出現(xiàn)停水、水壓低等狀況

出現(xiàn)空調(diào)制冷量不正常、空調(diào)

TE-17軟硬件故障空調(diào)故障

設施機械故障等狀況

消防水管裂開、空調(diào)漏水、漏

TE-18軟硬件故障液體泄漏

雨

設備所處地點的電壓出現(xiàn)異樣

TE-19軟硬件故障電壓異樣波動

的波動

TE-20軟硬件故障爆炸資產(chǎn)所處地點發(fā)生爆炸

非人為TE-21軟硬件故障軟件故障軟件因為故障而可用性降低或

系統(tǒng)威不行用

逼事務因蠕蟲、拒絕服務攻擊、突發(fā)

軟件運用量異訪問或業(yè)務增長等，軟件容量、

TE-22軟硬件故障

樣性能不足或資源耗竭而導致可

用性降低或不行用

硬件部件技術設備出現(xiàn)老化或故障而導致可

TE-23軟硬件故障

故障用性降低或不行用

因蠕蟲、拒絕服務攻擊、突發(fā)

硬件部件運用訪問或業(yè)務增長等，硬件部件

TE-24軟硬件故障

星異樣容量不足或資源耗竭而導致可

用性降低或不行用

通信線路技術設備出現(xiàn)老化或故障而導致可

TE-25軟硬件故障

故障用性降低或不行用

因蠕蟲、拒絕服務攻擊、突發(fā)

訪問或業(yè)務增長等，通訊流量

TE-26通信流量異樣通信流量異樣

異樣增大而導致可用性、服務

質(zhì)量降低或不行用

存儲介質(zhì)出現(xiàn)老化或故障而導

TE-27軟硬件故障存儲介質(zhì)損壞

致可用性降低或不行用

存儲介質(zhì)空間出現(xiàn)不足，介質(zhì)

存儲介質(zhì)空間

TE-28軟硬件故障老化或故障而導致可用性降低

運用量異樣

或不行用

因政治事務導致組織業(yè)務發(fā)生

TS-1社會動亂突發(fā)政治事務

變更

社會因素威逼

業(yè)務系統(tǒng)和組織遭受恐怖組織

TS-2恐怖攻擊暴力攻擊

或相關群體攻擊

表2：威逼類型列表

（三）威逼賦值

本風險評估管理方法通過對于威逼的可能性（Likelihood）屬性（*

留意：此處描述的是威逼的可能性，并不是風險的可能性，威逼要實際產(chǎn)

生影響還要考慮脆弱性被利用的難易程度這個因素。）進行分析賦值。賦

值取決于威逼發(fā)生的概率和威逼發(fā)生的頻率。我們用變量T來表示威逼的

可能性，它可以被賜予一個數(shù)值，來表示該屬性的程度。確定威逼發(fā)生的

可能性是風險評估的重要環(huán)節(jié)，評估人員應當依據(jù)閱歷和相關的統(tǒng)計數(shù)據(jù)

來推斷威逼發(fā)生的概率和頻率。

實際評估過程中，威逼的可能性賦值須要參考下面三方面的資料和信

息來源，綜合考慮，形成在特定評估環(huán)境中各種威逼發(fā)牛的可能性。

(1)通過評估體過去的平安事務報告或記錄，統(tǒng)計各種發(fā)生過的威

逼和其發(fā)生頻率；

(2)在評估體實際環(huán)境中，通過平安設備系統(tǒng)獲得的威逼發(fā)生數(shù)據(jù)

的統(tǒng)計和分析，各種日志中威逼發(fā)生的數(shù)據(jù)的統(tǒng)計和分析；

(3)過去一年或兩年來相關信息平安管理機構發(fā)布的對于整個社會

或特定行業(yè)平安威逼發(fā)生頻率的統(tǒng)計數(shù)據(jù)均值。

威逼的賦值標準參照下表：

描述說明

4幾乎確定預期在大多數(shù)狀況下發(fā)生，不行避開090%)

3很可能在大多數(shù)狀況下，很有可能會發(fā)生(50%~90%)

2可能在某種狀況下或某個時間，可能會發(fā)生(20%~50%)

1不太可能發(fā)生的可能性很小，不太可能(〈20%)

0罕見僅在特殊例外的狀況下發(fā)生，特殊罕見，幾乎不行能

(0%"1%)

表3：威逼賦值標準

第十六條脆弱性評估

脆弱性評估主要目的是評估信息資產(chǎn)的弱點。通常信息資產(chǎn)存在的弱

點主要表現(xiàn)在三個方面：平安限制方面、承載信息資產(chǎn)的IT設備方面以

及處理、加工這些信息資產(chǎn)的應用系統(tǒng)方面。因此弱點評估也主要依據(jù)這

三個方面進行。

(一)脆弱性的識別

脆弱性的識別和獲得通過以下多種方式：工具掃描、人工分析、模擬

攻擊測試(PenetrationTesting),網(wǎng)絡架構分析、業(yè)務流程分析等。評

估人員依據(jù)詳細的評估對象、評估目的來選擇詳細的脆弱性獲得方式。

在脆弱性的識別和獲得必需對應前一個過程中識別出的威逼列表，不

能被列表中威逼所利用的脆弱性在風險評估中沒有意義，可以不進行識

別。同時，因為威逼來源可以分為內(nèi)部和外部，所以脆弱性的獲得方法也

可以依據(jù)威逼的來源不同而選擇不同的獲得方式，比如從內(nèi)網(wǎng)獲得和從外

網(wǎng)獲得。

?平安限制脆弱性評估：可依據(jù)iso27002的14個方面對整體平

安限制評估；

?設備脆弱性評估：可通過網(wǎng)絡掃描及專家人工評估方法對IT

設備進行評估；

?應用系統(tǒng)脆弱性評估：可通過對應用系統(tǒng)的網(wǎng)絡構架、系統(tǒng)主

機、數(shù)據(jù)流分析等方法進行評估。

(二)脆弱性分類

脆弱性包括物理環(huán)境、組織、過程、人員、管理、配置、硬件、軟件

和信息等各種資產(chǎn)的脆弱性。

脆弱性的編號依據(jù)類別進行劃分，以字母“V”開頭

(Vulnerabilities),其次個字母為脆弱性類型，例如組織管理脆弱性以

VP為前綴，以“-”連接，以數(shù)字后綴為序列。

脆弱性分脆弱性子

脆弱性編號脆弱性類型

類類

VP-01IT治理機制不夠完善

VP-02缺乏總體IT規(guī)劃

VP-03缺乏平安方針

VP-04缺乏組織范圍內(nèi)統(tǒng)一的平安策略

VP-05缺乏可執(zhí)行性的平安程序

VP-06平安技術與管理措施不能有效結合

組織管理

VP-07沒有科學有效的資產(chǎn)管理或配置管理

VP-08沒有跨部門的協(xié)調(diào)組織

VP-09沒有負責平安管理部門

VP-10沒有建立完善的溝通溝通機制

管理脆弱

VP-11組織的重要記錄沒有得到愛惜

性

VP-12業(yè)務流程設計沒有既定明確的要求

VH-01人員學問水平缺乏

VH-02人員技能缺乏

VJI-03人員平安意識缺乏

V1I-04人員敬業(yè)精神不夠

人員管理VH-05不能遵守操作規(guī)程

VH-06道德風險

VH-07人員流淌頻繁

VH-08沒有簽訂協(xié)議

VH-09沒有背景調(diào)杳

VH-10崗位職責中沒有平安要求

VH-11平安無法與員工績效掛鉤

VH-12人員缺乏職責分別

VH-13沒有人員備份機制

VH-14缺乏對員工行為的審計

VE-01電力單路

VE-02線路暴露

VE-03場所很簡潔進入

VE01場所監(jiān)控有盲點

VE-05場所易受雷擊

物理環(huán)境

VE-06場所易進水

VE-07場所易燃燒

VE-08場所不抗宸

VE-09電力容量不夠

VE-10場地不夠

VM-01設備易受電力變更影響

VM-02設備、介偵易損壞

VM-03電源開關沒有限制未經(jīng)授權的運用

VM-04存儲空間不夠

VM-05運算實力不夠

VM-06信號輻射

VM-07設備性能差

技術脆弱VM-08存在單點故障

性VM-09口令更改周期較長

VM-10線路輻射

硬件VM-11協(xié)議開放

VM-12明文傳輸

VM-13隨意接入

VM-14口令簡潔

VM-15協(xié)議漏洞

VM-16帶寬不夠

VM-17很簡潔進入

VM-18可用性差

VM-19SNMP的Community值為缺省

VM-20無網(wǎng)絡流量監(jiān)控管理措施

VM-21缺少處置、報廢規(guī)定

VS-01系統(tǒng)沒有剛好更新補丁

VS-02系統(tǒng)開放默認服務和端口

軟件及應

VS-03系統(tǒng)存在可疑服務和端口

用系統(tǒng)

VS-04系統(tǒng)管理員和用戶弱口令或空口令

VS-05系統(tǒng)沒有實現(xiàn)賬號實名制

VS-06系統(tǒng)沒有開放審計日志功能

VS-07系統(tǒng)沒有啟用平安選項

VS-08系統(tǒng)沒有啟用帳戶密碼平安策略

VS-09系統(tǒng)運用默認共享

VS-10系統(tǒng)無權限限制措施

VS-11特權賬戶沒有限制

VS-12版本較低

VS-13存在弱密碼或空密碼

VS11系統(tǒng)漏洞

VS-15配置漏洞

VS-16存在后門

VS-17沒有數(shù)據(jù)加密功能

VS-18軟件架構缺陷

VS-19很簡潔變更

VB-01業(yè)務流程缺陷

VB-02業(yè)務邏輯錯誤

業(yè)務設計VB-03業(yè)務系統(tǒng)設計性能不足

和流程VB-04業(yè)務系統(tǒng)功能實現(xiàn)不足

VB-05業(yè)務系統(tǒng)缺乏審計和記錄

VB-06業(yè)務系統(tǒng)缺乏連續(xù)性支配

VR-01缺乏服務水平協(xié)議

VR-02服務不符合業(yè)務需求

VR-03服務響應不剛好

服務

VR-04服務易中斷

VR-05沒有依據(jù)規(guī)范執(zhí)行

VR-06服務成木太高

VL-01沒有識別相應的法律、法規(guī)

法規(guī)法規(guī)

VL-02不符合法律法規(guī)要求

VI-01信息缺乏精確性

VI-02信息缺乏剛好性

其他信息類VT-03信息簡潔傳播

VT-04信息簡潔毀損

VI-05信息簡潔丟失

無形資產(chǎn)VT-01復原困難

類VT-02簡潔受到損害

表3：脆弱性類別列表

（三）脆弱性屬性

參照國際平安標準，本管理方法將脆弱性屬性定義為脆弱性的嚴峻

性，既脆弱性被某些威逼利用后產(chǎn)生的影響的嚴峻程度，

（三）脆弱性賦值

在CVE和業(yè)界大多數(shù)的掃描器中關于技術性脆弱性的嚴峻性

（Severity）定義中，都是指可能引發(fā)的影響的嚴峻性，參考業(yè)界通用的

脆弱性嚴峻性等級劃分標準，我們接受的等級劃分標準如下：

簡稱說明

4VH脆弱性很簡潔被利用，假如被威逼利用，將對資產(chǎn)造成完全損害

3H脆弱性簡潔被利用，假如被威逼利用，將對資產(chǎn)造成重大損害

2M脆弱性可以被利用，假如被威逼利用，將對資產(chǎn)造成一般損害

1L脆弱性較難被利用，假如被威逼利用，將對?資產(chǎn)造成較小損害

0N脆弱性很難被利用，假如被威逼利用，將對資產(chǎn)造成的損害可以

忽視

表4：脆弱性賦值

在實際評估工作中，脆弱性的值一般參考掃描工具的歸類標準，并參

考CVE、中國國家漏洞庫等相關漏洞庫標準中的說明，依據(jù)實際狀況進行

修正，從而獲得適用的脆弱性值。管理類的脆弱性值依據(jù)管理成熟度進行

賦值。

第十七條影響評估

影響的屬性的評估方法主要考察一個屬性：嚴峻性。本方法將將影響

嚴峻性分為5個等級，分別是很高（VH）、高（H）、中等（M）、低（L）、

可忽視（N）,并且從高到低分別賦值4-0。賦值標準參照下表。

簡稱說明

IVH可以造成資產(chǎn)全部損失或不行用，持續(xù)的業(yè)務中斷，巨大的財務

損失等特殊嚴峻的影響；

3H可以造成資產(chǎn)重大損失，業(yè)務中斷，較大的財務損失等嚴峻影響：

2M可以造成資產(chǎn)損失，業(yè)務受到損害，中等的財務損失等影響

1L可以造成資產(chǎn)較小損失，并且立刻可以受到限制，較小的財務損

失等影響；

0N資產(chǎn)損失可以忽視、對業(yè)務無損害,略微或可忽視的財務損失等

影響。

表5：脆弱性賦值影響嚴峻性賦值標準

第十八條風險計算

在完成了資產(chǎn)識別、威逼識別、脆弱性識別，以及對已有平安措施確

認后，將接受適當?shù)姆椒ㄅc工具確定威逼利用脆弱性導致平安事務發(fā)生的

可能性。綜合平安事務所作用的資產(chǎn)價值及脆弱性的嚴峻程度，推斷平安

事務造成的損失對組織的影響，即平安風險。

（一）風險分析方法

風險分析方法可以是定性分析、半定量分析或定量分析，或者是這些

分析方法的組合。假如按遞升次序?qū)⑦@些分析的困難性和成本加以排列的

話，將會是：定性分析、半定量、定量。事實上，定性分析往往首先被接

受，來得到風險程度的總的提示

組織可依據(jù)信息管理實際評估效果、工作量、成本效益、技術困難度

和數(shù)據(jù)收集困難度等方面的考慮，選擇合適的分析方法作為平安風險的計

算方法。

（二）風險的計算

本管理方法接受相乘法進行量值計算。相乘法供應一種定量的計算方

法，干脆運用兩個要素值進行相乘得到另一個要素的值。相乘法的特點是

簡潔明確，干脆依據(jù)統(tǒng)一公式計算，即可得到所需結果。

在風險值計算中，通常須要對兩個要素確定的另一個要素值進行計

算，例如由威逼和脆弱性確定平安事務發(fā)生可能性值、由資產(chǎn)和脆弱性確

定平安事務的損失值，因此相乘法在風險分析中得到廣泛接受即：

風險值=資產(chǎn)價值X威逼可能性值X脆弱性值X影響性值

（三）風險等級化方法

對風險進行定量取值后，將風險值依據(jù)以“4”為底取對數(shù)計算并四

舍五入得到風險等級值，將風險劃分為五個登記，如下表所描述:

風險等級等級描述風險值范圍

該風險將可觸發(fā)特殊嚴峻的經(jīng)濟或社會影響，如組織信譽嚴峻

4破壞、嚴峻影響組織的正常經(jīng)營，經(jīng)濟損失重大、社會影響惡128W風險值

劣

該風險將可觸發(fā)較大的經(jīng)濟或社會影響，在確定范圍內(nèi)給組織32W風險值＜128

3

的經(jīng)營和組織信譽造成損害

該風險將可觸發(fā)確定的經(jīng)濟、社會或生產(chǎn)經(jīng)營影響，但影響面24風險值＜32

2

和影響程度不大

該風險將可觸發(fā)的影響程度較低，一般僅限于組織內(nèi)部，通過2〈風險值＜8

1

確定手段很快能解決

0該風險將可觸發(fā)的影響幾乎不存在，通過簡潔的措施就能彌補風險值＜2

表6：風險級別表

（二）風險矩陣定性分析

本管理方法接受下面的賦值矩陣來獲得風險點的定量分析表。

通過資產(chǎn)分析、威逼分析、脆弱性分析以及影響分析進行風險點匯總。

脆弱

風險風險資產(chǎn)名資產(chǎn)威逼威逼脆弱性影響影響風險風險風險

性

類別子類稱賦值類型賦值描述描述賦值描述值級別

賦值

管

理

類

風

險

技術

類風

險

運維

類風

險

表7：風險點收集表

通過技術、管理、運維各方面風險點的綜合定性分析，我們將風險項

合并歸類，總結出相應的風險項并進行編號，

風險的編號依據(jù)類別進行劃分，以字母開頭（Risk）,其次個字

母為風險類別，如管理風險為RM為前綴，后綴以數(shù)字為序列、技術風險

以RT為前綴，后綴以數(shù)字為序