三、信息安全风险管理的风险评估<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

                   1、风险评估概述

                            A、风险评估的概念

                            风险评估是信息安全风险管理的第二步,针对确立的风险管理对象所面临的风险进行识别、分析和评价。

                            请参见GB/T20984《信息安全技术 信息安全风险评估规范》。

                            B、风险评估的地位和意义

                                     信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和审核批准活动。

                            C、风险评估的作用范围

风险评估只是为信息安全活动提供一个方向,并不会导致重大的信息安全改进。评估好坏的评价标准在于其对随后的风险处理和审核批准的指导作用,良好和确切的风险评估是成功的信息安全风险管理的基础。

                   2、风险评估过程

风险评估的过程包括风险评估准备、风险因素识别、风险程度分析和风险等级评价四个阶段。在信息安全风险管理过程中,接受对象确立的输出,为风险处理提供输入,监控与审查和沟通与咨询贯穿其四个阶段。

A、  风险评估准备

1)   制定风险评估计划。<依据对象确立输出的三个报告,即《信息系统的描述报告》、《信息系统的分析报告》和《信息系统的安全要求报告》,制定风险评估的实施计划,包括风险评估的目的、意义、范围、目标、组织结构、经费预算和进度安排等,形成《风险评估计划书》。《风险评估计划书》一般需要得到 信息系统和信息安全风险管理决策层的认可和批准。>

2)   确定风险评估程序。<依据对象确立输出的三个报告,确定风险评估的实施程序,包括风险评估的工作流程、输入数据和输出结果等,形成《风险评估程序》。>

3)   选择风险评估方法和工具。<依据对象确立输出的三个报告以及《风险评估计划》和《风险评估程序》,从现有风险评估方法和工具库中选择合适的风险评估方法和工具,形成《入选风险评估方法和工具列表》。>

B、  风险因素识别

1)   识别需要保护的资产。依据对象确立输出的三个报告,即《信息系统的描述报告》、《信息系统的分析报告》和《信息系统的安全要求报告》,识别对机构使命具有关键和重要作用的需要保护的资产,形成《需要保护的资产清单》。

2)   识别面临的威胁。依据对象确立输出的三个报告,参照威胁库,识别机构的信息资产面临的威胁,形成《面临的威胁列表》。<威胁库是有关威胁的外部共享数据和内部历史数据的汇集。>

3)   识别存在的脆弱性。依据对象确立输出的三个报告,参照漏洞库,识别机构的信息资产存在的脆弱性,形成《存在的脆弱性列表》。漏洞库是有关脆弱性/漏洞的外部共享数据和内部历史数据的汇集。

C、  风险程度分析

1)   确认已有的安全措施。2)分析威胁源的动机。3)分析威胁行为的能力。4)分析脆弱性的被利用性。

5)分析资产的价值。6)实施风险计算。

D、  风险等级评价

1)       评价威胁源动机的等级。<依据《威胁源分析报告》>

2)       评价威胁行为能力的等级。<依据《威胁行为分析报告》>

3)       评价脆弱性被利用的等级。<依据《脆弱性分析报告》>

4)       评价资产价值的等级。<依据《资产价值分析报告》>

5)       评价风险的等级。<依据《风险计算报告》>

6)       综合评价风险状况。

<评价等级级数可根据评价对象的特性和实际评估的需要而定。如(高,中,低)三级;(很高,较高,中等,较低,很低)五级等。>

                            3、风险评估文档

阶段
       输出文档
             文档内容

 

风险评估准备
   《风险评估计划书》
风险评估的目的、意义、范围、目标、组织结构、经费预算和进度安排等。

   《风险评估程序》
风险评估的工作流程、输入数据和输出结果等。

《入选风险评估方法和工具列表》
合适的风险评估方法和工具列表。

 

风险因素识别

 
《需要保护的资产清单》
对机构使命具有关键和重要作用的需要保护的资产清单。

    《面临的威胁列表》
机构的信息资产面临的威胁列表。

    《存在的脆弱性列表》
机构的信息资产存在的脆弱性列表。

 

 

 

 

 

 

 

 

风险程度分析

 

 

 

 

 《已有安全措施分析报告》
确认已有的安全措施,包括技术层面(即物理平台、系统平台、网络平台和应用平台)的安全功能、组织层面(即结构、岗位和人员)的安全控制和管理层面(即策略、规章和制度)的安全对策。

   《威胁源分析报告》
从利益、复仇、好奇和自负等驱使因素,分析威胁源动机的强弱。

  《威胁行为分析报告》
 从***的强度、广度、速度和深度等方面,分析威胁行能力的高低。

  《脆弱性分析报告》
分析脆弱性对资产的暴露程度、脆弱性被威胁利用的难易程度。

  《资产价值分析报告》
从资产的保密性、完整性、可用性等方面,分析资产价值的大小。

   《风险计算报告》
综合安全事件所作用的资产价值及脆弱性的严重程度,进行风险计算,判断安全事件造成的损失对组织的影响,即安全风险值。

 

 

 

风险等级评价
   《资产价值等级列表》
  资产价值的等级列表。

《威胁源等级列表》
  威胁源动机的等级列表。

    《威胁行为等级列表》
  威胁行为能力的等级列表。

    《脆弱性等级列表》
  脆弱性被利用的等级列表。

    《风险程度等级列表》
  风险程度的等级列表。

   《风险评估报告》
 汇总上述分析报告和等级列表,综合评价风险的等级。