學習筆記三

3、信息安全風險管理的風險評估

                   1 、風險評估概述

                            A 、風險評估的概念

                            風險評估是信息安全風險管理的第二步，針對確立的風險管理對象所面臨的風險進行識別、分析和評價。

                            請參見 GB/T20984 《信息安全技術 信息安全風險評估規範》。

                            B 、風險評估的地位和意義

                                     信息安全風險管理要依靠風險評估的結果來肯定隨後的風險處理和審覈批准活動。

                            C 、風險評估的做用範圍

風險評估只是爲信息安全活動提供一個方向，並不會致使重大的信息安全改進。評估好壞的評價標準在於其對隨後的風險處理和審覈批准的指導做用，良好和確切的風險評估是成功的信息安全風險管理的基礎。

                   2 、風險評估過程

風險評估的過程包括風險評估準備、風險因素識別、風險程度分析和風險等級評價四個階段。在信息安全風險管理過程當中，接受對象確立的輸出，爲風險處理提供輸入，監控與審查和溝通與諮詢貫穿其四個階段。

A、  風險評估準備

1）   制定風險評估計劃。 < 依據對象確立輸出的三個報告，即《信息系統的描述報告》、《信息系統的分析報告》和《信息系統的安全要求報告》，制定風險評估的實施計劃，包括風險評估的目的、意義、範圍、目標、組織結構、經費預算和進度安排等，造成《風險評估計劃書》。《風險評估計劃書》通常須要獲得 信息系統和信息安全風險管理決策層的承認和批准。 >

2）   肯定風險評估程序。 < 依據對象確立輸出的三個報告，肯定風險評估的實施程序，包括風險評估的工做流程、輸入數據和輸出結果等，造成《風險評估程序》。 >

3）   選擇風險評估方法和工具。 < 依據對象確立輸出的三個報告以及《風險評估計劃》和《風險評估程序》，從現有風險評估方法和工具庫中選擇合適的風險評估方法和工具，造成《入選風險評估方法和工具列表》。 >

B、  風險因素識別

1）   識別須要保護的資產。依據對象確立輸出的三個報告，即《信息系統的描述報告》、《信息系統的分析報告》和《信息系統的安全要求報告》，識別對機構使命具備關鍵和重要做用的須要保護的資產，造成《須要保護的資產清單》。

2）   識別面臨的威脅。依據對象確立輸出的三個報告，參照威脅庫，識別機構的信息資產面臨的威脅，造成《面臨的威脅列表》。 < 威脅庫是有關威脅的外部共享數據和內部歷史數據的聚集。 >

3）   識別存在的脆弱性。依據對象確立輸出的三個報告，參照漏洞庫，識別機構的信息資產存在的脆弱性，造成《存在的脆弱性列表》。漏洞庫是有關脆弱性 / 漏洞的外部共享數據和內部歷史數據的聚集。

C、  風險程度分析

1）   確認已有的安全措施。 2 ）分析威脅源的動機。 3 ）分析威脅行爲的能力。 4 ）分析脆弱性的被利用性。

5 ）分析資產的價值。 6 ）實施風險計算。

D、  風險等級評價

1)       評價威脅源動機的等級。 < 依據《威脅源分析報告》 >

2)       評價威脅行爲能力的等級。 < 依據《威脅行爲分析報告》 >

3)       評價脆弱性被利用的等級。 < 依據《脆弱性分析報告》 >

4)       評價資產價值的等級。 < 依據《資產價值分析報告》 >

5)       評價風險的等級。 < 依據《風險計算報告》 >

6)       綜合評價風險情況。

< 評價等級級數可根據評價對象的特性和實際評估的須要而定。如 ( 高，中，低 ) 三級；（很高，較高，中等，較低，很低）五級等。 >

                            3 、風險評估文檔

階段	輸出文檔	文檔內容
風險評估準備	《風險評估計劃書》	風險評估的目的、意義、範圍、目標、組織結構、經費預算和進度安排等。
	《風險評估程序》	風險評估的工做流程、輸入數據和輸出結果等。
	《入選風險評估方法和工具列表》	合適的風險評估方法和工具列表。
風險因素識別	《須要保護的資產清單》	對機構使命具備關鍵和重要做用的須要保護的資產清單。
	《面臨的威脅列表》	機構的信息資產面臨的威脅列表。
	《存在的脆弱性列表》	機構的信息資產存在的脆弱性列表。
風險程度分析	《已有安全措施分析報告》	確認已有的安全措施，包括技術層面（即物理平臺、系統平臺、網絡平臺和應用平臺）的安全功能、組織層面（即結構、崗位和人員）的安全控制和管理層面（即策略、規章和制度）的安全對策。
	《威脅源分析報告》	從利益、復仇、好奇和自負等驅使因素，分析威脅源動機的強弱。
	《威脅行爲分析報告》	從***的強度、廣度、速度和深度等方面，分析威脅行能力的高低。
	《脆弱性分析報告》	分析脆弱性對資產的暴露程度、脆弱性被威脅利用的難易程度。
	《資產價值分析報告》	從資產的保密性、完整性、可用性等方面，分析資產價值的大小。
	《風險計算報告》	綜合安全事件所做用的資產價值及脆弱性的嚴重程度，進行風險計算，判斷安全事件形成的損失對組織的影響，即安全風險值。
風險等級評價	《資產價值等級列表》	資產價值的等級列表。
	《威脅源等級列表》	威脅源動機的等級列表。
	《威脅行爲等級列表》	威脅行爲能力的等級列表。
	《脆弱性等級列表》	脆弱性被利用的等級列表。
	《風險程度等級列表》	風險程度的等級列表。
	《風險評估報告》	彙總上述分析報告和等級列表，綜合評價風險的等級。