第8章风险评估解说.pptVIP

风险评估 风 险 资 产 安全控制 风险演变而来 潜在 （未发生状态） 显在 （已发生状态） T1 T2 Tn Vn V2 V1 脆弱性 威 胁 Cn C2 C1 I2 I1 In 安全事件 度量风险级别的下一主要步骤便是确定对脆弱性的一次成功攻击所产生的负面影响。在开始分析影响之前，有必要获得以下必要信息： 系统使命（例如IT系统的处理过程） 系统和数据的关键性（系统对机构的价值和重要性） 系统和数据的敏感性 分析影响 对脆弱性的利用： 可能导致某些有形资产或资源的损失 可能对机构的使命、声誉或利益造成值得注意的影响 低 对脆弱性的利用： 可能导致人员死亡或严重伤害 可能违犯、危害或阻碍机构的使命、声誉或利益 可能导致人员伤害 中 对脆弱性的利用： 可能导致有形资产或资源的高成本损失 可能严重违犯、危害或阻碍机构的使命、声誉或利益 可能导致人员死亡或严重伤害 高 影响定义 影响级别 风险评估 风险模型 描述系统特征 资产识别与分类 识别威胁 识别脆弱性 分析安全控制 确定可能性 分析影响 确定风险 对安全控制提出建议 记录评估结果 风 险 资 产 安全控制 风险演变而来 潜在 （未发生状态） 显在 （已发生状态） T1 T2 Tn Vn V2 V1 脆弱性 威 胁 Cn C2 C1 I2 I1 In 安全事件 确定风险 如果一个观察报告被评估为低风险，那