风险评估实施步骤.docxVIP

风险评估实施步骤 一 风评准备 1. 确定风险评估的目标 确定风险评估的范围 组建适当的评估管理与实施团队 进行系统调研，采取问卷调查、现场询问等方式，至少包括以下内容： 业务战略及管理制度 主要的业务功能和要求 网络结构与网络环境，包括内部链接好外部链接 系统边界 主要的硬件、软件 数据和信息 系统和数据的敏感性 支持和使用系统的人员 制定方案，为之后的风评实施提供一个总体计划，至少包括： 确定实施评估团队成员 工作计划及时间进度安排 获得最高管理者对风险评估工作的支持 二 资产识别 资产的价值是按照资产在保密性、完整性和可用性上达到的程度或者其未达到时造成的影响程度来决定 资产分类 根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类 资产的赋值（五个等级：可忽略、低、中等、高、极高） 保密性赋值：根据资产在保密性上的不同要求，对应资产在保密性上应达成的不同程度或者密保性缺失时对整个组织的影响，划分为五个不同的等级 完整性赋值：根据资产在完整性上的不同要求，对应资产在完整性上缺失时对整个组织的影响，划分为五个不同的等级 可用性赋值：根据资产在可用性上的不同要求，对应资产在可用性上应达成的不同程度，划分为五个不同的等级 资产重要性等级（五个等级：很低、低、中、高、很高） 资产价值应依据资产在机密性、完整性和可用性上的赋值等级，经过综合评定得出。综合评定方法，可以根据组织自身的特点，选择对资产机密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果，也可以根据资产机密性、完整性和可用性的不同重要程度对其赋值进行加权计算而得到资产的最终赋值。加权方法可根据组织的业务特点确定。 三 威胁识别 威胁是一种对组织及其资产构成潜在破坏的可能性因素，是客观存在的。 威胁的分类 根据威胁的来源，威胁可分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改、抵赖 威胁的赋值（五个等级：很低、低、中、高、很高） 判断威胁出现的频率是威胁识别的重要工作，评估者应根据经验和（或）有关的统计数据来进行判断。在风险评估过程中，还需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率： （1) 以往安全事件报告中出现过的威胁及其频率的统计； （2) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计； （3) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。 四 脆弱性识别 脆弱性是对一个或多个资产弱点的总称。脆弱性识别也称为弱点识别，弱点是资产本身存在的，如果没有相应的威胁发生，单纯的弱点本身不会对资产造成损害。而且如果系统足够强健，再严重的威胁也不会导致安全事件，并造成损失。即，威胁总是要利用资产的弱点才可能造成危害。 资产的脆弱性具有隐蔽性，有些弱点只有在一定条件和环境下才能显现，这是脆弱性识别中最为困难的部分。需要注意的是，不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个弱点。 脆弱性识别将针对每一项需要保护的资产，找出可能被威胁利用的弱点，并对脆弱性的严重程度进行评估。脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域的专家和软硬件方面的专业等人员。 脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。 脆弱性识别 脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关。 脆弱性赋值（五个等级：很低、低、中、高、很高） 可以根据对资产损害程度、技术实现的难易程度、弱点流行程度，采用等级方式对已识别的脆弱性的严重程度进行赋值。脆弱性由于很多弱点反映的是同一方面的问题，应综合考虑这些弱点，最终确定这一方面的脆弱性严重程度。 对某个资产，其技术脆弱性的严重程度受到组织的管理脆弱性的影响。因此，资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。 五 已有安全措施的确认 组织应对已采取的安全措施的有效性进行确认，对有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。对于确认为不适当的安全措施应核实是否应被取消，或者用更合适的安全措施替代。 六 风险分析 风险计算方法 安全事件发生的可能性 = L(威胁出现频率，脆弱性) 安全事件的损失 = F(资产重要程度，脆弱性严重程度) 风险值 = R(安全事件发生的可能性，安全事件的损失) 评估者可根据自身情况选择相应的风险计算方法计算风险值。如矩阵法或相乘法，通过构造经验函数，矩阵法可形成安全事件发生