风险评估与案例.docxVIP

目录 [隐藏 ] 风险评估的定义 风险评估的内容 风险评估任务 风险评估过程注意事项 风险评估的三种可行途径 5.1 基线评估 5.2 详细评估 5.3 组合评估 风险评估的常用方法 风险评估（ Risk Assessment ） 风险评估的定义 风险评估（ Risk Assessment ）是指在风险事件发生之后，对于风险事件给人们的生活、生命、财产等各个方面造成的影响和损失进行量化评估的工作。 风险评估的内容 1）对风险本身的界定。包括风险发生的可能性；风险强度；风险持续时间；风险发生的区域及关键风险点。 2）对风险作用方式的界定。包括风险对企业的影响是直接的还是间接的；是否会引发其他的相关风险；风险对企业的作用范围等。 3）对风险后果的界定。在损失方面：如果风险发生，对企业会造成多大的损失？如 果避免或减少风险， 企业需要付出多大的代价？在冒风险的利益方面： 如果企业冒了风险，可能获得多大的利益？如果避免或减少风险，企业得到的利益又是多少？ 风险评估任务 风险评估的主要任务包括： 识别组织面临的各种风险 评估风险概率和可能带来的负面影响 确定组织承受风险的能力 确定风险消减和控制的优先等级 推荐风险消减对策 风险评估过程注意事项 在风险评估过程中，有几个关键的问题需要考虑。 首先，要确定保护的对象（或者资产）是什么？它的直接和间接价值如何？ 其次，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？ 第三，资产中存在哪里弱点可能会被威胁所利用？利用的容易程度又如何？ 第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？ 最后，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度？ 解决以上问题的过程，就是风险评估的过程。 进行风险评估时，有几个对应关系必须考虑： 每项资产可能面临多种威胁 威胁源（威胁代理）可能不止一个 每种威胁可能利用一个或多个弱点 风险评估的三种可行途径 在风险管理的前期准备阶段，组织已经根据安全目标确定了自己的安全战略，其中就包括对风险评估战略的考虑。所谓风险评估战略，其实就是进行风险评估的途径，也就是规定风险评估应该延续的操作过程和方式。 风险评估的操作范围可以是整个组织，也可以是组织中的某一部门，或者独立的信息系统、特定系统组件和服务。影响风险评估进展的某些因素，包括评估时间、力度、展开幅度和深度，都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。目前，实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。 基线评估 如果组织的商业运作不是很复杂，并且组织对信息处理和网络的依赖程度不是很高， 或者组织信息系统多采用普遍且标准化的模式，基线风险评估（ Baseline Risk Assessment ）就可以直接而简单地实现基本的安全水平， 并且满足组织及其商业环境的所有要求。 采用基线风险评估，组织根据自己的实际情况（所在行业、业务环境与性质等），对信息系统进行安全基线检查（拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线，是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。组织可以根据以下资源来选择安全基线： 国际标准和国家标准，例如 BS 7799-1 、 ISO 13335-4 ； 行业标准或推荐，例如德国联邦安全局 IT 基线保护手册； 来自其他有类似商务目标和规模的组织的惯例。 当然，如果环境和商务目标较为典型，组织也可以自行建立基线。 基线评估的优点是需要的资源少，周期短，操作简单，对于环境相似且安全需求相当的诸多组织，基线评估显然是最经济有效的风险评估途径。当然，基线评估也有其难以避免的缺点，比如基线水平的高低难以设定，如果过高，可能导致资源浪费和限制过度，如果过低，可能难以达到充分的安全，此外，在管理安全相关的变化方面，基线评估比较困难。 基线评估的目标是建立一套满足信息安全基本目标的最小的对策集合，它可以在全组织范围内实行，如果有特殊需要，应该在此基础上，对特定系统进行更详细的评估。 详细评估 详细风险评估要求对资产进行详细识别和评价，对可能引起风险的威胁和弱点水平进行评估，根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想，即识别资产的风险并将风险降低到可接受的水平，以此证明管理者所采用的安全控制措施是恰当的。 详细评估的优点在于： 1、组织可以通过详细的风险评估而对信息安全风险有一个精确的认识，并且准确定义出组织目前的安全水平和安全需求； 2、详细评估的结果可用来管