风险评估-流程图-V2.0.pdfVIP

信息安全风险评估项目工序与流程，召开项目启动会议，确定各自接口负责人。

风险评估过程分为6基本活动：风险评估准备、资产识别、威胁识别、脆弱性

识别、已有安全措施的确认、风险分析和交付风险评估记录。风险评估双方之间的

沟通与洽谈应贯穿整个风险评估过程，如图1-1所示：

一、风险评估准备阶段

1.确定风险评估的目标

根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容，

识别现有信息系统及管理上的不足，以及可能造成的风险大小。

2.确定风险评估的范围

风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理

机构，也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的

系统或部门等。

3.组建适当的评估管理与实施团队

风险评估实施团队，由管理层、相关业务骨干、IT技术等人员组成风险评

估小组。必要时，可组建由评估方、被评估方领导和相关部门负责人参加的风

险评估领导小组，聘请相关专业的技术专家和技术骨干组成专家小组。

评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作，进

行风险评估技术培训和保密教育，制定风险评估过程管理相关规定。可根据被

评估方要求，双方签署保密合同，适情签署个人保密协议。

4.进行系统调研

建立评估团队后,由评估工作人员进行现场调研，由被评估方介绍网络构建

情况，安全管理制度和采取的安全防护措施以及业务运行情况。评估工作小组

根据调研情况撰写信息安全风险评估工作方案。

5.确定评估依据和方法

a)现有国际标准、国家标准、行业标准；

b)行业主管机关的业务系统的要求和制度；

c)系统安全保护等级要求；

d)系统互联单位的安全要求；

e)系统本身的实时性或性能要求等。

6.制定风险评估方案

对信息系统风险评估项目目标、范围、项目交付文件、项目实施方案、工

作方式、评估成果提交形式讨论确定。形成完整的《风险评估实施方案》。

7.获得最高管理者对风险评估工作的支持

务必请指定业务实施负责人作为项目接口和协调人；列出人员的电话号码

和电子邮件账号以备联络。

==工作输出

1．《业务安全评估相关成员列表》（包括双方人员）

2.《风险评估实施方案》

二、资产识别阶段

1．资产分类

资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式

存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服务、企业形

象等。通常信息资产的保密性、完整性和可用性是公认的能够反映资产安全特性的

三个要素。

评估团队将调研到的资产可分为数据、软件、硬件、服务、人员、其他（企业

形象、客户关系等）等类型。在实际工作中，具体的资产分类方法可根据具体的评

估对象和要求，由评估者灵活把握。

2．资产赋值

根据资产在保密性、完整性、可用性上的不同要求，对资产进行保密性赋值、

完整性赋值、可用性赋值。

资产价值应依据资产在保密性、完整性、可用性上的赋值等级，经过综合评定

得出。

==工作输出

1．《资产表》（包括人工评估标记和资产值）

2.《资产分类报告》

3.《资产三性登记表》

4.《重要资产赋值表》

三、威胁识别阶段

在识别威胁时，应根据资产目前所处的环境条件和以前的记录情况来判断，威

胁识别主要通过采集入侵检测系统(IDS)的报警信息、威胁问卷调查和对技术人员做

顾问访谈的方式。为了确保收集到的威胁信息客观准确，威胁问卷调查的对象要覆

盖被评估对象的领导层、技术主管、网络管理人员、系统管理人员、安全管理人员

和普通员工等。顾问访谈要针对不同的访谈对象制订不同的访谈提纲。

威胁识别的关键在于确认引发威胁的人或事物，威胁源可能是蓄意也可能是偶

然的因素，通常包括人、系统和自然环境等。一项资产可能面临多个威胁，而一个

威胁也可能对不同的资产造成影响。威胁识别完成后还应该对威胁发生的可能性进

行评估，列出威胁清单，描述威胁属性，并对威胁出现的频率赋值。

威胁分类

在威胁评估过程中，首先就要对组织需要保护的每一项关键资产进行威胁识别。

威胁类别包含软硬件故障、物理环境影响、无作为或操作失误、管理不到位、

恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖等