网络安全风险评估与管理手册（执行版）.docxVIP

网络安全风险评估与管理手册（执行版）

第1章

1.1风险定义与分类体系

风险是指组织在实施特定活动或采纳特定措施时，因不确定性因素导致的不利后果发生的可能性及其严重程度的综合度量。在网络安全领域，风险不仅包含技术层面的漏洞暴露，更涵盖业务连续性中断、数据泄露及声誉受损等多维影响。风险通常被划分为三大核心类别：风险可能性（Probability）评估主要依据历史数据、威胁频率统计及场景模拟，通常使用Likelihood评分（如1-10分，其中10代表极高概率）；风险影响（Impact）评估则基于资产价值、合规要求及业务关键度，通常采用CVSS评分或业务影响金额（如百万级/亿元级）；风险等级（RiskLevel）则是将可能性与影响进行加权计算后的最终判定，通常分为低、中、高、极高四个等级。

为了便于管理，风险分类体系依据其性质进一步细分为：技术风险（如未授权访问、恶意代码）、运营风险（如身份认证失效、配置错误）及战略风险（如数据合规失效、核心系统瘫痪）。对于关键基础设施，还需区分“物理环境风险”与“逻辑环境风险”，前者涉及机房断电、火灾等，后者涉及服务器宕机、网络攻击等。在数据采集阶段，必须明确界定“风险事件”的边界，即仅当事件导致组织遭受实际损失、面临法律合规处罚或造成业务中断时，才纳入风险范畴。例如，仅发生一次未授权的内部人员尝试登录且被成功拦截，若