風(fēng)險(xiǎn)評(píng)估管理程序

1、.：.； 風(fēng)險(xiǎn)評(píng)價(jià)管理程序 歷史修訂記錄序號(hào)更改單號(hào)更改闡明修訂人生效日期現(xiàn)行版次目 錄 TOC o 1-3 h z u HYPERLINK l _Toc7061 1 概述 PAGEREF _Toc7061 5 HYPERLINK l _Toc10009 2 術(shù)語與定義 PAGEREF _Toc10009 5 HYPERLINK l _Toc11825 2.1 風(fēng)險(xiǎn)管理 PAGEREF _Toc11825 5 HYPERLINK l _Toc15920 2.1.1 風(fēng)險(xiǎn)評(píng)價(jià) PAGEREF _Toc15920 5 HYPERLINK l _Toc30667 2.2 其他 PAGEREF _To

2、c30667 6 HYPERLINK l _Toc16863 3 風(fēng)險(xiǎn)評(píng)價(jià)框架及流程 PAGEREF _Toc16863 7 HYPERLINK l _Toc9192 3.1 風(fēng)險(xiǎn)要素關(guān)系 PAGEREF _Toc9192 7 HYPERLINK l _Toc3637 3.2 風(fēng)險(xiǎn)分析原理 PAGEREF _Toc3637 9 HYPERLINK l _Toc27267 3.3 實(shí)施流程 PAGEREF _Toc27267 9 HYPERLINK l _Toc24229 4 風(fēng)險(xiǎn)評(píng)價(jià)預(yù)備過程 PAGEREF _Toc24229 10 HYPERLINK l _Toc5903 4.1 確定范圍

3、PAGEREF _Toc5903 10 HYPERLINK l _Toc24470 4.2 確定目的 PAGEREF _Toc24470 11 HYPERLINK l _Toc24610 4.3 確定組織構(gòu)造 PAGEREF _Toc24610 11 HYPERLINK l _Toc459 4.4 確定風(fēng)險(xiǎn)評(píng)價(jià)方法 PAGEREF _Toc459 11 HYPERLINK l _Toc24021 4.5 獲得最高管理者同意 PAGEREF _Toc24021 11 HYPERLINK l _Toc17878 5 風(fēng)險(xiǎn)評(píng)價(jià)實(shí)施過程 PAGEREF _Toc17878 11 HYPERLINK l

4、 _Toc7143 5.1 資產(chǎn)賦值 PAGEREF _Toc7143 13 HYPERLINK l _Toc10273 5.1.1 資產(chǎn)分類 PAGEREF _Toc10273 14 HYPERLINK l _Toc28189 5.1.2 資產(chǎn)價(jià)值屬性 PAGEREF _Toc28189 17 HYPERLINK l _Toc23133 5.1.3 資產(chǎn)價(jià)值屬性賦值規(guī)范 PAGEREF _Toc23133 19 HYPERLINK l _Toc8308 5.2 要挾評(píng)價(jià) PAGEREF _Toc8308 23 HYPERLINK l _Toc7512 5.2.1 要挾分類 PAGEREF _

5、Toc7512 23 HYPERLINK l _Toc10788 5.2.2 要挾賦值 PAGEREF _Toc10788 26 HYPERLINK l _Toc26244 5.3 脆弱性評(píng)價(jià) PAGEREF _Toc26244 27 HYPERLINK l _Toc394 5.4 確定現(xiàn)有控制 PAGEREF _Toc394 30 HYPERLINK l _Toc5815 5.5 風(fēng)險(xiǎn)評(píng)價(jià) PAGEREF _Toc5815 30 HYPERLINK l _Toc24676 5.5.1 風(fēng)險(xiǎn)值計(jì)算 PAGEREF _Toc24676 30 HYPERLINK l _Toc29677 5.5.2

6、 風(fēng)險(xiǎn)等級(jí)劃分 PAGEREF _Toc29677 31 HYPERLINK l _Toc788 5.5.3 風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果紀(jì)錄 PAGEREF _Toc788 31 HYPERLINK l _Toc26127 6 風(fēng)險(xiǎn)管理過程 PAGEREF _Toc26127 32 HYPERLINK l _Toc697 6.1 平安控制的識(shí)別與選擇 PAGEREF _Toc697 33 HYPERLINK l _Toc14101 6.2 降低風(fēng)險(xiǎn) PAGEREF _Toc14101 34 HYPERLINK l _Toc10599 6.3 接受風(fēng)險(xiǎn) PAGEREF _Toc10599 35 HYPERLI

7、NK l _Toc22769 6.4 風(fēng)險(xiǎn)管理要求 PAGEREF _Toc22769 35 HYPERLINK l _Toc22723 7 相關(guān)文件 PAGEREF _Toc22723 36概述目前信息平安管理的開展趨勢(shì)是將風(fēng)險(xiǎn)管理與信息平安管理嚴(yán)密結(jié)合在一同，將風(fēng)險(xiǎn)概念作為信息平安管理實(shí)際的對(duì)象和出發(fā)點(diǎn)，信息平安管理的控制點(diǎn)以風(fēng)險(xiǎn)出現(xiàn)的能夠性作為對(duì)象而展開的。ISO27001規(guī)范對(duì)信息平安管理體系(ISMS)的要求即經(jīng)過對(duì)信息資產(chǎn)的風(fēng)險(xiǎn)管理,確定重要信息資產(chǎn)清單以及風(fēng)險(xiǎn)等級(jí),從而采取相應(yīng)的控制措施來實(shí)現(xiàn)信息資產(chǎn)的平安。信息平安管理是風(fēng)險(xiǎn)管理的過程，風(fēng)險(xiǎn)評(píng)價(jià)是風(fēng)險(xiǎn)管理的根底。風(fēng)險(xiǎn)管理是指點(diǎn)和

8、控制組織風(fēng)險(xiǎn)的過程。風(fēng)險(xiǎn)管理遵看管理的普通循環(huán)方式方案 (Plan)、執(zhí)行 (Do)、檢查 (Check)、行動(dòng) (Action)的繼續(xù)改良方式。ISO27001規(guī)范要求企業(yè)設(shè)計(jì)、實(shí)施、維護(hù)信息平安管理體系都要根據(jù)PDCA循環(huán)方式。術(shù)語與定義風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理是以可接受本錢識(shí)別、評(píng)價(jià)、控制、降低能夠影響信息系統(tǒng)風(fēng)險(xiǎn)的過程，經(jīng)過風(fēng)險(xiǎn)評(píng)價(jià)識(shí)別風(fēng)險(xiǎn)，經(jīng)過制定信息平安方針，采取適當(dāng)?shù)目刂颇康呐c控制方式對(duì)風(fēng)險(xiǎn)進(jìn)展控制，使風(fēng)險(xiǎn)被防止、轉(zhuǎn)移或降低到一個(gè)可以被接受的程度，同時(shí)思索控制費(fèi)用與風(fēng)險(xiǎn)之間的平衡。風(fēng)險(xiǎn)管理的中心是信息的維護(hù)。信息對(duì)于組織是一種具有重要價(jià)值的資產(chǎn)。建立信息平安管理體系(ISMS)的目的是在

9、最大范圍內(nèi)維護(hù)信息資產(chǎn)，確保信息的性、完好性和可用性，將風(fēng)險(xiǎn)管理自始至終的貫穿于整個(gè)信息平安管理體系中，這種體系并不能完全消除信息平安的風(fēng)險(xiǎn)，只是盡量減少風(fēng)險(xiǎn)，盡量將攻擊呵斥的損失降低到最低限制。風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)評(píng)價(jià)指風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過程，其中風(fēng)險(xiǎn)分析是指系統(tǒng)化地識(shí)別風(fēng)險(xiǎn)來源和風(fēng)險(xiǎn)類型，風(fēng)險(xiǎn)評(píng)價(jià)是指按組織制定的風(fēng)險(xiǎn)規(guī)范估算風(fēng)險(xiǎn)程度，確定風(fēng)險(xiǎn)嚴(yán)重性。風(fēng)險(xiǎn)評(píng)價(jià)的出發(fā)點(diǎn)是對(duì)與風(fēng)險(xiǎn)有關(guān)的各要素確實(shí)認(rèn)和分析，與信息平安風(fēng)險(xiǎn)有關(guān)的要素可以包括四大類：資產(chǎn)、要挾、脆弱性、平安控制措施。風(fēng)險(xiǎn)評(píng)價(jià)是對(duì)信息和信息處置設(shè)備的要挾、脆弱性和風(fēng)險(xiǎn)的評(píng)價(jià)，它包含以下元素：風(fēng)險(xiǎn)是被特定要挾利用的資產(chǎn)的一種或一組脆弱性，

10、導(dǎo)致資產(chǎn)喪失或損害的潛在能夠性，即特定要挾事件發(fā)生的能夠性與后果的結(jié)合。資產(chǎn)是對(duì)組織具有價(jià)值的信息資源，是平安控制措施維護(hù)的對(duì)象。要挾是能夠?qū)Y產(chǎn)或組織呵斥損害的事故的潛在緣由。脆弱性是資產(chǎn)或資產(chǎn)組中能被要挾利用的弱點(diǎn)。平安控制措施是降低風(fēng)險(xiǎn)的措施、程序或機(jī)制。其他資產(chǎn)Asset：對(duì)組織具有價(jià)值的信息或資源，是平安戰(zhàn)略維護(hù)的對(duì)象。資產(chǎn)價(jià)值A(chǔ)sset Value：資產(chǎn)的重要程度或敏感程度的表征。資產(chǎn)價(jià)值是資產(chǎn)的屬性，也是進(jìn)展資產(chǎn)識(shí)別的主要內(nèi)容。性confidentiality：數(shù)據(jù)所具有的特性，即表示數(shù)據(jù)所到達(dá)的未提供或未泄露給未授權(quán)的個(gè)人、過程或其他實(shí)體的程度。完好性integrity：保證信

11、息及信息系統(tǒng)不會(huì)被非授權(quán)更改或破壞的特性。包括數(shù)據(jù)完好性和系統(tǒng)完好性?？捎眯詀vailability：數(shù)據(jù)或資源的特性，被授權(quán)實(shí)體按要求能訪問和運(yùn)用數(shù)據(jù)或資源。數(shù)據(jù)完好性data integrity ：數(shù)據(jù)所具有的特性，即無論數(shù)據(jù)方式作何變化，數(shù)據(jù)的準(zhǔn)確性和一致性均堅(jiān)持不變。系統(tǒng)完好性system integrity ：在防止非授權(quán)用戶修正或運(yùn)用資源和防止授權(quán)用戶不正確地修正或運(yùn)用資源的情況下，信息系統(tǒng)能履行其操作目的的質(zhì)量。信息平安風(fēng)險(xiǎn)information security risk：人為或自然的要挾利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致平安事件的發(fā)生及其對(duì)組織呵斥的影響。信息平安風(fēng)險(xiǎn)

12、評(píng)價(jià)information security risk assessment：根據(jù)有關(guān)信息平安技術(shù)與管理規(guī)范，對(duì)信息系統(tǒng)及由其處置、傳輸和存儲(chǔ)的信息的性、完好性和可用性等平安屬性進(jìn)展評(píng)價(jià)的過程。它要評(píng)價(jià)資產(chǎn)面臨的要挾以及要挾利用脆弱性導(dǎo)致平安事件的能夠性，并結(jié)合平安事件所涉及的資產(chǎn)價(jià)值來判別平安事件一旦發(fā)生對(duì)組織呵斥的影響。信息系統(tǒng)information system：由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)備(含網(wǎng)絡(luò))構(gòu)成的，按照一定的運(yùn)用目的和規(guī)那么對(duì)信息進(jìn)展采集、加工、存儲(chǔ)、傳輸、檢索等處置的人機(jī)系統(tǒng)。典型的信息系統(tǒng)由三部分組成：硬件系統(tǒng)計(jì)算機(jī)硬件系統(tǒng)和網(wǎng)絡(luò)硬件系統(tǒng)；系統(tǒng)軟件計(jì)算機(jī)系統(tǒng)軟件和網(wǎng)

13、絡(luò)系統(tǒng)軟件；運(yùn)用軟件包括由其處置、存儲(chǔ)的信息。檢查評(píng)價(jià)inspection assessment：由被評(píng)價(jià)組織的上級(jí)主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的，根據(jù)國家有關(guān)法規(guī)與規(guī)范，對(duì)信息系統(tǒng)及其管理進(jìn)展的具有強(qiáng)迫性的檢查活動(dòng)。組織organization：由作用不同的個(gè)體為實(shí)施共同的業(yè)務(wù)目的而建立的構(gòu)造。組織的特性在于為完成目的而分工、協(xié)作；一個(gè)單位是一個(gè)組織，某個(gè)業(yè)務(wù)部門也可以是一個(gè)組織。剩余風(fēng)險(xiǎn)residual risk：采取了平安措施后，依然能夠存在的風(fēng)險(xiǎn)。自評(píng)價(jià)self-assessment：由組織本身發(fā)起，參照國家有關(guān)法規(guī)與規(guī)范，對(duì)信息系統(tǒng)及其管理進(jìn)展的風(fēng)險(xiǎn)評(píng)價(jià)活動(dòng)。平安事件security

14、event ：指系統(tǒng)、效力或網(wǎng)絡(luò)的一種可識(shí)別形狀的發(fā)生，它能夠是對(duì)信息平安戰(zhàn)略的違反或防護(hù)措施的失效，或未預(yù)知的不平安情況。平安措施security measure：維護(hù)資產(chǎn)、抵御要挾、減少脆弱性、降低平安事件的影響，以及打擊信息犯罪而實(shí)施的各種實(shí)際、規(guī)程和機(jī)制的總稱。平安需求security requirement：為保證組織業(yè)務(wù)戰(zhàn)略的正常運(yùn)作而在平安措施方面提出的要求。要挾threat：能夠?qū)е聦?duì)系統(tǒng)或組織危害的不希望事故潛在緣由。脆弱性vulnerability：能夠被要挾所利用的資產(chǎn)或假設(shè)干資產(chǎn)的弱點(diǎn)。風(fēng)險(xiǎn)評(píng)價(jià)框架及流程本章提出了風(fēng)險(xiǎn)評(píng)價(jià)的要素關(guān)系、分析原理及實(shí)施流程。風(fēng)險(xiǎn)要素關(guān)系資產(chǎn)

15、一切者應(yīng)對(duì)信息資產(chǎn)進(jìn)展維護(hù)，經(jīng)過分析信息資產(chǎn)的脆弱性來確定要挾能夠利用哪些弱點(diǎn)來破壞其平安性。風(fēng)險(xiǎn)評(píng)價(jià)要識(shí)別資產(chǎn)相關(guān)要素的關(guān)系，從而判別資產(chǎn)面臨的風(fēng)險(xiǎn)大小。風(fēng)險(xiǎn)評(píng)價(jià)中各要素的關(guān)系如圖3-1所示：圖3-1 風(fēng)險(xiǎn)要素關(guān)系圖圖3-1中方框部分的內(nèi)容為風(fēng)險(xiǎn)評(píng)價(jià)的根本要素，橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性。風(fēng)險(xiǎn)評(píng)價(jià)圍繞著這些根本要素展開，在對(duì)這些要素的評(píng)價(jià)過程中，需求充分思索業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、平安需求、平安事件、剩余風(fēng)險(xiǎn)等與這些根本要素相關(guān)的各類屬性。圖3-1中的風(fēng)險(xiǎn)要素及屬性之間存在著以下關(guān)系： 業(yè)務(wù)戰(zhàn)略的實(shí)現(xiàn)對(duì)資產(chǎn)具有依賴性，依賴程度越高，要求其風(fēng)險(xiǎn)越??；資產(chǎn)是有價(jià)值的，組織的業(yè)務(wù)戰(zhàn)略對(duì)資產(chǎn)的

16、依賴程度越高，資產(chǎn)價(jià)值就越大；資產(chǎn)價(jià)值越大，原那么上那么其面臨的風(fēng)險(xiǎn)越大；風(fēng)險(xiǎn)是由要挾引發(fā)的，資產(chǎn)面臨的要挾越多那么風(fēng)險(xiǎn)越大，并能夠?qū)е缕桨彩录?；弱點(diǎn)越多，要挾利用脆弱性導(dǎo)致平安事件的能夠性越大；脆弱性是未被滿足的平安需求，要挾利用脆弱性危害資產(chǎn)，從而構(gòu)成風(fēng)險(xiǎn)；風(fēng)險(xiǎn)的存在及對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)導(dǎo)出平安需求；平安需求可經(jīng)過平安措施得以滿足，需求結(jié)合資產(chǎn)價(jià)值思索實(shí)施本錢；平安措施可抵御要挾，降低平安事件發(fā)生的能夠性，并減少影響；風(fēng)險(xiǎn)不能夠也沒有必要降為零，在實(shí)施了平安措施后還能夠有剩余風(fēng)險(xiǎn)。有些剩余風(fēng)險(xiǎn)的緣由能夠是平安措施不當(dāng)或無效,需求繼續(xù)控制；而有些剩余風(fēng)險(xiǎn)那么是在綜合思索了平安本錢與效益后未去控制的

17、風(fēng)險(xiǎn)，是可以接受的；剩余風(fēng)險(xiǎn)應(yīng)遭到親密監(jiān)視，它能夠會(huì)在未來誘發(fā)新的平安事件。風(fēng)險(xiǎn)分析原理 風(fēng)險(xiǎn)分析原理如圖3-2所示：圖3-2 風(fēng)險(xiǎn)分析原理圖風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、要挾、脆弱性等根本要素。每個(gè)要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價(jià)值；要挾的屬性可以是要挾主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。風(fēng)險(xiǎn)分析的主要內(nèi)容為：對(duì)資產(chǎn)進(jìn)展識(shí)別，并對(duì)資產(chǎn)的價(jià)值進(jìn)展賦值；對(duì)要挾進(jìn)展識(shí)別，描畫要挾的屬性，并對(duì)要挾出現(xiàn)的頻率賦值；對(duì)資產(chǎn)的脆弱性進(jìn)展識(shí)別，并對(duì)詳細(xì)資產(chǎn)的脆弱性的嚴(yán)重程度賦值；根據(jù)要挾及要挾利用弱點(diǎn)的難易程度判別平安事件發(fā)生的能夠性；根據(jù)脆弱性的嚴(yán)重程度及平安事件所作用資產(chǎn)的價(jià)

18、值計(jì)算平安事件的損失；根據(jù)平安事件發(fā)生的能夠性以及平安事件的損失，計(jì)算平安事件一旦發(fā)生對(duì)組織的影響，即風(fēng)險(xiǎn)值。實(shí)施流程圖3-3給出風(fēng)險(xiǎn)評(píng)價(jià)的實(shí)施流程，第4章將圍繞風(fēng)險(xiǎn)評(píng)價(jià)流程論述風(fēng)險(xiǎn)評(píng)價(jià)各詳細(xì)實(shí)施步驟。圖3-3 風(fēng)險(xiǎn)評(píng)價(jià)實(shí)施流程圖 風(fēng)險(xiǎn)評(píng)價(jià)預(yù)備過程風(fēng)險(xiǎn)評(píng)價(jià)的預(yù)備過程是運(yùn)維中心進(jìn)展風(fēng)險(xiǎn)評(píng)價(jià)的根底，是整個(gè)風(fēng)險(xiǎn)評(píng)價(jià)過程有效性的保證。運(yùn)維中心對(duì)信息及信息系統(tǒng)進(jìn)展風(fēng)險(xiǎn)評(píng)價(jià)是一種戰(zhàn)略性的思索，其結(jié)果將遭到運(yùn)維中心業(yè)務(wù)需求及戰(zhàn)略目的、文化、業(yè)務(wù)流程、平安要求、規(guī)模和構(gòu)造的影響。因此在風(fēng)險(xiǎn)評(píng)價(jià)實(shí)施前，應(yīng)：確定風(fēng)險(xiǎn)評(píng)價(jià)的范圍；確定風(fēng)險(xiǎn)評(píng)價(jià)的目的；建立適當(dāng)?shù)慕M織構(gòu)造；建立系統(tǒng)化的風(fēng)險(xiǎn)評(píng)價(jià)方法；獲得最高管理者對(duì)風(fēng)險(xiǎn)

19、評(píng)價(jià)謀劃的同意。確定范圍進(jìn)展風(fēng)險(xiǎn)評(píng)價(jià)是基于運(yùn)維中心本身商業(yè)要求及戰(zhàn)略目的的要求，國家法律法規(guī)和行業(yè)監(jiān)管要求，根據(jù)上述要求確定風(fēng)險(xiǎn)評(píng)價(jià)范圍，每次評(píng)價(jià)范圍可以是全公司的信息和信息系統(tǒng)，可以是單獨(dú)的信息系統(tǒng)，可以是關(guān)鍵業(yè)務(wù)流程。此項(xiàng)任務(wù)需求在資產(chǎn)識(shí)別和分類任務(wù)根底上進(jìn)展。確定目的運(yùn)維中心的信息、信息系統(tǒng)、運(yùn)用軟件和網(wǎng)絡(luò)是運(yùn)維中心重要的資產(chǎn)，信息資產(chǎn)的性，完好性和可用性對(duì)于維持競(jìng)爭優(yōu)勢(shì)，提高平安管理程度，符合法律法規(guī)要求和運(yùn)維中心的籠統(tǒng)是必要的。運(yùn)維中心要面對(duì)四面八方日益增長的平安要挾，信息、信息系統(tǒng)、運(yùn)用軟件和網(wǎng)絡(luò)能夠是嚴(yán)重要挾的目的，同時(shí)由于運(yùn)維中心信息化程度不斷提高，對(duì)信息系統(tǒng)和技術(shù)的依賴日益添

20、加，那么能夠出現(xiàn)更多的脆弱性。運(yùn)維中心風(fēng)險(xiǎn)評(píng)價(jià)的目的來源于業(yè)務(wù)繼續(xù)開展的需求、滿足國家法律法規(guī)和行業(yè)監(jiān)管的要求等方面。確定組織構(gòu)造在風(fēng)險(xiǎn)評(píng)價(jià)過程中，應(yīng)建立適宜的組織構(gòu)造，以推進(jìn)評(píng)價(jià)過程，成立由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等組成的風(fēng)險(xiǎn)評(píng)價(jià)小組，以保證可以滿足風(fēng)險(xiǎn)評(píng)價(jià)的范圍、目的。確定風(fēng)險(xiǎn)評(píng)價(jià)方法風(fēng)險(xiǎn)評(píng)價(jià)方法應(yīng)思索評(píng)價(jià)的范圍、目的、時(shí)間、效果、組織文化、人員素質(zhì)以及詳細(xì)開展的程度等要素來確定，使之可以與運(yùn)維中心的環(huán)境和平安要求相順應(yīng)。獲得最高管理者同意上述一切內(nèi)容應(yīng)得到運(yùn)維中心管理層同意，并對(duì)相關(guān)部門和員工進(jìn)展傳達(dá)，就風(fēng)險(xiǎn)評(píng)價(jià)相關(guān)內(nèi)容進(jìn)展培訓(xùn)，以明確各有關(guān)人員在風(fēng)險(xiǎn)評(píng)價(jià)中的義務(wù)。風(fēng)險(xiǎn)評(píng)價(jià)實(shí)施

21、過程信息平安各組成要素：資產(chǎn)的價(jià)值、對(duì)資產(chǎn)的要挾和要挾發(fā)生的能夠性、資產(chǎn)脆弱性、現(xiàn)有的平安控制提供的維護(hù)，風(fēng)險(xiǎn)評(píng)價(jià)過程是綜合以上要素而導(dǎo)出風(fēng)險(xiǎn)的過程，如圖5-1所示：資產(chǎn)賦值脆弱性評(píng)價(jià)要挾評(píng)價(jià)確定現(xiàn)有控制風(fēng)險(xiǎn)評(píng)價(jià)圖5-1風(fēng)險(xiǎn)評(píng)價(jià)的過程詳細(xì)的風(fēng)險(xiǎn)評(píng)價(jià)方法描畫詳細(xì)的風(fēng)險(xiǎn)評(píng)價(jià)是對(duì)資產(chǎn)、要挾和脆弱點(diǎn)進(jìn)展詳細(xì)的識(shí)別和估價(jià)，評(píng)價(jià)結(jié)果被用于評(píng)價(jià)風(fēng)險(xiǎn)和平安控制的識(shí)別和選擇。經(jīng)過識(shí)別資產(chǎn)的風(fēng)險(xiǎn)并將風(fēng)險(xiǎn)降低到可接受程度，來證明管理者所采用的平安控制是適當(dāng)?shù)?。詳?xì)的風(fēng)險(xiǎn)評(píng)價(jià)，需求仔細(xì)地制定被評(píng)價(jià)的信息系統(tǒng)范圍內(nèi)的業(yè)務(wù)環(huán)境、業(yè)務(wù)運(yùn)營、信息和資產(chǎn)的邊境，是一個(gè)需求管理者繼續(xù)關(guān)注的方法，如下表：風(fēng)險(xiǎn)評(píng)價(jià)評(píng)價(jià)活動(dòng)資產(chǎn)賦值識(shí)

22、別和列出信息平安管理范圍內(nèi)被評(píng)價(jià)的業(yè)務(wù)環(huán)境、業(yè)務(wù)運(yùn)營和信息相關(guān)的一切的資產(chǎn)，定義一個(gè)價(jià)值尺度并為每一項(xiàng)資產(chǎn)分配價(jià)值性、完好性和可用性的價(jià)值。要挾評(píng)價(jià)識(shí)別與資產(chǎn)相關(guān)的一切要挾，并根據(jù)它們發(fā)生的能夠性為它們賦值。脆弱性評(píng)價(jià)識(shí)別與資產(chǎn)相關(guān)的一切的脆弱點(diǎn)，并根據(jù)它們被要挾利用的程度和嚴(yán)重性來賦值。確定現(xiàn)有控制識(shí)別與記錄一切與資產(chǎn)相關(guān)聯(lián)的、現(xiàn)有的控制。風(fēng)險(xiǎn)評(píng)價(jià)利用上述對(duì)資產(chǎn)、要挾、脆弱點(diǎn)的評(píng)價(jià)結(jié)果，進(jìn)展風(fēng)險(xiǎn)評(píng)價(jià)，風(fēng)險(xiǎn)為資產(chǎn)的相對(duì)價(jià)值、要挾發(fā)生的能夠性與脆弱點(diǎn)被利用的能夠性的函數(shù)，采用適當(dāng)?shù)娘L(fēng)險(xiǎn)丈量工具進(jìn)展風(fēng)險(xiǎn)計(jì)算。表5-1 詳細(xì)風(fēng)險(xiǎn)評(píng)價(jià)內(nèi)容詳細(xì)風(fēng)險(xiǎn)評(píng)價(jià)方法將平安風(fēng)險(xiǎn)作為資產(chǎn)、要挾及脆弱點(diǎn)的函數(shù)來進(jìn)展識(shí)別

23、與評(píng)價(jià)，詳細(xì)程序包括：對(duì)資產(chǎn)闡明它們的價(jià)值、業(yè)務(wù)相關(guān)性、要挾闡明它們發(fā)生的能夠性和脆弱性闡明有關(guān)它們的弱點(diǎn)和敏感性的程度進(jìn)展丈量與賦值。運(yùn)用預(yù)定義風(fēng)險(xiǎn)計(jì)算函數(shù)完成風(fēng)險(xiǎn)丈量。資產(chǎn)賦值資產(chǎn)賦值就是要識(shí)別影響信息系統(tǒng)的信息資產(chǎn)以下簡稱資產(chǎn)，并評(píng)價(jià)其價(jià)值，包括資產(chǎn)識(shí)別與資產(chǎn)賦值兩部分。資產(chǎn)識(shí)別 資產(chǎn)是影響信息系統(tǒng)運(yùn)轉(zhuǎn)而需求維護(hù)的有用資源，資產(chǎn)以多種方式存在。運(yùn)維中心資產(chǎn)分為：硬件類、系統(tǒng)效力類、支撐效力類、信息類、人員、無形資產(chǎn)等，每類資產(chǎn)具有不同價(jià)值屬性和存在特點(diǎn)，固有的弱點(diǎn)、面臨的要挾、需求實(shí)施的維護(hù)和平安控制各不一樣。 為了對(duì)資產(chǎn)進(jìn)展有效的維護(hù)，組織需求在各個(gè)管理層對(duì)資產(chǎn)落實(shí)責(zé)任，進(jìn)展恰當(dāng)?shù)墓芾?/p>

24、。 在信息平安體系范圍內(nèi)識(shí)別資產(chǎn)并為資產(chǎn)編制清單是一項(xiàng)重要任務(wù)，每項(xiàng)資產(chǎn)都應(yīng)該明晰地定義，在組織中明確資產(chǎn)一切權(quán)關(guān)系，進(jìn)展平安分類，并以文件方式詳細(xì)記錄在案。 資產(chǎn)賦值 為了明確對(duì)資產(chǎn)的維護(hù)，有必要對(duì)資產(chǎn)進(jìn)展估價(jià)，其價(jià)值大小不僅僅是思索其本身的價(jià)值，還要思索其業(yè)務(wù)的相關(guān)性和一定條件下的潛在價(jià)值。資產(chǎn)價(jià)值經(jīng)常是以平安事件發(fā)生時(shí)所產(chǎn)生的潛在業(yè)務(wù)影響來衡量，平安事件會(huì)導(dǎo)致資產(chǎn)性、完好性和可用性的損失，從而導(dǎo)致企業(yè)資金、市場(chǎng)份額、企業(yè)籠統(tǒng)的損失。為了資產(chǎn)評(píng)價(jià)的一致性與準(zhǔn)確性，組織該當(dāng)建立一個(gè)資產(chǎn)的價(jià)值評(píng)價(jià)規(guī)范，對(duì)每一種資產(chǎn)和每一種能夠的損失，例如性、完好性和可用性的損失，都可以賦予一個(gè)價(jià)值。但采用準(zhǔn)確

25、的方式給資產(chǎn)賦值是較困難的一件事，普通采用定性的方式，按照事前建立的資產(chǎn)的價(jià)值評(píng)價(jià)規(guī)范將資產(chǎn)的價(jià)值劃分為不同等級(jí)。經(jīng)過資產(chǎn)的識(shí)別與估價(jià)后，組織應(yīng)根據(jù)資產(chǎn)價(jià)值大小，進(jìn)一步確定要維護(hù)的關(guān)鍵資產(chǎn)。 資產(chǎn)分別具有不同的平安屬性，性、完好性和可用性分別反映了資產(chǎn)在三個(gè)不同方面的特性。平安屬性的不同通常也意味著平安控制、維護(hù)功能需求的不同。經(jīng)過調(diào)查三種不同平安屬性，可以得出一個(gè)可以根本反映資產(chǎn)價(jià)值的數(shù)值。對(duì)信息資產(chǎn)進(jìn)展估價(jià)賦值的目的是為了更好地反映資產(chǎn)的價(jià)值，以便于進(jìn)一步調(diào)查資產(chǎn)相關(guān)的弱點(diǎn)、要挾和風(fēng)險(xiǎn)屬性，并進(jìn)展量化。 在評(píng)價(jià)過程，為了保證沒有資產(chǎn)被忽略和脫漏，應(yīng)該先確定信息平安管理體系(ISMS)范圍，

26、建立資產(chǎn)的評(píng)審邊境。評(píng)價(jià)資產(chǎn)最簡單的方式是列出組織業(yè)務(wù)過程中、平安管理體系范圍內(nèi)一切具有價(jià)值的資產(chǎn)，然后對(duì)資產(chǎn)賦予一定的價(jià)值，這種價(jià)值應(yīng)該反映資產(chǎn)對(duì)組織業(yè)務(wù)運(yùn)營的重要性，并以對(duì)業(yè)務(wù)的潛在影響程度表現(xiàn)出來。例如，資產(chǎn)價(jià)值越大，由于泄露、修正、損害、不可用等平安事件對(duì)組織業(yè)務(wù)的潛在影響就越大?；诮M織業(yè)務(wù)需求的資產(chǎn)的識(shí)別與估價(jià)，是建立信息平安體系，確定風(fēng)險(xiǎn)的重要一步。 資產(chǎn)的價(jià)值該當(dāng)由資產(chǎn)的一切者和相關(guān)用戶來確定，只需他們才最清楚資產(chǎn)對(duì)組織業(yè)務(wù)的重要性，才干較準(zhǔn)確地評(píng)價(jià)出資產(chǎn)的實(shí)踐價(jià)值。為確保資產(chǎn)賦值時(shí)的一致性和準(zhǔn)確性，組織應(yīng)建立一個(gè)資產(chǎn)價(jià)值評(píng)價(jià)尺度，以指點(diǎn)資產(chǎn)賦值。 在對(duì)資產(chǎn)賦予價(jià)值時(shí)，一方面要

27、思索資產(chǎn)購買本錢及維護(hù)本錢，另一方面主要思索當(dāng)這種資產(chǎn)的性、完好性、可用性遭到損害時(shí)，對(duì)業(yè)務(wù)運(yùn)營的負(fù)面影響程度。在信息平安管理中，并不是直接采用資產(chǎn)的賬面價(jià)值，在運(yùn)維中心風(fēng)險(xiǎn)評(píng)價(jià)中采用以定性分級(jí)的方式建立資產(chǎn)的相對(duì)價(jià)值，以相對(duì)價(jià)值來作為確定重要資產(chǎn)的根據(jù)和為這種資產(chǎn)的維護(hù)投入多大資源的根據(jù)。資產(chǎn)分類 運(yùn)維中心資產(chǎn)分類見下表：大類小類稱號(hào)硬件類H010大型機(jī)H020小型機(jī)H030PC效力器H040PC臺(tái)式機(jī)H050PC挪動(dòng)電腦H060業(yè)務(wù)終端H070通訊設(shè)備H080網(wǎng)絡(luò)交換機(jī)H090網(wǎng)絡(luò)路由器H100負(fù)載平衡器H110網(wǎng)絡(luò)平安設(shè)備H120數(shù)據(jù)存儲(chǔ)設(shè)備H130挪動(dòng)存儲(chǔ)設(shè)備H140存儲(chǔ)介質(zhì)H150紙

28、質(zhì)文檔H160智能卡設(shè)備H170UPS設(shè)備H180發(fā)電機(jī)H190設(shè)備管理間H200電線電纜H210顯示設(shè)備H220監(jiān)控設(shè)備H230機(jī)/系統(tǒng)H240照明設(shè)備H250供電設(shè)備H260供水設(shè)備H270暖通空調(diào)H280消防設(shè)備H290門禁系統(tǒng)H300打印機(jī)H310復(fù)印機(jī)H320掃描儀H330投影機(jī)H340機(jī)架系統(tǒng)效力類S010中心業(yè)務(wù)運(yùn)用系統(tǒng)S020輔助業(yè)務(wù)運(yùn)用系統(tǒng)S030網(wǎng)絡(luò)根底運(yùn)用系統(tǒng)S040網(wǎng)絡(luò)平安系統(tǒng)S050操作系統(tǒng)S060數(shù)據(jù)庫S070中間件S080軟件開發(fā)工具S090軟件測(cè)試工具S100其他系統(tǒng)或效力信息類I010軟件I020開發(fā)文檔及源代碼I030用戶文檔I040系統(tǒng)業(yè)務(wù)數(shù)據(jù)I050系統(tǒng)

29、支撐數(shù)據(jù)I060密碼數(shù)據(jù)I070其他支撐效力類F010通訊效力F020系統(tǒng)運(yùn)轉(zhuǎn)F030系統(tǒng)維護(hù)F040軟件開發(fā)F050軟件維護(hù)F060平安捍衛(wèi)F070人力資源效力F080財(cái)務(wù)效力F090供電F100供暖F110消防F120照明F130空調(diào)F140咨詢效力F150培訓(xùn)效力F160審計(jì)效力人員類R010管理層人員R020網(wǎng)絡(luò)管理人員R030系統(tǒng)管理人員R040平安管理人員R050軟件開發(fā)人員R060軟件測(cè)試人員R070通訊管理人員R080文檔管理人員R090系統(tǒng)用戶R100企業(yè)客戶R110簽約供應(yīng)商R120第三方人員R130暫時(shí)人員無形資產(chǎn)類W010公信力 W020組織籠統(tǒng)與聲譽(yù) W030商標(biāo)W0

30、40產(chǎn)品稱號(hào)W050知識(shí)產(chǎn)權(quán)表5-2 資產(chǎn)分類表資產(chǎn)價(jià)值屬性除了性、完好性和可用性外，在運(yùn)維中心風(fēng)險(xiǎn)評(píng)價(jià)中引入系統(tǒng)對(duì)業(yè)務(wù)的重要程度、資產(chǎn)對(duì)系統(tǒng)的重要程度，資產(chǎn)破費(fèi)等資產(chǎn)價(jià)值屬性，各價(jià)值屬性圖示如下：圖5-2 資產(chǎn)價(jià)值屬性系統(tǒng)效力范圍：闡明當(dāng)前業(yè)務(wù)系統(tǒng)運(yùn)用或效力的范圍，評(píng)價(jià)人員可以人工分析并選擇系統(tǒng)效力范圍值。業(yè)務(wù)對(duì)系統(tǒng)的依賴程度：用于衡量部門業(yè)務(wù)對(duì)當(dāng)前業(yè)務(wù)系統(tǒng)的依賴程度，評(píng)價(jià)人員可以人工分析并選擇業(yè)務(wù)對(duì)系統(tǒng)的依賴程度值。系統(tǒng)對(duì)業(yè)務(wù)的重要程度：用于衡量業(yè)務(wù)系統(tǒng)對(duì)業(yè)務(wù)的重要性，其值由系統(tǒng)效力范圍和業(yè)務(wù)對(duì)系統(tǒng)的依賴程度確定。信息嚴(yán)密性：闡明信息資產(chǎn)本身或硬件、系統(tǒng)效力類資產(chǎn)所包含信息的嚴(yán)密性價(jià)值，評(píng)

31、價(jià)人員可以人工分析并選擇信息嚴(yán)密性值。信息完好性：闡明信息資產(chǎn)本身或硬件、系統(tǒng)效力類資產(chǎn)所包含信息的完好性價(jià)值，評(píng)價(jià)人員可以人工分析并選擇信息完好性值。信息可用性：闡明信息資產(chǎn)本身或硬件、系統(tǒng)效力類資產(chǎn)所包含信息的可用性價(jià)值，評(píng)價(jià)人員可以人工分析并選擇信息可用性值。資產(chǎn)信息重要性：用于衡量信息資產(chǎn)本身或硬件、系統(tǒng)效力類資產(chǎn)所包含信息的信息價(jià)值，其值由信息嚴(yán)密性、信息完好性和信息可用性確定。資產(chǎn)對(duì)系統(tǒng)的重要程度：用于衡量硬件、系統(tǒng)效力類資產(chǎn)對(duì)業(yè)務(wù)系統(tǒng)的可用性價(jià)值，評(píng)價(jià)人員可以人工分析并選擇對(duì)系統(tǒng)的重要程度值。資產(chǎn)對(duì)業(yè)務(wù)的重要程度：用于衡量硬件、系統(tǒng)效力類資產(chǎn)對(duì)業(yè)務(wù)的重要性，其值由系統(tǒng)對(duì)業(yè)務(wù)的重要

32、程度和資產(chǎn)對(duì)系統(tǒng)的重要程度確定。資產(chǎn)業(yè)務(wù)價(jià)值：用于衡量硬件、系統(tǒng)效力、人員及其它類資產(chǎn)對(duì)業(yè)務(wù)的價(jià)值，對(duì)于人員及無形類資產(chǎn)，其值由對(duì)業(yè)務(wù)的重要程度確定，對(duì)于硬件、系統(tǒng)效力類資產(chǎn)，其值由對(duì)業(yè)務(wù)的重要程度和資產(chǎn)信息重要性確定。破費(fèi)：用于衡量購買或恢復(fù)被破壞的資產(chǎn)所需求的花消，評(píng)價(jià)人員可以人工分析并選擇破費(fèi)值。資產(chǎn)價(jià)值：用于表示資產(chǎn)的重要性，其值由資產(chǎn)業(yè)務(wù)價(jià)值和破費(fèi)確定。不同類別資產(chǎn)賦值能夠采用不同的價(jià)值屬性。詳細(xì)見下表：資產(chǎn)類別價(jià)值屬性硬件類系統(tǒng)效力類信息類支撐效力人員無形資產(chǎn)系統(tǒng)效力范圍業(yè)務(wù)對(duì)系統(tǒng)的依賴程度系統(tǒng)對(duì)業(yè)務(wù)的重要程度嚴(yán)密性完好性可用性資產(chǎn)CIA重要性資產(chǎn)對(duì)系統(tǒng)的重要程度資產(chǎn)對(duì)業(yè)務(wù)的重要程

33、度資產(chǎn)業(yè)務(wù)價(jià)值破費(fèi)表5-3 不同資產(chǎn)采用的價(jià)值屬性資產(chǎn)價(jià)值屬性賦值規(guī)范運(yùn)維中心風(fēng)險(xiǎn)評(píng)價(jià)運(yùn)用的資產(chǎn)屬性賦值規(guī)范見下表：系統(tǒng)效力范圍賦值系統(tǒng)效力范圍賦值描畫1運(yùn)維中心內(nèi)部。2面向開發(fā)基地。3面向整個(gè)公司內(nèi)部。4面向整個(gè)公司內(nèi)部及客戶、政府、組織等。表5-4 系統(tǒng)效力范圍賦值表業(yè)務(wù)對(duì)系統(tǒng)的依賴程度賦值業(yè)務(wù)對(duì)系統(tǒng)依賴程度賦值描畫1整個(gè)業(yè)務(wù)處置流程可以經(jīng)過手工方式或其他方式完成，而且這些替代方式對(duì)組織業(yè)務(wù)的開展沒有或極少影響。2整個(gè)業(yè)務(wù)處置流程可以經(jīng)過手工方式或其他方式完成，但這些替代方式對(duì)組織業(yè)務(wù)的開展有較大的影響。3業(yè)務(wù)處置流程的部分環(huán)節(jié)可以經(jīng)過手工方式或其他方式替代完成, 這些替代方式對(duì)組織業(yè)務(wù)的

34、開展有較大的影響。4業(yè)務(wù)處置流程完全依賴信息系統(tǒng)，手工方式無法完成。表5-5業(yè)務(wù)對(duì)系統(tǒng)的依賴程度賦值表系統(tǒng)對(duì)業(yè)務(wù)的重要程度計(jì)算系統(tǒng)重要程度權(quán)值W系統(tǒng)效力范圍值+業(yè)務(wù)對(duì)系統(tǒng)依賴程度值系統(tǒng)重要程度值T1WT1是非線性函數(shù)，用于將計(jì)算出的權(quán)值W映射到5級(jí)，得到系統(tǒng)重要程度值，見下表：系統(tǒng)對(duì)業(yè)務(wù)重要程度賦值描畫1W=2，32W=43W=54W=65W=7，8表5-6系統(tǒng)對(duì)業(yè)務(wù)的重要程度計(jì)算表信息嚴(yán)密性賦值信息嚴(yán)密性賦值描畫1信息的未授權(quán)泄露對(duì)運(yùn)維中心的業(yè)務(wù)以及利益根本不會(huì)遭到影響或損害極小。2信息的未授權(quán)泄露對(duì)運(yùn)維中心的業(yè)務(wù)以及利益帶來一定的損失或破壞。3信息的未授權(quán)泄露對(duì)運(yùn)維中心的業(yè)務(wù)、利益以及整個(gè)

35、公司利益帶來嚴(yán)重的損失或破壞。4信息的未授權(quán)泄露對(duì)運(yùn)維中心的業(yè)務(wù)、利益以及整個(gè)公司利益帶來極其嚴(yán)重的損失或破壞。5信息的未授權(quán)泄露會(huì)對(duì)運(yùn)維中心的業(yè)務(wù)、利益以及整個(gè)公司利益帶來災(zāi)難性的損失或破壞。表5-7信息嚴(yán)密性賦值表信息完好性賦值信息完好性賦值描畫1信息的未授權(quán)的修正或破壞對(duì)運(yùn)維中心的業(yè)務(wù)以及利益根本不會(huì)遭到影響或損害極小。2信息的未授權(quán)的修正或破壞對(duì)運(yùn)維中心的業(yè)務(wù)以及利益帶來一定的損失或破壞。3信息的未授權(quán)的修正或破壞對(duì)運(yùn)維中心的業(yè)務(wù)、利益以及整個(gè)公司利益帶來嚴(yán)重的損失或破壞。4信息的未授權(quán)的修正或破壞會(huì)對(duì)運(yùn)維中心的業(yè)務(wù)、利益以及整個(gè)公司利益帶來極其嚴(yán)重的損失或破壞。5信息的未授權(quán)的修正或

36、破壞會(huì)對(duì)運(yùn)維中心的業(yè)務(wù)、利益以及整個(gè)公司利益帶來災(zāi)難性的損失或破壞。表5-8信息完好性賦值表信息可用性賦值信息可用性賦值描畫1可用性價(jià)值可以忽略，合法運(yùn)用者對(duì)信息及信息系統(tǒng)的可用度在正常任務(wù)時(shí)間低于25%2可用性價(jià)值較低，合法運(yùn)用者對(duì)信息及信息系統(tǒng)的可用度在正常任務(wù)時(shí)間到達(dá)25%以上3可用性價(jià)值中等，合法運(yùn)用者對(duì)信息及信息系統(tǒng)的可用度在正常任務(wù)時(shí)間到達(dá)70%以上4可用性價(jià)值較高，合法運(yùn)用者對(duì)信息及信息系統(tǒng)的可用度到達(dá)每天90%以上5可用性價(jià)值非常高，合法運(yùn)用者對(duì)信息及信息系統(tǒng)的可用度到達(dá)年度99.9%以上表5-9信息可用性賦值表資產(chǎn)CIA重要性計(jì)算資產(chǎn)CIA重要性值MAX嚴(yán)密性值、完好性值、可

37、用性值資產(chǎn)對(duì)系統(tǒng)的重要程度賦值對(duì)系統(tǒng)的重要程度賦值描畫1資產(chǎn)出現(xiàn)問題對(duì)整個(gè)業(yè)務(wù)系統(tǒng)的可用性影響極小或沒有影響。2資產(chǎn)出現(xiàn)問題對(duì)整個(gè)業(yè)務(wù)系統(tǒng)的可用性有一定的影響。3資產(chǎn)出現(xiàn)問題對(duì)整個(gè)業(yè)務(wù)系統(tǒng)的可用性有較大的影響。4資產(chǎn)出現(xiàn)問題將導(dǎo)致整個(gè)業(yè)務(wù)系統(tǒng)喪失可用性。表5-10資產(chǎn)對(duì)系統(tǒng)的重要程度賦值表資產(chǎn)對(duì)業(yè)務(wù)的重要程度計(jì)算資產(chǎn)對(duì)業(yè)務(wù)的重要程度權(quán)重(W)系統(tǒng)對(duì)業(yè)務(wù)的重要程度值資產(chǎn)對(duì)系統(tǒng)的重要程度值資產(chǎn)對(duì)業(yè)務(wù)的重要程度值T2WT2是非線性函數(shù)，用于將計(jì)算出的權(quán)值W映射到5級(jí)，得到資產(chǎn)對(duì)業(yè)務(wù)重要程度值，見下表：資產(chǎn)對(duì)業(yè)務(wù)重要程度賦值描畫1W=1，22W=3，4，53W=6，8，94W=10，125W=15，1

38、6，20表5-11資產(chǎn)對(duì)業(yè)務(wù)的重要程度計(jì)算表資產(chǎn)業(yè)務(wù)價(jià)值計(jì)算資產(chǎn)業(yè)務(wù)價(jià)值MAX資產(chǎn)對(duì)業(yè)務(wù)的重要程度值、資產(chǎn)CIA重要性值破費(fèi)賦值資產(chǎn)破費(fèi)賦值描畫1購買或恢復(fù)資產(chǎn)破費(fèi)=0.1萬元。20.1萬元購買或恢復(fù)資產(chǎn)破費(fèi)1萬元。31萬元購買或恢復(fù)資產(chǎn)破費(fèi)10萬元。410萬元購買或恢復(fù)資產(chǎn)破費(fèi)50萬元。550萬元 1 次/半年；或在某種情況下能夠會(huì)發(fā)生；或被證明曾經(jīng)發(fā)生過。2低出現(xiàn)的頻率較??；或普通不太能夠發(fā)生；或沒有被證明發(fā)生過。1很低要挾幾乎不能夠發(fā)生，僅能夠在非常稀有和例外的情況下發(fā)生。表5-15要挾賦值表脆弱性評(píng)價(jià) 脆弱性評(píng)價(jià)也稱為破綻評(píng)價(jià)，是風(fēng)險(xiǎn)評(píng)價(jià)中重要內(nèi)容。脆弱性是信息資產(chǎn)本身存在的，它可以被

39、要挾利用、引起資產(chǎn)或商業(yè)目的的損害。脆弱性包括物理環(huán)境、組織、過程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的弱點(diǎn)。 值得留意的是，脆弱性雖然是信息資產(chǎn)本身固有的，但它本身不會(huì)呵斥損失，它只是一種條件或環(huán)境、能夠?qū)е卤灰獟独枚浅赓Y產(chǎn)損失。所以假設(shè)沒有相應(yīng)的要挾發(fā)生，單純的脆弱性并不會(huì)對(duì)資產(chǎn)呵斥損害。那些沒有平安要挾的脆弱性可以不需求實(shí)施平安維護(hù)措施，但它們必需記錄下來以確保當(dāng)環(huán)境、條件有所變化時(shí)能隨之加以改動(dòng)平安維護(hù)，需求留意的是不正確的、起不到應(yīng)有作用的或沒有正確實(shí)施的平安維護(hù)措施本身就能夠是一個(gè)平安脆弱性環(huán)節(jié)。 脆弱性評(píng)價(jià)將針對(duì)每一項(xiàng)需求維護(hù)的信息資產(chǎn)，找出每一種要挾所能利用的脆弱

40、性，并對(duì)脆弱性的嚴(yán)重程度進(jìn)展評(píng)價(jià)，即對(duì)脆弱性被要挾利用的能夠性進(jìn)展評(píng)價(jià)，最終為其賦值。在進(jìn)展脆弱性評(píng)價(jià)時(shí)，提供的數(shù)據(jù)應(yīng)該于這些資產(chǎn)的擁有者或運(yùn)用者，于相關(guān)業(yè)務(wù)領(lǐng)域的專家以及軟硬件信息系統(tǒng)方面的專業(yè)人員。脆弱性評(píng)價(jià)所采用的方法主要為：問卷調(diào)查、訪談、工具掃描、手動(dòng)檢查、文檔審查、浸透測(cè)試等。 在運(yùn)維中心風(fēng)險(xiǎn)評(píng)價(jià)中采用問卷調(diào)查、小組訪談、工具掃描和人工檢查等方法。 脆弱性的識(shí)別以資產(chǎn)為中心，即根據(jù)每個(gè)資產(chǎn)分別識(shí)別其存在的弱點(diǎn)，然后綜合評(píng)價(jià)該資產(chǎn)的脆弱性。 脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)展，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、運(yùn)用層等各個(gè)層面的平安問題。管理脆弱性又可分為技術(shù)管理和組織管理兩

41、方面，前者與詳細(xì)技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)。脆弱性識(shí)別內(nèi)容如下表述：類型識(shí)別對(duì)象識(shí)別內(nèi)容技術(shù)脆弱性物理環(huán)境從機(jī)房場(chǎng)地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通訊線路的維護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)展識(shí)別。效力器含操作系統(tǒng)從物理維護(hù)、用戶帳號(hào)、口令戰(zhàn)略、資源共享、事件審計(jì)、訪問控制、新系統(tǒng)配置初始化、注冊(cè)表加固、網(wǎng)絡(luò)平安、系統(tǒng)管理等方面進(jìn)展識(shí)別。網(wǎng)絡(luò)構(gòu)造從網(wǎng)絡(luò)構(gòu)造設(shè)計(jì)、邊境維護(hù)、外部訪問控制戰(zhàn)略、內(nèi)部訪問控制戰(zhàn)略、網(wǎng)絡(luò)設(shè)備平安配置等方面進(jìn)展識(shí)別。數(shù)據(jù)庫從補(bǔ)丁安裝、鑒別機(jī)制、口令機(jī)制、訪問控制、網(wǎng)絡(luò)和效力設(shè)置、備份恢復(fù)機(jī)制、審計(jì)機(jī)制等方面進(jìn)展識(shí)別。運(yùn)用系統(tǒng)審計(jì)

42、機(jī)制、審計(jì)存儲(chǔ)、訪問控制戰(zhàn)略、數(shù)據(jù)完好性、通訊、鑒別機(jī)制、密碼維護(hù)等方面進(jìn)展識(shí)別。管理脆弱性技術(shù)管理物理和環(huán)境平安、通訊與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)延續(xù)性。組織管理平安戰(zhàn)略、組織平安、資產(chǎn)分類與控制、人員平安、符合性表5-16弱點(diǎn)分類表 平安控制措施的運(yùn)用將減少脆弱性，思索對(duì)現(xiàn)有平安控制措施確實(shí)認(rèn)，采用等級(jí)方式對(duì)已識(shí)別的脆弱性的嚴(yán)重程度進(jìn)展賦值。 脆弱性嚴(yán)重程度的等級(jí)劃分為五級(jí)，分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。等級(jí)數(shù)值越大，脆弱性嚴(yán)重程度越高。 運(yùn)維中心風(fēng)險(xiǎn)評(píng)價(jià)對(duì)脆弱性采用以下賦值方法： 等級(jí)影響 技術(shù) 攻擊角度 管理防備角度1(可忽略)假設(shè)被要挾利用，將對(duì)資產(chǎn)呵斥的損害可以忽

43、略。 技術(shù)方面存在著低等級(jí)缺陷，從技術(shù)角度很難被利用 對(duì)于攻擊者來說，該破綻目前還不可以被直接或者間接利用，或者利用的難度極高 組織管理中沒有相關(guān)的薄弱環(huán)節(jié)，很難被利用 有規(guī)定，嚴(yán)厲審核、記錄、校驗(yàn)2(低)假設(shè)被要挾利用，將對(duì)資產(chǎn)呵斥較小損害。 技術(shù)方面存在著低等級(jí)缺陷，從技術(shù)角度難以被利用 對(duì)于攻擊者來說，該破綻無法被直接利用(需求其他條件配合)或者利用的難度較高 組織管理中沒有相應(yīng)的薄弱環(huán)節(jié)，難以被利用 有規(guī)定，職責(zé)明確，有專人擔(dān)任檢查執(zhí)行落實(shí)情況，有記錄3(中)假設(shè)被要挾利用，將對(duì)資產(chǎn)呵斥普通損害。 技術(shù)方面存在著普通缺陷，從技術(shù)角度可以被利用 可以配合其他條件被攻擊者加以直接利用，或者

44、該破綻的利用有一定的難度 組織管理中沒有明顯的薄弱環(huán)節(jié)，可以被利用 有規(guī)定，定期檢查落實(shí)，有記錄4(高)假設(shè)被要挾利用，將對(duì)資產(chǎn)呵斥艱苦損害。 技術(shù)方面存在著嚴(yán)重的缺陷，比較容易被利用 一個(gè)特定破綻，可以配合其他條件被攻擊者加以直接利用，或者該破綻的利用有一定的難度 組織管理中存在著薄弱環(huán)節(jié)，比較容易被利用 有規(guī)定執(zhí)行完全靠人自覺5(極高)假設(shè)被要挾利用，將對(duì)資產(chǎn)呵斥完全損害。 技術(shù)方面存在著非常嚴(yán)重的缺陷，很容易被利用 在沒有任何維護(hù)措施的情況下，暴露于低平安級(jí)別網(wǎng)絡(luò)上 組織管理中存在著明顯的薄弱環(huán)節(jié)，并且很容易被利用 無人擔(dān)任，無人過問表5-17弱點(diǎn)賦值表確定現(xiàn)有控制 在識(shí)別脆弱性的同時(shí)，

45、評(píng)價(jià)人員應(yīng)對(duì)已采取的平安措施的有效性進(jìn)展確認(rèn)。平安措施確實(shí)認(rèn)應(yīng)評(píng)價(jià)其有效性，即能否真正地降低了系統(tǒng)的脆弱性，抵御了要挾。對(duì)有效的平安措施繼續(xù)堅(jiān)持，以防止不用要的任務(wù)和費(fèi)用，防止平安措施的反復(fù)實(shí)施。對(duì)確以為不適當(dāng)?shù)钠桨泊胧?yīng)核實(shí)能否應(yīng)被取消或?qū)ζ溥M(jìn)展修正，或用更適宜的平安措施替代。 平安措施可以分為預(yù)防性平安措施和維護(hù)性平安措施兩種。預(yù)防性平安措施可以降低要挾利用脆弱性導(dǎo)致平安事件發(fā)生的能夠性，如入侵檢測(cè)系統(tǒng)；維護(hù)性平安措施可以減少因平安事件發(fā)生后對(duì)組織或系統(tǒng)呵斥的影響，如業(yè)務(wù)繼續(xù)性方案。 已有平安措施確認(rèn)與脆弱性識(shí)別存在一定的聯(lián)絡(luò)。普通來說，平安措施的運(yùn)用將減少系統(tǒng)技術(shù)或管理上的弱點(diǎn)，但平安措

46、施確認(rèn)并不需求和脆弱性識(shí)別過程那樣詳細(xì)到每個(gè)資產(chǎn)、組件的弱點(diǎn)，而是一類詳細(xì)措施的集合，為風(fēng)險(xiǎn)處置方案的制定提供根據(jù)和參考。風(fēng)險(xiǎn)評(píng)價(jià)完成資產(chǎn)評(píng)價(jià)、要挾評(píng)價(jià)、脆弱性評(píng)價(jià)后，并思索已有平安措施的情況下，利用恰當(dāng)?shù)姆椒ㄅc工具確定要挾利用資產(chǎn)脆弱性發(fā)生平安事件的能夠性，并結(jié)合資產(chǎn)的平安屬性遭到破壞后的影響得出信息資產(chǎn)的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)值計(jì)算在完成了資產(chǎn)識(shí)別、要挾識(shí)別、脆弱性識(shí)別，以及對(duì)已有平安措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定要挾利用脆弱性導(dǎo)致平安事件發(fā)生的能夠性。綜合平安事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判別平安事件呵斥的損失對(duì)組織的影響，即平安風(fēng)險(xiǎn)。運(yùn)用本方法需求首先確定信息資產(chǎn)、要挾和脆弱性的

47、賦值，要完成這些賦值，需求管理人員、技術(shù)人員的配合。運(yùn)維中心風(fēng)險(xiǎn)評(píng)價(jià)中風(fēng)險(xiǎn)值計(jì)算方式如下：風(fēng)險(xiǎn)值(RW)資產(chǎn)價(jià)值要挾能夠性值脆弱性嚴(yán)重程度值風(fēng)險(xiǎn)等級(jí)劃分確定風(fēng)險(xiǎn)數(shù)值的大小不是風(fēng)險(xiǎn)評(píng)價(jià)的最終目的，重要的是明確不同要挾對(duì)資產(chǎn)所產(chǎn)生的風(fēng)險(xiǎn)的相對(duì)值，即要確定不同風(fēng)險(xiǎn)的優(yōu)先次序或等級(jí)，對(duì)于風(fēng)險(xiǎn)級(jí)別高的資產(chǎn)應(yīng)被優(yōu)先分配資源進(jìn)展維護(hù)。風(fēng)險(xiǎn)等級(jí)在運(yùn)維中心風(fēng)險(xiǎn)評(píng)價(jià)中采用分值計(jì)算表示。分值越大，風(fēng)險(xiǎn)越高。見下表。風(fēng)險(xiǎn)等級(jí)標(biāo)識(shí)風(fēng)險(xiǎn)值范圍描畫建議處置方式1很低RW5發(fā)生平安事件的能夠性極小，即使發(fā)生對(duì)系統(tǒng)或組織也根本沒影響。A-接受2低6RW10發(fā)生平安事件的能夠性較小，平安事件發(fā)生后使系統(tǒng)遭到的破壞較小或使組織利益

48、遭到的損失較少。A-接受3中11RW30發(fā)生平安事件的能夠性普通，平安事件發(fā)生后將使系統(tǒng)遭到一定的破壞或使組織利益遭到一定的損失。B-降低4高31RW40發(fā)生平安事件的能夠性較大，平安事件發(fā)生后將使系統(tǒng)遭到較大的破壞或使組織利益遭到較多的損失。B-降低5極高41RW發(fā)生平安事件的能夠性很大，平安事件發(fā)生后將使系統(tǒng)遭到很大的破壞或使組織利益遭到很多的損失。B-降低表5-20風(fēng)險(xiǎn)等級(jí)描畫表風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果紀(jì)錄風(fēng)險(xiǎn)評(píng)價(jià)的過程需求構(gòu)成相關(guān)的文件及記錄，文檔管理思索以下控制：文件發(fā)布前得到同意，以確保文件是充分的；必要時(shí)對(duì)文件進(jìn)展評(píng)審、更新并再次同意；確保文件的更改和現(xiàn)行修訂形狀得到識(shí)別；確保在運(yùn)用時(shí)，可獲

49、得有關(guān)版本的適用文件；確保文件堅(jiān)持明晰、易于識(shí)別；確保外來文件得到識(shí)別；確保文件的分發(fā)得到適當(dāng)?shù)目刂?；防止作廢文件的非預(yù)期運(yùn)用，假設(shè)因任何目的需保管作廢文件時(shí)，應(yīng)對(duì)這些文件進(jìn)展適當(dāng)?shù)臉?biāo)識(shí)。對(duì)于風(fēng)險(xiǎn)評(píng)價(jià)過程中構(gòu)成的記錄，還應(yīng)規(guī)定記錄的標(biāo)識(shí)、儲(chǔ)存、維護(hù)、檢索、保管期限以及處置所需的控制。記錄能否需求以及詳略程度由管理過程來決議。風(fēng)險(xiǎn)評(píng)價(jià)過程應(yīng)構(gòu)成以下文件：風(fēng)險(xiǎn)評(píng)價(jià)過程方案：該方案中應(yīng)論述風(fēng)險(xiǎn)評(píng)價(jià)的范圍、目的、組織機(jī)構(gòu)、評(píng)價(jià)過程所需資源、構(gòu)成的評(píng)價(jià)結(jié)果。風(fēng)險(xiǎn)評(píng)價(jià)程序：程序中應(yīng)明確評(píng)價(jià)的目的、職責(zé)、過程、相關(guān)的文件要求，并且預(yù)備評(píng)價(jià)階段需求的表格，如信息資產(chǎn)識(shí)別與評(píng)價(jià)表。信息資產(chǎn)識(shí)別清單：根據(jù)在風(fēng)險(xiǎn)評(píng)

50、價(jià)程序文件中規(guī)定的資產(chǎn)分類方法進(jìn)展資產(chǎn)的識(shí)別，并構(gòu)成信息資產(chǎn)識(shí)別清單，清單中應(yīng)明確各資產(chǎn)的擔(dān)任人/部門。要挾參考列表：應(yīng)根據(jù)評(píng)價(jià)對(duì)象、環(huán)境等要素，構(gòu)成要挾的分類方法及詳細(xì)的要挾列表，為風(fēng)險(xiǎn)評(píng)價(jià)提供支持。脆弱性參考列表：應(yīng)針對(duì)不同分類的評(píng)價(jià)對(duì)象本身的弱點(diǎn)，構(gòu)成脆弱性參考列表，為風(fēng)險(xiǎn)評(píng)價(jià)提供支持。風(fēng)險(xiǎn)評(píng)價(jià)記錄：根據(jù)組織的風(fēng)險(xiǎn)評(píng)價(jià)程序文件，記錄對(duì)重要信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)價(jià)過程，包括脆弱性、要挾的賦值，已有平安控制措施確實(shí)認(rèn)，風(fēng)險(xiǎn)值的計(jì)算與等級(jí)劃分。風(fēng)險(xiǎn)評(píng)價(jià)報(bào)告：風(fēng)險(xiǎn)評(píng)價(jià)報(bào)告應(yīng)對(duì)整個(gè)風(fēng)險(xiǎn)評(píng)價(jià)過程進(jìn)展總結(jié)，闡明組織的風(fēng)險(xiǎn)情況及剩余風(fēng)險(xiǎn)情況，經(jīng)過管理層的評(píng)審，確定評(píng)價(jià)后的風(fēng)險(xiǎn)情況滿足業(yè)務(wù)開展及其他相關(guān)方的要求

51、。上述文件均應(yīng)由運(yùn)維中心管理層同意。風(fēng)險(xiǎn)管理過程經(jīng)過風(fēng)險(xiǎn)評(píng)價(jià)對(duì)風(fēng)險(xiǎn)進(jìn)展識(shí)別與估價(jià)后，引入適宜的控制措施，對(duì)風(fēng)險(xiǎn)實(shí)施管理，把風(fēng)險(xiǎn)降低到運(yùn)維中心可以接受的程度，對(duì)風(fēng)險(xiǎn)的管理過程如以下圖所示：圖6-1 風(fēng)險(xiǎn)管理過程平安控制的識(shí)別與選擇選擇平安控制的另一個(gè)重要方面就是費(fèi)用要素，假照實(shí)施與維護(hù)這些控制的費(fèi)用比資產(chǎn)蒙受要挾所呵斥的損失的預(yù)期值還要高，那么所選擇的控制是不適宜的；假設(shè)控制費(fèi)用比組織方案的平安預(yù)算要高，也是不適當(dāng)?shù)?。但假設(shè)由于預(yù)算缺乏使控制的數(shù)據(jù)與質(zhì)量下降，就會(huì)使系統(tǒng)產(chǎn)生不用要的風(fēng)險(xiǎn)，對(duì)此要特別留意。平安控制預(yù)算應(yīng)該作為一個(gè)限制性的要素加以思索。同樣，也可以對(duì)現(xiàn)有的控制進(jìn)展費(fèi)用比較，假設(shè)現(xiàn)有控制不是充分有效，就要思索取消或改良。根據(jù)ISO27001的要求，運(yùn)維中心在以下領(lǐng)域引入控制措施：平安政策信息平安的組織資產(chǎn)管理人力資源平安物理與環(huán)境平安通訊與操作管理訪問控制信息系統(tǒng)獲取、開發(fā)及維護(hù)信息平安事故管理業(yè)務(wù)延續(xù)性管理符合性控制的選擇要思索非技術(shù)性的控制與技術(shù)性的控制之間的平衡，兩種控制之間是相互支持與互補(bǔ)的。運(yùn)營管理包括物理、人員、行政管理等方面平安的控制。中選擇