風(fēng)險評估的依據(jù)標(biāo)準(zhǔn)

風(fēng)險評估的依據(jù)標(biāo)準(zhǔn)風(fēng)險評估的依據(jù)標(biāo)準(zhǔn)風(fēng)險評估的依據(jù)標(biāo)準(zhǔn)V:1.0精細(xì)整理，僅供參考風(fēng)險評估的依據(jù)標(biāo)準(zhǔn)日期：20xx年X月風(fēng)險評估的依據(jù)標(biāo)準(zhǔn)在信息安全產(chǎn)業(yè)界，風(fēng)險評估早已不是陌生話題，幾年以來，各安全公司完成的風(fēng)險評估項目已不在少數(shù)，甚至在幾乎所有的信息安全服務(wù)廠商中，風(fēng)險評估都是其核心業(yè)務(wù)。風(fēng)險評估的核心不僅僅是理論，更是實踐。風(fēng)險評估的實踐工作是很困難的，據(jù)國外的統(tǒng)計數(shù)字顯示，只有60％的風(fēng)險評估是成功的。國內(nèi)的風(fēng)險評估工作面臨的挑戰(zhàn)更多，需要一定時間的積累和沉淀，就像要成為一個好的中醫(yī)，要有個學(xué)和練的過程一樣。有人認(rèn)為風(fēng)險評估只是一個看病的過程，其實，看病就是在治病。因此，筆者就"看病治病"的風(fēng)險評估過程的幾個方面簡單談?wù)勛约旱男牡门c體會。1.定義--什么是完整意義的風(fēng)險評估何為完整意義的風(fēng)險評估須從各個角度去觀察，既要客觀，又要全面。古語云："橫看成嶺側(cè)成峰，遠(yuǎn)近高低各不同。不識廬山真面目，只緣身在此山中。"故所謂信息系統(tǒng)的安全風(fēng)險，是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。在風(fēng)險評估中，最終要根據(jù)對安全事件發(fā)生的可能性和負(fù)面影響的評估來識別信息系統(tǒng)的安全風(fēng)險。與信息系統(tǒng)的安全風(fēng)險密切相關(guān)的因素包括：(1)使命：即一個單位通過信息技術(shù)手段實現(xiàn)的工作任務(wù)。一個單位的使命對信息系統(tǒng)和信息的依賴程度越高，風(fēng)險評估的任務(wù)就越重要。(2)資產(chǎn)：通過信息化建設(shè)積累起來的信息系統(tǒng)、信息、生產(chǎn)或服務(wù)能力、人員能力和贏得的信譽(yù)等。(3)資產(chǎn)價值：資產(chǎn)的敏感程度、重要程度和關(guān)鍵程度。(4)威脅：一個單位的信息資產(chǎn)的安全可能受到的侵害。威脅由多種屬性來刻畫：威脅的主體（威脅源）、能力、資源、動機(jī)、途徑、可能性和后果。(5)脆弱性：信息資產(chǎn)及其安全措施在安全方面的不足和弱點。脆弱性也常常被稱為漏洞。(6)事件：如果威脅主體能夠產(chǎn)生威脅，利用資產(chǎn)及其安全措施的脆弱性，那么實際產(chǎn)生危害的情況稱之為事件。(7)風(fēng)險：由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。(8)殘余風(fēng)險：采取了安全措施，提高了信息安全保障能力后，仍然可能存在的風(fēng)險。(9)安全需求：為保證單位的使命能夠正常行使，在信息安全保障措施方面提出的要求。(10)安全措施：對付威脅，減少脆弱性，保護(hù)資產(chǎn)，限制意外事件的影響，檢測、響應(yīng)意外事件，促進(jìn)災(zāi)難恢復(fù)和打擊信息犯罪而實施的各種實踐、規(guī)程和機(jī)制的總稱。在這些要素中，尤其需要注意一個概念：殘余風(fēng)險。之所以提出這個概念，原因在于：1）風(fēng)險不可能完全消除。信息技術(shù)在發(fā)展，外部環(huán)境在變化，信息系統(tǒng)本身也要發(fā)生變化，信息安全的動態(tài)性致使不可能完全消除未來發(fā)生安全事件的風(fēng)險。2）風(fēng)險不必要完全消除。資產(chǎn)的價值以及信息安全的投入之間的比例關(guān)系決定了對有些安全風(fēng)險，采取措施反而比不采取措施成本更高。由于上述原因，所謂安全的信息系統(tǒng)，并不是指"萬無一失"的信息系統(tǒng)，而是指殘余風(fēng)險可以被接受的信息系統(tǒng)。造成信息安全事件的源頭，可以歸為外因和內(nèi)因。外因為威脅，內(nèi)因則為脆弱性。蘇軾之《琴詩》曰：若言琴上有琴聲，放在匣中何不鳴若言聲在指頭上，何不于君指上聽這首詩所揭示是琴、指頭和琴聲三者之間的關(guān)系。如果把演奏者包括在內(nèi)，那么，演奏者的思想感情和技能與琴、指之間的關(guān)系，又可以看作是事物的內(nèi)因和事物的外因之間的關(guān)系。前者是音樂產(chǎn)生的根據(jù)，后者則是音樂產(chǎn)生的條件，兩者缺一不可。因此，在風(fēng)險評估中，要刻畫信息安全事件，就必須對威脅和脆弱性都有深入了解，這構(gòu)成了風(fēng)險評估工作的關(guān)鍵。風(fēng)險評估的工作由以下幾個步驟組成：步驟1：描述系統(tǒng)特征步驟2：識別威脅（威脅評估）步驟3：識別脆弱性（脆弱性評估）步驟4：分析安全控制步驟5：確定可能性步驟6：分析影響步驟7：確定風(fēng)險步驟8：對安全控制提出建議步驟9：記錄評估結(jié)果安全風(fēng)險評估：現(xiàn)代企業(yè)安全管理的必備手段在一個企業(yè)中，誘發(fā)安全事故的因{素很多，"安全風(fēng)險評估"能為全。面落實寄令政簫{旱供基礎(chǔ)資料．并評估出不同環(huán)境或不同時期的安全危險性的重點，加強(qiáng)安全管理，采取宣傳教育、行政、技術(shù)及監(jiān)督等措施和手段，推動各階層員工做好每項安全工作。使企業(yè)每位員工都能真正重視安全工作，讓其了解及掌握基本安全知識，這樣，絕大多數(shù)安全事故均是可以避免的。這也是安全風(fēng)險評估的價值所在。當(dāng)任何生產(chǎn)經(jīng)營活動被鑒定為有安全事故危險性時，便應(yīng)考慮怎樣進(jìn)行評估工作，以簡化及減少風(fēng)險評估的次數(shù)來提高效率。安全風(fēng)險評估主要由以下3個步驟所組成：識別安全事故的危害、評估危害的風(fēng)險和控制風(fēng)險的措施及管理。第一個步驟：識別安全事故的危害識別危害是安全風(fēng)險評估的重要部分。若不能完全找出安全事故危害的所在，就沒法對每個危害的風(fēng)險作出評估，并對安全事故危害作出有效的控制。這里簡單介紹如何識別安全事故的危害。(1)危險材料識別一識別哪些東西是容易引發(fā)安全事故的材料，如易燃或爆炸性材料等，找出它們的所在位置和數(shù)量，處理的方法是否適當(dāng)。(2)危險工序識別一找出所有涉及高空或高溫作業(yè)、使用或產(chǎn)生易燃材料等容易引發(fā)安全事故的工序，了解企業(yè)是否已經(jīng)制定有關(guān)安全施工程序以控制這些存在安全危險的工序，并評估其成效。(3)用電安全檢查一電氣安全事故是當(dāng)今企業(yè)的一個帶有普遍性的安全隱患，對電氣的檢查是每一個企業(yè)安全風(fēng)險評估必不可少的一項內(nèi)容。用電安全檢查包括檢查電氣設(shè)備安裝是否符合安全要求、插座插頭是否嚴(yán)重超負(fù)荷、電線是否老化腐蝕、易燃工作場所是否有防靜電措施、電器設(shè)備有無定期維修保養(yǎng)以避免散熱不良產(chǎn)生熱源等。(4)工作場地整理一檢查工場是否存在安全隱患，如是否堆積大量的可燃雜物(如紙張、布碎、垃圾等)，材料有否擺放錯誤，腳手架是否牢固等等。(5)工作場所環(huán)境安全隱患識別一工作場所由設(shè)施、工具和人三者組成一個特定的互相銜接的有機(jī)組合的環(huán)境，往往因為三者之間的聯(lián)系而可能將安全事故的危害性無限擴(kuò)展。識別環(huán)境中的安全危險性十分重要，如一旦發(fā)生安全事故，人員是否能立即撤離，電源是否能立即切斷等等。(6)安全事故警報一找出工作場所是否有安全事故警報裝置或安排，并查究它們能否操作正常。(7)其它一留意工作場所是否有其他機(jī)構(gòu)的員工在施工，例如：當(dāng)裝修工程進(jìn)行，裝修工人所使用的工具或材料均可增加安全隱患。第三步驟：控制風(fēng)險的措施風(fēng)險控制就是使風(fēng)險降低到企業(yè)可以接受的程度，當(dāng)風(fēng)險發(fā)生時，不至于影響企業(yè)的正常業(yè)務(wù)運作。1．選擇安全控制措施為了降低或消除安全體系范圍內(nèi)所涉及到的被評估的風(fēng)險，企業(yè)應(yīng)該識別和選擇合適的安全控制措施。選擇安全控制措施應(yīng)該以風(fēng)險評估的結(jié)果作為依據(jù)，判斷與威脅相關(guān)的薄弱點，決定什么地方需要保護(hù)，采取何種保護(hù)手段。安全控制選擇的另外一個重要方面是費用因素。如果實施和維持這些控制措施的費用比資產(chǎn)遭受威脅所造成的損失預(yù)期值還要高，那么所建議的控制措施就是不合適的。如果控制措施的費用比企業(yè)的安全預(yù)算還要高，則也是不合適的。但是，如果預(yù)算不足以提供足夠數(shù)量和質(zhì)量的控制措施，從而導(dǎo)致不必要的風(fēng)險，則應(yīng)該對其進(jìn)行關(guān)注。通常，一個控制措施能夠?qū)崿F(xiàn)多個功能，功能越多越好。當(dāng)考慮總體安全性時，應(yīng)該考慮盡可能地保持各個功能之間地平衡，這有助于總體安全有效性和效率。2．風(fēng)險控制根據(jù)控制措施的費用應(yīng)當(dāng)與風(fēng)險相平衡的原則，企業(yè)應(yīng)該對所選擇的安全控制措施嚴(yán)格實施以及應(yīng)用。達(dá)到降低風(fēng)險的途徑有很多種，下面是常用的幾種手段：1)免風(fēng)險：比如：改善施工程序及工作環(huán)境等。2)轉(zhuǎn)移風(fēng)險：比如：進(jìn)行投保等。3)減少威脅：比如：組織具有惡意的軟件的執(zhí)行，避免遭到攻擊。4)減少薄弱點：比如：對員工進(jìn)行安全教育，提高員工的安全意識。5)進(jìn)行安全監(jiān)控：比如：及時對發(fā)現(xiàn)的可能存在的安全隱患進(jìn)行整改，及時做出響應(yīng)。3．可接受風(fēng)險任何生產(chǎn)在一定程度上都存在風(fēng)險，絕對的安全是不存在的。當(dāng)企業(yè)根據(jù)風(fēng)險評估的結(jié)果，完成實施所選擇的控制措施后，會有殘余的風(fēng)險。為確保企業(yè)的安全，殘余風(fēng)險也應(yīng)該控制在企業(yè)可以接受的范圍內(nèi)。風(fēng)險接受是對殘余風(fēng)險進(jìn)行確認(rèn)和評價的過程。在實施了安全控制措施后，企業(yè)應(yīng)該對安全措施的實施情況進(jìn)行評審，即對所選擇的控制措施在多大程度上降低了風(fēng)險做出判斷。對于殘留的仍然無法容忍的風(fēng)險，應(yīng)該考慮增加投資。風(fēng)險是隨時間而變化的，風(fēng)險管理是一個動態(tài)的管理過程，這就要求企業(yè)實施動態(tài)的風(fēng)險評估與風(fēng)險控制