風(fēng)險(xiǎn)評(píng)估實(shí)施方案

一、風(fēng)險(xiǎn)評(píng)估概述1、風(fēng)險(xiǎn)服務(wù)的重要性對(duì)于構(gòu)建一套良好的信息安全系統(tǒng)，需要對(duì)整個(gè)系統(tǒng)的安全風(fēng)險(xiǎn)有一個(gè)清晰 的認(rèn)識(shí)。只有清晰的了解了自身的弱點(diǎn)和風(fēng)險(xiǎn)的來源，才能夠真正的解決和削弱 它，并以此來構(gòu)建有著對(duì)性的、合理有效的安全策略，而風(fēng)險(xiǎn)評(píng)估既是安全策略 規(guī)劃的第一步，同時(shí)也是實(shí)施其他安全策略的必要前提。近幾年隨著幾次計(jì)算機(jī)蠕蟲病毒的大規(guī)模肆虐攻擊， 很對(duì)用戶的網(wǎng)絡(luò)都遭受了不同程度的攻擊，仔細(xì)分析就會(huì)發(fā)現(xiàn)，幾乎所有的用戶都部署了防病毒軟件和 類似的安全防護(hù)系統(tǒng)，越來越多的用戶發(fā)現(xiàn)淡村的安全產(chǎn)品已經(jīng)不能滿足現(xiàn)在的 安全防護(hù)體系的需求了。安全是整體的體系建設(shè)過程，根據(jù)安全的木桶原理，組織網(wǎng)絡(luò)的整個(gè)安全最 大強(qiáng)度取決于最短最脆弱的那根木頭，所以說在安全建設(shè)的過程中，如果不仔細(xì) 的找到最短的那根木頭，而盲目的在外面加釘子，并不能改善整體強(qiáng)度。信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障體系建立過程中的重要的評(píng)價(jià)方法和決 策機(jī)制，只有通過全面的風(fēng)險(xiǎn)評(píng)估，才能讓客戶對(duì)自身信息安全的狀況做出準(zhǔn)確 的判斷。2、風(fēng)險(xiǎn)評(píng)估服務(wù)的目的及其意義信息安全風(fēng)險(xiǎn)是指人為或自然的威脅利用信息系統(tǒng)及其團(tuán)里體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。信息安全風(fēng)險(xiǎn)評(píng)估是指依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)， 對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過 程。他要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性， 并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對(duì)組造成的影響。信息安全風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全保障機(jī)制建立過程中的一種評(píng)價(jià)方法， 其結(jié)果為信息安全更顯管理提供依據(jù)。3、風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)制在信息系統(tǒng)生命周期里，有許多種情況必須對(duì)信息系統(tǒng)所涉及的人員、環(huán)境、物理環(huán)境進(jìn)行風(fēng)險(xiǎn)評(píng)估：

技術(shù)在設(shè)計(jì)規(guī)劃或升級(jí)新的信息系統(tǒng)時(shí)；叮叮小文庫給目前的信息系統(tǒng)增加新應(yīng)用時(shí)；在與其他組織（部門）進(jìn)行網(wǎng)絡(luò)互聯(lián)時(shí)；在技術(shù)平臺(tái)進(jìn)行大規(guī)模更新（例如，從 Linux系統(tǒng)移植到Sliaris系統(tǒng)）時(shí);在發(fā)生計(jì)算機(jī)安全事件之后，或懷疑可能會(huì)發(fā)生安全事件時(shí)；關(guān)心組織現(xiàn)有的信息安全措施是否充分或食后具有相應(yīng)的安全效力時(shí)；在組織具有結(jié)構(gòu)變動(dòng)（例如：組織合并）時(shí)：在需要對(duì)信息系統(tǒng)的安全狀況進(jìn)行定期或不定期的聘雇、已查看是否滿足組織持續(xù)運(yùn)營(yíng)需要時(shí)等。4、風(fēng)險(xiǎn)評(píng)估服務(wù)的收益風(fēng)險(xiǎn)評(píng)估可以幫助客戶：準(zhǔn)確了解租住的信息安全現(xiàn)狀；明晰組織的信息安全需求；制定組織信息系統(tǒng)的安全策略和風(fēng)險(xiǎn)解決方案;指導(dǎo)組織未來的信息安全建設(shè)和投入；建立組織自身的信息安全管理框架。二、風(fēng)險(xiǎn)評(píng)估服務(wù)介紹本公司遵循公認(rèn)的 ISO27001GB/T20984-2007 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范以及國際信息安全等級(jí)保護(hù)指南等安全標(biāo)準(zhǔn)知道風(fēng)險(xiǎn)評(píng)估的工作， 針對(duì)資產(chǎn)重要程度分別提供不同的頻率和方式的風(fēng)險(xiǎn)評(píng)估，幫助客戶了解客觀真實(shí)的自身網(wǎng)絡(luò)系統(tǒng) 安全現(xiàn)狀，規(guī)劃適合自己網(wǎng)絡(luò)系統(tǒng)環(huán)境的安全策略， 并根據(jù)科學(xué)合理的安全策略來實(shí)施后續(xù)的安全服務(wù)、選型與部署安全產(chǎn)品以及建立有效的安全管理規(guī)章制 度，從而全面完整的解決可能存在的各種風(fēng)險(xiǎn)隱患。1、風(fēng)險(xiǎn)評(píng)估服務(wù)遵循標(biāo)準(zhǔn)在整個(gè)評(píng)估過程中，本公司遵循和參照最新、最權(quán)威的信息安全標(biāo)準(zhǔn)，作為 評(píng)估實(shí)施的依據(jù)。這些安全標(biāo)準(zhǔn)包括 :安全技術(shù)標(biāo)準(zhǔn)：GB17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則2叮叮小文庫GB18336（ISO15408:信息技術(shù)-安全技術(shù)-信息技術(shù)風(fēng)險(xiǎn)評(píng)估準(zhǔn)則（等同于CommonCriteriaforInformationTechnologySecurityEvaluationV1.2簡(jiǎn)稱CCV1.2CVECommonVulnerabilities &Exposures通用脆弱性標(biāo)準(zhǔn)。CVE是個(gè)行業(yè)標(biāo)準(zhǔn)，為每個(gè)漏洞和弱點(diǎn)確定了惟一的名稱和標(biāo)準(zhǔn)化的描述，可以 稱為評(píng)價(jià)響應(yīng)入侵檢測(cè)和漏洞掃描等工具產(chǎn)品和數(shù)據(jù)庫的基準(zhǔn)安全管理標(biāo)準(zhǔn)：ISO/IEC27001:2005InformationTechnology-Securitytechniques-lnformationsecuritymanagementsystems-Requirements, 信息技術(shù)-安全技術(shù)-信息安全管理體系要求ISO/IEC27005:2008InformationTechnology-Securityechniques-lnformationsecurityriskmanagement, 信息技術(shù)-安全技術(shù)-信息安全風(fēng)險(xiǎn)管理GB/T22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息安全等級(jí)保護(hù)信息系統(tǒng)安全管理要求（送審稿）ISO13335信息技術(shù)-安全技術(shù)-IT安全管理指南GB/Z243642009 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理指南風(fēng)險(xiǎn)評(píng)估實(shí)施方法：GB/T20984-2007 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范（最新國家標(biāo)準(zhǔn)）NISTSP800-30: RiSkManagementGuideforInformationTechnologySystems,信息技術(shù)系統(tǒng)風(fēng)險(xiǎn)管理指南（美國國家標(biāo)準(zhǔn)和技術(shù)學(xué)會(huì)發(fā)布）NSA1AM：INFOSEDAssessmentMethodology 信息風(fēng)險(xiǎn)評(píng)估方法（美國 國家安全局發(fā)布）OCTAVWTheOperationallyCriticalThreat , Asset, andVulnerabilityEvaluation,可操作的關(guān)機(jī)那威脅、資產(chǎn)和脆弱性評(píng)價(jià)信息技術(shù)安全技術(shù)信息系統(tǒng)安全保障等級(jí)評(píng)估準(zhǔn)則SSE-CMMTheSystemsSecurityEngineeringCapabilityMaturityModel 安全3叮叮小文庫系統(tǒng)工程能力成熟度模型2、風(fēng)險(xiǎn)評(píng)估服務(wù)實(shí)施原則（1）保密性原則本公司對(duì)安全服務(wù)的實(shí)施過程和結(jié)果將嚴(yán)格保密，在未經(jīng)客戶授權(quán)的情況下 不會(huì)泄漏給任何單位和個(gè)人，不會(huì)利用此數(shù)據(jù)并進(jìn)行熱呢侵害客戶權(quán)益的行為。2）標(biāo)準(zhǔn)性原則服務(wù)設(shè)計(jì)和實(shí)施的全過程均依據(jù)國內(nèi)或國際的相關(guān)標(biāo)準(zhǔn)進(jìn)行。3）規(guī)范性原則本公司在各項(xiàng)安全服務(wù)工作中的過程和文檔， 都具有很好的規(guī)范性，可以便 與項(xiàng)目的跟蹤和控制。（4）可控性原則服務(wù)所使用的工具、方法和過程都會(huì)在本公司與客戶雙方認(rèn)可的范圍之內(nèi)， 服務(wù)進(jìn)度遵守進(jìn)度表的安排，保證雙方對(duì)服務(wù)工作的可控性。（5）整體性原則服務(wù)的范圍和內(nèi)桶整體全面，設(shè)計(jì)的 IT運(yùn)行的各個(gè)層面，避免由于遺漏造 成未來的安全隱患。6）最小影響原則服務(wù)工作盡可能小的影響信息系統(tǒng)的正常運(yùn)行，不會(huì)對(duì)現(xiàn)有業(yè)務(wù)造成顯著影響。3、風(fēng)險(xiǎn)評(píng)估對(duì)象及內(nèi)容本公司風(fēng)險(xiǎn)評(píng)估服務(wù)主要包括以下內(nèi)容：1）物理環(huán)境安全性評(píng)估2）網(wǎng)絡(luò)架構(gòu)安全性評(píng)估3）主機(jī)系統(tǒng)設(shè)備安全性評(píng)估服務(wù)器系統(tǒng)桌面主機(jī)網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)）4）應(yīng)用系統(tǒng)安全性評(píng)估通用應(yīng)用服務(wù)（WEBFTPMail、DNS等）4叮叮小文庫專用業(yè)務(wù)系統(tǒng)(B/S、C/S)數(shù)據(jù)庫機(jī)密數(shù)據(jù)安全控制保障評(píng)估(機(jī)密信息的生成、傳遞、存儲(chǔ)等過程)信息安全管理組織架構(gòu)和理性評(píng)估信息安全管理制度及安全性評(píng)估人員安全管理狀況評(píng)估安全產(chǎn)品和技術(shù)應(yīng)用狀況有效性及合理性評(píng)對(duì)應(yīng)重大緊急安全事件的處理能力評(píng)估??4、風(fēng)險(xiǎn)評(píng)估方法為了確切、真實(shí)地反映信息系統(tǒng)現(xiàn)狀，本公司在風(fēng)險(xiǎn)評(píng)估過程中使用到的方法有顧問訪談、工具掃描、專家經(jīng)驗(yàn)分析、實(shí)地勘察、滲透測(cè)試、策略審查六種,如下圖所示:專家纖圖風(fēng)險(xiǎn)評(píng)估方法5、成果輸出《風(fēng)險(xiǎn)評(píng)估安全現(xiàn)狀綜合分析報(bào)告》《風(fēng)險(xiǎn)評(píng)估安全解決方案》四、風(fēng)險(xiǎn)評(píng)估服務(wù)框架及流程5叮叮小文庫1、風(fēng)險(xiǎn)要素關(guān)系信息是一種資產(chǎn)，資產(chǎn)所有者應(yīng)對(duì)信息資產(chǎn)進(jìn)行保護(hù)， 通過分析信息資產(chǎn)的 脆弱性來確定威脅可能利用那些弱點(diǎn)來破壞其安全性。風(fēng)險(xiǎn)評(píng)估要識(shí)別資產(chǎn)相關(guān) 要素的關(guān)系，從而判斷資產(chǎn)面臨的風(fēng)險(xiǎn)大小。風(fēng)險(xiǎn)評(píng)估中各個(gè)要素的關(guān)系如下圖所示：圖風(fēng)險(xiǎn)要素關(guān)系示意圖圖中方框部分的內(nèi)容為風(fēng)險(xiǎn)評(píng)估的基本要素， 橢圓部分的內(nèi)容是與這些要素 相關(guān)的屬性。風(fēng)險(xiǎn)評(píng)估圍繞其基本要素展開，在對(duì)這些要素的評(píng)價(jià)過程中需要充 分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等與這些基本要素 相關(guān)的各類屬性。圖中的風(fēng)險(xiǎn)要素及屬性之間存在著以下關(guān)系：業(yè)務(wù)戰(zhàn)略依賴資產(chǎn)趨去實(shí)現(xiàn)；析產(chǎn)是有價(jià)值的，組織的業(yè)務(wù)戰(zhàn)略對(duì)資產(chǎn)的依賴度越高，資產(chǎn)價(jià)值就越 大；資產(chǎn)價(jià)值越大則其面臨的風(fēng)險(xiǎn)越大；風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多測(cè)風(fēng)險(xiǎn)越大，并可能演變成 安全事件；弱點(diǎn)越多，威脅利用脆弱性導(dǎo)致安全事件的可能性越大； 脆弱性時(shí)未被滿足的安全需求，威脅要通過利用脆弱性來危害資產(chǎn)，從6叮叮小文庫而形成風(fēng)險(xiǎn)；風(fēng)險(xiǎn)的存在及對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)導(dǎo)出安全需求；安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價(jià)值考慮實(shí)施成本； 安全措施可抵御威脅，降低安全事件的發(fā)生的可能性，并減少影響； 風(fēng)險(xiǎn)不可能也沒有必要降為零，在實(shí)施了安全措施后還會(huì)有殘留下來的 風(fēng)險(xiǎn)，有些殘余風(fēng)險(xiǎn)來自于安全措施可能不當(dāng)或無效，在以后需要繼續(xù) 控制，而有些參與風(fēng)險(xiǎn)則是在綜合考慮了安全成本與效益后為控制的風(fēng) 險(xiǎn)，是可以被接受的；參與風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，他可能會(huì)在將來有發(fā)心的安全事件。2、風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析示意圖如下圖所示 :左樂事件*鳳暁直風(fēng)險(xiǎn)評(píng)估分析中主要涉及資產(chǎn)、 威脅、脆弱性等基本要素。 每個(gè)要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性是威脅出現(xiàn)的頻率；脆弱性的屬性 是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。風(fēng)險(xiǎn)分析主要內(nèi)容為 :對(duì)資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)的重要性進(jìn)行賦值；對(duì)威脅進(jìn)行識(shí)別，描述威脅的屬性，并對(duì)威脅出現(xiàn)的頻率賦值；對(duì)資產(chǎn)的脆弱性進(jìn)行識(shí)別，并對(duì)具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；根據(jù)威脅和脆弱性的識(shí)別結(jié)果判斷安全事件；根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用資產(chǎn)的重要性計(jì)算安全事件的損 失;7叮叮小文庫根據(jù)安全事件發(fā)生的可能性以及安全事件的損失， 計(jì)算安全事件一旦發(fā)生對(duì)組的影響，即風(fēng)險(xiǎn)值。3、風(fēng)險(xiǎn)評(píng)估實(shí)施流程本公司在進(jìn)行風(fēng)險(xiǎn)評(píng)估服務(wù)過程中，將嚴(yán)格參照 GB/T20984-2007《信息安全風(fēng) 險(xiǎn)評(píng)估規(guī)范》國家標(biāo)準(zhǔn)所定義的服務(wù)流程規(guī)范來實(shí)施，整個(gè)實(shí)施流程如下圖所示：已肓圭全待雄的磁認(rèn) |分析

養(yǎng)全腿墟甘析，強(qiáng) 1H吋棗仝現(xiàn)朮Iff怦咼廿析-TTJ*呼網(wǎng)和H該呼旳，主 別鼠St評(píng)f化，啼冃葦址 敬廝左空備份瓦僮罠評(píng)哲 *安亡亠坪TI活冋衛(wèi)，打珂屮I眸倍聞君興iHWJtra*虎矗弊碼、朋隔廉IT怙的購?.開培合班育宣空保帯睫和艮旳對(duì)業(yè)霽的B8嚷楮涉祈，雖擦誦白-息皋卅懷坯制Q眩，Tt-SffPsP的只養(yǎng)士■墜即訓(xùn)悴nwa弭陣同曲祈*暗出巒從窒仝整侔幗訣方劃 +信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施流程（1）準(zhǔn)備階段風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備過程是進(jìn)行風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)，是整個(gè)風(fēng)險(xiǎn)評(píng)估過程有效性的 保證。風(fēng)險(xiǎn)評(píng)估作為一種戰(zhàn)略型的考慮，其結(jié)果將受到組織的業(yè)務(wù)需求及戰(zhàn) 略目標(biāo)、文化、業(yè)務(wù)流程、安全要求/規(guī)模和結(jié)構(gòu)的影響。不同組織對(duì)于風(fēng) 險(xiǎn)評(píng)估的實(shí)施過程可能存在不同的要求，因此在風(fēng)險(xiǎn)評(píng)估實(shí)施前，需要做好 以下準(zhǔn)備工作：a）確定風(fēng)險(xiǎn)評(píng)估的范圍 ;）確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)；8叮叮小文庫c）建立適當(dāng)?shù)慕M織結(jié)構(gòu)；d）建立系統(tǒng)性的風(fēng)險(xiǎn)評(píng)估方法；e）獲得高層管理者對(duì)風(fēng)險(xiǎn)評(píng)估策劃的批準(zhǔn)。（2）風(fēng)險(xiǎn)識(shí)別階段a） 信息資產(chǎn)識(shí)別資產(chǎn)是組織直接賦予了價(jià)值因而需要保護(hù)的東西。他可能是以多種形式存 在，有無形的、有有型的，有硬件、有軟件，有文檔、代碼，也有服務(wù)、組織形 象等。他們分別具有不同的價(jià)值屬性和存在特點(diǎn)，存在的弱點(diǎn)、面臨的威脅、需 要進(jìn)行的保護(hù)和安全控制都各不相同。組織的信息資產(chǎn)是組織資產(chǎn)中與信息開發(fā)、存儲(chǔ)、轉(zhuǎn)移、分發(fā)等過程直接、 密切相關(guān)的部分。不同的信息資產(chǎn)具有不同的安全屬性， 機(jī)密性、完整性和可用 性分別反映了資產(chǎn)在三個(gè)不同方面的特性。安全屬性的不同通常也意味著安全控 制、保護(hù)功能需求的不同。此階段的工作就是通過考察組織信息資產(chǎn)的三種不同的安全屬性， 從而更好地反映信息資產(chǎn)的價(jià)值，以便于進(jìn)一步考察資產(chǎn)相關(guān)的弱點(diǎn)、威脅和風(fēng)險(xiǎn)屬性， 并進(jìn)行量化。b） 威脅識(shí)別威脅是可能導(dǎo)致對(duì)系統(tǒng)或組織危害的不希望事故潛在起因。威脅可能源于對(duì) 組織信息直接或間接地攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機(jī)密性、完 整性或可用性等方面造成傷害。威脅也可能源于偶發(fā)的 /或蓄意的事件。一般來 說，威脅總是要利用組織中的系統(tǒng)、應(yīng)用或服務(wù)的弱點(diǎn)才可能成功地對(duì)資產(chǎn)造成 傷害。c）脆弱性識(shí)別脆弱性和信息資產(chǎn)緊密相連，它可能被威脅利用 /引起資產(chǎn)損失或傷害。值 得注意的是，脆弱性本身不會(huì)造成損失，它只是一種條件或環(huán)境、可能導(dǎo)致被威 脅利用而造成資產(chǎn)損失。脆弱性的出現(xiàn)有各種原因，例如可能是軟件開發(fā)過程中的質(zhì)量問題， 也可能 是系統(tǒng)管理員配置方面的，也可能是管理方面的。但是，他們的共同特性就是給 攻擊者提供了機(jī)會(huì)。d）已有安全措施確認(rèn)在本階段，本公司將對(duì)采取的控制措施進(jìn)行識(shí)別并對(duì)控制措施的有效性進(jìn)行 確認(rèn)，將有效的安全控制措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止控制 措施的重復(fù)實(shí)施。對(duì)于那些卻認(rèn)為不適當(dāng)?shù)目刂坪瞬槭欠駪?yīng)被取消， 火星和用更 合適的控制代替。安全控制可以分為預(yù)防性控制措施和保護(hù)性控制措施（如業(yè)務(wù) 持續(xù)性計(jì)劃、商業(yè)保險(xiǎn)等）兩種，預(yù)防性控制措施可以降低威脅發(fā)生的可能性和 減少安全脆弱性，而保護(hù)性控制措施可以減少因猥褻發(fā)生所造成的9叮叮小文庫影響。已有安全措施的確認(rèn)與脆弱性識(shí)別存在一定的聯(lián)系。一般來說，安全措施的 使用將減少脆弱性，但安全措施的確認(rèn)并不需要與脆弱性識(shí)別過程那樣具體到每 個(gè)資產(chǎn)、組件的弱點(diǎn)，而是一類具體措施的集合。比較明顯的例子是防火墻的訪 問控制措施。（3）風(fēng)險(xiǎn)分析階段a）殘余風(fēng)險(xiǎn)分析殘余風(fēng)險(xiǎn)分析將根據(jù)在識(shí)別階段對(duì)資產(chǎn)、脆弱性、威脅識(shí)別的結(jié)果，結(jié)合現(xiàn) 有安全控制措施分析的結(jié)果，確定信息系統(tǒng)的殘余風(fēng)險(xiǎn)；然后結(jié)合殘余風(fēng)險(xiǎn)對(duì)業(yè) 務(wù)影響性的分析，確定殘余風(fēng)險(xiǎn)的處置計(jì)劃并給出合理的風(fēng)險(xiǎn)處置建議。b）綜合風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)是一種潛在可能性，是指某分威脅利用脆弱性引起某項(xiàng)資產(chǎn)或一組資產(chǎn) 的損害，從而直接地或間接地引起組織或機(jī)構(gòu)的損害。因此，風(fēng)險(xiǎn)和具體的資產(chǎn)、 其價(jià)值、威脅等級(jí)以及相關(guān)的脆弱性直接相關(guān)。從上述的定義可以看出，風(fēng)險(xiǎn)評(píng)估的策略是首先選定某項(xiàng)資產(chǎn)、評(píng)估資產(chǎn)價(jià) 值挖掘并評(píng)估資產(chǎn)面臨的威脅、挖掘并評(píng)估資產(chǎn)存在的脆弱性、評(píng)估該資產(chǎn)的風(fēng) 險(xiǎn)、進(jìn)而得出整個(gè)評(píng)估目標(biāo)的風(fēng)險(xiǎn)。（4）風(fēng)險(xiǎn)處置階段根據(jù)項(xiàng)目文檔中對(duì)信息系統(tǒng)網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的主要目標(biāo)， 依照安全風(fēng)險(xiǎn)中獲得 的階段性結(jié)果和《風(fēng)險(xiǎn)評(píng)估安全現(xiàn)狀綜合分析報(bào)告》，參考安全體系和框架，得 出針對(duì)客戶的《風(fēng)險(xiǎn)評(píng)估安全解決方案》。10叮叮小文庫4、評(píng)估過程中的風(fēng)險(xiǎn)控制在評(píng)估過程中，不可避免地會(huì)對(duì)平復(fù)對(duì)象造成影響