信息安全風險評估國家標準編制及內容介紹

信息安全風險評估國家標準編制及內容介紹范紅二00六年九月1主要內容一、標準的編制過程二、標準的主要內容三、下一步工作的幾點思考2主要內容一、標準的編制過程二、標準的主要內容三、下一步工作的幾點思考3一、標準的編制過程1、前期研究準備2、標準草案編制3、試點實踐檢驗4、專家評審論證4一、標準的編制過程1、前期研究準備2、標準草案編制3、試點實踐檢驗4、專家評審論證5

1、前期研究準備

2003年7月,中辦發(fā)[2003]27號文件對開展信息安全風險評估工作提出了明確的要求。國信辦委托國家信息中心牽頭，成立了國家信息安全風險評估課題組，對信息安全風險評估相關工作展開調查研究。課題組利用半年多的時間，對我國信息安全風險評估現(xiàn)狀進行了深入調查，掌握了第一手情況；對國內外相關領域的理論進行了學習、分析和研究，查閱了大量的相關資料，基本了解了此領域的國際前沿動態(tài)。這些都為標準編制工作奠定了良好的基礎。6

統(tǒng)一的風險評估技術標準是規(guī)范開展信息安全風險評估工作的必備條件。落實中辦發(fā)27號文件、全面推進我國的信息安全風險評估工作，首先就必須解決我國缺乏統(tǒng)一的風險評估技術標準的問題。為此，國信辦領導根據(jù)專家們的建議，決定著手開展信息安全風險評估國家標準的編制工作及相關實踐活動。旨在通過這項工作更好地加強國家基礎網(wǎng)絡和重要信息系統(tǒng)的風險評估及管理工作，使其流程更加科學、統(tǒng)一、規(guī)范、有效。7一、標準的編制過程1、前期研究準備2、標準草案編制3、試點實踐檢驗4、專家評審論證8

根據(jù)國信辦的指示和信安標委的具體要求，國家信息中心組織國家保密技術研究所、公安部三所、北京信息安全測評中心、上海市測評認證中心、信息安全國家重點實驗室以及BJCA、上海三零衛(wèi)士、聯(lián)想、天融信、啟明星辰、綠盟、科飛、凝瑞等國內十幾家企事業(yè)單位于2004年3月29日正式啟動標準草案的編制工作。此后，中國信息安全產(chǎn)品測評認證中心、解放軍信息技術安全研究中心、航天部二院七O六所等單位也參與了標準的編制與起草。起草組在前期準備工作的基礎上，經(jīng)過多次研究探討，確定了編制標準應遵循的原則:

2、標準草案編制9

1、符合我國現(xiàn)行的信息安全有關法律法規(guī)的要求，認真貫徹落實27號文件關于加強信息安全風險評估工作的精神；

2、立足于我國信息化建設實踐，積極借鑒國際先進標準的技術，提出符合我國基礎網(wǎng)絡和重要信息系統(tǒng)工程建設需求的風險評估規(guī)范；

3、針對網(wǎng)絡與信息系統(tǒng)的全生命周期，制訂適應不同階段特點和要求的風險評估實施方法；

4、積極吸收信息安全有關主管部門和單位在等級保護、保密檢查和產(chǎn)品測評等工作的經(jīng)驗與成果；

5、標準文本體系結構科學合理，表述清晰，具有可實現(xiàn)性和可操作性。

10在標準編編制的的過程程中，，標準準起草草組多多次與與相關關主管管部門門所屬屬機構構的專專家代代表就就技術術標準準有關關主體體內容容進行行會商商；向相關關單位位發(fā)放放標準準文本本，通過電電子郵郵件等等形式式廣泛泛征求求業(yè)界界意見見；召召開標標準討討論會會議三三十幾幾次，，共收收集100多條修修改意意見。。起草組組逐一一對修修改意意見進進行研研究，，在充充分吸吸納合合理成成份的的基礎礎上，，對《信息安安全風風險評評估規(guī)規(guī)范》等標準準進行行了較較大幅幅度的的修改改，使使標準準的體體系結結構更更趨完完善、、合理理。11一、標標準的的制定定過程程1、前期期研究究準備備2、標準草草案編編制3、試點點實踐踐檢驗驗4、專家家評審審論證證123、試點點實踐踐檢驗驗2005年2月,根據(jù)國信辦辦[2005]4號和5號文件件，關關于在在銀行行、稅稅務、、電力力等部部門和和電子子政務務外網(wǎng)網(wǎng)，以以及北北京、、上海海、黑黑龍江江、云云南等等省市市，開開展信信息安安全風風險評評估試試點工工作的的要求求，標標準起起草組組配合合風險險評估估試點點工作作專家家組開開展了了以下下工作作：--為各試試點單單位提提供標標準草草案文文本和和相關關說明明；--在試點點準備備階段段與各各試點點單位位的技技術骨骨干進進行標標準技術術交流流；--根據(jù)標標準草草案文文本涉涉及的的關鍵鍵技術術，起起草組組成員員選擇試試點環(huán)環(huán)節(jié)參參與實實際試試點；；--在試點點過程程中，，先后后幾次次召開開標準準研討討會，，征求求各單位位對標標準的的意見見與建建議。。13整個試點點工作作歷時時7個月，，各試點點單位位對標標準草草案先先后提提出40多條補補充修修改意意見，，標準準起草草組根據(jù)試試點結結果先后進進行了了三次次較大大規(guī)模模的修修改。。主要要內容容包括括：--細化了了資產(chǎn)產(chǎn)的分分類方方法、、脆弱弱性的的識別別要求求，修修改并細細化了了風險險計算算的方方法；；--對自評評估、、檢查查評估估不同同評估估形式式的內內容與與實施施的重點點進行行了區(qū)區(qū)分；；--對風險險評估估的工工具進進行了了梳理理和區(qū)區(qū)分，，形成成了現(xiàn)現(xiàn)在的幾幾種類類型；；--細化了了生命命周期期不同同階段段風險險評估估的主主要內內容。。試點實實踐證證明，，試行行標準準基本本滿足足各試試點單單位評評估工工作的的需求求。14一、標標準的的制定定過程程1、前期期研究究準備備2、標準草草案編編制3、試點點實踐踐檢驗驗4、專家家評審審論證證152005年9月16日，國家家信息中中心在北北京組織織召開了由周仲仲義院士士主持的的《信息安全全風險評評估指南南（征求求意見稿）》第一次專專家評審審會。4、專家評評審論證證16第一次專專家評審審會名單單姓名單位職務/職稱周仲義中國工程院院士熊四皓國務院信息辦處長王娜國家發(fā)改委高科技司處長姚世權中國標準化協(xié)會研究員賈穎禾全國信息安全標準化技術委員會副秘書長/研究員崔書昆國家信息化專家咨詢委員會委員/研究員景乾元公安部十一局處長李建彬國稅總局信息中心副處長張宏偉黑龍江省信息產(chǎn)業(yè)廳處長姚麗旋上海市信息化管理委員會處長肖京華總參三部三局處長馮惠中國電子技術標準化研究所副主任/高工吳偉國家電網(wǎng)公司處長詹榜華北京市CA中心總經(jīng)理172005年10月27日，國家家信息中中心在北北京組織織召開了了信息安安全風險險評估國國家標準準征求意意見稿的的第二次次專家評評審會。。18第二次專專家評審審會名單單姓名單位職務/職稱何義大全國信息安全標準化技術委員會副主任趙戰(zhàn)生國家信息化咨詢委員會研究員曲成義國家信息化咨詢委員會研究員馮登國信息安全863項目專家組組長研究員陳曉樺中國信息安全產(chǎn)品測評認證中心研究員崔書昆國家信息化咨詢委員會研究員景乾元公安部十一局處長肖京華解放軍信息安全測評中心處長賈穎禾全國信息安全標準化技術委員會副秘書長李守鵬中國信息安全產(chǎn)品測評認證中心副主任王同良中石油經(jīng)濟技術中心副主任江志強民航總局人事科技司處長謝小權航天科技集團706所副所長呂仲濤中國工商銀行總行信息科技部總工19與會專家認認為標準準起草組組做了大大量卓有有成效的的工作，，標準的的結構合合理、內內容完備備、可操操作性強強，并充充分考慮慮與信息息安全等等級保護護相關標標準相銜銜接。文文本的編編制符合合國家標標準的要要求。同同時，專專家們也也對完善善標準提提出了進進一步的的修改意意見。202005年12月14日，由安安標委第第五工作作組主持持召開了了由沈昌昌祥院士士為專家家組組長長的信息息安全風風險評估估國家標標準送審審稿的專專家評審審會。21專家評審審會名單單姓名單位職務/職稱沈昌祥海軍計算技術研究所院士吉增瑞公安部信息安全標委會委員研究員趙戰(zhàn)生國家信息化咨詢委員會研究員卿斯?jié)h中科院信息安全技術工程研究中心研究員杜虹國家保密技術研究所所長景乾元公安部十一局處長崔書昆國家信息化咨詢委員會研究員22與會專家聽聽取了起起草小組組的編制制說明及及內容介介紹，審審閱了相相關文檔檔資料，，經(jīng)質詢詢和討論論，一致致認為：：一、送審審稿規(guī)范范了風險險評估的的評估內內容與范范圍、基基本概念念，明確確了資產(chǎn)、、威脅、、脆弱性性和安全全風險等等關鍵要要素及其其賦值原原則和要求，提提出了實實施流程程與操作作步驟、、評估規(guī)規(guī)則與基基本方法法，并充分考慮慮與信息息安全等等級保護護相關標標準相銜銜接。二、送審審稿的操操作性較較強，對對開展風風險評估估工作具具有指導導作用，，并在國務務院信息息辦組織織的風險險評估試試點中得得到了進進一步的的實踐驗證和充充實完善善。三、文本本的編制制符合國國家標準準GB1.1的要求。。專家組認認為送審審稿達到到國家標標準送審審稿的要要求，同同意通過過評審。建議議起草組組根據(jù)專專家意見見盡快修修改完善善后申報報。232006年３月６６日和３３月１６６日，在在國信辦辦進行的的行業(yè)和省省市的風風險評估估政策文文件的兩兩次宣貫貫會上，，信息安安全風險評估估征求意意見稿以以國信辦辦文件的的形式下下發(fā)，為為各行業(yè)業(yè)和省市開展風風險評估提提供技術依依據(jù)。242006年4月18日，全國信信息安全標標準化技術術委員（安標委））會第五工工作組（WG5）在北京召召開全體工工作組成員員標準投票會會議，對信信息安全風風險評估國國家標準送送審稿進行行工作組全體成成員投票表表決。與會會的三十幾幾位專家聽聽取了標準準起草組對《指南》的編制過程程以及主要要內容的介介紹，經(jīng)投投票一致通過了標標準的評審審。252006年6月19日，全國信信息安全標標準化技術術委員會秘秘書處在北北京組織召召開了信息息安全風險險評估標準準送審稿的的專家審查查會，與會會專家經(jīng)質質詢和討論論，將標準準正式命名名為《信息安全技技術信信息安安全風險評評估規(guī)范》，認為該標標準達到國國家標準送送審稿的要要求，同意意通過評審審。會后，國家家信息中心心先后與各各起草單位位和有關專專家就標準準規(guī)范報批批稿的修改改進行了進進一步的研研討，并逐逐一落實了了專家提出出的意見。。262006年7月19日，全國國信息安全全標準化委委員會主任任辦公會上上討論通過過了《信息安全技技術信信息安全風風險評估規(guī)規(guī)范》(報批稿),目前已進入入報批程序序。27主要內容一、標準的的編制過程程二、標準的的主要內容容三、下一步步工作的幾幾點思考28二、標準的的主要內容容1、什么是風風險評估2、為什么要要做風險評評估3、風險評估估怎么做29二、標準的的主要內容容1、什么是風風險評估2、為什么要要做風險評評估3、風險評估估怎么做301、什么是風風險評估信息安全風風險人為或自然然的威脅利利用信息系系統(tǒng)及其管管理體系中中存在的脆脆弱性導致致安全事件件的發(fā)生及及其對組織織造成的影影響。信息安全風風險評估依據(jù)有關信信息安全技技術與管理理標準，對對信息系統(tǒng)統(tǒng)及由其處處理、傳輸輸和存儲的的信息的保保密性、完完整性和可可用性等安安全屬性進進行評價的的過程。它它要評估資資產(chǎn)面臨的的威脅以及及威脅利用用脆弱性導導致安全事事件的可能能性，并結結合安全事事件所涉及及的資產(chǎn)價價值來判斷斷安全事件件一旦發(fā)生生對組織造造成的影響響。31風險評估要要素關系圖圖圖中方框部部分的內容容為風險評評估的基本本要素;橢圓部分的的內容是與與這些要素素相關的屬屬性。風險評估圍圍繞著基本本要素展開開，同時需需要充分考考慮與基本本要素相關關的各類屬屬性。（1）業(yè)務戰(zhàn)略略的實現(xiàn)對對資產(chǎn)具有有依賴性，，依賴程度度越高，要要求其風險險越??；（2）資產(chǎn)是有有價值的，，組織的業(yè)業(yè)務戰(zhàn)略對對資產(chǎn)的依依賴程度越越高，資產(chǎn)產(chǎn)價值就越越大；（3）風險是由由威脅引發(fā)發(fā)的，資產(chǎn)產(chǎn)面臨的威威脅越多則則風險越大大，并可能能演變成安安全事件；；（4）資產(chǎn)的脆脆弱性可以以暴露資產(chǎn)產(chǎn)的價值，，資產(chǎn)具有有的弱點越越多則風險險越大；（5）脆弱性是是未被滿足足的安全需需求，威脅脅利用脆弱弱性危害資資產(chǎn)；（6）風險的存存在及對風風險的認識識導出安全全需求；（7）安全需求求可通過安安全措施得得以滿足，，需要結合合資產(chǎn)價值值考慮實施施成本；（8）安全措施施可抵御威威脅，降低低風險；（9）殘余風險險是未被安安全措施控控制的風險險。有些是是安全措施施不當或無無效,需要加強才才可控制的的風險；而而有些則是是在綜合考考慮了安全全成本與效效益后未去去控制的風風險；（10）殘余風險險應受到密密切監(jiān)視，，它可能會會在將來誘誘發(fā)新的安安全事件。。32二、標準的的主要內容容1、什么是風風險評估2、為什么要要做風險評評估3、風險評估估怎么做332、為什么要要做風險評評估安全源于風險險。在信息化建建設中，建建設與運營營的網(wǎng)絡與與信息系統(tǒng)統(tǒng)由于可能能存在的系系統(tǒng)設計缺缺陷、隱含含于軟硬件件設備的缺缺陷、系統(tǒng)統(tǒng)集成時帶帶來的缺陷陷，以及可可能存在的的某些管理理薄弱環(huán)節(jié)節(jié)，尤其當當網(wǎng)絡與信信息系統(tǒng)中中擁有極為為重要的信信息資產(chǎn)時時，都將使使得面臨復復雜環(huán)境的的網(wǎng)絡與信信息系統(tǒng)潛潛在著若干干不同程度度的安全風風險。34風險評估可可以不斷斷深入地地發(fā)現(xiàn)系系統(tǒng)建設設中的安安全隱患患，采取或完完善更加加經(jīng)濟有有效的安安全保障障措施，，來消除安全全建設中中的盲目目樂觀或或盲目恐恐懼，提提出有針針對性的的從實際際出發(fā)的的解決方方法，提提高系統(tǒng)統(tǒng)安全的的科學管管理水平平，進而而全面提提升網(wǎng)絡絡與信息息系統(tǒng)的的安全保保障能力力。35信息安全風風險評估估，是從從風險管管理角度度，運用用科學的的方法和和手段，，系統(tǒng)地地分析網(wǎng)網(wǎng)絡與信信息系統(tǒng)統(tǒng)所面臨臨的威脅脅及其存存在的脆脆弱性，，評估安安全事件件一旦發(fā)發(fā)生可能能造成的的危害程程度，提提出有針針對性的的抵御威威脅的防防護對策策和整改改措施。。并為防防范和化化解信息息安全風風險，或或者將風風險控制制在可接接受的水水平，從從而最大大限度地地保障網(wǎng)網(wǎng)絡和信信息安全全提供科科學依據(jù)據(jù)。（國信辦辦[2006]5號文件））36二、標準準的主要要內容1、什么是是風險評評估2、為什么么要做風風險評估估3、風險評評估怎么么做373、風險評評估怎么么做-風險評估估實施流流程-風險評估估的形式式-信息系統(tǒng)統(tǒng)生命周周期各階階段的風風險評估估383、風險評評估怎么么做-風險評估估實施流流程-風險評估估的形式式-信息系統(tǒng)統(tǒng)生命周周期各階階段的風風險評估估39風險評估估的實施施流程先期準備備要素分析析風險分析析文檔記錄錄風險評估估實施流流程圖40實施步驟驟(1)風險評估估的準備備(2)資產(chǎn)識別別(3)威脅識別別(4)脆弱性識識別(5)已有安全全措施的的確認(6)風險分析析(7)風險評估估文件記記錄413、風險評評估怎么么做-風險評估估實施流流程-風險評估估的形式式-信息系統(tǒng)統(tǒng)生命周周期各階階段的風風險評估估42信息安全風風險評估估分為自自評估、、檢查評評估兩種種形式。。自評估估為主，，自評估估和檢查查評估相相互結合合、互為為補充。。自評估估和檢查查評估可可依托自自身技術術力量進進行，也也可委托托第三方方機構提提供技術術支持。。風險評估估的形式式43自評估自評估可由由發(fā)起方方實施或或委托風風險評估估服務技技術支持持方實施施。由發(fā)發(fā)起方實實施的評評估可以以降低實實施的費費用、提提高信息息系統(tǒng)相相關人員員的安全全意識，，但可能能由于缺缺乏風險險評估的的專業(yè)技技能，其其結果不不夠深入入準確；；同時，，受到組組織內部部各種因因素的影影響，其其評估結結果的客客觀性易易受影響響。委托托風險評評估服務務技術支支持方實實施的評評估，過過程比較較規(guī)范、、評估結結果的客客觀性比比較好，，可信程程度較高高；但由由于受到到行業(yè)知知識技能能及業(yè)務務了解的的限制，，對被評評估系統(tǒng)統(tǒng)的了解解，尤其其是在業(yè)業(yè)務方面面的特殊殊要求存存在一定定的局限限。但由由于引入入第三方方本身就就是一個個風險因因素，因因此，對對其背景景與資質質、評估估過程與與結果的的保密要要求等方方面應進進行控制制。44自評估估中的的“自自”不不僅僅僅是指指自已已做評評估的的“自自”，，也不不僅僅僅是指指自愿愿做評評估的的“自自”。。由于于“誰誰主管管誰負負責””，出出于對對自身身信息息系統(tǒng)統(tǒng)的安安全責責任考考慮，，信息息系統(tǒng)統(tǒng)主管管者應應定期期對系系統(tǒng)進進行風風險評評估，，具體體實施施時可可以依依托自自身的的評估估隊伍伍進行行，也也可委委托有有資質質的第第三方方提供供評估估服務務技術術支持持，但但無論論是哪哪一種種形式式，責責任都都是由由信息息系統(tǒng)統(tǒng)主管管者自自已擔擔負的的。因因此，，自評評估中中的““自””的含含義是是自已已負責責的““自””。包包括自自已負負責系系統(tǒng)的的安全全、自自己發(fā)發(fā)起對對信息息系統(tǒng)統(tǒng)的風風險評評估以以及自自己負負責為為保障障系統(tǒng)統(tǒng)安全全所做做的風風險評評估的的安全全等。。45此外，，為保保證風風險評評估的的實施施，與與系統(tǒng)統(tǒng)相連連的相相關方方也應應配合合，以以防止止給其其他方方的使使用帶帶來困困難或或引入入新的的風險險也往往往較較多，，因此此，要要對實實施檢檢查評評估機機構的的資質質進行行嚴格格管理理。46檢查評評估檢查評估估是指指信息息系統(tǒng)統(tǒng)上級級管理理部門門組織織的或或國家家有關關職能能部門門依法法開展展的風風險評評估。。檢查評評估可可依據(jù)據(jù)本標標準的的要求求，實實施完完整的的風險險評估估過程程。47一是風風險評評估究究其根根本是是評估估系統(tǒng)統(tǒng)的敏敏感信信息，，涉及及大量量的安安全問問題，，完全全委托托第三三方將將帶來來評估估本身身的風風險；；二是進進行風風險評評估要要求評評估人人員既既要了了解評評估本本身的的一套套方法法與流流程，，還要要了解解被評評估系系統(tǒng)的的業(yè)務務特性性，這這對于于完全全從事事評估估的第第三方方來講講，在在短時時間內內了解解每個個系統(tǒng)統(tǒng)的業(yè)業(yè)務特特性難難度是是比較較大的的；三是風風險評評估工工作流流程中中常常常要求求被評評估方方向評評估方方提供供各種種信息息，需需要之之間的的良好好互動動以及及多方方會商商，單單靠評評估方方第三三方是是無法法完成成系統(tǒng)統(tǒng)評估估的。?；谝砸陨显?，，委托托評估估技術術支持持比委委托評評估的的提法法更為為切合合實際際。并并且，，提供供委托托評估估技術術支持持的機機構應應具有有相應應的資資質。。483、風險險評估估怎么么做-風險評評估實實施流流程-風險評評估的的形式式-信息系系統(tǒng)生生命周周期各各階段段的風風險評評估49國信辦[2006]5號文件件指出出：信息安安全風險評評估應應貫穿穿于網(wǎng)網(wǎng)絡與與信息息系統(tǒng)統(tǒng)建設設運行行的全全過程程。在在網(wǎng)絡絡與信信息系系統(tǒng)的的設計計、驗驗收及及運行行維護護階段段均應應當進進行信信息安安全風風險評評估。。如在在網(wǎng)絡絡與信信息系系統(tǒng)規(guī)規(guī)劃設設計階階段，，應通通過信信息安安全風風險評評估進進一步步明確確安全全需求求和安安全目目標。。50信息系系統(tǒng)生生命周周期各各階段段的風風險評評估規(guī)劃階階段的的風險險評估估設計階階段的的風險險評估估實施階階段的的風險險評估估運行維護護階段的的風險評評估廢棄階段段的風險險評估51規(guī)劃階段段的風險險評估規(guī)劃階段風風險評估估的目的的是識別別系統(tǒng)的的業(yè)務戰(zhàn)戰(zhàn)略，以以支撐系系統(tǒng)安全全需求及及安全戰(zhàn)戰(zhàn)略等。。規(guī)劃階階段的評評估應能能夠描述述信息系系統(tǒng)建成成后對現(xiàn)現(xiàn)有業(yè)務務模式的的作用，，包括技技術、管管理等方方面，并并根據(jù)其其作用確確定系統(tǒng)統(tǒng)建設應應達到的的安全目目標。52設計階段段的風險險評估設計階段的的風險評評估需要要根據(jù)規(guī)規(guī)劃階段段所明確確的系統(tǒng)統(tǒng)運行環(huán)環(huán)境、資資產(chǎn)重要要性，提提出安全全功能需需求。設設計階段段的風險險評估結結果應對對設計方方案中所所提供的的安全功功能符合合性進行行判斷，，作為采采購過程程風險控控制的依依據(jù)。53實施階段段的風險險評估實施階段風風險評估估的目的的是根據(jù)據(jù)系統(tǒng)安安全需求求和運行行環(huán)境對對系統(tǒng)開開發(fā)、實實施過程程進行風風險識別別，并對對系統(tǒng)建建成后的的安全功功能進行行驗證。。根據(jù)設設計階段段分析的的威脅和和制定的的安全措措施，在在實施及及驗收時時進行質質量控制制?；谠O計階段段的資產(chǎn)列表表、安全措施施，實施階段段應對規(guī)劃階階段的安全威威脅進行進一一步細分，同同時評估安全全措施的實現(xiàn)現(xiàn)程度，從而而確定安全措措施能否抵御御現(xiàn)有威脅、、脆弱性的影影響。實施階階段風險評估估主要對系統(tǒng)統(tǒng)的開發(fā)與技技術/產(chǎn)品獲取、系系統(tǒng)交付實施施兩個過程進進行評估。54運行維護階段段的風險評估估運行維護階段段風險評估的的目的是了解解和控制運行行過程中的安安全風險，是是一種較為全全面的風險評評估。評估內內容包括對真真實運行的信信息系統(tǒng)、資資產(chǎn)、威脅、、脆弱性等各各方面。資產(chǎn)評估：在在真實環(huán)境下下較為細致的的評估。包括括實施階段采采購的軟硬件件資產(chǎn)、系統(tǒng)統(tǒng)運行過程中中生成的信息息資產(chǎn)、相關關的人員與服服務等，本階階段資產(chǎn)識別別是前期資產(chǎn)產(chǎn)識別的補充充與增加；威脅評估：應應全面地分析析威脅的可能能性和影響程程度。對非故故意威脅導致致安全事件的的評估可以參參照安全事件件的發(fā)生頻率率；對故意威威脅導致安全全事件的評估估主要就威脅脅的各個影響響因素做出專專業(yè)判斷；脆弱性評估：：是全面的脆脆弱性評估。。包括運行環(huán)環(huán)境中物理、、網(wǎng)絡、系統(tǒng)統(tǒng)、應用、安安全保障設備備、管理等各各方面的脆弱弱性。技術脆脆弱性評估可可以采取核查查、掃描、案案例驗證、滲滲透性測試的的方式實施；；安全保障設設備的脆弱性性評估，應考考慮安全功能能的實現(xiàn)情況況和安全保障障設備本身的的脆弱性；管管理脆弱性評評估可以采取取文檔、記錄錄核查等方式式進行驗證；；風險計算：根根據(jù)本標準的的相關方法，，對重要資產(chǎn)產(chǎn)的風險進行行定性或定量量的風險分析析，描述不同同資產(chǎn)的風險險高低狀況。。55廢