風(fēng)險評估指南

風(fēng)險評估指南10\l“_TOC_250005“目的 3\l“_TOC_250004“范圍 3\l“_TOC_250003“風(fēng)險分析模型 3\l“_TOC_250002“風(fēng)險評估實(shí)施 3資產(chǎn)評估 3威逼評估 6脆弱性評估 9安全措施有效性評估 10風(fēng)險值計算 10風(fēng)險結(jié)果判定 10評估總結(jié) 11\l“_TOC_250001“附件1相乘法計算風(fēng)險例如 12\l“_TOC_250000“附件2矩陣法計算風(fēng)險例如 14目的指導(dǎo)組織依據(jù)量化法開展信息安全風(fēng)險評估活動。范圍xxxx風(fēng)險分析模型1資產(chǎn)識別資產(chǎn)識別資產(chǎn)價值安全大事的損失脆弱性識別脆弱性嚴(yán)峻程度風(fēng)險值安全大事可能性威逼識別威逼消滅的頻率1風(fēng)險分析原理圖風(fēng)險評估實(shí)施GB/T20984-2023《信息安全技術(shù)信息安全風(fēng)險評估標(biāo)準(zhǔn)》相估參與人員為評估小組成員及被評估方人員。資產(chǎn)評估對資產(chǎn)進(jìn)展識別、賦值并進(jìn)展等級評定，形成重要資產(chǎn)清單。識別1

1基于表現(xiàn)形式的資產(chǎn)分類分類 例如保存在信息媒介上的各種數(shù)據(jù)資料包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系數(shù)據(jù) 統(tǒng)文檔、運(yùn)行治理規(guī)程、打算、報告、用戶手冊、各類紙質(zhì)的文檔等系統(tǒng)軟件：操作系統(tǒng)、數(shù)據(jù)庫治理系統(tǒng)、語句包、開發(fā)系統(tǒng)等軟件 應(yīng)用軟件：辦公軟件、數(shù)據(jù)庫軟件、各類工具軟件等源程序：各種共享源代碼、自行或合作開發(fā)的各種代碼等網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等計算機(jī)設(shè)備：大型機(jī)、小型機(jī)、效勞器、工作站、臺式計算機(jī)、便攜計算機(jī)等存儲設(shè)備：磁帶機(jī)、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等硬件 傳輸線路：光纖、雙絞線等保障設(shè)備：UPS、變電設(shè)備等、空調(diào)、保險柜、文件柜、門禁、消防設(shè)施等安全保障設(shè)備：防火墻、入侵檢測系統(tǒng)、身份鑒別等其他：打印機(jī)、復(fù)印機(jī)、掃描儀、機(jī)等文檔 紙質(zhì)的各種文件，如、電報、財務(wù)報告、進(jìn)展打算等信息效勞：對外依靠該系統(tǒng)開展的各類效勞網(wǎng)絡(luò)效勞：各種網(wǎng)絡(luò)設(shè)備、設(shè)施供給的網(wǎng)絡(luò)連接效勞效勞治理、文件流轉(zhuǎn)治理等效勞人員及應(yīng)用工程經(jīng)理等其它其它企業(yè)形象、客戶關(guān)系等賦值2并記錄。2資產(chǎn)安全屬性賦值表資產(chǎn) 賦標(biāo)安全 值識定義屬性包含組織最重要的隱秘(如東軟絕密)，關(guān)系將來進(jìn)展的前途命運(yùn)，5很高對組織根本利益有著打算性的影響，假設(shè)泄露會造成災(zāi)難性的損害包含組織的重要隱秘(如東軟隱秘)，其泄露會使組織的安全和利益4高保患病嚴(yán)峻損害密組織的一般性隱秘(如東軟隱秘)，其泄露會使組織的安全和利益受3中性到損害僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息(如東軟內(nèi)部公2低開)，向外集中有可能對組織的利益造成稍微損害1很低可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等完整性價值格外關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的5很高或無法承受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴(yán)峻的業(yè)務(wù)中斷，難以彌補(bǔ)完整性價值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，完 4高對業(yè)務(wù)沖擊嚴(yán)峻，較難彌補(bǔ)整完整性價值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)性 3中務(wù)沖擊明顯，但可以彌補(bǔ)完整性價值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成稍微影響，2低對業(yè)務(wù)沖擊稍微，簡潔彌補(bǔ)1很低完整性價值格外低，未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以無視，對業(yè)務(wù)沖擊可以無視無視，對業(yè)務(wù)沖擊可以無視可用性價值格外高，合法使用者對信息及信息系統(tǒng)的可用度到達(dá)年5很高度99.9%以上，或系統(tǒng)不允許中斷可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度到達(dá)每天4高90%以上，或系統(tǒng)允許中斷時間小于10分鐘可可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工用3中30性可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工2低60可用性價值可以無視，合法使用者對信息及信息系統(tǒng)的可用度在正1很低25%等級評定3。等級5標(biāo)識很高描述等級5標(biāo)識很高描述格外重要，其安全屬性破壞后可能對組織造成格外嚴(yán)峻的損失4高重要，其安全屬性破壞后可能對組織造成比較嚴(yán)峻的損失3中比較重要，其安全屬性破壞后可能對組織造成中等程度的損失21低很低不太重要，其安全屬性破壞后可能對組織造成較低的損失不重要，其安全屬性破壞后對組織造成導(dǎo)很小的損失，甚至無視不計評估小組可依據(jù)資產(chǎn)等級結(jié)果，確定重要資產(chǎn)的范圍，形成重要資產(chǎn)清單。威逼評估對威逼進(jìn)展識別，并依據(jù)消滅的頻率對威逼進(jìn)展賦值。識別4，評估小組結(jié)合實(shí)際狀況對威逼消滅的可能性進(jìn)展識別并記錄。4威逼分類來源種類描述威逼子類設(shè)備硬件故障、傳輸設(shè)對業(yè)務(wù)實(shí)施或系統(tǒng)運(yùn)行產(chǎn)生影響軟硬件故障的設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)軟件故障、應(yīng)用軟環(huán)系統(tǒng)本身或軟件缺陷造等問題件故障、數(shù)據(jù)庫軟件故境障、開發(fā)環(huán)境故障因素斷電、靜電、灰塵、潮物理環(huán)境影響對信息系統(tǒng)正常運(yùn)行造成影響的濕、溫度、鼠蟻蟲害、物理環(huán)境問題和自然災(zāi)難地震等無作為或操作失應(yīng)當(dāng)執(zhí)行而沒有執(zhí)行相應(yīng)的操維護(hù)錯誤、操作失誤等誤作，或無意地執(zhí)行了錯誤的操作非惡治理制度和策略不完意治理不到位安全治理無法落實(shí)或不到位，從而破壞信息系統(tǒng)正常有序運(yùn)行善、治理規(guī)程缺失、職責(zé)不明確、監(jiān)視控管機(jī)人制不健全等為病毒、特洛伊木馬、蠕因惡意代碼有意在計算機(jī)系統(tǒng)上執(zhí)行惡意任蟲、陷門、間諜軟件、素務(wù)的程序代碼竊聽軟件等惡非授權(quán)訪問網(wǎng)絡(luò)資源、意通過承受一些措施，超越自己的非授權(quán)訪問系統(tǒng)資源、越權(quán)或濫用權(quán)限訪問了原來無權(quán)訪問的資濫用權(quán)限非正常修改系源，或者濫用自己的職權(quán)，做出統(tǒng)配置或數(shù)據(jù)、濫用權(quán)破壞信息系統(tǒng)的行為限泄露隱秘信息等網(wǎng)絡(luò)探測和信息采集、網(wǎng)絡(luò)探測和信息采集、〔賬戶、、用戶身利用工具和技術(shù)通過網(wǎng)絡(luò)對信息網(wǎng)絡(luò)攻擊份偽造和哄騙、用戶或系統(tǒng)進(jìn)展攻擊和入侵業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運(yùn)行的掌握和破壞等通過物理的接觸造成對軟件、硬物理接觸、物理破壞、物理攻擊件、數(shù)據(jù)的破壞盜竊等內(nèi)部信息泄露、外部信泄密 信息泄露給不應(yīng)了解的他人息泄露等篡改網(wǎng)絡(luò)配置信息、篡非法修改信息，破壞信息的完整改系統(tǒng)配置信息、篡改篡改性使系統(tǒng)的安全性降低或信息不安全配置信息、篡改用可用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等不成認(rèn)收到的信息和所作的操作原發(fā)抵賴、接收抵賴、抵賴和交易第三方抵賴等賦值5對威脅進(jìn)展賦值并記錄。

5威逼賦值表等級等級標(biāo)識描述5很高〔或≥1次/周或可以證明常常發(fā)生過14消滅的頻率較〔或≥ 次/月或在大多數(shù)狀況下很有可能會發(fā)高生；或可以證明屢次發(fā)生過3中或被證明曾經(jīng)發(fā)生過2低消滅的頻率較小；或一般不太可能發(fā)生；或沒有被證明發(fā)生過1很低威逼幾乎不行能發(fā)生，僅可能在格外罕見和例外的狀況下發(fā)生消滅的頻率中等〔或>消滅的頻率中等〔或>1次/半年〕；或在某種狀況下可能會發(fā)生；對脆弱性進(jìn)展識別并賦值。識別6，從技術(shù)和治理兩個方面對脆弱性進(jìn)展識別并記錄。類型識別對象識別內(nèi)容物理環(huán)境類型識別對象識別內(nèi)容物理環(huán)境房區(qū)域防護(hù)、機(jī)房設(shè)備治理等方面進(jìn)展識別從網(wǎng)絡(luò)構(gòu)造設(shè)計、邊界保護(hù)、外部訪問掌握策略、網(wǎng)絡(luò)構(gòu)造識別技術(shù)脆系統(tǒng)軟件化、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)治理等方面進(jìn)弱行識別性數(shù)據(jù)庫軟件行識別應(yīng)用中間件識別。應(yīng)用系統(tǒng)性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)展識別性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)展識別管從物理和環(huán)境安全、通信與操作治理、訪問掌握、技術(shù)治理理系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)展識別脆弱組織治理全、符合性等方面進(jìn)展識別性賦值7對脆弱性進(jìn)展賦值并記錄。7脆弱性嚴(yán)峻程度賦值表等級標(biāo)識描述5很高假設(shè)被威逼利用，將對資產(chǎn)造成完全損害4高假設(shè)被威逼利用，將對資產(chǎn)造成重大損害3中假設(shè)被威逼利用，將對資產(chǎn)造成一般損害2低假設(shè)被威逼利用，將對資產(chǎn)造成較小損害1很低假設(shè)被威逼利用，將對資產(chǎn)造成的損害可以無視安全措施有效性評估應(yīng)連續(xù)保持，不適當(dāng)?shù)陌踩胧?yīng)核實(shí)是否被修正或替換。風(fēng)險值計算矩陣法，具體方法可參考附件。風(fēng)險結(jié)果判定8產(chǎn)應(yīng)被優(yōu)先安排資源進(jìn)展保護(hù)。等級標(biāo)識描述5一旦發(fā)生將產(chǎn)生格外嚴(yán)峻的經(jīng)濟(jì)或社會影響，如組織信譽(yù)嚴(yán)峻破壞、等級標(biāo)識描述5一旦發(fā)生將產(chǎn)生格外嚴(yán)峻的經(jīng)濟(jì)或社會影響，如組織信譽(yù)嚴(yán)峻破壞、很高嚴(yán)峻影響組織的正常經(jīng)營，經(jīng)濟(jì)損失重大、社會影響惡劣4高和組織信譽(yù)造成3中2低1很低很快能解決一旦發(fā)生造成的影響幾乎不存在，通過簡潔的措施就能彌補(bǔ)評估總結(jié)后提交。1相乘法計算風(fēng)險例如1、條件假設(shè)共有兩個重要資產(chǎn)，具體內(nèi)容見附表1。2、計算重要資產(chǎn)的風(fēng)險值A(chǔ)1T1可以利用的脆弱性V1Z1。其中計算公式使用：z=f(x，y)=x*y，x= T*V，y= A*Vz的計算值四舍五入取整得到最終結(jié)果。計算安全大事發(fā)生可能性T1=1V1=3。計算安全大事發(fā)生可能性，安全大事發(fā)生可能性= 1*3= 3計算安全大事的損失資產(chǎn)價值：資產(chǎn)A1=4；脆弱性嚴(yán)峻程度：脆弱性V1=3。計算安全大事的損失，安全大事?lián)p失= 4*3= 12計算風(fēng)險值安全大事發(fā)生可能性=3；安全大事?lián)p失=12。安全大事風(fēng)險值= 3* 12=63、結(jié)果判定構(gòu)建風(fēng)險等級劃分表，如附表2所示。2風(fēng)險等級劃分風(fēng)險值

1-5 6-10 11-15 16-20 21-25第12頁/共17頁風(fēng)險等級風(fēng)險等級12345A1T1可以V12。依據(jù)上述計算方法，得到其他重要資產(chǎn)的風(fēng)險值和風(fēng)險等級如附表3。資產(chǎn)威逼脆弱性風(fēng)險值風(fēng)險等級資產(chǎn)威逼脆弱性風(fēng)險值風(fēng)險等級T1V162V282A1T2A2V331T3V492T4V531T5V611313/共17頁2矩陣法計算風(fēng)險例如1、條件假設(shè)共有三個重要資產(chǎn)，具體內(nèi)容見附表4。2、計算重要資產(chǎn)的風(fēng)險值A(chǔ)1T1可以利V1為例，使用矩陣法計算風(fēng)險值。計算安全大事發(fā)生可能性構(gòu)建安全大事發(fā)生可能性矩陣，如附表5所示。5安全大事可能性矩陣脆弱性嚴(yán)12345重程度12471114236101317威逼發(fā)359121620生頻率471114182258121720256。14/共17頁1562。6安全大事可能性等級劃分安全大事發(fā)生可能性值發(fā)生可能性等級

1-5 6-11 12-16 17-21 22-251 2 3 4 5計算安全大事的損失7所示。脆弱性嚴(yán)資產(chǎn)價值7脆弱性嚴(yán)資產(chǎn)價值12345重程度124610132359121634711152045814192256101621255。81。8安全大事?lián)p失等級劃分安全大事?lián)p失值發(fā)生可能性等級

1-5 6-10 11-15 16-20 21-251 2 3 4 5計算風(fēng)險值9所示。9風(fēng)險矩陣可能性1234513691216258111518損失369131721471116202359142023256。3、結(jié)果判定構(gòu)建風(fēng)險等級劃分表，如附表10