信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法

代替GB/T20984—2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布 I 12規(guī)范性引用文件 1 13.1術(shù)語和定義 13.2縮略語 24風(fēng)險(xiǎn)評(píng)估框架及流程 24.1風(fēng)險(xiǎn)要素關(guān)系 24.2風(fēng)險(xiǎn)分析原理 34.3風(fēng)險(xiǎn)評(píng)估流程 35風(fēng)險(xiǎn)評(píng)估實(shí)施 45.1風(fēng)險(xiǎn)評(píng)估準(zhǔn)備 45.2風(fēng)險(xiǎn)識(shí)別 55.3風(fēng)險(xiǎn)分析 115.4風(fēng)險(xiǎn)評(píng)價(jià) 5.5溝通與協(xié)商 5.6風(fēng)險(xiǎn)評(píng)估文檔記錄 附錄A(資料性)評(píng)估對(duì)象生命周期各階段的風(fēng)險(xiǎn)評(píng)估 附錄B(資料性)風(fēng)險(xiǎn)評(píng)估的工作形式 附錄C(資料性)風(fēng)險(xiǎn)評(píng)估的工具 附錄D(資料性)資產(chǎn)識(shí)別 21附錄E(資料性)威脅識(shí)別 23附錄F(資料性)風(fēng)險(xiǎn)計(jì)算示例 26 d)更改了風(fēng)險(xiǎn)評(píng)估框架及流程中的風(fēng)險(xiǎn)要素關(guān)系、風(fēng)險(xiǎn)分析原理和評(píng)估實(shí)施流程(見第4章，2007年版的第4章);e)更改了風(fēng)險(xiǎn)評(píng)估實(shí)施過程中風(fēng)險(xiǎn)要素識(shí)別和關(guān)聯(lián)分析內(nèi)容(見5.2和5.3,2007年版的5.2、和資料性附錄B中(見附錄A和附錄B,2007年版的第6章和第7章),l信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法本文件描述了信息安全風(fēng)險(xiǎn)評(píng)估的基本概念、風(fēng)險(xiǎn)要素關(guān)系、風(fēng)險(xiǎn)分析原理、風(fēng)險(xiǎn)評(píng)估實(shí)施流程和評(píng)估方法，以及風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)和工作形式。本文件適用于各類組織開展信息安全風(fēng)險(xiǎn)評(píng)估工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改版)適用于GB/T25069信息安全技術(shù)術(shù)語GB/T33132—2016信息安全技術(shù)信息安全風(fēng)險(xiǎn)處理實(shí)施指南3.1術(shù)語和定義GB/T25069界定的以及下列術(shù)語和定義適用于本文件。特定威脅利用單個(gè)或一組資產(chǎn)脆弱性的可能性以及由此可能給組織帶來的損害。風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過程。具有自身的職責(zé)、權(quán)威和關(guān)系以實(shí)現(xiàn)其目標(biāo)的個(gè)人或集體。組織為實(shí)現(xiàn)某項(xiàng)發(fā)展規(guī)劃而開展的運(yùn)營(yíng)活動(dòng)。IT:信息技術(shù)(InformationTecPaaS;平臺(tái)即服務(wù)(PlatformUPS:不間斷電源(UninterruptedPVPN:虛擬專用網(wǎng)絡(luò)(VirtualPrivate2常風(fēng)險(xiǎn)安全措構(gòu) 3登險(xiǎn)分析別溝證與辦應(yīng)4茶物息宋茶物息宋通悟豆老照照統(tǒng)成產(chǎn)系戲羽件和單元資數(shù)密資酒其地查老人人資出黃統(tǒng)婦件系統(tǒng)單元其也資心人人資訂數(shù)據(jù)能程系統(tǒng)知件憲統(tǒng)單元其也資人力資江常息系統(tǒng)系統(tǒng)江世系統(tǒng)單元業(yè)務(wù)資產(chǎn)組鞏5識(shí)別內(nèi)發(fā)展規(guī)劃中的業(yè)務(wù)屬性和職能定位、與發(fā)展規(guī)劃目標(biāo)的契合度、業(yè)務(wù)布局中的位置和作用、競(jìng)爭(zhēng)關(guān)系中競(jìng)爭(zhēng)力強(qiáng)弱等非獨(dú)立業(yè)務(wù)；業(yè)務(wù)屬于業(yè)務(wù)環(huán)節(jié)的某一部分，可能關(guān)聯(lián)類別；并列關(guān)系(業(yè)務(wù)與業(yè)務(wù)問并列關(guān)系包括業(yè)務(wù)間相互依賴或單向依賴系統(tǒng)，業(yè)務(wù)屬于同一業(yè)務(wù)流程的不同業(yè)務(wù)環(huán)節(jié)等),父子關(guān)系(業(yè)務(wù)與業(yè)務(wù)之問接關(guān)系(通過其他業(yè)務(wù)，或者其他業(yè)務(wù)流程產(chǎn)生的關(guān)聯(lián)性等)關(guān)聯(lián)程度：如果被評(píng)估業(yè)務(wù)道受重大損害，將會(huì)造成關(guān)聯(lián)業(yè)務(wù)無法正常開展，此類關(guān)聯(lián)5業(yè)務(wù)在規(guī)劃中極其重要，在發(fā)展規(guī)劃中的業(yè)務(wù)屬性及職能定位層面具有重大影4高業(yè)務(wù)在規(guī)劃中較為重要，在發(fā)展規(guī)劃中的業(yè)務(wù)屬性及職能定位層面具有較大影3中等業(yè)務(wù)在規(guī)劃中具有一定重要性，在發(fā)展規(guī)劃中的業(yè)務(wù)屬性及職能定位層面具有劃的發(fā)展目標(biāo)層面中短期目標(biāo)或長(zhǎng)期目標(biāo)中2低業(yè)務(wù)在規(guī)劃中具有一定重要性，在發(fā)展規(guī)劃中的業(yè)務(wù)屬性及職能定位層面影響1業(yè)務(wù)在規(guī)劃中具有一定重要性，在發(fā)展規(guī)劃中的業(yè)務(wù)屬性及職能定位層面影響6信息系統(tǒng)：信息系統(tǒng)是指由計(jì)算機(jī)硬件、計(jì)算機(jī)軟件、網(wǎng)絡(luò)和通信設(shè)備等組成的，并按照一目標(biāo)和規(guī)則進(jìn)行信息處理或過程控制的系統(tǒng)。共型的信息系統(tǒng)如門戶網(wǎng)站、業(yè)務(wù)系統(tǒng)，云計(jì)算平臺(tái)、工業(yè)控制系統(tǒng)等數(shù)據(jù)資源，數(shù)據(jù)是指任何以電子或者非電子形式對(duì)信息的記錄。數(shù)據(jù)資源是指的數(shù)據(jù)集。在進(jìn)行數(shù)據(jù)資源風(fēng)險(xiǎn)評(píng)估時(shí)，應(yīng)將數(shù)據(jù)活動(dòng)及其關(guān)聯(lián)的數(shù)著平臺(tái)進(jìn)行整體評(píng)估。數(shù)據(jù)活動(dòng)包括數(shù)據(jù)采集，數(shù)據(jù)傳輸，數(shù)據(jù)存儲(chǔ)，數(shù)據(jù)處理、數(shù)據(jù)通信網(wǎng)絡(luò)：通信網(wǎng)絡(luò)是指以數(shù)據(jù)通信為目的，按照特定的規(guī)則和策略，將數(shù)據(jù)處理結(jié)承載類別：系統(tǒng)賢產(chǎn)承載業(yè)務(wù)信息采集，傳輸、存儲(chǔ)、處理、交換，銷毀過程中的關(guān)聯(lián)程度：業(yè)務(wù)關(guān)聯(lián)程度(如果資產(chǎn)道受報(bào)害，將會(huì)對(duì)承載業(yè)務(wù)環(huán)節(jié)運(yùn)行造成替代性)、資產(chǎn)關(guān)聯(lián)程度(如果資產(chǎn)殖受損害，將會(huì)對(duì)其他資產(chǎn)造成的影響，并綜合考慮可替代性)表4系統(tǒng)資產(chǎn)價(jià)值等級(jí)表5綜合評(píng)價(jià)等級(jí)為很高，安全屬性破壞后對(duì)組織4高綜合評(píng)價(jià)等級(jí)為高，安全屬性彼壞后對(duì)組織3中等綜合評(píng)價(jià)等級(jí)為中，安全屬性破壞后對(duì)組織2低1綜合評(píng)價(jià)等級(jí)為很低，安全屬性破壞后對(duì)組織造成很小的7計(jì)算機(jī)設(shè)備：大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)存儲(chǔ)設(shè)備；磁帶機(jī)、磁盤陣列、磁帶、光盤、軟盤網(wǎng)絡(luò)設(shè)備；路由器、網(wǎng)關(guān)，交換機(jī)等安全設(shè)備；防火墻，入侵檢測(cè)/防護(hù)系統(tǒng)，防系統(tǒng)軟什；操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件、支撐平臺(tái)；支撐系統(tǒng)運(yùn)行的基礎(chǔ)設(shè)施平臺(tái)，如云計(jì)算平臺(tái)服務(wù)接口；系統(tǒng)對(duì)外提供服務(wù)以及系統(tǒng)之間的信息共享邊界，如云計(jì)算PaaS層服務(wù)運(yùn)維人員：對(duì)基礎(chǔ)設(shè)施、平臺(tái)、支撐系統(tǒng)，信息系統(tǒng)或數(shù)據(jù)進(jìn)行運(yùn)維的網(wǎng)絡(luò)管理員業(yè)務(wù)操作人員：對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行操作的業(yè)務(wù)人外包服務(wù)人員：外包運(yùn)維人員、外包安全服務(wù)或保存在信息媒介上的各種數(shù)據(jù)資料：源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶保障設(shè)備：UPS、變電設(shè)備、空調(diào)、保險(xiǎn)柜、文件柜、門服務(wù)；為了支撐業(yè)務(wù)、信息系統(tǒng)運(yùn)行、信息系統(tǒng)安全5綜合評(píng)價(jià)等級(jí)為很高，安全屬性破壞后對(duì)業(yè)務(wù)和系統(tǒng)資產(chǎn)4高綜合評(píng)價(jià)等級(jí)為高，安全屬性破壞后對(duì)業(yè)務(wù)和系統(tǒng)資產(chǎn)3中等綜合評(píng)價(jià)等級(jí)為中，安全屬性酸壞后對(duì)業(yè)務(wù)和系統(tǒng)資產(chǎn)2低綜合評(píng)價(jià)等級(jí)為低，安全屬性破壞后對(duì)業(yè)務(wù)和系統(tǒng)1綜合評(píng)價(jià)等級(jí)為很低，安全屬性破壞后對(duì)業(yè)務(wù)和系統(tǒng)資產(chǎn)造成很小的8表7威脅賦值表54高3中等根據(jù)威協(xié)的行為能力、頻率和時(shí)機(jī)，綜合評(píng)價(jià)等級(jí)為中2低19應(yīng)用層等各個(gè)層面的安全問題或隱患。管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問安全配置等方面進(jìn)行識(shí)別系統(tǒng)配置、注冊(cè)表加固、同絡(luò)安全，系統(tǒng)管理等方面進(jìn)行識(shí)別從物理和環(huán)境安全、通信與操作管理、訪問控制、系籠開發(fā)從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符級(jí)代表脆弱性被利用難易程度高低。等級(jí)數(shù)值越大，脆弱性越容易被利用。5實(shí)施了控制措施后，脆刺性仍然很容易被利用4高實(shí)施了控制措施后，脆病性較容易被利用3中等2低實(shí)施了控制措施后，臉弱性難被利用1實(shí)施了控制措施后，脆羽性基本不可能被利用表10影響程度賦值表54高3中等2低1根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則對(duì)系統(tǒng)資產(chǎn)風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)處理。表11給出了一種系統(tǒng)資產(chǎn)風(fēng)險(xiǎn)等級(jí)54高3中等2低1表12業(yè)務(wù)風(fēng)險(xiǎn)等級(jí)劃分表5n)對(duì)國(guó)家安全，社會(huì)秩序和公共利益造成影響；b)對(duì)公民，法人和其他組織的合法權(quán)益造n)導(dǎo)致職能無法現(xiàn)行或業(yè)務(wù)無法開展；b)觸犯國(guó)家法律法規(guī)；4高社會(huì)影響；3中等a)導(dǎo)致職能屋行或業(yè)務(wù)開展受到影響；表12業(yè)務(wù)風(fēng)險(xiǎn)等級(jí)劃分表(續(xù))2低)導(dǎo)致職能履行或業(yè)務(wù)開展受到較小影響；1d)防止作廢文檔的非預(yù)期使用，若因任何目的需保留作廢文檔時(shí)，應(yīng)對(duì)這些文檔進(jìn)行適當(dāng)?shù)姆椒ǎ撼珊蟮陌踩δ苓M(jìn)行驗(yàn)證。根據(jù)設(shè)計(jì)階段分析的威脅和制定的安全措施，在實(shí)施及驗(yàn)收時(shí)進(jìn)行質(zhì)量控出.實(shí)施規(guī)范的要求。評(píng)估對(duì)象安全策略的設(shè)計(jì)與調(diào)整。(資料性)管理。(資料性)風(fēng)險(xiǎn)評(píng)估的工具C.1概述風(fēng)險(xiǎn)評(píng)估工具是風(fēng)險(xiǎn)評(píng)估的輔助手段，是保證風(fēng)險(xiǎn)評(píng)估結(jié)果可信度的一個(gè)重要因素。風(fēng)險(xiǎn)評(píng)估工具的使用不但在一定程度上解決了手動(dòng)評(píng)估的局限性，最主要的是它能夠?qū)＜抑R(shí)進(jìn)行集中，使專家的經(jīng)驗(yàn)知識(shí)被廣泛地應(yīng)用。根據(jù)在風(fēng)險(xiǎn)評(píng)估過程中的主要任務(wù)和作用原理的不同，風(fēng)險(xiǎn)評(píng)估的工具可以分成風(fēng)險(xiǎn)評(píng)估與管理工具、系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具、風(fēng)險(xiǎn)評(píng)估輔助工具三類。風(fēng)險(xiǎn)評(píng)估與管理工具是一套集成了風(fēng)險(xiǎn)評(píng)估各類知識(shí)和判據(jù)的管理信息系統(tǒng)，以規(guī)范風(fēng)險(xiǎn)評(píng)估的過程和操作方法；或者是用于收集評(píng)估所需要的數(shù)據(jù)和資料，基于專家經(jīng)驗(yàn)，對(duì)輸入輸出進(jìn)行模型分析。系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具主要用于對(duì)信息系統(tǒng)的主要部件(如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備等)的脆弱性進(jìn)行分析，或?qū)嵤┗诖嗳跣缘墓?。風(fēng)險(xiǎn)評(píng)估輔助工具則實(shí)現(xiàn)對(duì)數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢(shì)分析等單項(xiàng)功能，為風(fēng)險(xiǎn)評(píng)估各要素的賦值、定級(jí)提供依據(jù)。C.2風(fēng)險(xiǎn)評(píng)估與管理工具風(fēng)險(xiǎn)評(píng)估與管理工具大部分是基于某種標(biāo)準(zhǔn)方法或某組織自行開發(fā)的評(píng)估方法，可以有效地通過輸入數(shù)據(jù)來分析風(fēng)險(xiǎn)，給出對(duì)風(fēng)險(xiǎn)的評(píng)價(jià)并推薦控制風(fēng)險(xiǎn)的安全措施。風(fēng)險(xiǎn)評(píng)估與管理工具通常建立在一定的模型或算法之上，風(fēng)險(xiǎn)由業(yè)務(wù)重要性、資產(chǎn)重要性、所面臨的威脅以及威脅所利用的脆弱性來確定；也有的通過建立專家系統(tǒng)，利用專家經(jīng)驗(yàn)進(jìn)行分析，給出專家結(jié)論。這種評(píng)估工具需要不斷進(jìn)行知識(shí)庫的擴(kuò)充。工具在對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估后都會(huì)有針對(duì)性地提出風(fēng)險(xiǎn)控制措施。根據(jù)實(shí)現(xiàn)方法的不同，風(fēng)險(xiǎn)評(píng)估與管理工具可以分為三類。a)基于信息安全標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估與管理工具。目前，市面上存在多種不同的風(fēng)險(xiǎn)分析標(biāo)準(zhǔn)或指南，h)基于知識(shí)的風(fēng)險(xiǎn)評(píng)估與管理工具?；谥R(shí)的風(fēng)險(xiǎn)評(píng)估與管理工具并不僅僅遵循某個(gè)單一的為基礎(chǔ)完成綜合評(píng)估。它還涉及來自類似組織的最佳實(shí)踐，主要通過多種途徑采集相關(guān)信息，識(shí)別組織的風(fēng)險(xiǎn)和當(dāng)前的安全措施；與特定的標(biāo)準(zhǔn)或最佳實(shí)踐進(jìn)行比較，從中找出不符合的地方：按照標(biāo)準(zhǔn)或最佳實(shí)踐的推薦選擇安全措施以控制風(fēng)險(xiǎn)。c)基于模型的風(fēng)險(xiǎn)評(píng)估與管理工具?；跇?biāo)準(zhǔn)或基于知識(shí)的風(fēng)險(xiǎn)評(píng)估與管理工具，都使用了定性分析方法或定量分析方法，或者將定性與定量相結(jié)合。定性分析方法是日前廣泛采用的方性分析法操作相對(duì)容易，但也可能因?yàn)樵u(píng)估方經(jīng)驗(yàn)和直覺的偏差而使分析結(jié)果失準(zhǔn)。定量分析則對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失水平賦予數(shù)值或貨幣金額，通過對(duì)度量風(fēng)險(xiǎn)的所有要素進(jìn)行賦值，建立綜合評(píng)價(jià)的數(shù)學(xué)模型，從而完成風(fēng)險(xiǎn)的量化計(jì)算。定量分析方法準(zhǔn)確，但前期建立系統(tǒng)風(fēng)險(xiǎn)模型較困難。定性與定量結(jié)合分析方法就是將風(fēng)險(xiǎn)要素的賦值和計(jì)算，根據(jù)統(tǒng)中潛在的脆弱性。行帶來一定影響。的脆弱性的工具。全狀況。(資料性)D.1業(yè)務(wù)重要性賦值調(diào)整表業(yè)務(wù)重要性賦值調(diào)整見表D.1。表D.1業(yè)務(wù)重要性賦值調(diào)整表5業(yè)務(wù)重要性為4,緊密關(guān)聯(lián)業(yè)務(wù)的重要性為5,該業(yè)務(wù)4高業(yè)務(wù)重要性為3.緊密關(guān)聯(lián)業(yè)務(wù)的重要性為4以上(含),該業(yè)務(wù)3中等業(yè)務(wù)重要性為2,緊密關(guān)聯(lián)業(yè)務(wù)的重要性為3以上(含),談業(yè)務(wù)2低業(yè)務(wù)重要性為1,緊密關(guān)聯(lián)業(yè)務(wù)的重要性為2以上(含),該業(yè)務(wù)D.2資產(chǎn)保密性賦值方法根據(jù)資產(chǎn)在保密性上的不同要求，將其分為5個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在保密性上應(yīng)達(dá)成的不同程度或者保密性缺失時(shí)對(duì)資產(chǎn)造成的影響。表D.2提供了一種保密性賦值的參考。表D.2資產(chǎn)保密性賦值表54高3中等2低1D.3資產(chǎn)完整性賦值方法根據(jù)資產(chǎn)在完整性上的不同要求，將其分為5個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在完整性上應(yīng)達(dá)成的不同程度或者完整性缺失時(shí)對(duì)資產(chǎn)造成的影響。表D.3提供了一種完整性賦值的參考。5資產(chǎn)的完整性要求非常高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)資產(chǎn)造成重大的或無法接受的影響4高資產(chǎn)的完整性要求較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)資產(chǎn)造成較大影響3中等資產(chǎn)的完整性要求中等，未經(jīng)授權(quán)的修改或被壞會(huì)對(duì)資產(chǎn)造成影響2低資產(chǎn)的完整性要求較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)資產(chǎn)造成輕微影響資產(chǎn)的完整性要求非常低，未經(jīng)授權(quán)的修改或破D.4資產(chǎn)可用性賦值方法根據(jù)資產(chǎn)在可用性上的不同要求，將其分為5個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在可用性上應(yīng)達(dá)成的不同程度或者可用性缺失時(shí)對(duì)資產(chǎn)造成的影響。表D,4提供了一種可用性賦值的參考。表D.4資產(chǎn)可用性賦值表5資產(chǎn)的可用性要求非常高，合法使用者對(duì)資產(chǎn)的可用度達(dá)到年度中斷4高資產(chǎn)的可用性要求較高，合法使用者對(duì)資產(chǎn)的可用度達(dá)到每天90%以上，或系統(tǒng)允許中斷時(shí)間3中等資產(chǎn)的可用性要求中等，合法使用者對(duì)資產(chǎn)的可用度在正常工作2低資產(chǎn)的可用性要求較低，合法使用者對(duì)資產(chǎn)的可用度在正常工作1資產(chǎn)的可用性要求非常低，合法使用者對(duì)資產(chǎn)的可D.5系統(tǒng)資產(chǎn)業(yè)務(wù)承載性賦值方法根據(jù)系統(tǒng)資產(chǎn)對(duì)所承載業(yè)務(wù)的影響不同，將其分為5個(gè)不同的等級(jí)，分別對(duì)應(yīng)系統(tǒng)資產(chǎn)在業(yè)務(wù)承裁性上應(yīng)達(dá)成的不同程度或者資產(chǎn)安全屬性被破壞時(shí)對(duì)業(yè)務(wù)的影響程度。表D.5提供了一種系統(tǒng)資產(chǎn)業(yè)務(wù)承載性賦值的參考。表D.5系統(tǒng)資產(chǎn)業(yè)務(wù)承載性賦值表5資產(chǎn)對(duì)于某種業(yè)務(wù)的影響非常大，其安全屬性破壞后可4高資產(chǎn)對(duì)于某種業(yè)務(wù)的影響比較大，其安全屬性破壞后可3中等資產(chǎn)對(duì)于某種業(yè)務(wù)的影響一服，其安全屬性破壞后2低資產(chǎn)對(duì)于某種業(yè)務(wù)的影響較低，其安全屬性破壞]資產(chǎn)對(duì)干某種業(yè)務(wù)的影響較低，其安全屬性破壞后對(duì)業(yè)務(wù)造(資料性)E.1威脅來源分類威脅來源分類見表E.1。表E.1威脅來源列表所電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震、意外自然災(zāi)害非人為因素導(dǎo)致的軟件、硬件、數(shù)據(jù)、通信線路等方面的故章，或者依賴E.2威脅種類威脅種類見表E.2。表E.2威脅種類列表自然災(zāi)害自然界中所發(fā)生的異?，F(xiàn)象，且對(duì)業(yè)務(wù)開展或者系統(tǒng)運(yùn)行會(huì)造成危害的現(xiàn)象和事件對(duì)系統(tǒng)或資產(chǎn)中的信息產(chǎn)生破壞，富改、丟信息系統(tǒng)所依賴的軟硬件設(shè)備不可用業(yè)務(wù)或系統(tǒng)所依賴的供應(yīng)商，接口等不可用E.3威脅動(dòng)機(jī)分類威脅動(dòng)機(jī)分類見表E.3。表E.3威脅動(dòng)機(jī)分類表挑戰(zhàn)、叛亂、地位、金錢利益、信息悄毀，信息非法泄露、未授權(quán)的數(shù)據(jù)更改、勒好奇心、自負(fù)、無意的錯(cuò)誤和遺漏(例如，數(shù)據(jù)輸入錯(cuò)誤