風(fēng)險(xiǎn)評(píng)估管理制度第一章總則第一條為加強(qiáng)XXXX村鎮(zhèn)銀行風(fēng)險(xiǎn)管理，及時(shí)識(shí)別、系統(tǒng)分析經(jīng)營活動(dòng)中與實(shí)現(xiàn)內(nèi)部控制目標(biāo)相關(guān)的風(fēng)險(xiǎn)，合理確定風(fēng)險(xiǎn)承受度和風(fēng)險(xiǎn)應(yīng)對(duì)策略，根據(jù)有關(guān)法律法規(guī)和《企業(yè)內(nèi)部控制基本規(guī)范》等的有關(guān)規(guī)定，結(jié)合我行實(shí)際情況，制訂本制度。第二條本制度所稱風(fēng)險(xiǎn)是指我行經(jīng)營活動(dòng)中與我行實(shí)現(xiàn)內(nèi)部控制目標(biāo)相關(guān)的風(fēng)險(xiǎn)，包括信息風(fēng)險(xiǎn)、財(cái)務(wù)風(fēng)險(xiǎn)、市場風(fēng)險(xiǎn)、運(yùn)營風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)等。本制度所稱風(fēng)險(xiǎn)評(píng)估是指通過對(duì)基于事實(shí)的信息進(jìn)行分析，就如何處理特定風(fēng)險(xiǎn)以及如何選擇風(fēng)險(xiǎn)應(yīng)對(duì)策略進(jìn)行科學(xué)決策。第二章組織機(jī)構(gòu)及職責(zé)第三條各部門為我行風(fēng)險(xiǎn)評(píng)估管理工作的責(zé)任機(jī)構(gòu)，具體職責(zé)：(一）對(duì)我行經(jīng)營活動(dòng)中的風(fēng)險(xiǎn)進(jìn)行識(shí)別；(二)對(duì)識(shí)別的風(fēng)險(xiǎn)進(jìn)行評(píng)估，辨識(shí)評(píng)估出風(fēng)險(xiǎn)等級(jí)并將中、高風(fēng)險(xiǎn)以書面形式上報(bào)我行管理層，上報(bào)內(nèi)容應(yīng)包括：風(fēng)險(xiǎn)發(fā)生地、發(fā)生原因、可能造成的損失和影響、擬采取的應(yīng)對(duì)措施等。(三)執(zhí)行審批后的風(fēng)險(xiǎn)應(yīng)對(duì)預(yù)案，并及時(shí)反饋風(fēng)險(xiǎn)的應(yīng)對(duì)、解決結(jié)果；(四)對(duì)識(shí)別的風(fēng)險(xiǎn)進(jìn)行監(jiān)控，發(fā)生變化時(shí)重新評(píng)估，并根據(jù)新辨識(shí)評(píng)估的風(fēng)險(xiǎn)等級(jí)進(jìn)行相應(yīng)的處理；(五)年中、年度對(duì)風(fēng)險(xiǎn)評(píng)估管理工作進(jìn)行總結(jié)。第四條我行企劃部門為我行風(fēng)險(xiǎn)評(píng)估管理工作的組織機(jī)構(gòu)，具體職責(zé)：（一）負(fù)責(zé)制定我行的風(fēng)險(xiǎn)評(píng)估方案；（二）負(fù)責(zé)組建風(fēng)險(xiǎn)評(píng)估工作小組；（三）負(fù)責(zé)審核風(fēng)險(xiǎn)清單、應(yīng)對(duì)預(yù)案；（四）擬定我行風(fēng)險(xiǎn)評(píng)估報(bào)告，上報(bào)我行管理層。（五）負(fù)責(zé)建立經(jīng)營環(huán)境監(jiān)控體系，切實(shí)監(jiān)控并記錄內(nèi)、外部經(jīng)營環(huán)境和條件的變化，以修正風(fēng)險(xiǎn)識(shí)別與評(píng)估。（六）負(fù)責(zé)建立風(fēng)險(xiǎn)預(yù)警指標(biāo)體系，要求各具體部門定期提供數(shù)據(jù)，進(jìn)行指標(biāo)分析；對(duì)于超過風(fēng)險(xiǎn)預(yù)警值的指標(biāo)，應(yīng)確定相應(yīng)的整改措施。第五條財(cái)務(wù)部門的風(fēng)險(xiǎn)評(píng)估（一）負(fù)責(zé)建立流程識(shí)別和應(yīng)對(duì)會(huì)計(jì)法規(guī)、準(zhǔn)則、制度的變化，評(píng)估對(duì)會(huì)計(jì)信息的影響。（二）負(fù)責(zé)建立溝通渠道和流程參與我行業(yè)務(wù)操作流程的變化，評(píng)估對(duì)會(huì)計(jì)核算的影響。第六條我行管理層主要職責(zé)為：（一）審定我行各部門風(fēng)險(xiǎn)管理工作職責(zé)；（二）批準(zhǔn)風(fēng)險(xiǎn)應(yīng)對(duì)預(yù)案；（三）研究、確定我行重大風(fēng)險(xiǎn)事項(xiàng)及應(yīng)對(duì)預(yù)案；（四）審定內(nèi)部審計(jì)部門提交的我行風(fēng)險(xiǎn)管理方面的報(bào)告，并報(bào)董事會(huì)審議。第七條董事會(huì)負(fù)責(zé)審議我行管理層提交的我行風(fēng)險(xiǎn)評(píng)估報(bào)告報(bào)告，批準(zhǔn)風(fēng)險(xiǎn)管理其他重大事項(xiàng)。第三章風(fēng)險(xiǎn)評(píng)估的頻率第八條風(fēng)險(xiǎn)評(píng)估每年至少進(jìn)行一次，并根據(jù)實(shí)際需要增加評(píng)估的頻率。第九條當(dāng)出現(xiàn)下述情況時(shí)，應(yīng)考慮重新進(jìn)行風(fēng)險(xiǎn)評(píng)估：（一）企業(yè)經(jīng)營模式發(fā)生重大變動(dòng)；（二）企業(yè)所使用的信息技術(shù)發(fā)生重大變動(dòng)；（三）關(guān)鍵人員變動(dòng)；（四）企業(yè)所適用的會(huì)計(jì)準(zhǔn)則發(fā)生重大變動(dòng)；（五）購并的發(fā)生、金融工具的使用等等涉及到復(fù)雜的會(huì)計(jì)處理要求的事項(xiàng)發(fā)生；（六）其他。第四章控制目標(biāo)的設(shè)定和傳達(dá)第十條企業(yè)董事會(huì)應(yīng)當(dāng)按照戰(zhàn)略目標(biāo)，設(shè)定相關(guān)的經(jīng)營目標(biāo)、財(cái)務(wù)報(bào)告目標(biāo)、合規(guī)性目標(biāo)與資產(chǎn)安全完整目標(biāo)，并根據(jù)設(shè)定的目標(biāo)合理確定企業(yè)整體風(fēng)險(xiǎn)承受能力和具體業(yè)務(wù)層次上的可接受的風(fēng)險(xiǎn)水平。

第十一條我行董事會(huì)應(yīng)定期更新和修正我行的戰(zhàn)略目標(biāo)、經(jīng)營目標(biāo)、風(fēng)險(xiǎn)管理目標(biāo)；第十二條我行管理層應(yīng)向各部門清晰傳達(dá)了我行的戰(zhàn)略目標(biāo)、經(jīng)營目標(biāo)和風(fēng)險(xiǎn)管理目標(biāo)（如通過工作準(zhǔn)備會(huì)等），并進(jìn)行目標(biāo)分解。第十三條我行企劃部負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估方案的制訂，風(fēng)險(xiǎn)評(píng)估方案須經(jīng)我行總經(jīng)理辦公會(huì)審批后執(zhí)行，風(fēng)險(xiǎn)評(píng)估工作由企劃部組建風(fēng)險(xiǎn)評(píng)估小組負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估的具體工作。第五章風(fēng)險(xiǎn)識(shí)別第十四條我行各部門應(yīng)當(dāng)根據(jù)風(fēng)險(xiǎn)評(píng)估方案的要求，全面系統(tǒng)持續(xù)地收集相關(guān)信息，結(jié)合實(shí)際情況，及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估，準(zhǔn)確識(shí)別與實(shí)現(xiàn)控制目標(biāo)相關(guān)的內(nèi)部風(fēng)險(xiǎn)和外部風(fēng)險(xiǎn)。第十五條我行各部門在進(jìn)行風(fēng)險(xiǎn)識(shí)別時(shí)，可以采取座談?dòng)懻?、問卷調(diào)查、案例分析、咨詢專業(yè)機(jī)構(gòu)意見等方法識(shí)別相關(guān)的風(fēng)險(xiǎn)因素，特別應(yīng)注意總結(jié)、吸取企業(yè)過去的經(jīng)驗(yàn)教訓(xùn)和同行業(yè)的經(jīng)驗(yàn)教訓(xùn)，加強(qiáng)對(duì)高危性、多發(fā)性風(fēng)險(xiǎn)因素的關(guān)注。

第十六條各部門及子我行應(yīng)廣泛、持續(xù)不斷地收集與本我行風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理相關(guān)的內(nèi)外部信息，包括歷史數(shù)據(jù)和未來預(yù)測。第十七條我行識(shí)別內(nèi)部風(fēng)險(xiǎn)，應(yīng)當(dāng)關(guān)注下列因素：1.董事、監(jiān)事、經(jīng)理及其他高級(jí)管理人員的職業(yè)操守、員工專業(yè)勝任能力等人力資源因素。2.組織機(jī)構(gòu)、經(jīng)營方式、資產(chǎn)管理、業(yè)務(wù)流程等管理因素。3.研究開發(fā)、技術(shù)投入、信息技術(shù)運(yùn)用等自主創(chuàng)新因素。4.財(cái)務(wù)狀況、經(jīng)營成果、現(xiàn)金流量等財(cái)務(wù)因素。5.營運(yùn)安全、員工健康、環(huán)境保護(hù)等安全環(huán)保因素。6.其他有關(guān)內(nèi)部風(fēng)險(xiǎn)因素。第十八條我行識(shí)別外部風(fēng)險(xiǎn)，應(yīng)當(dāng)關(guān)注下列因素：1.經(jīng)濟(jì)形勢、產(chǎn)業(yè)政策、融資環(huán)境、市場競爭、資源供給等經(jīng)濟(jì)因素。2.法律法規(guī)、監(jiān)管要求等法律因素。3.安全穩(wěn)定、文化傳統(tǒng)、社會(huì)信用、教育水平、消費(fèi)者行為等社會(huì)因素。4.技術(shù)進(jìn)步、工藝改進(jìn)等科學(xué)技術(shù)因素。5.自然災(zāi)害、環(huán)境狀況等自然環(huán)境因素。6.其他有關(guān)外部風(fēng)險(xiǎn)因素。第六章風(fēng)險(xiǎn)分析第十九條我行各部門應(yīng)當(dāng)針對(duì)已識(shí)別的風(fēng)險(xiǎn)因素，從風(fēng)險(xiǎn)發(fā)生的可能性和影響程度兩個(gè)方面進(jìn)行分析。企業(yè)應(yīng)當(dāng)根據(jù)實(shí)際情況，針對(duì)不同的風(fēng)險(xiǎn)類別確定科學(xué)合理的定性、定量分析標(biāo)準(zhǔn)。具體如下：表一：風(fēng)險(xiǎn)發(fā)生的可能性程度描述說明I大致確定事件可能在多數(shù)情況下發(fā)生II可能事件有時(shí)可能發(fā)生III可能性不高事件只在少數(shù)情況下可能發(fā)生IV罕見事件僅在很少的情況下發(fā)生V極不可能事件極少的情況下發(fā)生表二：風(fēng)險(xiǎn)的后果或影響程度描述說明1微不足道沒有經(jīng)濟(jì)損失2輕微輕微經(jīng)濟(jì)損失3中度可以得到控制，經(jīng)濟(jì)損失不大4高度經(jīng)濟(jì)損失較大5災(zāi)難性經(jīng)濟(jì)損失巨大第二十條企業(yè)應(yīng)當(dāng)根據(jù)風(fēng)險(xiǎn)分析的結(jié)果，依據(jù)風(fēng)險(xiǎn)的重要性水平，運(yùn)用專業(yè)判斷，按照風(fēng)險(xiǎn)發(fā)生的可能性大小及其對(duì)企業(yè)影響的嚴(yán)重程度進(jìn)行風(fēng)險(xiǎn)排序，確定應(yīng)當(dāng)重點(diǎn)關(guān)注的重要風(fēng)險(xiǎn)。風(fēng)險(xiǎn)程度定性分析表

可能性后果微不足道1輕微2中度3高度4災(zāi)難性5大致確定ICCDEE可能IIBCCDE可能性不高IIIABCDE罕見IVAABCD極不可能VAABCC注：E=極高；要立刻停止有關(guān)工作，直到風(fēng)險(xiǎn)減低。在風(fēng)險(xiǎn)減低前有關(guān)工作須完全禁止進(jìn)行。D=高風(fēng)險(xiǎn)；要停止有關(guān)工作，直到風(fēng)險(xiǎn)減低。如有關(guān)工作現(xiàn)正在進(jìn)行中，須提供有效監(jiān)控及緊急應(yīng)變程序。C=中等風(fēng)險(xiǎn)；須規(guī)定有關(guān)管理職責(zé)及指引把危害控制，或在可行下進(jìn)一步減低風(fēng)險(xiǎn)，如有關(guān)風(fēng)險(xiǎn)可能產(chǎn)生嚴(yán)重的危害，應(yīng)作進(jìn)一步危害評(píng)估及加強(qiáng)控制。B=可接受的風(fēng)險(xiǎn)；按正常運(yùn)作程序管理，在不影響成本下可作進(jìn)一步改善。A=微不足道的風(fēng)險(xiǎn)；無須作任何行動(dòng)，按慣常運(yùn)作。第七章風(fēng)險(xiǎn)匯總及應(yīng)對(duì)預(yù)案第二十一條企業(yè)各部門應(yīng)當(dāng)根據(jù)風(fēng)險(xiǎn)分析情況，結(jié)合風(fēng)險(xiǎn)成因、企業(yè)整體風(fēng)險(xiǎn)承受能力和具體業(yè)務(wù)層次上的可接受風(fēng)險(xiǎn)水平，確定風(fēng)險(xiǎn)應(yīng)對(duì)策略。風(fēng)險(xiǎn)應(yīng)對(duì)策略主要包括風(fēng)險(xiǎn)回避、風(fēng)險(xiǎn)承擔(dān)、風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)分擔(dān)經(jīng)營。第二十二條我行各部門應(yīng)根據(jù)風(fēng)險(xiǎn)分析的結(jié)果編制風(fēng)險(xiǎn)清單，并制訂相應(yīng)的應(yīng)對(duì)預(yù)案，風(fēng)險(xiǎn)清單、應(yīng)對(duì)預(yù)案須報(bào)我行風(fēng)險(xiǎn)評(píng)估工作小組審核后，報(bào)總經(jīng)理辦公會(huì)審批。第八章風(fēng)險(xiǎn)評(píng)估報(bào)告及執(zhí)行第二十三條我行風(fēng)險(xiǎn)評(píng)估工作小組負(fù)責(zé)編制風(fēng)險(xiǎn)評(píng)估報(bào)告，風(fēng)險(xiǎn)評(píng)估報(bào)告經(jīng)我行總經(jīng)理辦公會(huì)審核后，報(bào)我行董事會(huì)審議。第二十四條風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)包括以下內(nèi)容：1、風(fēng)險(xiǎn)評(píng)估的范圍；2、風(fēng)險(xiǎn)評(píng)估的方法；3、風(fēng)險(xiǎn)清單；4、風(fēng)險(xiǎn)應(yīng)對(duì)預(yù)案；第二十五條各部門應(yīng)根據(jù)董事會(huì)批準(zhǔn)的風(fēng)險(xiǎn)評(píng)估報(bào)告進(jìn)行實(shí)施，對(duì)風(fēng)險(xiǎn)應(yīng)對(duì)預(yù)案的執(zhí)行情況進(jìn)行實(shí)時(shí)監(jiān)控，并及時(shí)反饋風(fēng)險(xiǎn)應(yīng)對(duì)、解決的執(zhí)行情況。第二十六條內(nèi)部審計(jì)部門（或協(xié)同風(fēng)險(xiǎn)管理部門或小組）負(fù)責(zé)定期或不定期檢查具體部門風(fēng)險(xiǎn)控制措施的實(shí)施、整改情況，形成檢查記錄。第九章附則第二十七條本制度未盡事宜，按國家有關(guān)法律、法規(guī)和我行章程的規(guī)定執(zhí)行；如與國家日后頒布的法律、法規(guī)或經(jīng)合法程序修改后的我行章程相抵觸時(shí)，按國家有關(guān)法律、法規(guī)和我行章程的規(guī)定執(zhí)行，并及時(shí)修訂本制度，報(bào)董事會(huì)審議通過。第二十八條本制度由我行董事會(huì)負(fù)責(zé)解釋。第二十九條本制度自我行董事會(huì)審議通過之日起實(shí)施。XXXX村鎮(zhèn)銀行二〇XX年十月十六日風(fēng)險(xiǎn)評(píng)估管理程序歷史修訂記錄序號(hào)更改單號(hào)更改說明修訂人生效日期現(xiàn)行版次目錄70611概述 5100092術(shù)語與定義 5118252.1風(fēng)險(xiǎn)管理 5159202.1.1風(fēng)險(xiǎn)評(píng)估 5306672.2其他 6168633風(fēng)險(xiǎn)評(píng)估框架及流程 791923.1風(fēng)險(xiǎn)要素關(guān)系 736373.2風(fēng)險(xiǎn)分析原理 9272673.3實(shí)施流程 9242294風(fēng)險(xiǎn)評(píng)估準(zhǔn)備過程 1059034.1確定范圍 10244704.2確定目標(biāo) 11246104.3確定組織結(jié)構(gòu) 114594.4確定風(fēng)險(xiǎn)評(píng)估方法 11240214.5獲得最高管理者批準(zhǔn) 11178785風(fēng)險(xiǎn)評(píng)估實(shí)施過程 1171435.1資產(chǎn)賦值 13102735.1.1資產(chǎn)分類 14281895.1.2資產(chǎn)價(jià)值屬性 17231335.1.3資產(chǎn)價(jià)值屬性賦值標(biāo)準(zhǔn) 1983085.2威脅評(píng)估 2375125.2.1威脅分類 23107885.2.2威脅賦值 26262445.3脆弱性評(píng)估 273945.4確定現(xiàn)有控制 3058155.5風(fēng)險(xiǎn)評(píng)估 30246765.5.1風(fēng)險(xiǎn)值計(jì)算 30296775.5.2風(fēng)險(xiǎn)等級(jí)劃分 317885.5.3風(fēng)險(xiǎn)評(píng)估結(jié)果紀(jì)錄 31261276風(fēng)險(xiǎn)管理過程 326976.1安全控制的識(shí)別與選擇 33141016.2降低風(fēng)險(xiǎn) 34105996.3接受風(fēng)險(xiǎn) 35227696.4風(fēng)險(xiǎn)管理要求 35227237相關(guān)文件 36

概述目前信息安全管理的發(fā)展趨勢是將風(fēng)險(xiǎn)管理與信息安全管理緊密結(jié)合在一起，將風(fēng)險(xiǎn)概念作為信息安全管理實(shí)踐的對(duì)象和出發(fā)點(diǎn)，信息安全管理的控制點(diǎn)以風(fēng)險(xiǎn)出現(xiàn)的可能性作為對(duì)象而展開的。ISO27001標(biāo)準(zhǔn)對(duì)信息安全管理體系(ISMS)的要求即通過對(duì)信息資產(chǎn)的風(fēng)險(xiǎn)管理,確定重要信息資產(chǎn)清單以及風(fēng)險(xiǎn)等級(jí),從而采取相應(yīng)的控制措施來實(shí)現(xiàn)信息資產(chǎn)的安全。信息安全管理是風(fēng)險(xiǎn)管理的過程，風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的基礎(chǔ)。風(fēng)險(xiǎn)管理是指導(dǎo)和控制組織風(fēng)險(xiǎn)的過程。風(fēng)險(xiǎn)管理遵循管理的一般循環(huán)模式—計(jì)劃(Plan)、執(zhí)行(Do)、檢查(Check)、行動(dòng)(Action)的持續(xù)改進(jìn)模式。ISO27001標(biāo)準(zhǔn)要求企業(yè)設(shè)計(jì)、實(shí)施、維護(hù)信息安全管理體系都要依據(jù)PDCA循環(huán)模式。術(shù)語與定義風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理是以可接受成本識(shí)別、評(píng)估、控制、降低可能影響信息系統(tǒng)風(fēng)險(xiǎn)的過程，通過風(fēng)險(xiǎn)評(píng)估識(shí)別風(fēng)險(xiǎn)，通過制定信息安全方針，采取適當(dāng)?shù)目刂颇繕?biāo)與控制方式對(duì)風(fēng)險(xiǎn)進(jìn)行控制，使風(fēng)險(xiǎn)被避免、轉(zhuǎn)移或降低到一個(gè)可以被接受的水平，同時(shí)考慮控制費(fèi)用與風(fēng)險(xiǎn)之間的平衡。風(fēng)險(xiǎn)管理的核心是信息的保護(hù)。信息對(duì)于組織是一種具有重要價(jià)值的資產(chǎn)。建立信息安全管理體系(ISMS)的目的是在最大范圍內(nèi)保護(hù)信息資產(chǎn)，確保信息的機(jī)密性、完整性和可用性，將風(fēng)險(xiǎn)管理自始至終的貫穿于整個(gè)信息安全管理體系中，這種體系并不能完全消除信息安全的風(fēng)險(xiǎn)，只是盡量減少風(fēng)險(xiǎn)，盡量將攻擊造成的損失降低到最低限度。風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估指風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過程，其中風(fēng)險(xiǎn)分析是指系統(tǒng)化地識(shí)別風(fēng)險(xiǎn)來源和風(fēng)險(xiǎn)類型，風(fēng)險(xiǎn)評(píng)價(jià)是指按組織制定的風(fēng)險(xiǎn)標(biāo)準(zhǔn)估算風(fēng)險(xiǎn)水平，確定風(fēng)險(xiǎn)嚴(yán)重性。風(fēng)險(xiǎn)評(píng)估的出發(fā)點(diǎn)是對(duì)與風(fēng)險(xiǎn)有關(guān)的各因素的確認(rèn)和分析，與信息安全風(fēng)險(xiǎn)有關(guān)的因素可以包括四大類：資產(chǎn)、威脅、脆弱性、安全控制措施。風(fēng)險(xiǎn)評(píng)估是對(duì)信息和信息處理設(shè)施的威脅、脆弱性和風(fēng)險(xiǎn)的評(píng)估，它包含以下元素：風(fēng)險(xiǎn)是被特定威脅利用的資產(chǎn)的一種或一組脆弱性，導(dǎo)致資產(chǎn)丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。資產(chǎn)是對(duì)組織具有價(jià)值的信息資源，是安全控制措施保護(hù)的對(duì)象。威脅是可能對(duì)資產(chǎn)或組織造成損害的事故的潛在原因。脆弱性是資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點(diǎn)。安全控制措施是降低風(fēng)險(xiǎn)的措施、程序或機(jī)制。其他資產(chǎn)Asset：對(duì)組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象。資產(chǎn)價(jià)值A(chǔ)ssetValue：資產(chǎn)的重要程度或敏感程度的表征。資產(chǎn)價(jià)值是資產(chǎn)的屬性，也是進(jìn)行資產(chǎn)識(shí)別的主要內(nèi)容。機(jī)密性confidentiality：數(shù)據(jù)所具有的特性，即表示數(shù)據(jù)所達(dá)到的未提供或未泄露給未授權(quán)的個(gè)人、過程或其他實(shí)體的程度。完整性integrity：保證信息及信息系統(tǒng)不會(huì)被非授權(quán)更改或破壞的特性。包括數(shù)據(jù)完整性和系統(tǒng)完整性?？捎眯詀vailability：數(shù)據(jù)或資源的特性，被授權(quán)實(shí)體按要求能訪問和使用數(shù)據(jù)或資源。數(shù)據(jù)完整性dataintegrity：數(shù)據(jù)所具有的特性，即無論數(shù)據(jù)形式作何變化，數(shù)據(jù)的準(zhǔn)確性和一致性均保持不變。系統(tǒng)完整性systemintegrity：在防止非授權(quán)用戶修改或使用資源和防止授權(quán)用戶不正確地修改或使用資源的情況下，信息系統(tǒng)能履行其操作目的的品質(zhì)。信息安全風(fēng)險(xiǎn)informationsecurityrisk：人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。信息安全風(fēng)險(xiǎn)評(píng)估informationsecurityriskassessment：依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過程。它要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對(duì)組織造成的影響。信息系統(tǒng)informationsystem：由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。典型的信息系統(tǒng)由三部分組成：硬件系統(tǒng)（計(jì)算機(jī)硬件系統(tǒng)和網(wǎng)絡(luò)硬件系統(tǒng)）；系統(tǒng)軟件（計(jì)算機(jī)系統(tǒng)軟件和網(wǎng)絡(luò)系統(tǒng)軟件）；應(yīng)用軟件（包括由其處理、存儲(chǔ)的信息）。檢查評(píng)估inspectionassessment：由被評(píng)估組織的上級(jí)主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的，依據(jù)國家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及其管理進(jìn)行的具有強(qiáng)制性的檢查活動(dòng)。組織organization：由作用不同的個(gè)體為實(shí)施共同的業(yè)務(wù)目標(biāo)而建立的結(jié)構(gòu)。組織的特性在于為完成目標(biāo)而分工、合作；一個(gè)單位是一個(gè)組織，某個(gè)業(yè)務(wù)部門也可以是一個(gè)組織。殘余風(fēng)險(xiǎn)residualrisk：采取了安全措施后，仍然可能存在的風(fēng)險(xiǎn)。自評(píng)估self-assessment：由組織自身發(fā)起，參照國家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及其管理進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)。安全事件securityevent：指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別狀態(tài)的發(fā)生，它可能是對(duì)信息安全策略的違反或防護(hù)措施的失效，或未預(yù)知的不安全狀況。安全措施securitymeasure：保護(hù)資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制的總稱。安全需求securityrequirement：為保證組織業(yè)務(wù)戰(zhàn)略的正常運(yùn)作而在安全措施方面提出的要求。威脅threat：可能導(dǎo)致對(duì)系統(tǒng)或組織危害的不希望事故潛在原因。脆弱性vulnerability：可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的弱點(diǎn)。風(fēng)險(xiǎn)評(píng)估框架及流程本章提出了風(fēng)險(xiǎn)評(píng)估的要素關(guān)系、分析原理及實(shí)施流程。風(fēng)險(xiǎn)要素關(guān)系資產(chǎn)所有者應(yīng)對(duì)信息資產(chǎn)進(jìn)行保護(hù)，通過分析信息資產(chǎn)的脆弱性來確定威脅可能利用哪些弱點(diǎn)來破壞其安全性。風(fēng)險(xiǎn)評(píng)估要識(shí)別資產(chǎn)相關(guān)要素的關(guān)系，從而判斷資產(chǎn)面臨的風(fēng)險(xiǎn)大小。風(fēng)險(xiǎn)評(píng)估中各要素的關(guān)系如圖3-1所示：圖3-1風(fēng)險(xiǎn)要素關(guān)系圖圖3-1中方框部分的內(nèi)容為風(fēng)險(xiǎn)評(píng)估的基本要素，橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性。風(fēng)險(xiǎn)評(píng)估圍繞著這些基本要素展開，在對(duì)這些要素的評(píng)估過程中，需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等與這些基本要素相關(guān)的各類屬性。圖3-1中的風(fēng)險(xiǎn)要素及屬性之間存在著以下關(guān)系：業(yè)務(wù)戰(zhàn)略的實(shí)現(xiàn)對(duì)資產(chǎn)具有依賴性，依賴程度越高，要求其風(fēng)險(xiǎn)越小；資產(chǎn)是有價(jià)值的，組織的業(yè)務(wù)戰(zhàn)略對(duì)資產(chǎn)的依賴程度越高，資產(chǎn)價(jià)值就越大；資產(chǎn)價(jià)值越大，原則上則其面臨的風(fēng)險(xiǎn)越大；風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大，并可能導(dǎo)致安全事件；弱點(diǎn)越多，威脅利用脆弱性導(dǎo)致安全事件的可能性越大；脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產(chǎn)，從而形成風(fēng)險(xiǎn)；風(fēng)險(xiǎn)的存在及對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)導(dǎo)出安全需求；安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價(jià)值考慮實(shí)施成本；安全措施可抵御威脅，降低安全事件發(fā)生的可能性，并減少影響；風(fēng)險(xiǎn)不可能也沒有必要降為零，在實(shí)施了安全措施后還可能有殘余風(fēng)險(xiǎn)。有些殘余風(fēng)險(xiǎn)的原因可能是安全措施不當(dāng)或無效,需要繼續(xù)控制；而有些殘余風(fēng)險(xiǎn)則是在綜合考慮了安全成本與效益后未去控制的風(fēng)險(xiǎn)，是可以接受的；殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它可能會(huì)在將來誘發(fā)新的安全事件。風(fēng)險(xiǎn)分析原理風(fēng)險(xiǎn)分析原理如圖3-2所示：圖3-2風(fēng)險(xiǎn)分析原理圖風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性等基本要素。每個(gè)要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。風(fēng)險(xiǎn)分析的主要內(nèi)容為：對(duì)資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)的價(jià)值進(jìn)行賦值；對(duì)威脅進(jìn)行識(shí)別，描述威脅的屬性，并對(duì)威脅出現(xiàn)的頻率賦值；對(duì)資產(chǎn)的脆弱性進(jìn)行識(shí)別，并對(duì)具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；根據(jù)威脅及威脅利用弱點(diǎn)的難易程度判斷安全事件發(fā)生的可能性；根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用資產(chǎn)的價(jià)值計(jì)算安全事件的損失；根據(jù)安全事件發(fā)生的可能性以及安全事件的損失，計(jì)算安全事件一旦發(fā)生對(duì)組織的影響，即風(fēng)險(xiǎn)值。實(shí)施流程圖3-3給出風(fēng)險(xiǎn)評(píng)估的實(shí)施流程，第4章將圍繞風(fēng)險(xiǎn)評(píng)估流程闡述風(fēng)險(xiǎn)評(píng)估各具體實(shí)施步驟。圖3-3風(fēng)險(xiǎn)評(píng)估實(shí)施流程圖風(fēng)險(xiǎn)評(píng)估準(zhǔn)備過程風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備過程是運(yùn)維中心進(jìn)行風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)，是整個(gè)風(fēng)險(xiǎn)評(píng)估過程有效性的保證。運(yùn)維中心對(duì)信息及信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估是一種戰(zhàn)略性的考慮，其結(jié)果將受到運(yùn)維中心業(yè)務(wù)需求及戰(zhàn)略目標(biāo)、文化、業(yè)務(wù)流程、安全要求、規(guī)模和結(jié)構(gòu)的影響。因此在風(fēng)險(xiǎn)評(píng)估實(shí)施前，應(yīng)：確定風(fēng)險(xiǎn)評(píng)估的范圍；確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)；建立適當(dāng)?shù)慕M織結(jié)構(gòu)；建立系統(tǒng)化的風(fēng)險(xiǎn)評(píng)估方法；獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估策劃的批準(zhǔn)。確定范圍進(jìn)行風(fēng)險(xiǎn)評(píng)估是基于運(yùn)維中心自身商業(yè)要求及戰(zhàn)略目標(biāo)的要求，國家法律法規(guī)和行業(yè)監(jiān)管要求，根據(jù)上述要求確定風(fēng)險(xiǎn)評(píng)估范圍，每次評(píng)估范圍可以是全公司的信息和信息系統(tǒng)，可以是單獨(dú)的信息系統(tǒng)，可以是關(guān)鍵業(yè)務(wù)流程。此項(xiàng)工作需要在資產(chǎn)識(shí)別和分類工作基礎(chǔ)上進(jìn)行。確定目標(biāo)運(yùn)維中心的信息、信息系統(tǒng)、應(yīng)用軟件和網(wǎng)絡(luò)是運(yùn)維中心重要的資產(chǎn)，信息資產(chǎn)的機(jī)密性，完整性和可用性對(duì)于維持競爭優(yōu)勢，提高安全管理水平，符合法律法規(guī)要求和運(yùn)維中心的形象是必要的。運(yùn)維中心要面對(duì)來自四面八方日益增長的安全威脅，信息、信息系統(tǒng)、應(yīng)用軟件和網(wǎng)絡(luò)可能是嚴(yán)重威脅的目標(biāo)，同時(shí)由于運(yùn)維中心信息化程度不斷提高，對(duì)信息系統(tǒng)和技術(shù)的依賴日益增加，則可能出現(xiàn)更多的脆弱性。運(yùn)維中心風(fēng)險(xiǎn)評(píng)估的目標(biāo)來源于業(yè)務(wù)持續(xù)發(fā)展的需要、滿足國家法律法規(guī)和行業(yè)監(jiān)管的要求等方面。確定組織結(jié)構(gòu)在風(fēng)險(xiǎn)評(píng)估過程中，應(yīng)建立適合的組織結(jié)構(gòu)，以推進(jìn)評(píng)估過程，成立由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等組成的風(fēng)險(xiǎn)評(píng)估小組，以保證能夠滿足風(fēng)險(xiǎn)評(píng)估的范圍、目標(biāo)。確定風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估方法應(yīng)考慮評(píng)估的范圍、目的、時(shí)間、效果、組織文化、人員素質(zhì)以及具體開展的程度等因素來確定，使之能夠與運(yùn)維中心的環(huán)境和安全要求相適應(yīng)。獲得最高管理者批準(zhǔn)上述所有內(nèi)容應(yīng)得到運(yùn)維中心管理層批準(zhǔn)，并對(duì)相關(guān)部門和員工進(jìn)行傳達(dá)，就風(fēng)險(xiǎn)評(píng)估相關(guān)內(nèi)容進(jìn)行培訓(xùn)，以明確各有關(guān)人員在風(fēng)險(xiǎn)評(píng)估中的任務(wù)。風(fēng)險(xiǎn)評(píng)估實(shí)施過程信息安全各組成因素：資產(chǎn)的價(jià)值、對(duì)資產(chǎn)的威脅和威脅發(fā)生的可能性、資產(chǎn)脆弱性、現(xiàn)有的安全控制提供的保護(hù)，風(fēng)險(xiǎn)評(píng)估過程是綜合以上因素而導(dǎo)出風(fēng)險(xiǎn)的過程，如圖5-1所示：資產(chǎn)賦值資產(chǎn)賦值脆弱性評(píng)估威脅評(píng)估確定現(xiàn)有控制風(fēng)險(xiǎn)評(píng)估圖5-1 風(fēng)險(xiǎn)評(píng)估的過程詳細(xì)的風(fēng)險(xiǎn)評(píng)估方法描述詳細(xì)的風(fēng)險(xiǎn)評(píng)估是對(duì)資產(chǎn)、威脅和脆弱點(diǎn)進(jìn)行詳細(xì)的識(shí)別和估價(jià)，評(píng)估結(jié)果被用于評(píng)估風(fēng)險(xiǎn)和安全控制的識(shí)別和選擇。通過識(shí)別資產(chǎn)的風(fēng)險(xiǎn)并將風(fēng)險(xiǎn)降低到可接受水平，來證明管理者所采用的安全控制是適當(dāng)?shù)摹Ｔ敿?xì)的風(fēng)險(xiǎn)評(píng)估，需要仔細(xì)地制定被評(píng)估的信息系統(tǒng)范圍內(nèi)的業(yè)務(wù)環(huán)境、業(yè)務(wù)運(yùn)營、信息和資產(chǎn)的邊界，是一個(gè)需要管理者持續(xù)關(guān)注的方法，如下表：風(fēng)險(xiǎn)評(píng)估評(píng)估活動(dòng)資產(chǎn)賦值識(shí)別和列出信息安全管理范圍內(nèi)被評(píng)估的業(yè)務(wù)環(huán)境、業(yè)務(wù)運(yùn)營和信息相關(guān)的所有的資產(chǎn)，定義一個(gè)價(jià)值尺度并為每一項(xiàng)資產(chǎn)分配價(jià)值（機(jī)密性、完整性和可用性的價(jià)值）。威脅評(píng)估識(shí)別與資產(chǎn)相關(guān)的所有威脅，并根據(jù)它們發(fā)生的可能性為它們賦值。脆弱性評(píng)估識(shí)別與資產(chǎn)相關(guān)的所有的脆弱點(diǎn)，并根據(jù)它們被威脅利用的程度和嚴(yán)重性來賦值。確定現(xiàn)有控制識(shí)別與記錄所有與資產(chǎn)相關(guān)聯(lián)的、現(xiàn)有的控制。風(fēng)險(xiǎn)評(píng)估利用上述對(duì)資產(chǎn)、威脅、脆弱點(diǎn)的評(píng)價(jià)結(jié)果，進(jìn)行風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)為資產(chǎn)的相對(duì)價(jià)值、威脅發(fā)生的可能性與脆弱點(diǎn)被利用的可能性的函數(shù)，采用適當(dāng)?shù)娘L(fēng)險(xiǎn)測量工具進(jìn)行風(fēng)險(xiǎn)計(jì)算。表5-1詳細(xì)風(fēng)險(xiǎn)評(píng)估內(nèi)容詳細(xì)風(fēng)險(xiǎn)評(píng)估方法將安全風(fēng)險(xiǎn)作為資產(chǎn)、威脅及脆弱點(diǎn)的函數(shù)來進(jìn)行識(shí)別與評(píng)估，具體程序包括：對(duì)資產(chǎn)（說明它們的價(jià)值、業(yè)務(wù)相關(guān)性）、威脅（說明它們發(fā)生的可能性）和脆弱性（說明有關(guān)它們的弱點(diǎn)和敏感性的程度）進(jìn)行測量與賦值。使用預(yù)定義風(fēng)險(xiǎn)計(jì)算函數(shù)完成風(fēng)險(xiǎn)測量。資產(chǎn)賦值資產(chǎn)賦值就是要識(shí)別影響信息系統(tǒng)的信息資產(chǎn)（以下簡稱資產(chǎn)），并評(píng)估其價(jià)值，包括資產(chǎn)識(shí)別與資產(chǎn)賦值兩部分。資產(chǎn)識(shí)別資產(chǎn)是影響信息系統(tǒng)運(yùn)行而需要保護(hù)的有用資源，資產(chǎn)以多種形式存在。運(yùn)維中心資產(chǎn)分為：硬件類、系統(tǒng)服務(wù)類、支撐服務(wù)類、信息類、人員、無形資產(chǎn)等，每類資產(chǎn)具有不同價(jià)值屬性和存在特點(diǎn)，固有的弱點(diǎn)、面臨的威脅、需要實(shí)施的保護(hù)和安全控制各不相同。為了對(duì)資產(chǎn)進(jìn)行有效的保護(hù)，組織需要在各個(gè)管理層對(duì)資產(chǎn)落實(shí)責(zé)任，進(jìn)行恰當(dāng)?shù)墓芾?。在信息安全體系范圍內(nèi)識(shí)別資產(chǎn)并為資產(chǎn)編制清單是一項(xiàng)重要工作，每項(xiàng)資產(chǎn)都應(yīng)該清晰地定義，在組織中明確資產(chǎn)所有權(quán)關(guān)系，進(jìn)行安全分類，并以文件方式詳細(xì)記錄在案。資產(chǎn)賦值為了明確對(duì)資產(chǎn)的保護(hù)，有必要對(duì)資產(chǎn)進(jìn)行估價(jià)，其價(jià)值大小不僅僅是考慮其自身的價(jià)值，還要考慮其業(yè)務(wù)的相關(guān)性和一定條件下的潛在價(jià)值。資產(chǎn)價(jià)值常常是以安全事件發(fā)生時(shí)所產(chǎn)生的潛在業(yè)務(wù)影響來衡量，安全事件會(huì)導(dǎo)致資產(chǎn)機(jī)密性、完整性和可用性的損失，從而導(dǎo)致企業(yè)資金、市場份額、企業(yè)形象的損失。為了資產(chǎn)評(píng)估的一致性與準(zhǔn)確性，組織應(yīng)當(dāng)建立一個(gè)資產(chǎn)的價(jià)值評(píng)估標(biāo)準(zhǔn)，對(duì)每一種資產(chǎn)和每一種可能的損失，例如機(jī)密性、完整性和可用性的損失，都可以賦予一個(gè)價(jià)值。但采用精確的方式給資產(chǎn)賦值是較困難的一件事，一般采用定性的方式，按照事前建立的資產(chǎn)的價(jià)值評(píng)估標(biāo)準(zhǔn)將資產(chǎn)的價(jià)值劃分為不同等級(jí)。經(jīng)過資產(chǎn)的識(shí)別與估價(jià)后，組織應(yīng)根據(jù)資產(chǎn)價(jià)值大小，進(jìn)一步確定要保護(hù)的關(guān)鍵資產(chǎn)。資產(chǎn)分別具有不同的安全屬性，機(jī)密性、完整性和可用性分別反映了資產(chǎn)在三個(gè)不同方面的特性。安全屬性的不同通常也意味著安全控制、保護(hù)功能需求的不同。通過考察三種不同安全屬性，可以得出一個(gè)能夠基本反映資產(chǎn)價(jià)值的數(shù)值。對(duì)信息資產(chǎn)進(jìn)行估價(jià)賦值的目的是為了更好地反映資產(chǎn)的價(jià)值，以便于進(jìn)一步考察資產(chǎn)相關(guān)的弱點(diǎn)、威脅和風(fēng)險(xiǎn)屬性，并進(jìn)行量化。在評(píng)估過程，為了保證沒有資產(chǎn)被忽略和遺漏，應(yīng)該先確定信息安全管理體系(ISMS)范圍，建立資產(chǎn)的評(píng)審邊界。評(píng)估資產(chǎn)最簡單的方式是列出組織業(yè)務(wù)過程中、安全管理體系范圍內(nèi)所有具有價(jià)值的資產(chǎn)，然后對(duì)資產(chǎn)賦予一定的價(jià)值，這種價(jià)值應(yīng)該反映資產(chǎn)對(duì)組織業(yè)務(wù)運(yùn)營的重要性，并以對(duì)業(yè)務(wù)的潛在影響程度表現(xiàn)出來。例如，資產(chǎn)價(jià)值越大，由于泄露、修改、損害、不可用等安全事件對(duì)組織業(yè)務(wù)的潛在影響就越大。基于組織業(yè)務(wù)需要的資產(chǎn)的識(shí)別與估價(jià)，是建立信息安全體系，確定風(fēng)險(xiǎn)的重要一步。資產(chǎn)的價(jià)值應(yīng)當(dāng)由資產(chǎn)的所有者和相關(guān)用戶來確定，只有他們才最清楚資產(chǎn)對(duì)組織業(yè)務(wù)的重要性，才能較準(zhǔn)確地評(píng)估出資產(chǎn)的實(shí)際價(jià)值。為確保資產(chǎn)賦值時(shí)的一致性和準(zhǔn)確性，組織應(yīng)建立一個(gè)資產(chǎn)價(jià)值評(píng)價(jià)尺度，以指導(dǎo)資產(chǎn)賦值。在對(duì)資產(chǎn)賦予價(jià)值時(shí)，一方面要考慮資產(chǎn)購買成本及維護(hù)成本，另一方面主要考慮當(dāng)這種資產(chǎn)的機(jī)密性、完整性、可用性受到損害時(shí)，對(duì)業(yè)務(wù)運(yùn)營的負(fù)面影響程度。在信息安全管理中，并不是直接采用資產(chǎn)的賬面價(jià)值，在運(yùn)維中心風(fēng)險(xiǎn)評(píng)估中采用以定性分級(jí)的方式建立資產(chǎn)的相對(duì)價(jià)值，以相對(duì)價(jià)值來作為確定重要資產(chǎn)的依據(jù)和為這種資產(chǎn)的保護(hù)投入多大資源的依據(jù)。資產(chǎn)分類運(yùn)維中心資產(chǎn)分類見下表：大類小類名稱硬件類H010大型機(jī)H020小型機(jī)H030PC服務(wù)器H040PC臺(tái)式機(jī)H050PC移動(dòng)電腦H060業(yè)務(wù)終端H070通訊設(shè)施H080網(wǎng)絡(luò)交換機(jī)H090網(wǎng)絡(luò)路由器H100負(fù)載均衡器H110網(wǎng)絡(luò)安全設(shè)備H120數(shù)據(jù)存儲(chǔ)設(shè)備H130移動(dòng)存儲(chǔ)設(shè)備H140存儲(chǔ)介質(zhì)H150紙質(zhì)文檔H160智能卡設(shè)備H170UPS設(shè)備H180發(fā)電機(jī)H190設(shè)備管理間H200電線電纜H210顯示設(shè)備H220監(jiān)控設(shè)備H230傳真機(jī)/傳真系統(tǒng)H240照明設(shè)施H250供電設(shè)施H260供水設(shè)施H270暖通空調(diào)H280消防設(shè)施H290門禁系統(tǒng)H300打印機(jī)H310復(fù)印機(jī)H320掃描儀H330投影機(jī)H340機(jī)架系統(tǒng)服務(wù)類S010核心業(yè)務(wù)應(yīng)用系統(tǒng)S020輔助業(yè)務(wù)應(yīng)用系統(tǒng)S030網(wǎng)絡(luò)基礎(chǔ)應(yīng)用系統(tǒng)S040網(wǎng)絡(luò)安全系統(tǒng)S050操作系統(tǒng)S060數(shù)據(jù)庫S070中間件S080軟件開發(fā)工具S090軟件測試工具S100其他系統(tǒng)或服務(wù)信息類I010軟件I020開發(fā)文檔及源代碼I030用戶文檔I040系統(tǒng)業(yè)務(wù)數(shù)據(jù)I050系統(tǒng)支撐數(shù)據(jù)I060密碼數(shù)據(jù)I070其他支撐服務(wù)類F010通訊服務(wù)F020系統(tǒng)運(yùn)行F030系統(tǒng)維護(hù)F040軟件開發(fā)F050軟件維護(hù)F060安全保衛(wèi)F070人力資源服務(wù)F080財(cái)務(wù)服務(wù)F090供電F100供暖F110消防F120照明F130空調(diào)F140咨詢服務(wù)F150培訓(xùn)服務(wù)F160審計(jì)服務(wù)人員類R010管理層人員R020網(wǎng)絡(luò)管理人員R030系統(tǒng)管理人員R040安全管理人員R050軟件開發(fā)人員R060軟件測試人員R070通訊管理人員R080文檔管理人員R090系統(tǒng)用戶R100企業(yè)客戶R110簽約供應(yīng)商R120第三方人員R130臨時(shí)人員無形資產(chǎn)類W010公信力W020組織形象與聲譽(yù)W030商標(biāo)W040產(chǎn)品名稱W050知識(shí)產(chǎn)權(quán)表5-2資產(chǎn)分類表資產(chǎn)價(jià)值屬性除了機(jī)密性、完整性和可用性外，在運(yùn)維中心風(fēng)險(xiǎn)評(píng)估中引入系統(tǒng)對(duì)業(yè)務(wù)的重要程度、資產(chǎn)對(duì)系統(tǒng)的重要程度，資產(chǎn)花費(fèi)等資產(chǎn)價(jià)值屬性，各價(jià)值屬性圖示如下：圖5-2資產(chǎn)價(jià)值屬性系統(tǒng)服務(wù)范圍：說明當(dāng)前業(yè)務(wù)系統(tǒng)應(yīng)用或服務(wù)的范圍，評(píng)估人員可以人工分析并選擇系統(tǒng)服務(wù)范圍值。業(yè)務(wù)對(duì)系統(tǒng)的依賴程度：用于衡量部門業(yè)務(wù)對(duì)當(dāng)前業(yè)務(wù)系統(tǒng)的依賴程度，評(píng)估人員可以人工分析并選擇業(yè)務(wù)對(duì)系統(tǒng)的依賴程度值。系統(tǒng)對(duì)業(yè)務(wù)的重要程度：用于衡量業(yè)務(wù)系統(tǒng)對(duì)業(yè)務(wù)的重要性，其值由系統(tǒng)服務(wù)范圍和業(yè)務(wù)對(duì)系統(tǒng)的依賴程度確定。信息保密性：說明信息資產(chǎn)本身或硬件、系統(tǒng)服務(wù)類資產(chǎn)所包含信息的保密性價(jià)值，評(píng)估人員可以人工分析并選擇信息保密性值。信息完整性：說明信息資產(chǎn)本身或硬件、系統(tǒng)服務(wù)類資產(chǎn)所包含信息的完整性價(jià)值，評(píng)估人員可以人工分析并選擇信息完整性值。信息可用性：說明信息資產(chǎn)本身或硬件、系統(tǒng)服務(wù)類資產(chǎn)所包含信息的可用性價(jià)值，評(píng)估人員可以人工分析并選擇信息可用性值。資產(chǎn)信息重要性：用于衡量信息資產(chǎn)本身或硬件、系統(tǒng)服務(wù)類資產(chǎn)所包含信息的信息價(jià)值，其值由信息保密性、信息完整性和信息可用性確定。資產(chǎn)對(duì)系統(tǒng)的重要程度：用于衡量硬件、系統(tǒng)服務(wù)類資產(chǎn)對(duì)業(yè)務(wù)系統(tǒng)的可用性價(jià)值，評(píng)估人員可以人工分析并選擇對(duì)系統(tǒng)的重要程度值。資產(chǎn)對(duì)業(yè)務(wù)的重要程度：用于衡量硬件、系統(tǒng)服務(wù)類資產(chǎn)對(duì)業(yè)務(wù)的重要性，其值由系統(tǒng)對(duì)業(yè)務(wù)的重要程度和資產(chǎn)對(duì)系統(tǒng)的重要程度確定。資產(chǎn)業(yè)務(wù)價(jià)值：用于衡量硬件、系統(tǒng)服務(wù)、人員及其它類資產(chǎn)對(duì)業(yè)務(wù)的價(jià)值，對(duì)于人員及無形類資產(chǎn)，其值由對(duì)業(yè)務(wù)的重要程度確定，對(duì)于硬件、系統(tǒng)服務(wù)類資產(chǎn)，其值由對(duì)業(yè)務(wù)的重要程度和資產(chǎn)信息重要性確定。花費(fèi)：用于衡量購買或恢復(fù)被破壞的資產(chǎn)所需要的花消，評(píng)估人員可以人工分析并選擇花費(fèi)值。資產(chǎn)價(jià)值：用于表示資產(chǎn)的重要性，其值由資產(chǎn)業(yè)務(wù)價(jià)值和花費(fèi)確定。不同類別資產(chǎn)賦值可能采用不同的價(jià)值屬性。具體見下表：資產(chǎn)類別價(jià)值屬性硬件類系統(tǒng)服務(wù)類信息類支撐服務(wù)人員無形資產(chǎn)系統(tǒng)服務(wù)范圍√√√√√業(yè)務(wù)對(duì)系統(tǒng)的依賴程度√√√√√系統(tǒng)對(duì)業(yè)務(wù)的重要程度√√√√√保密性√√完整性√√可用性√√√√√資產(chǎn)CIA重要性√√√√√資產(chǎn)對(duì)系統(tǒng)的重要程度√√√√√資產(chǎn)對(duì)業(yè)務(wù)的重要程度√√√√√資產(chǎn)業(yè)務(wù)價(jià)值√√√√√花費(fèi)√√√√√表5-3不同資產(chǎn)采用的價(jià)值屬性資產(chǎn)價(jià)值屬性賦值標(biāo)準(zhǔn)運(yùn)維中心風(fēng)險(xiǎn)評(píng)估使用的資產(chǎn)屬性賦值標(biāo)準(zhǔn)見下表：系統(tǒng)服務(wù)范圍賦值系統(tǒng)服務(wù)范圍賦值描述1運(yùn)維中心內(nèi)部。2面向開發(fā)基地。3面向整個(gè)公司內(nèi)部。4面向整個(gè)公司內(nèi)部及客戶、政府、組織等。表5-4系統(tǒng)服務(wù)范圍賦值表業(yè)務(wù)對(duì)系統(tǒng)的依賴程度賦值業(yè)務(wù)對(duì)系統(tǒng)依賴程度賦值描述1整個(gè)業(yè)務(wù)處理流程可以通過手工方式或其他方式完成，而且這些替代方式對(duì)組織業(yè)務(wù)的開展沒有或極少影響。2整個(gè)業(yè)務(wù)處理流程可以通過手工方式或其他方式完成，但這些替代方式對(duì)組織業(yè)務(wù)的開展有較大的影響。3業(yè)務(wù)處理流程的部分環(huán)節(jié)可以通過手工方式或其他方式替代完成,這些替代方式對(duì)組織業(yè)務(wù)的開展有較大的影響。4業(yè)務(wù)處理流程完全依賴信息系統(tǒng)，手工方式無法完成。表5-5業(yè)務(wù)對(duì)系統(tǒng)的依賴程度賦值表系統(tǒng)對(duì)業(yè)務(wù)的重要程度計(jì)算系統(tǒng)重要程度權(quán)值（W）＝系統(tǒng)服務(wù)范圍值+業(yè)務(wù)對(duì)系統(tǒng)依賴程度值系統(tǒng)重要程度值＝T1（W） T1是非線性函數(shù)，用于將計(jì)算出的權(quán)值W映射到5級(jí)，得到系統(tǒng)重要程度值，見下表：系統(tǒng)對(duì)業(yè)務(wù)重要程度賦值描述1W={2，3}2W={4}3W={5}4W={6}5W={7，8}表5-6系統(tǒng)對(duì)業(yè)務(wù)的重要程度計(jì)算表信息保密性賦值信息保密性賦值描述1信息的未授權(quán)泄露對(duì)運(yùn)維中心的業(yè)務(wù)以及利益基本不會(huì)受到影響或損害極小。2信息的未授權(quán)泄露對(duì)運(yùn)維中心的業(yè)務(wù)以及利益帶來一定的損失或破壞。3信息的未授權(quán)泄露對(duì)運(yùn)維中心的業(yè)務(wù)、利益以及整個(gè)公司利益帶來嚴(yán)重的損失或破壞。4信息的未授權(quán)泄露對(duì)運(yùn)維中心的業(yè)務(wù)、利益以及整個(gè)公司利益帶來極其嚴(yán)重的損失或破壞。5信息的未授權(quán)泄露會(huì)對(duì)運(yùn)維中心的業(yè)務(wù)、利益以及整個(gè)公司利益帶來災(zāi)難性的損失或破壞。表5-7信息保密性賦值表信息完整性賦值信息完整性賦值描述1信息的未授權(quán)的修改或破壞對(duì)運(yùn)維中心的業(yè)務(wù)以及利益基本不會(huì)受到影響或損害極小。2信息的未授權(quán)的修改或破壞對(duì)運(yùn)維中心的業(yè)務(wù)以及利益帶來一定的損失或破壞。3信息的未授權(quán)的修改或破壞對(duì)運(yùn)維中心的業(yè)務(wù)、利益以及整個(gè)公司利益帶來嚴(yán)重的損失或破壞。4信息的未授權(quán)的修改或破壞會(huì)對(duì)運(yùn)維中心的業(yè)務(wù)、利益以及整個(gè)公司利益帶來極其嚴(yán)重的損失或破壞。5信息的未授權(quán)的修改或破壞會(huì)對(duì)運(yùn)維中心的業(yè)務(wù)、利益以及整個(gè)公司利益帶來災(zāi)難性的損失或破壞。表5-8信息完整性賦值表信息可用性賦值信息可用性賦值描述1可用性價(jià)值可以忽略，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間低于25%2可用性價(jià)值較低，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到25%以上3可用性價(jià)值中等，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到70%以上4可用性價(jià)值較高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到每天90%以上5可用性價(jià)值非常高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上表5-9信息可用性賦值表資產(chǎn)CIA重要性計(jì)算資產(chǎn)CIA重要性值＝MAX（保密性值、完整性值、可用性值）資產(chǎn)對(duì)系統(tǒng)的重要程度賦值對(duì)系統(tǒng)的重要程度賦值描述1資產(chǎn)出現(xiàn)問題對(duì)整個(gè)業(yè)務(wù)系統(tǒng)的可用性影響極小或沒有影響。2資產(chǎn)出現(xiàn)問題對(duì)整個(gè)業(yè)務(wù)系統(tǒng)的可用性有一定的影響。3資產(chǎn)出現(xiàn)問題對(duì)整個(gè)業(yè)務(wù)系統(tǒng)的可用性有較大的影響。4資產(chǎn)出現(xiàn)問題將導(dǎo)致整個(gè)業(yè)務(wù)系統(tǒng)喪失可用性。表5-10資產(chǎn)對(duì)系統(tǒng)的重要程度賦值表資產(chǎn)對(duì)業(yè)務(wù)的重要程度計(jì)算資產(chǎn)對(duì)業(yè)務(wù)的重要程度權(quán)重(W)＝系統(tǒng)對(duì)業(yè)務(wù)的重要程度值×資產(chǎn)對(duì)系統(tǒng)的重要程度值 資產(chǎn)對(duì)業(yè)務(wù)的重要程度值＝T2（W） T2是非線性函數(shù)，用于將計(jì)算出的權(quán)值W映射到5級(jí)，得到資產(chǎn)對(duì)業(yè)務(wù)重要程度值，見下表：資產(chǎn)對(duì)業(yè)務(wù)重要程度賦值描述1W={1，2}2W={3，4，5}3W={6，8，9}4W={10，12}5W={15，16，20}表5-11資產(chǎn)對(duì)業(yè)務(wù)的重要程度計(jì)算表資產(chǎn)業(yè)務(wù)價(jià)值計(jì)算資產(chǎn)業(yè)務(wù)價(jià)值＝MAX（資產(chǎn)對(duì)業(yè)務(wù)的重要程度值、資產(chǎn)CIA重要性值）花費(fèi)賦值資產(chǎn)花費(fèi)賦值描述1購買或恢復(fù)資產(chǎn)花費(fèi)<=0.1萬元。20.1萬元<購買或恢復(fù)資產(chǎn)花費(fèi)<1萬元。31萬元<購買或恢復(fù)資產(chǎn)花費(fèi)<10萬元。410萬元<購買或恢復(fù)資產(chǎn)花費(fèi)<50萬元。550萬元<購買或恢復(fù)資產(chǎn)花費(fèi)表5-12資產(chǎn)花費(fèi)賦值表資產(chǎn)價(jià)值計(jì)算資產(chǎn)價(jià)值＝MAX（資產(chǎn)業(yè)務(wù)價(jià)值、花費(fèi)）威脅評(píng)估威脅是一種對(duì)運(yùn)維中心資產(chǎn)構(gòu)成潛在破壞的可能性因素或者事件。無論對(duì)于實(shí)施多少安全控制的信息系統(tǒng)，威脅始終是一個(gè)客觀存在的，因此在風(fēng)險(xiǎn)評(píng)估中威脅是需要考慮的重要因素之一。威脅可以通過威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動(dòng)機(jī)，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗的因素和其它物理因素。威脅作用形式可以是對(duì)信息系統(tǒng)直接或間接的攻擊，在機(jī)密性、完整性或可用性等方面造成損害；也可能是偶發(fā)的、或蓄意的事件。威脅分類在對(duì)威脅進(jìn)行分類前，應(yīng)考慮威脅的來源。威脅來源如下表述：威脅編號(hào)威脅來源威脅來源描述TR01環(huán)境因素、意外事故或故障由于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境條件和自然災(zāi)害；意外事故或由于軟件、硬件、數(shù)據(jù)、通訊線路方面的故障TR02無惡意內(nèi)部人員內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心和不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或被攻擊；內(nèi)部人員由于缺乏培訓(xùn)，專業(yè)技能不足,不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊TR03惡意內(nèi)部人員不滿的或有預(yù)謀的內(nèi)部人員對(duì)信息系統(tǒng)進(jìn)行惡意破壞；采用自主的或內(nèi)外勾結(jié)的方式盜竊機(jī)密信息或進(jìn)行篡改，獲取利益TR04第三方第三方合作伙伴和供應(yīng)商，包括電信、移動(dòng)等業(yè)務(wù)合作伙伴以及軟件開發(fā)合作伙伴、系統(tǒng)集成商、服務(wù)商和產(chǎn)品供應(yīng)商；包括第三方惡意的和無惡意的行為TR05外部人員攻擊外部人員利用信息系統(tǒng)的脆弱性，對(duì)網(wǎng)絡(luò)和系統(tǒng)的機(jī)密性、完整性和可用性進(jìn)行破壞，以獲取利益或炫耀能力表5-13威脅來源表在威脅評(píng)估過程中，首先就要對(duì)運(yùn)維中心需要保護(hù)的每一項(xiàng)關(guān)鍵資產(chǎn)進(jìn)行威脅識(shí)別。在威脅識(shí)別過程中，應(yīng)根據(jù)資產(chǎn)所處的環(huán)境條件和資產(chǎn)以前遭受威脅損害的情況來判斷。一項(xiàng)資產(chǎn)可能面臨著多個(gè)威脅，同樣一個(gè)威脅可能對(duì)不同的資產(chǎn)造成影響。在運(yùn)維中心風(fēng)險(xiǎn)評(píng)估中采用問卷調(diào)查和小組訪談進(jìn)行威脅識(shí)別和評(píng)估。對(duì)威脅進(jìn)行分類的方式有多種多樣，可以根據(jù)其表現(xiàn)形式將威脅分為以下種類：編號(hào)種類描述威脅子類TC01軟硬件故障由于設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件缺陷造成對(duì)業(yè)務(wù)實(shí)施、系統(tǒng)穩(wěn)定運(yùn)行的影響。設(shè)備硬件故障、傳輸設(shè)備故障、存儲(chǔ)媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障。TC02物理環(huán)境影響斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境問題或自然災(zāi)害。TC03無作為或操作失誤由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意地執(zhí)行了錯(cuò)誤的操作，對(duì)系統(tǒng)造成的影響。維護(hù)錯(cuò)誤、操作失誤TC04管理不到位安全管理無法落實(shí)，不到位，造成安全管理不規(guī)范，或者管理混亂，從而破壞信息系統(tǒng)正常有序運(yùn)行。TC05惡意代碼和病毒具有自我復(fù)制、自我傳播能力，對(duì)信息系統(tǒng)構(gòu)成破壞的程序代碼。惡意代碼、木馬后門、網(wǎng)絡(luò)病毒、間諜軟件、竊聽軟件TC06越權(quán)或?yàn)E用通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的職權(quán)，做出破壞信息系統(tǒng)的行為。未授權(quán)訪問網(wǎng)絡(luò)資源、未授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息TC07黑客攻擊利用工具和技術(shù)，如偵察、密碼破譯、安裝后門、嗅探、偽造和欺騙、拒絕服務(wù)等手段，對(duì)信息系統(tǒng)進(jìn)行攻擊和入侵。網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探（賬戶、口令、權(quán)限等）、用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運(yùn)行的控制和破壞TC08物理攻擊通過物理的接觸造成對(duì)軟件、硬件、數(shù)據(jù)的破壞。物理接觸、物理破壞、盜竊TC09泄密信息泄露給不應(yīng)了解的他人。內(nèi)部信息泄露、外部信息泄露TC10篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用。篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息TC11抵賴不承認(rèn)收到的信息和所作的操作和交易。原發(fā)抵賴、接收抵賴、第三方抵賴表5-14威脅種類表威脅賦值判斷威脅出現(xiàn)的頻率是威脅識(shí)別的重要內(nèi)容，評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來進(jìn)行判斷。在評(píng)估中，需要綜合考慮以下三個(gè)方面，以形成在某種評(píng)估環(huán)境中各種威脅出現(xiàn)的頻率：以往安全事件報(bào)告中出現(xiàn)過的威脅及其頻率的統(tǒng)計(jì)；實(shí)際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)；近一兩年來國際組織發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及發(fā)布的威脅預(yù)警?？梢詫?duì)威脅出現(xiàn)的頻率進(jìn)行等級(jí)化處理，不同等級(jí)分別代表威脅出現(xiàn)的頻率的高低。等級(jí)數(shù)值越大，威脅出現(xiàn)的頻率越高。運(yùn)維中心風(fēng)險(xiǎn)評(píng)估對(duì)威脅發(fā)生可能性采用以下賦值方法：等級(jí)標(biāo)識(shí)定義5很高出現(xiàn)的頻率很高（或≥1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實(shí)經(jīng)常發(fā)生過。4高出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)情況下很有可能會(huì)發(fā)生；或可以證實(shí)多次發(fā)生過。3中出現(xiàn)的頻率中等（或>1次/半年）；或在某種情況下可能會(huì)發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過。2低出現(xiàn)的頻率較小；或一般不太可能發(fā)生；或沒有被證實(shí)發(fā)生過。1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生。表5-15威脅賦值表脆弱性評(píng)估脆弱性評(píng)估也稱為漏洞評(píng)估，是風(fēng)險(xiǎn)評(píng)估中重要內(nèi)容。脆弱性是信息資產(chǎn)自身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標(biāo)的損害。脆弱性包括物理環(huán)境、組織、過程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的弱點(diǎn)。值得注意的是，脆弱性雖然是信息資產(chǎn)本身固有的，但它本身不會(huì)造成損失，它只是一種條件或環(huán)境、可能導(dǎo)致被威脅利用而造成資產(chǎn)損失。所以如果沒有相應(yīng)的威脅發(fā)生，單純的脆弱性并不會(huì)對(duì)資產(chǎn)造成損害。那些沒有安全威脅的脆弱性可以不需要實(shí)施安全保護(hù)措施，但它們必須記錄下來以確保當(dāng)環(huán)境、條件有所變化時(shí)能隨之加以改變安全保護(hù)，需要注意的是不正確的、起不到應(yīng)有作用的或沒有正確實(shí)施的安全保護(hù)措施本身就可能是一個(gè)安全脆弱性環(huán)節(jié)。脆弱性評(píng)估將針對(duì)每一項(xiàng)需要保護(hù)的信息資產(chǎn)，找出每一種威脅所能利用的脆弱性，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估，即對(duì)脆弱性被威脅利用的可能性進(jìn)行評(píng)估，最終為其賦值。在進(jìn)行脆弱性評(píng)估時(shí)，提供的數(shù)據(jù)應(yīng)該來自于這些資產(chǎn)的擁有者或使用者，來自于相關(guān)業(yè)務(wù)領(lǐng)域的專家以及軟硬件信息系統(tǒng)方面的專業(yè)人員。脆弱性評(píng)估所采用的方法主要為：問卷調(diào)查、訪談、工具掃描、手動(dòng)檢查、文檔審查、滲透測試等。在運(yùn)維中心風(fēng)險(xiǎn)評(píng)估中采用問卷調(diào)查、小組訪談、工具掃描和人工檢查等方法。脆弱性的識(shí)別以資產(chǎn)為核心，即根據(jù)每個(gè)資產(chǎn)分別識(shí)別其存在的弱點(diǎn)，然后綜合評(píng)價(jià)該資產(chǎn)的脆弱性。脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問題。管理脆弱性又可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)。脆弱性識(shí)別內(nèi)容如下表述：類型識(shí)別對(duì)象識(shí)別內(nèi)容技術(shù)脆弱性物理環(huán)境從機(jī)房場地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識(shí)別。服務(wù)器（含操作系統(tǒng)）從物理保護(hù)、用戶帳號(hào)、口令策略、資源共享、事件審計(jì)、訪問控制、新系統(tǒng)配置（初始化）、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別。網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別。數(shù)據(jù)庫從補(bǔ)丁安裝、鑒別機(jī)制、口令機(jī)制、訪問控制、網(wǎng)絡(luò)和服務(wù)設(shè)置、備份恢復(fù)機(jī)制、審計(jì)機(jī)制等方面進(jìn)行識(shí)別。應(yīng)用系統(tǒng)審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別。管理脆弱性技術(shù)管理物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性。組織管理安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性表5-16弱點(diǎn)分類表安全控制措施的使用將減少脆弱性，考慮對(duì)現(xiàn)有安全控制措施的確認(rèn)，采用等級(jí)方式對(duì)已識(shí)別的脆弱性的嚴(yán)重程度進(jìn)行賦值。脆弱性嚴(yán)重程度的等級(jí)劃分為五級(jí)，分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。等級(jí)數(shù)值越大，脆弱性嚴(yán)重程度越高。運(yùn)維中心風(fēng)險(xiǎn)評(píng)估對(duì)脆弱性采用以下賦值方法：等級(jí)影響技術(shù)攻擊角度管理防范角度1(可忽略)如果被威脅利用，將對(duì)資產(chǎn)造成的損害可以忽略。技術(shù)方面存在著低等級(jí)缺陷，從技術(shù)角度很難被利用對(duì)于攻擊者來說，該漏洞目前還不能夠被直接或者間接利用，或者利用的難度極高組織管理中沒有相關(guān)的薄弱環(huán)節(jié)，很難被利用有規(guī)定，嚴(yán)格審核、記錄、校驗(yàn)2(低)如果被威脅利用，將對(duì)資產(chǎn)造成較小損害。技術(shù)方面存在著低等級(jí)缺陷，從技術(shù)角度難以被利用對(duì)于攻擊者來說，該漏洞無法被直接利用(需要其他條件配合)或者利用的難度較高組織管理中沒有相應(yīng)的薄弱環(huán)節(jié)，難以被利用有規(guī)定，職責(zé)明確，有專人負(fù)責(zé)檢查執(zhí)行落實(shí)情況，有記錄3(中)如果被威脅利用，將對(duì)資產(chǎn)造成一般損害。技術(shù)方面存在著一般缺陷，從技術(shù)角度可以被利用可以配合其他條件被攻擊者加以直接利用，或者該漏洞的利用有一定的難度組織管理中沒有明顯的薄弱環(huán)節(jié)，可以被利用有規(guī)定，定期檢查落實(shí)，有記錄4(高)如果被威脅利用，將對(duì)資產(chǎn)造成重大損害。技術(shù)方面存在著嚴(yán)重的缺陷，比較容易被利用一個(gè)特定漏洞，可以配合其他條件被攻擊者加以直接利用，或者該漏洞的利用有一定的難度組織管理中存在著薄弱環(huán)節(jié)，比較容易被利用有規(guī)定．執(zhí)行完全靠人自覺5(極高)如果被威脅利用，將對(duì)資產(chǎn)造成完全損害。技術(shù)方面存在著非常嚴(yán)重的缺陷，很容易被利用在沒有任何保護(hù)措施的情況下，暴露于低安全級(jí)別網(wǎng)絡(luò)上組織管理中存在著明顯的薄弱環(huán)節(jié)，并且很容易被利用無人負(fù)責(zé)，無人過問表5-17弱點(diǎn)賦值表確定現(xiàn)有控制在識(shí)別脆弱性的同時(shí)，評(píng)估人員應(yīng)對(duì)已采取的安全措施的有效性進(jìn)行確認(rèn)。安全措施的確認(rèn)應(yīng)評(píng)估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。對(duì)有效的安全措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止安全措施的重復(fù)實(shí)施。對(duì)確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實(shí)是否應(yīng)被取消或?qū)ζ溥M(jìn)行修正，或用更合適的安全措施替代。安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如入侵檢測系統(tǒng)；保護(hù)性安全措施可以減少因安全事件發(fā)生后對(duì)組織或系統(tǒng)造成的影響，如業(yè)務(wù)持續(xù)性計(jì)劃。已有安全措施確認(rèn)與脆弱性識(shí)別存在一定的聯(lián)系。一般來說，安全措施的使用將減少系統(tǒng)技術(shù)或管理上的弱點(diǎn)，但安全措施確認(rèn)并不需要和脆弱性識(shí)別過程那樣具體到每個(gè)資產(chǎn)、組件的弱點(diǎn)，而是一類具體措施的集合，為風(fēng)險(xiǎn)處理計(jì)劃的制定提供依據(jù)和參考。風(fēng)險(xiǎn)評(píng)估完成資產(chǎn)評(píng)估、威脅評(píng)估、脆弱性評(píng)估后，并考慮已有安全措施的情況下，利用恰當(dāng)?shù)姆椒ㄅc工具確定威脅利用資產(chǎn)脆弱性發(fā)生安全事件的可能性，并結(jié)合資產(chǎn)的安全屬性受到破壞后的影響得出信息資產(chǎn)的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)值計(jì)算在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及對(duì)已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn)。使用本方法需要首先確定信息資產(chǎn)、威脅和脆弱性的賦值，要完成這些賦值，需要管理人員、技術(shù)人員的配合。運(yùn)維中心風(fēng)險(xiǎn)評(píng)估中風(fēng)險(xiǎn)值計(jì)算方式如下：風(fēng)險(xiǎn)值(RW)＝資產(chǎn)價(jià)值×威脅可能性值×脆弱性嚴(yán)重程度值風(fēng)險(xiǎn)等級(jí)劃分確定風(fēng)險(xiǎn)數(shù)值的大小不是風(fēng)險(xiǎn)評(píng)估的最終目的，重要的是明確不同威脅對(duì)資產(chǎn)所產(chǎn)生的風(fēng)險(xiǎn)的相對(duì)值，即要確定不同風(fēng)險(xiǎn)的優(yōu)先次序或等級(jí)，對(duì)于風(fēng)險(xiǎn)級(jí)別高的資產(chǎn)應(yīng)被優(yōu)先分配資源進(jìn)行保護(hù)。風(fēng)險(xiǎn)等級(jí)在運(yùn)維中心風(fēng)險(xiǎn)評(píng)估中采用分值計(jì)算表示。分值越大，風(fēng)險(xiǎn)越高。見下表。風(fēng)險(xiǎn)等級(jí)標(biāo)識(shí)風(fēng)險(xiǎn)值范圍描述建議處置方式1很低RW≤5發(fā)生安全事件的可能性極小，即使發(fā)生對(duì)系統(tǒng)或組織也基本沒影響。A-接受2低6≤RW≤10發(fā)生安全事件的可能性較小，安全事件發(fā)生后使系統(tǒng)受到的破壞較小或使組織利益受到的損失較少。A-接受3中11≤RW≤30發(fā)生安全事件的可能性一般，安全事件發(fā)生后將使系統(tǒng)受到一定的破壞或使組織利益受到一定的損失。B-降低4高31≤RW≤40發(fā)生安全事件的可能性較大，安全事件發(fā)生后將使系統(tǒng)受到較大的破壞或使組織利益受到較多的損失。B-降低5極高41≤RW發(fā)生安全事件的可能性很大，安全事件發(fā)生后將使系統(tǒng)受到很大的破壞或使組織利益受到很多的損失。B-降低表5-20風(fēng)險(xiǎn)等級(jí)描述表風(fēng)險(xiǎn)評(píng)估結(jié)果紀(jì)錄風(fēng)險(xiǎn)評(píng)估的過程需要形成相關(guān)的文件及記錄，文檔管理考慮以下控制：文件發(fā)布前得到批準(zhǔn)，以確保文件是充分的；必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)；確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別；確保在使用時(shí)，可獲得有關(guān)版本的適用文件；確保文件保持清晰、易于識(shí)別；確保外來文件得到識(shí)別；確保文件的分發(fā)得到適當(dāng)?shù)目刂疲环乐棺鲝U文件的非預(yù)期使用，若因任何目的需保留作廢文件時(shí)，應(yīng)對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。對(duì)于風(fēng)險(xiǎn)評(píng)估過程中形成的記錄，還應(yīng)規(guī)定記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保存期限以及處置所需的控制。記錄是否需要以及詳略程度由管理過程來決定。風(fēng)險(xiǎn)評(píng)估過程應(yīng)形成下列文件：風(fēng)險(xiǎn)評(píng)估過程計(jì)劃：該計(jì)劃中應(yīng)闡述風(fēng)險(xiǎn)評(píng)估的范圍、目標(biāo)、組織機(jī)構(gòu)、評(píng)估過程所需資源、形成的評(píng)估結(jié)果。風(fēng)險(xiǎn)評(píng)估程序：程序中應(yīng)明確評(píng)估的目的、職責(zé)、過程、相關(guān)的文件要求，并且準(zhǔn)備評(píng)估階段需要的表格，如信息資產(chǎn)識(shí)別與評(píng)估表。信息資產(chǎn)識(shí)別清單：根據(jù)在風(fēng)險(xiǎn)評(píng)估程序文件中規(guī)定的資產(chǎn)分類方法進(jìn)行資產(chǎn)的識(shí)別，并形成信息資產(chǎn)識(shí)別清單，清單中應(yīng)明確各資產(chǎn)的負(fù)責(zé)人/部門。威脅參考列表：應(yīng)根據(jù)評(píng)估對(duì)象、環(huán)境等因素，形成威脅的分類方法及具體的威脅列表，為風(fēng)險(xiǎn)評(píng)估提供支持。脆弱性參考列表：應(yīng)針對(duì)不同分類的評(píng)估對(duì)象自身的弱點(diǎn)，形成脆弱性參考列表，為風(fēng)險(xiǎn)評(píng)估提供支持。風(fēng)險(xiǎn)評(píng)估記錄：根據(jù)組織的風(fēng)險(xiǎn)評(píng)估程序文件，記錄對(duì)重要信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)估過程，包括脆弱性、威脅的賦值，已有安全控制措施的確認(rèn)，