风险评估管理程序

1、.：.； 风险评价管理程序 历史修订记录序号更改单号更改阐明修订人生效日期现行版次目 录 TOC o 1-3 h z u HYPERLINK l _Toc7061 1 概述 PAGEREF _Toc7061 5 HYPERLINK l _Toc10009 2 术语与定义 PAGEREF _Toc10009 5 HYPERLINK l _Toc11825 2.1 风险管理 PAGEREF _Toc11825 5 HYPERLINK l _Toc15920 2.1.1 风险评价 PAGEREF _Toc15920 5 HYPERLINK l _Toc30667 2.2 其他 PAGEREF _To

2、c30667 6 HYPERLINK l _Toc16863 3 风险评价框架及流程 PAGEREF _Toc16863 7 HYPERLINK l _Toc9192 3.1 风险要素关系 PAGEREF _Toc9192 7 HYPERLINK l _Toc3637 3.2 风险分析原理 PAGEREF _Toc3637 9 HYPERLINK l _Toc27267 3.3 实施流程 PAGEREF _Toc27267 9 HYPERLINK l _Toc24229 4 风险评价预备过程 PAGEREF _Toc24229 10 HYPERLINK l _Toc5903 4.1 确定范围

3、PAGEREF _Toc5903 10 HYPERLINK l _Toc24470 4.2 确定目的 PAGEREF _Toc24470 11 HYPERLINK l _Toc24610 4.3 确定组织构造 PAGEREF _Toc24610 11 HYPERLINK l _Toc459 4.4 确定风险评价方法 PAGEREF _Toc459 11 HYPERLINK l _Toc24021 4.5 获得最高管理者同意 PAGEREF _Toc24021 11 HYPERLINK l _Toc17878 5 风险评价实施过程 PAGEREF _Toc17878 11 HYPERLINK l

4、 _Toc7143 5.1 资产赋值 PAGEREF _Toc7143 13 HYPERLINK l _Toc10273 5.1.1 资产分类 PAGEREF _Toc10273 14 HYPERLINK l _Toc28189 5.1.2 资产价值属性 PAGEREF _Toc28189 17 HYPERLINK l _Toc23133 5.1.3 资产价值属性赋值规范 PAGEREF _Toc23133 19 HYPERLINK l _Toc8308 5.2 要挟评价 PAGEREF _Toc8308 23 HYPERLINK l _Toc7512 5.2.1 要挟分类 PAGEREF _

5、Toc7512 23 HYPERLINK l _Toc10788 5.2.2 要挟赋值 PAGEREF _Toc10788 26 HYPERLINK l _Toc26244 5.3 脆弱性评价 PAGEREF _Toc26244 27 HYPERLINK l _Toc394 5.4 确定现有控制 PAGEREF _Toc394 30 HYPERLINK l _Toc5815 5.5 风险评价 PAGEREF _Toc5815 30 HYPERLINK l _Toc24676 5.5.1 风险值计算 PAGEREF _Toc24676 30 HYPERLINK l _Toc29677 5.5.2

6、 风险等级划分 PAGEREF _Toc29677 31 HYPERLINK l _Toc788 5.5.3 风险评价结果纪录 PAGEREF _Toc788 31 HYPERLINK l _Toc26127 6 风险管理过程 PAGEREF _Toc26127 32 HYPERLINK l _Toc697 6.1 平安控制的识别与选择 PAGEREF _Toc697 33 HYPERLINK l _Toc14101 6.2 降低风险 PAGEREF _Toc14101 34 HYPERLINK l _Toc10599 6.3 接受风险 PAGEREF _Toc10599 35 HYPERLI

7、NK l _Toc22769 6.4 风险管理要求 PAGEREF _Toc22769 35 HYPERLINK l _Toc22723 7 相关文件 PAGEREF _Toc22723 36概述目前信息平安管理的开展趋势是将风险管理与信息平安管理严密结合在一同，将风险概念作为信息平安管理实际的对象和出发点，信息平安管理的控制点以风险出现的能够性作为对象而展开的。ISO27001规范对信息平安管理体系(ISMS)的要求即经过对信息资产的风险管理,确定重要信息资产清单以及风险等级,从而采取相应的控制措施来实现信息资产的平安。信息平安管理是风险管理的过程，风险评价是风险管理的根底。风险管理是指点和

8、控制组织风险的过程。风险管理遵看管理的普通循环方式方案 (Plan)、执行 (Do)、检查 (Check)、行动 (Action)的继续改良方式。ISO27001规范要求企业设计、实施、维护信息平安管理体系都要根据PDCA循环方式。术语与定义风险管理风险管理是以可接受本钱识别、评价、控制、降低能够影响信息系统风险的过程，经过风险评价识别风险，经过制定信息平安方针，采取适当的控制目的与控制方式对风险进展控制，使风险被防止、转移或降低到一个可以被接受的程度，同时思索控制费用与风险之间的平衡。风险管理的中心是信息的维护。信息对于组织是一种具有重要价值的资产。建立信息平安管理体系(ISMS)的目的是在

9、最大范围内维护信息资产，确保信息的性、完好性和可用性，将风险管理自始至终的贯穿于整个信息平安管理体系中，这种体系并不能完全消除信息平安的风险，只是尽量减少风险，尽量将攻击呵斥的损失降低到最低限制。风险评价风险评价指风险分析和风险评价的整个过程，其中风险分析是指系统化地识别风险来源和风险类型，风险评价是指按组织制定的风险规范估算风险程度，确定风险严重性。风险评价的出发点是对与风险有关的各要素确实认和分析，与信息平安风险有关的要素可以包括四大类：资产、要挟、脆弱性、平安控制措施。风险评价是对信息和信息处置设备的要挟、脆弱性和风险的评价，它包含以下元素：风险是被特定要挟利用的资产的一种或一组脆弱性，

10、导致资产丧失或损害的潜在能够性，即特定要挟事件发生的能够性与后果的结合。资产是对组织具有价值的信息资源，是平安控制措施维护的对象。要挟是能够对资产或组织呵斥损害的事故的潜在缘由。脆弱性是资产或资产组中能被要挟利用的弱点。平安控制措施是降低风险的措施、程序或机制。其他资产Asset：对组织具有价值的信息或资源，是平安战略维护的对象。资产价值Asset Value：资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进展资产识别的主要内容。性confidentiality：数据所具有的特性，即表示数据所到达的未提供或未泄露给未授权的个人、过程或其他实体的程度。完好性integrity：保证信

11、息及信息系统不会被非授权更改或破坏的特性。包括数据完好性和系统完好性。可用性availability：数据或资源的特性，被授权实体按要求能访问和运用数据或资源。数据完好性data integrity ：数据所具有的特性，即无论数据方式作何变化，数据的准确性和一致性均坚持不变。系统完好性system integrity ：在防止非授权用户修正或运用资源和防止授权用户不正确地修正或运用资源的情况下，信息系统能履行其操作目的的质量。信息平安风险information security risk：人为或自然的要挟利用信息系统及其管理体系中存在的脆弱性导致平安事件的发生及其对组织呵斥的影响。信息平安风险

12、评价information security risk assessment：根据有关信息平安技术与管理规范，对信息系统及由其处置、传输和存储的信息的性、完好性和可用性等平安属性进展评价的过程。它要评价资产面临的要挟以及要挟利用脆弱性导致平安事件的能够性，并结合平安事件所涉及的资产价值来判别平安事件一旦发生对组织呵斥的影响。信息系统information system：由计算机及其相关的和配套的设备、设备(含网络)构成的，按照一定的运用目的和规那么对信息进展采集、加工、存储、传输、检索等处置的人机系统。典型的信息系统由三部分组成：硬件系统计算机硬件系统和网络硬件系统；系统软件计算机系统软件和网

13、络系统软件；运用软件包括由其处置、存储的信息。检查评价inspection assessment：由被评价组织的上级主管机关或业务主管机关发起的，根据国家有关法规与规范，对信息系统及其管理进展的具有强迫性的检查活动。组织organization：由作用不同的个体为实施共同的业务目的而建立的构造。组织的特性在于为完成目的而分工、协作；一个单位是一个组织，某个业务部门也可以是一个组织。剩余风险residual risk：采取了平安措施后，依然能够存在的风险。自评价self-assessment：由组织本身发起，参照国家有关法规与规范，对信息系统及其管理进展的风险评价活动。平安事件security

14、event ：指系统、效力或网络的一种可识别形状的发生，它能够是对信息平安战略的违反或防护措施的失效，或未预知的不平安情况。平安措施security measure：维护资产、抵御要挟、减少脆弱性、降低平安事件的影响，以及打击信息犯罪而实施的各种实际、规程和机制的总称。平安需求security requirement：为保证组织业务战略的正常运作而在平安措施方面提出的要求。要挟threat：能够导致对系统或组织危害的不希望事故潜在缘由。脆弱性vulnerability：能够被要挟所利用的资产或假设干资产的弱点。风险评价框架及流程本章提出了风险评价的要素关系、分析原理及实施流程。风险要素关系资产

15、一切者应对信息资产进展维护，经过分析信息资产的脆弱性来确定要挟能够利用哪些弱点来破坏其平安性。风险评价要识别资产相关要素的关系，从而判别资产面临的风险大小。风险评价中各要素的关系如图3-1所示：图3-1 风险要素关系图图3-1中方框部分的内容为风险评价的根本要素，椭圆部分的内容是与这些要素相关的属性。风险评价围绕着这些根本要素展开，在对这些要素的评价过程中，需求充分思索业务战略、资产价值、平安需求、平安事件、剩余风险等与这些根本要素相关的各类属性。图3-1中的风险要素及属性之间存在着以下关系： 业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；资产是有价值的，组织的业务战略对资产的

16、依赖程度越高，资产价值就越大；资产价值越大，原那么上那么其面临的风险越大；风险是由要挟引发的，资产面临的要挟越多那么风险越大，并能够导致平安事件；弱点越多，要挟利用脆弱性导致平安事件的能够性越大；脆弱性是未被满足的平安需求，要挟利用脆弱性危害资产，从而构成风险；风险的存在及对风险的认识导出平安需求；平安需求可经过平安措施得以满足，需求结合资产价值思索实施本钱；平安措施可抵御要挟，降低平安事件发生的能够性，并减少影响；风险不能够也没有必要降为零，在实施了平安措施后还能够有剩余风险。有些剩余风险的缘由能够是平安措施不当或无效,需求继续控制；而有些剩余风险那么是在综合思索了平安本钱与效益后未去控制的

17、风险，是可以接受的；剩余风险应遭到亲密监视，它能够会在未来诱发新的平安事件。风险分析原理 风险分析原理如图3-2所示：图3-2 风险分析原理图风险分析中要涉及资产、要挟、脆弱性等根本要素。每个要素有各自的属性，资产的属性是资产价值；要挟的属性可以是要挟主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为：对资产进展识别，并对资产的价值进展赋值；对要挟进展识别，描画要挟的属性，并对要挟出现的频率赋值；对资产的脆弱性进展识别，并对详细资产的脆弱性的严重程度赋值；根据要挟及要挟利用弱点的难易程度判别平安事件发生的能够性；根据脆弱性的严重程度及平安事件所作用资产的价

18、值计算平安事件的损失；根据平安事件发生的能够性以及平安事件的损失，计算平安事件一旦发生对组织的影响，即风险值。实施流程图3-3给出风险评价的实施流程，第4章将围绕风险评价流程论述风险评价各详细实施步骤。图3-3 风险评价实施流程图 风险评价预备过程风险评价的预备过程是运维中心进展风险评价的根底，是整个风险评价过程有效性的保证。运维中心对信息及信息系统进展风险评价是一种战略性的思索，其结果将遭到运维中心业务需求及战略目的、文化、业务流程、平安要求、规模和构造的影响。因此在风险评价实施前，应：确定风险评价的范围；确定风险评价的目的；建立适当的组织构造；建立系统化的风险评价方法；获得最高管理者对风险

19、评价谋划的同意。确定范围进展风险评价是基于运维中心本身商业要求及战略目的的要求，国家法律法规和行业监管要求，根据上述要求确定风险评价范围，每次评价范围可以是全公司的信息和信息系统，可以是单独的信息系统，可以是关键业务流程。此项任务需求在资产识别和分类任务根底上进展。确定目的运维中心的信息、信息系统、运用软件和网络是运维中心重要的资产，信息资产的性，完好性和可用性对于维持竞争优势，提高平安管理程度，符合法律法规要求和运维中心的笼统是必要的。运维中心要面对四面八方日益增长的平安要挟，信息、信息系统、运用软件和网络能够是严重要挟的目的，同时由于运维中心信息化程度不断提高，对信息系统和技术的依赖日益添

20、加，那么能够出现更多的脆弱性。运维中心风险评价的目的来源于业务继续开展的需求、满足国家法律法规和行业监管的要求等方面。确定组织构造在风险评价过程中，应建立适宜的组织构造，以推进评价过程，成立由管理层、相关业务骨干、IT技术人员等组成的风险评价小组，以保证可以满足风险评价的范围、目的。确定风险评价方法风险评价方法应思索评价的范围、目的、时间、效果、组织文化、人员素质以及详细开展的程度等要素来确定，使之可以与运维中心的环境和平安要求相顺应。获得最高管理者同意上述一切内容应得到运维中心管理层同意，并对相关部门和员工进展传达，就风险评价相关内容进展培训，以明确各有关人员在风险评价中的义务。风险评价实施

21、过程信息平安各组成要素：资产的价值、对资产的要挟和要挟发生的能够性、资产脆弱性、现有的平安控制提供的维护，风险评价过程是综合以上要素而导出风险的过程，如图5-1所示：资产赋值脆弱性评价要挟评价确定现有控制风险评价图5-1风险评价的过程详细的风险评价方法描画详细的风险评价是对资产、要挟和脆弱点进展详细的识别和估价，评价结果被用于评价风险和平安控制的识别和选择。经过识别资产的风险并将风险降低到可接受程度，来证明管理者所采用的平安控制是适当的。详细的风险评价，需求仔细地制定被评价的信息系统范围内的业务环境、业务运营、信息和资产的边境，是一个需求管理者继续关注的方法，如下表：风险评价评价活动资产赋值识

22、别和列出信息平安管理范围内被评价的业务环境、业务运营和信息相关的一切的资产，定义一个价值尺度并为每一项资产分配价值性、完好性和可用性的价值。要挟评价识别与资产相关的一切要挟，并根据它们发生的能够性为它们赋值。脆弱性评价识别与资产相关的一切的脆弱点，并根据它们被要挟利用的程度和严重性来赋值。确定现有控制识别与记录一切与资产相关联的、现有的控制。风险评价利用上述对资产、要挟、脆弱点的评价结果，进展风险评价，风险为资产的相对价值、要挟发生的能够性与脆弱点被利用的能够性的函数，采用适当的风险丈量工具进展风险计算。表5-1 详细风险评价内容详细风险评价方法将平安风险作为资产、要挟及脆弱点的函数来进展识别

23、与评价，详细程序包括：对资产阐明它们的价值、业务相关性、要挟阐明它们发生的能够性和脆弱性阐明有关它们的弱点和敏感性的程度进展丈量与赋值。运用预定义风险计算函数完成风险丈量。资产赋值资产赋值就是要识别影响信息系统的信息资产以下简称资产，并评价其价值，包括资产识别与资产赋值两部分。资产识别 资产是影响信息系统运转而需求维护的有用资源，资产以多种方式存在。运维中心资产分为：硬件类、系统效力类、支撑效力类、信息类、人员、无形资产等，每类资产具有不同价值属性和存在特点，固有的弱点、面临的要挟、需求实施的维护和平安控制各不一样。 为了对资产进展有效的维护，组织需求在各个管理层对资产落实责任，进展恰当的管理

24、。 在信息平安体系范围内识别资产并为资产编制清单是一项重要任务，每项资产都应该明晰地定义，在组织中明确资产一切权关系，进展平安分类，并以文件方式详细记录在案。 资产赋值 为了明确对资产的维护，有必要对资产进展估价，其价值大小不仅仅是思索其本身的价值，还要思索其业务的相关性和一定条件下的潜在价值。资产价值经常是以平安事件发生时所产生的潜在业务影响来衡量，平安事件会导致资产性、完好性和可用性的损失，从而导致企业资金、市场份额、企业笼统的损失。为了资产评价的一致性与准确性，组织该当建立一个资产的价值评价规范，对每一种资产和每一种能够的损失，例如性、完好性和可用性的损失，都可以赋予一个价值。但采用准确

25、的方式给资产赋值是较困难的一件事，普通采用定性的方式，按照事前建立的资产的价值评价规范将资产的价值划分为不同等级。经过资产的识别与估价后，组织应根据资产价值大小，进一步确定要维护的关键资产。 资产分别具有不同的平安属性，性、完好性和可用性分别反映了资产在三个不同方面的特性。平安属性的不同通常也意味着平安控制、维护功能需求的不同。经过调查三种不同平安属性，可以得出一个可以根本反映资产价值的数值。对信息资产进展估价赋值的目的是为了更好地反映资产的价值，以便于进一步调查资产相关的弱点、要挟和风险属性，并进展量化。 在评价过程，为了保证没有资产被忽略和脱漏，应该先确定信息平安管理体系(ISMS)范围，

26、建立资产的评审边境。评价资产最简单的方式是列出组织业务过程中、平安管理体系范围内一切具有价值的资产，然后对资产赋予一定的价值，这种价值应该反映资产对组织业务运营的重要性，并以对业务的潜在影响程度表现出来。例如，资产价值越大，由于泄露、修正、损害、不可用等平安事件对组织业务的潜在影响就越大。基于组织业务需求的资产的识别与估价，是建立信息平安体系，确定风险的重要一步。 资产的价值该当由资产的一切者和相关用户来确定，只需他们才最清楚资产对组织业务的重要性，才干较准确地评价出资产的实践价值。为确保资产赋值时的一致性和准确性，组织应建立一个资产价值评价尺度，以指点资产赋值。 在对资产赋予价值时，一方面要

27、思索资产购买本钱及维护本钱，另一方面主要思索当这种资产的性、完好性、可用性遭到损害时，对业务运营的负面影响程度。在信息平安管理中，并不是直接采用资产的账面价值，在运维中心风险评价中采用以定性分级的方式建立资产的相对价值，以相对价值来作为确定重要资产的根据和为这种资产的维护投入多大资源的根据。资产分类 运维中心资产分类见下表：大类小类称号硬件类H010大型机H020小型机H030PC效力器H040PC台式机H050PC挪动电脑H060业务终端H070通讯设备H080网络交换机H090网络路由器H100负载平衡器H110网络平安设备H120数据存储设备H130挪动存储设备H140存储介质H150纸

28、质文档H160智能卡设备H170UPS设备H180发电机H190设备管理间H200电线电缆H210显示设备H220监控设备H230机/系统H240照明设备H250供电设备H260供水设备H270暖通空调H280消防设备H290门禁系统H300打印机H310复印机H320扫描仪H330投影机H340机架系统效力类S010中心业务运用系统S020辅助业务运用系统S030网络根底运用系统S040网络平安系统S050操作系统S060数据库S070中间件S080软件开发工具S090软件测试工具S100其他系统或效力信息类I010软件I020开发文档及源代码I030用户文档I040系统业务数据I050系统

29、支撑数据I060密码数据I070其他支撑效力类F010通讯效力F020系统运转F030系统维护F040软件开发F050软件维护F060平安捍卫F070人力资源效力F080财务效力F090供电F100供暖F110消防F120照明F130空调F140咨询效力F150培训效力F160审计效力人员类R010管理层人员R020网络管理人员R030系统管理人员R040平安管理人员R050软件开发人员R060软件测试人员R070通讯管理人员R080文档管理人员R090系统用户R100企业客户R110签约供应商R120第三方人员R130暂时人员无形资产类W010公信力 W020组织笼统与声誉 W030商标W0

30、40产品称号W050知识产权表5-2 资产分类表资产价值属性除了性、完好性和可用性外，在运维中心风险评价中引入系统对业务的重要程度、资产对系统的重要程度，资产破费等资产价值属性，各价值属性图示如下：图5-2 资产价值属性系统效力范围：阐明当前业务系统运用或效力的范围，评价人员可以人工分析并选择系统效力范围值。业务对系统的依赖程度：用于衡量部门业务对当前业务系统的依赖程度，评价人员可以人工分析并选择业务对系统的依赖程度值。系统对业务的重要程度：用于衡量业务系统对业务的重要性，其值由系统效力范围和业务对系统的依赖程度确定。信息严密性：阐明信息资产本身或硬件、系统效力类资产所包含信息的严密性价值，评

31、价人员可以人工分析并选择信息严密性值。信息完好性：阐明信息资产本身或硬件、系统效力类资产所包含信息的完好性价值，评价人员可以人工分析并选择信息完好性值。信息可用性：阐明信息资产本身或硬件、系统效力类资产所包含信息的可用性价值，评价人员可以人工分析并选择信息可用性值。资产信息重要性：用于衡量信息资产本身或硬件、系统效力类资产所包含信息的信息价值，其值由信息严密性、信息完好性和信息可用性确定。资产对系统的重要程度：用于衡量硬件、系统效力类资产对业务系统的可用性价值，评价人员可以人工分析并选择对系统的重要程度值。资产对业务的重要程度：用于衡量硬件、系统效力类资产对业务的重要性，其值由系统对业务的重要

32、程度和资产对系统的重要程度确定。资产业务价值：用于衡量硬件、系统效力、人员及其它类资产对业务的价值，对于人员及无形类资产，其值由对业务的重要程度确定，对于硬件、系统效力类资产，其值由对业务的重要程度和资产信息重要性确定。破费：用于衡量购买或恢复被破坏的资产所需求的花消，评价人员可以人工分析并选择破费值。资产价值：用于表示资产的重要性，其值由资产业务价值和破费确定。不同类别资产赋值能够采用不同的价值属性。详细见下表：资产类别价值属性硬件类系统效力类信息类支撑效力人员无形资产系统效力范围业务对系统的依赖程度系统对业务的重要程度严密性完好性可用性资产CIA重要性资产对系统的重要程度资产对业务的重要程

33、度资产业务价值破费表5-3 不同资产采用的价值属性资产价值属性赋值规范运维中心风险评价运用的资产属性赋值规范见下表：系统效力范围赋值系统效力范围赋值描画1运维中心内部。2面向开发基地。3面向整个公司内部。4面向整个公司内部及客户、政府、组织等。表5-4 系统效力范围赋值表业务对系统的依赖程度赋值业务对系统依赖程度赋值描画1整个业务处置流程可以经过手工方式或其他方式完成，而且这些替代方式对组织业务的开展没有或极少影响。2整个业务处置流程可以经过手工方式或其他方式完成，但这些替代方式对组织业务的开展有较大的影响。3业务处置流程的部分环节可以经过手工方式或其他方式替代完成, 这些替代方式对组织业务的

34、开展有较大的影响。4业务处置流程完全依赖信息系统，手工方式无法完成。表5-5业务对系统的依赖程度赋值表系统对业务的重要程度计算系统重要程度权值W系统效力范围值+业务对系统依赖程度值系统重要程度值T1WT1是非线性函数，用于将计算出的权值W映射到5级，得到系统重要程度值，见下表：系统对业务重要程度赋值描画1W=2，32W=43W=54W=65W=7，8表5-6系统对业务的重要程度计算表信息严密性赋值信息严密性赋值描画1信息的未授权泄露对运维中心的业务以及利益根本不会遭到影响或损害极小。2信息的未授权泄露对运维中心的业务以及利益带来一定的损失或破坏。3信息的未授权泄露对运维中心的业务、利益以及整个

35、公司利益带来严重的损失或破坏。4信息的未授权泄露对运维中心的业务、利益以及整个公司利益带来极其严重的损失或破坏。5信息的未授权泄露会对运维中心的业务、利益以及整个公司利益带来灾难性的损失或破坏。表5-7信息严密性赋值表信息完好性赋值信息完好性赋值描画1信息的未授权的修正或破坏对运维中心的业务以及利益根本不会遭到影响或损害极小。2信息的未授权的修正或破坏对运维中心的业务以及利益带来一定的损失或破坏。3信息的未授权的修正或破坏对运维中心的业务、利益以及整个公司利益带来严重的损失或破坏。4信息的未授权的修正或破坏会对运维中心的业务、利益以及整个公司利益带来极其严重的损失或破坏。5信息的未授权的修正或

36、破坏会对运维中心的业务、利益以及整个公司利益带来灾难性的损失或破坏。表5-8信息完好性赋值表信息可用性赋值信息可用性赋值描画1可用性价值可以忽略，合法运用者对信息及信息系统的可用度在正常任务时间低于25%2可用性价值较低，合法运用者对信息及信息系统的可用度在正常任务时间到达25%以上3可用性价值中等，合法运用者对信息及信息系统的可用度在正常任务时间到达70%以上4可用性价值较高，合法运用者对信息及信息系统的可用度到达每天90%以上5可用性价值非常高，合法运用者对信息及信息系统的可用度到达年度99.9%以上表5-9信息可用性赋值表资产CIA重要性计算资产CIA重要性值MAX严密性值、完好性值、可

37、用性值资产对系统的重要程度赋值对系统的重要程度赋值描画1资产出现问题对整个业务系统的可用性影响极小或没有影响。2资产出现问题对整个业务系统的可用性有一定的影响。3资产出现问题对整个业务系统的可用性有较大的影响。4资产出现问题将导致整个业务系统丧失可用性。表5-10资产对系统的重要程度赋值表资产对业务的重要程度计算资产对业务的重要程度权重(W)系统对业务的重要程度值资产对系统的重要程度值资产对业务的重要程度值T2WT2是非线性函数，用于将计算出的权值W映射到5级，得到资产对业务重要程度值，见下表：资产对业务重要程度赋值描画1W=1，22W=3，4，53W=6，8，94W=10，125W=15，1

38、6，20表5-11资产对业务的重要程度计算表资产业务价值计算资产业务价值MAX资产对业务的重要程度值、资产CIA重要性值破费赋值资产破费赋值描画1购买或恢复资产破费=0.1万元。20.1万元购买或恢复资产破费1万元。31万元购买或恢复资产破费10万元。410万元购买或恢复资产破费50万元。550万元 1 次/半年；或在某种情况下能够会发生；或被证明曾经发生过。2低出现的频率较小；或普通不太能够发生；或没有被证明发生过。1很低要挟几乎不能够发生，仅能够在非常稀有和例外的情况下发生。表5-15要挟赋值表脆弱性评价 脆弱性评价也称为破绽评价，是风险评价中重要内容。脆弱性是信息资产本身存在的，它可以被

39、要挟利用、引起资产或商业目的的损害。脆弱性包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的弱点。 值得留意的是，脆弱性虽然是信息资产本身固有的，但它本身不会呵斥损失，它只是一种条件或环境、能够导致被要挟利用而呵斥资产损失。所以假设没有相应的要挟发生，单纯的脆弱性并不会对资产呵斥损害。那些没有平安要挟的脆弱性可以不需求实施平安维护措施，但它们必需记录下来以确保当环境、条件有所变化时能随之加以改动平安维护，需求留意的是不正确的、起不到应有作用的或没有正确实施的平安维护措施本身就能够是一个平安脆弱性环节。 脆弱性评价将针对每一项需求维护的信息资产，找出每一种要挟所能利用的脆弱

40、性，并对脆弱性的严重程度进展评价，即对脆弱性被要挟利用的能够性进展评价，最终为其赋值。在进展脆弱性评价时，提供的数据应该于这些资产的拥有者或运用者，于相关业务领域的专家以及软硬件信息系统方面的专业人员。脆弱性评价所采用的方法主要为：问卷调查、访谈、工具扫描、手动检查、文档审查、浸透测试等。 在运维中心风险评价中采用问卷调查、小组访谈、工具扫描和人工检查等方法。 脆弱性的识别以资产为中心，即根据每个资产分别识别其存在的弱点，然后综合评价该资产的脆弱性。 脆弱性识别主要从技术和管理两个方面进展，技术脆弱性涉及物理层、网络层、系统层、运用层等各个层面的平安问题。管理脆弱性又可分为技术管理和组织管理两

41、方面，前者与详细技术活动相关，后者与管理环境相关。脆弱性识别内容如下表述：类型识别对象识别内容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通讯线路的维护、机房区域防护、机房设备管理等方面进展识别。效力器含操作系统从物理维护、用户帐号、口令战略、资源共享、事件审计、访问控制、新系统配置初始化、注册表加固、网络平安、系统管理等方面进展识别。网络构造从网络构造设计、边境维护、外部访问控制战略、内部访问控制战略、网络设备平安配置等方面进展识别。数据库从补丁安装、鉴别机制、口令机制、访问控制、网络和效力设置、备份恢复机制、审计机制等方面进展识别。运用系统审计

42、机制、审计存储、访问控制战略、数据完好性、通讯、鉴别机制、密码维护等方面进展识别。管理脆弱性技术管理物理和环境平安、通讯与操作管理、访问控制、系统开发与维护、业务延续性。组织管理平安战略、组织平安、资产分类与控制、人员平安、符合性表5-16弱点分类表 平安控制措施的运用将减少脆弱性，思索对现有平安控制措施确实认，采用等级方式对已识别的脆弱性的严重程度进展赋值。 脆弱性严重程度的等级划分为五级，分别代表资产脆弱性严重程度的高低。等级数值越大，脆弱性严重程度越高。 运维中心风险评价对脆弱性采用以下赋值方法： 等级影响 技术 攻击角度 管理防备角度1(可忽略)假设被要挟利用，将对资产呵斥的损害可以忽

43、略。 技术方面存在着低等级缺陷，从技术角度很难被利用 对于攻击者来说，该破绽目前还不可以被直接或者间接利用，或者利用的难度极高 组织管理中没有相关的薄弱环节，很难被利用 有规定，严厉审核、记录、校验2(低)假设被要挟利用，将对资产呵斥较小损害。 技术方面存在着低等级缺陷，从技术角度难以被利用 对于攻击者来说，该破绽无法被直接利用(需求其他条件配合)或者利用的难度较高 组织管理中没有相应的薄弱环节，难以被利用 有规定，职责明确，有专人担任检查执行落实情况，有记录3(中)假设被要挟利用，将对资产呵斥普通损害。 技术方面存在着普通缺陷，从技术角度可以被利用 可以配合其他条件被攻击者加以直接利用，或者

44、该破绽的利用有一定的难度 组织管理中没有明显的薄弱环节，可以被利用 有规定，定期检查落实，有记录4(高)假设被要挟利用，将对资产呵斥艰苦损害。 技术方面存在着严重的缺陷，比较容易被利用 一个特定破绽，可以配合其他条件被攻击者加以直接利用，或者该破绽的利用有一定的难度 组织管理中存在着薄弱环节，比较容易被利用 有规定执行完全靠人自觉5(极高)假设被要挟利用，将对资产呵斥完全损害。 技术方面存在着非常严重的缺陷，很容易被利用 在没有任何维护措施的情况下，暴露于低平安级别网络上 组织管理中存在着明显的薄弱环节，并且很容易被利用 无人担任，无人过问表5-17弱点赋值表确定现有控制 在识别脆弱性的同时，

45、评价人员应对已采取的平安措施的有效性进展确认。平安措施确实认应评价其有效性，即能否真正地降低了系统的脆弱性，抵御了要挟。对有效的平安措施继续坚持，以防止不用要的任务和费用，防止平安措施的反复实施。对确以为不适当的平安措施应核实能否应被取消或对其进展修正，或用更适宜的平安措施替代。 平安措施可以分为预防性平安措施和维护性平安措施两种。预防性平安措施可以降低要挟利用脆弱性导致平安事件发生的能够性，如入侵检测系统；维护性平安措施可以减少因平安事件发生后对组织或系统呵斥的影响，如业务继续性方案。 已有平安措施确认与脆弱性识别存在一定的联络。普通来说，平安措施的运用将减少系统技术或管理上的弱点，但平安措

46、施确认并不需求和脆弱性识别过程那样详细到每个资产、组件的弱点，而是一类详细措施的集合，为风险处置方案的制定提供根据和参考。风险评价完成资产评价、要挟评价、脆弱性评价后，并思索已有平安措施的情况下，利用恰当的方法与工具确定要挟利用资产脆弱性发生平安事件的能够性，并结合资产的平安属性遭到破坏后的影响得出信息资产的风险。风险值计算在完成了资产识别、要挟识别、脆弱性识别，以及对已有平安措施确认后，将采用适当的方法与工具确定要挟利用脆弱性导致平安事件发生的能够性。综合平安事件所作用的资产价值及脆弱性的严重程度，判别平安事件呵斥的损失对组织的影响，即平安风险。运用本方法需求首先确定信息资产、要挟和脆弱性的

47、赋值，要完成这些赋值，需求管理人员、技术人员的配合。运维中心风险评价中风险值计算方式如下：风险值(RW)资产价值要挟能够性值脆弱性严重程度值风险等级划分确定风险数值的大小不是风险评价的最终目的，重要的是明确不同要挟对资产所产生的风险的相对值，即要确定不同风险的优先次序或等级，对于风险级别高的资产应被优先分配资源进展维护。风险等级在运维中心风险评价中采用分值计算表示。分值越大，风险越高。见下表。风险等级标识风险值范围描画建议处置方式1很低RW5发生平安事件的能够性极小，即使发生对系统或组织也根本没影响。A-接受2低6RW10发生平安事件的能够性较小，平安事件发生后使系统遭到的破坏较小或使组织利益

48、遭到的损失较少。A-接受3中11RW30发生平安事件的能够性普通，平安事件发生后将使系统遭到一定的破坏或使组织利益遭到一定的损失。B-降低4高31RW40发生平安事件的能够性较大，平安事件发生后将使系统遭到较大的破坏或使组织利益遭到较多的损失。B-降低5极高41RW发生平安事件的能够性很大，平安事件发生后将使系统遭到很大的破坏或使组织利益遭到很多的损失。B-降低表5-20风险等级描画表风险评价结果纪录风险评价的过程需求构成相关的文件及记录，文档管理思索以下控制：文件发布前得到同意，以确保文件是充分的；必要时对文件进展评审、更新并再次同意；确保文件的更改和现行修订形状得到识别；确保在运用时，可获

49、得有关版本的适用文件；确保文件坚持明晰、易于识别；确保外来文件得到识别；确保文件的分发得到适当的控制；防止作废文件的非预期运用，假设因任何目的需保管作废文件时，应对这些文件进展适当的标识。对于风险评价过程中构成的记录，还应规定记录的标识、储存、维护、检索、保管期限以及处置所需的控制。记录能否需求以及详略程度由管理过程来决议。风险评价过程应构成以下文件：风险评价过程方案：该方案中应论述风险评价的范围、目的、组织机构、评价过程所需资源、构成的评价结果。风险评价程序：程序中应明确评价的目的、职责、过程、相关的文件要求，并且预备评价阶段需求的表格，如信息资产识别与评价表。信息资产识别清单：根据在风险评

50、价程序文件中规定的资产分类方法进展资产的识别，并构成信息资产识别清单，清单中应明确各资产的担任人/部门。要挟参考列表：应根据评价对象、环境等要素，构成要挟的分类方法及详细的要挟列表，为风险评价提供支持。脆弱性参考列表：应针对不同分类的评价对象本身的弱点，构成脆弱性参考列表，为风险评价提供支持。风险评价记录：根据组织的风险评价程序文件，记录对重要信息资产的风险评价过程，包括脆弱性、要挟的赋值，已有平安控制措施确实认，风险值的计算与等级划分。风险评价报告：风险评价报告应对整个风险评价过程进展总结，阐明组织的风险情况及剩余风险情况，经过管理层的评审，确定评价后的风险情况满足业务开展及其他相关方的要求

51、。上述文件均应由运维中心管理层同意。风险管理过程经过风险评价对风险进展识别与估价后，引入适宜的控制措施，对风险实施管理，把风险降低到运维中心可以接受的程度，对风险的管理过程如以下图所示：图6-1 风险管理过程平安控制的识别与选择选择平安控制的另一个重要方面就是费用要素，假照实施与维护这些控制的费用比资产蒙受要挟所呵斥的损失的预期值还要高，那么所选择的控制是不适宜的；假设控制费用比组织方案的平安预算要高，也是不适当的。但假设由于预算缺乏使控制的数据与质量下降，就会使系统产生不用要的风险，对此要特别留意。平安控制预算应该作为一个限制性的要素加以思索。同样，也可以对现有的控制进展费用比较，假设现有控制不是充分有效，就要思索取消或改良。根据ISO27001的要求，运维中心在以下领域引入控制措施：平安政策信息平安的组织资产管理人力资源平安物理与环境平安通讯与操作管理访问控制信息系统获取、开发及维护信息平安事故管理业务延续性管理符合性控制的选择要思索非技术性的控制与技术性的控制之间的平衡，两种控制之间是相互支持与互补的。运营管理包括物理、人员、行政管理等方面平安的控制。中选择