ISOIEC标准系列培训课程信息安全风险管理演示文稿

ISOIEC标准系列培训课程信息安全风险管理演示文稿现在是1页\一共有86页\编辑于星期一优选ISOIEC标准系列培训课程信息安全风险管理ppt现在是2页\一共有86页\编辑于星期一信息安全风险管理过程风险评估环境建立风险识别风险分析风险评价风险处置沟通和磋商监视和评审风险评估环境建立风险识别风险分析风险评价风险处置风险接受满足？满足？风险沟通和磋商风险监视和评审风险决策点1评估满足风险决策点2处置满足NONOYESYES第一次结束或随后重复信息安全风险评估过程ISO31000风险评估过程现在是3页\一共有86页\编辑于星期一信息安全风险管理过程信息安全风险管理过程风险评估环境建立风险识别风险分析风险评价风险处置沟通和磋商监视和评审9.绩效评价ISO/IEC27001:20136.1.3.信息安全风险处置ISO/IEC27001:20136.1.2.信息安全风险评估ISO/IEC27001:20137.支持ISO/IEC27001:20134.组织背景ISO/IEC27001:2013现在是4页\一共有86页\编辑于星期一信息安全风险管理过程ISMS的调整和风险管理过程ISMS过程信息安全风险管理过程计划（P）建立环境风险评估开发风险计划风险接受实施（D）实施风险处置计划检查（C）持续监视和评审风险改进（A）维持和改进信息安全风险管理过程现在是5页\一共有86页\编辑于星期一信息安全风险管理确定环境信息1风险评估2风险处置3风险接受４沟通与磋商５监视和评审６现在是6页\一共有86页\编辑于星期一信息安全风险管理过程风险评估环境建立风险识别风险分析风险评价风险处置风险接受满足？满足？风险沟通和磋商风险监视和评审风险决策点1评估满足风险决策点2处置满足NONOYESYES第一次结束或随后重复信息安全风险管理过程现在是7页\一共有86页\编辑于星期一确定环境信息外部环境信息内部环境信息输入基本准则说明范围和边界说明组织架构说明输出确定基本准则确定范围和边界确定组织架构过程实施指南确定信息安全风险评估的宗旨：支持ISMS符合法律和尽职调查的证据准备业务连续性计划准备事件响应计划描述某个产品、服务或机制对信息安全要求现在是8页\一共有86页\编辑于星期一确定环境信息

外部环境信息externalcontext组织寻求实现其目标的外部环境。注：外部环境可包括：文化、社会、政治、法律法规、财政金融、技术、经济、自然和竞争环境，无论国际、国家、区域或地方对组织目标具有影响的主要驱动和趋势。与外部利益相关方的关系和其感受和价值观。

[ISO导则73:2009,定义]内部环境信息internalcontext组织寻求实现其目标的外部环境。注：内部状况可包括：治理、组织结构、作用和责任；方针、目标、以及实现它们的战略；以资源和知识来理解的能力（如资本、时间、人员、过程、系统和技术）；信息系统、信息流和决策过程（正式和非正式的）；与内部利益相关方的关系、以及他们的感受和价值观；组织的文化；标准、指南和组织采用的模式；合同关系的形式和范围[ISO导则73:2009,定义]现在是9页\一共有86页\编辑于星期一确定环境信息基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构风险管理方法根据风险管理的范围和目标的不同，可能采用不同的方法。对于每一循环，所采用的方法也可能不同。一个合适的风险管理方法应该选择或开发基本准则，如风险评价准则、影响准则、风险接受准则。现在是10页\一共有86页\编辑于星期一确定环境信息工具及技术风险评估过程风险识别风险分析风险评价后果可能性风险等级头脑风暴法SA1A2AAA结构化/半结构化访谈SAAAAA德尔菲法SAAAAA情景分析SASAAAA检查表SANA3NANANA预先危险分析SANANANANA失效模式和效应分析（FMEA）SANANANANA危险与可操作性分析（HAZOP）SASANANASA危险分析与关键控制点（HACCP）SASANANASA保护层分析法SANANANANA结构化假设分析(SWIFT)SASASASASA风险矩阵SASASASAA人因可靠性分析SASASASAA以可靠性为中心的维修SASASASASA业务影响分析ASAAAA根原因分析ANASASANA工具及技术风险评估过程风险识别风险分析风险评价后果可能性风险等级潜在通路分析ANANANANA因果分析ASANAAA风险指数ASASAASA故障树分析NAAAAA事件树分析NASASAANA决策树分析NASASAAABow-tie法NAASASAA层次分析法（AHP）NASASASASA在险值（VaR）法NASASASASA均值—方差模型NAAAASA资本资产定价模型NANANANASAFN曲线ASASAASA马尔可夫分析法ANASANANA蒙特卡罗模拟法NASASASASA贝叶斯分析NANASANASA1）SA表示非常适用；2）A表示适用；3）NA表示不适用。风险评估技术现在是11页\一共有86页\编辑于星期一确定环境信息风险评估技术的特征风险评估方法及技术说明影响因素能否提供定量结果资源与能力不确定性的性质与程度复杂性头脑风暴法及结构化访谈一种收集各种观点及评价并将其在团队内进行评级的方法。头脑风暴法可由提示、一对一以及一对多的访谈技术所激发。低低低否德尔菲法一种综合各类专家观点并促其一致的方法，这些观点有利于支持风险源及影响的识别、可能性与后果分析以及风险评价。需要独立分析和专家投票。中中中否情景分析在想象和推测的基础上，对可能发生的未来情景加以描述。可以通过正式或非正式的、定性或定量的手段进行情景分析。中高中否检查表一种简单的风险识别技术，提供了一系列典型的需要考虑的不确定性因素。使用者可参照以前的风险清单、规定或标准。低低低否预先危险分析（PHA）PHA是一种简单的归纳分析方法，其目标是识别风险以及可能危害特定活动、设备或系统的危险性情况及事项。低高中否失效模式和效应分析（FMEA）FMEA是一种识别失效模式、机制及其影响的技术。有几类FMEA：设计（或产品）FMEA，用于部件及产品；系统FMEA；过程FMEA，用于加工及组装过程；还有服务FMEA及软件FMEA。中中中是危险与可操作性分析（HAZOP）HAZOP是一种综合性的风险识别过程，用于明确可能偏离预期绩效的偏差，并可评估偏离的危害度。它使用一种基于引导词的系统。中高高否危险分析与关键控制点（HACCP）HACCP是一种系统的、前瞻性及预防性的技术，通过测量并监控那些应处于规定限值内的具体特征来确保产品质量、可靠性以及过程的安全性。中中中否保护层分析法保护层分析，也被称作障碍分析，它可以对控制及其效果进行评价。中中中是结构化假设分析（SWIFT）一种激发团队识别风险的技术，通常在引导式研讨班上使用，并可用于风险分析及评价。中中任何否风险矩阵风险矩阵（RiskMatrix）是一种将后果分级与风险可能性相结合的方式。中中中是现在是12页\一共有86页\编辑于星期一确定环境信息风险评估技术的特征风险评估方法及技术说明影响因素能否提供定量结果资源与能力不确定性的性质与程度复杂性人因可靠性分析人因可靠性分析（HRA）主要关注系统绩效中人为因素的作用，可用于评价人为错误对系统的影响。中中中是以可靠性为中心的维修以可靠性为中心的维修（RCM）是一种基于可靠性分析方法实现维修策略优化的技术，其目标是在满足安全性、环境技术要求和使用工作要求的同时，获得产品的最小维修资源消耗。通过这项工作，用户可以找出系统组成中对系统性能影响最大的零部件及其维修工作方式。中中中是业务影响分析分析重要风险影响组织运营的方式，同时明确如何对这些风险进行管理。中中中否根原因分析对发生的单项损失进行分析，以理解造成损失的原因以及如何改进系统或过程以避免未来出现类似的损失。分析应考虑发生损失时可使用的风险控制方法以及怎样改进风险控制方法。中低中否潜在通路分析潜在分析（SA）是一种用于识别设计错误的技术。潜在通路是指能够导致出现非期望的功能或抑制期望功能的状态，这些不良状态的特点具有随意性，在最严格的标准化系统检查中也不一定检测到。中中中否因果分析综合运用故障树分析和事件树分析，并允许时间延误。初始事件的原因和后果都要予以考虑。高中高是风险指数风险指数可以提供一种有效的划分风险等级的工具。中低中是故障树分析始于不良事项（顶事件）的分析并确定该事件可能发生的所有方式，并以逻辑树形图的形式进行展示。在建立起故障树后，就应考虑如何减轻或消除潜在的风险源。高高中是事件树分析运用归纳推理方法将各类初始事件的可能性转化成可能发生的结果。中中中是决策树分析对于决策问题的细节提供了一种清楚的图解说明。高中中是现在是13页\一共有86页\编辑于星期一确定环境信息风险评估技术的特征风险评估方法及技术说明影响因素能否提供定量结果资源与能力不确定性的性质与程度复杂性Bow-tie法一种简单的图形描述方式，分析了风险从危险发展到后果的各类路径，并可审核风险控制措施。可将其视为分析事项起因（由蝶形图的结代表）的故障树和分析后果的事件树这两种方法的结合体。中高中是层次分析法（AHP）定性与定量分析相结合，适合于多目标、多层次、多因素的复杂系统的决策。中任何任何是在险值（VaR）法基于统计分析基础上的风险度量技术，可有效描述资产组合的整体市场风险状况。中低高是均值—方差模型将收益和风险相平衡，可应用于投资和资产组合选择。中低中是资本资产定价模型清晰地阐明了资本市场中风险与收益的关系。高低高是FN曲线FN曲线通过区域块来表示风险，并可进行风险比较，可用于系统或过程设计以及现有系统的管理。高中中是马尔可夫分析法马尔可夫分析通常用于对那些存在多种状态（包括各种降级使用状态）的可维修复杂系统进行分析。高低高是蒙特卡罗模拟法蒙特卡罗模拟用于确定系统内的综合变化，该变化产生于多个输入数据的变化，其中每个输入数据都有确定的分布，而且输入数据与输出结果有着明确的关系。该方法能用于那些可将不同输入数据之间相互作用计算确定的具体模型。根据输入数据所代表的不确定性的特征，输入数据可以基于各种分布类型。风险评估中常用的是三角或贝塔分布。高低高是贝叶斯分析贝叶斯分析是一种统计程序，利用先验分布数据来评估结果的可能性，其推断的准确程度依赖于先验分布的准确性。贝叶斯信念网通过捕捉那些能产生一定结果的各种输入数据之间的概率关系来对原因及效果进行模拟。高低高是现在是14页\一共有86页\编辑于星期一确定环境信息头脑风暴法事项内容概述指刺激并鼓励一群知识渊博的人员畅所欲言，以发现潜在的失效模式及相关危险、风险、决策标准或处理办法。泛指各种形式的小组讨论。用途可与其它方法一起使用，或单独使用，用于激发想象力。可用于发现问题的高层讨论，或更细致的评审。输入召集一个熟悉被评估的组织、系统、过程或应用的专家团队活动讨论会之前，主持人准备好与讨论内容相关的一系列问题及思考提示确定讨论会的目标并解释规则引导员首先介绍一系列想法，然后大家探讨各种观点，尽量多发现问题当某一方向的思想已充分挖掘或讨论偏离主题太远，引导进入新的方向收集尽可能多的不同观点，以便进行后面的分析输出取决于该结果所应用的风险管理过程的阶段。如，识别阶段，输出可能是风险及当前控制手段的清单优点有助于发现新的风险和全新的解决方案让主要利益相关者参与其中，有助于进行全面沟通速度较快且易于开展局限参与者可能缺乏必要的技术及知识，无法提出有效的建议相对松散，较难保证过程的全面性可能会出现特殊的小组状况，导致某些重要观点的人保持沉默而其他人成为讨论的主角现在是15页\一共有86页\编辑于星期一确定环境信息风险矩阵法事项内容概述是一种将定性或半定量的后果分级与产生一定水平的风险或风险等级的可能性相结合的方式。矩阵格式及适用的定义取决于使用背景，关键是要在这种情况下使用合适的设计。用途可用来根据风险等级对风险、风险来源或风险应对进行排序。作为一种筛查工具：确定哪些风险需更细致的分析；哪些风险无需进一步考虑。可用于FMECA（失效模式、效应和危害度分析）危险度分析。可用于HAZOP（危险与可操作性分析）结束后确定先后顺序。当缺乏足够数据进行细致分析，或无法保证进一步定量分析的时间和精力时，可采用后果可能性矩阵。输入输入数据为个性化的后果和可能性等级，以及将两者结合起来的矩阵活动首先发现最适合当时情况的后果描述符，然后界定那些结果发生的可能性。很多事项会有各种后果，并有各种不同的相关的可能性。关键要使用与所选后果相关的可能性，而不是整个事项的可能性。输出对各类风险的分级或确定了重要性级别的风险清单。优点便于使用。将风险快速划分为不同的重要性等级。局限必须设计适合具体情况的矩阵，因此，很难有适用于组织各环境的通用系统。很难清晰地界定等级，具有很强的主观色彩，不同的分级者有明显的结果差异。无法对风险进行总计，组织或比较不同类型后果的风险等级比较困难。现在是16页\一共有86页\编辑于星期一确定环境信息风险矩阵法5510152025448121620336912152246810112345可能性等级风险级别

后果等级12345现在是17页\一共有86页\编辑于星期一确定环境信息consequence（

后果）：outcomeofanevent(3.3)affectingobjectives[ISOGuide73:2009]event（事态）：occurrenceorchangeofaparticularsetofcircumstances[ISOGuide73:2009]AneventcanbedefinedasanydetectableordiscernibleoccurrencethathassignificanceforthemanagementoftheITInfrastructureorthedeliveryofITserviceandevaluationoftheimpactadeviationmightcausetotheservices.[ITILV3]EventsaretypicallynotificationscreatedbyanITservice,ConfigurationItem(CI)ormonitoringtool.[ITILV3]incident（事件）：AnunplannedinterruptiontoanITserviceorreductioninthequalityofanITservice.Failureofaconfigurationitemthathasnotyetimpactedserviceisalsoanincident,forexamplefailureofonediskfromamirrorset.[ITILV3]基本概念现在是18页\一共有86页\编辑于星期一确定环境信息基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构风险评价准则开发风险评价准则应考虑如下内容：业务信息过程的战略价值

相关信息资产的危险程度

法律法规的要求和合同的义务

运营和业务可用性、保密性、完整性的重要程度

利益相关方的期望和认知，以及对信誉和名声的负面影响现在是19页\一共有86页\编辑于星期一确定环境信息基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构影响准则开发影响准则应考虑如下内容，并以信息安全事态造成的对组织损害程度或成本的方式来说明：受影响资产的分类级别

信息安全的违背（如保密性、完整性和可用性的丧失）

运行的受损（内部或第三方的）

业务或财务价值的损失对计划和最后期限的破坏

声誉的损失

对法律法规或合同要求的违背现在是20页\一共有86页\编辑于星期一确定环境信息潜在后果/影响定义示例：后果/影响定义低如果预期保密性、完整性或可用性的缺失对组织运营、组织资产或个人会产生有限的负面影响，则潜在影响级别为低。有限的负面影响是指例如保密性、完整性或可用性的缺失可能会：(i)造成使命能力的降级，以致组织仍能执行其主要职能，但职能的有效性明显降低。(ii)对组织资产产生较小破坏;(iii)导致较轻的财务损失(iv)对个人造成轻微的损害。中如果预期保密性、完整性或可用性的缺失对组织运营、组织资产或个人会产生严重的负面影响，则潜在影响级别为中级。严重的负面影响是指例如保密性、完整性或可用性的缺失可能会：(i)造成使命能力的严重降级，以致组织仍能执行其主要职能，但职能的有效性严重降低。(ii)对组织资产产生严重破坏;(iii)导致严重的财务损失(iv)对个人造成严重损害，但不至丧命或对生命产生严重威胁。高如果预期保密性、完整性或可用性的缺失对组织运营、组织资产或个人会产生重大的或灾难性的负面影响，则潜在影响级别为高。重大的或灾难性的负面影响是指例如保密性、完整性或可用性的缺失可能会：(i)造成使命能力的重大降级，以致组织无法执行其主要职能(ii)对组织资产产生重大破坏;(iii)导致重大财务损失(iv)对个人造成重大的或灾难性的损害，以至丧命或对生命产生严重威胁。现在是21页\一共有86页\编辑于星期一确定环境信息基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构风险接受准则风险接受准则的常常依赖于组织的方针、目的、目标以及利益相关方的利益。现在是22页\一共有86页\编辑于星期一确定环境信息基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构风险接受准则开发风险可接受准则时，应该考虑以下方面：风险接受准则可以包括带有风险期望目标级别的多个阈值，但在确定的情形下，提交给高层管理者接受的风险可能超出该级别

风险可接受准则可以用估算收益（或业务收益）与估算风险的比值来描述

对不同类型的风险可以采用不同的风险接受准则，例如，导致对法律法规不符合的风险可能是不可接受的，但可能允许接受导致违背合同要求的高风险

风险接受准则可以包括下一步的补充处置要求，例如，如果认可或承诺在确定的时间内将采取行动以将风险降到可接受级别，则风险可以被接受现在是23页\一共有86页\编辑于星期一确定环境信息基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构风险接受准则风险接受准则可能因预计风险将多长时间存在而不同，例如风险可能与一个临时或短期活动相关。设定风险接受准则时，应该考虑：业务准则

法律法规方面

运营

技术

财务

社会和人为因素现在是24页\一共有86页\编辑于星期一确定环境信息基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构范围和边界需要定义信息安全风险管理过程的范围，以保证在风险评估过程中考虑到所有相关资产。对任何排除在范围之外的，都应该提供正当的理由。风险管理范围可能是一个IT应用、IT基础设施、一个业务过程或组织的某个界定部分。需要定义边界以处理在边界处呈现的风险。现在是25页\一共有86页\编辑于星期一确定环境信息基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构范围和边界在定义范围和边界时，考虑以下信息：组织的战略经营目标、战略和策略

业务过程

组织的职能和结构

适用于组织的法律法规和合同义务的要求

组织的信息安全方针

组织风险管理的整体方法

信息资产

组织的位置及其地理特性

影响组织的约束条件

利益相关方的期望

社会文化环境

接口（与环境交换信息）现在是26页\一共有86页\编辑于星期一确定环境信息基本准则风险管理方法风险评价准则影响准则风险接受准则范围和边界组织架构组织架构设置和维持信息安全风险管理过程的组织架构和职责，并由管理者批准。下面是信息安全风险管理过程组织架构的主要角色和职责：开发适合组织的信息安全风险管理过程

识别和分析利益相关方

定义组织内、外部各方的角色和职责

在组织和相关利益方之间建立必要的联系，如组织高风险管理职能的接口（如运营风险管理），以及与其它项目或活动之间的接口

定义决策升级路径

说明需要保存的记录现在是27页\一共有86页\编辑于星期一风险评估基本准则范围和边界组织架构输入已按优先级排序的风险清单输出识别风险分析风险评价风险过程实施指南确定信息资产价值识别适用的威胁

识别存在或可能存在的脆弱点

识别现有控制措施及对已识别风险的影响确定潜在后果风险优先级排序风险评估通常会进行两个或多个循环先进行高级别风险评估识别潜在高风险后对潜在高风险做进一步的详细考虑现在是28页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估识别风险源、影响区域、事件（包括环境变化）以及原因和潜在后果。目的是产生基于哪些可能产生、增强、阻碍、加快或推迟目标实现的事件的风险的综合表格。包括其风险源是否在组织控制下的风险，即使风险源或原因不明显也要识别。包括考查特定后果的直接影响，包括联锁和累积影响。包括识别什么可能发生，什么后果可能出现的可能原因和场景。应用适合的目标、能力及所面临风险的风险识别工具和技术。在识别风险时，最新的信息是重要的，包括可能的适当背景信息。具有适当知识的人员宜参与到识别风险中。信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级现在是29页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级环境信息确定的范围和边界由所有者、位置和功能等构成的清单输入资产清单与资产相关的业务过程清单及相互关系输出在范围内识别信息资产活动实施指南资产是对组织有价值的任何东西每个资产要有资产所有者，并安排职责和责任资产所有者可能并不对资产拥有所有权，但对资产的产生、开发、维护、使用有适当保护责任现在是30页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估信息资产分类举例：基本资产

业务过程或活动

信息

支持性资产（基本资产所依赖的范围）

硬件

软件

网络

人员

场所

组织架构信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级信息资产分类举例现在是31页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估业务与支持性资产之间的关系OBASHI方法论评估业务运作的以下六个“层次”,前两个层次研究业务运作的方式，后四个层次研究支持这些运作活动的IT资产：Ownership（利益相关者）BusinessProcess（业务流程）Application（应用程序）System（操作系统）Hardware（硬件）Infrastructure（基础架构）信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级所有权业务流程应用程序系统硬件基础架构产品与价格创建订单RoodManSafeSeller价格订单表产品MicrosoftSQLServer2005客户订单处理销售经理WindowsXP服务器3GModem网络安全订单执行发票生成IT经理供应总监财务总监软防火墙ＳQLServerABCAccountsLinuxW2000WS2003硬防火墙服务器服务器新订单发票生成交换机主干网DMZ交换机Modem现在是32页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级Ownership（利益相关者）BusinessProcess（业务流程）Application（应用程序）System（操作系统）Hardware（硬件）Infrastructure（基础架构）信息技术服务生命周期（规划、建设、运维）OBASHI模型现在是33页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级服务服务业务应用系统通用软件硬件设备物理位置IT区域网络设施生产灾备保险类投资类核心类辅助类内部管理类操作系统中间件数据库存储主机负载均衡总部分支机构接入区核心区办公区路由器交换机防火墙测试基础设施电源空调客服类数据中心安防机房位置机房1机房3机房2现在是34页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级事件评审的结果资产所有者、使用者外部提供的威胁清单其他来源输入包含威胁类型和威胁来源的威胁清单输出识别威胁和威胁来源活动实施指南威胁是对信息、过程和系统等资产构成的潜在损害，由此组织带来的损害威胁可能是自然的或人为的，也可能是意外的或故意的，也可能是组织内部的或外部的威胁类型可能是非授权行为、物理损坏和技术失效威胁是持续变化的，特别是当业务环境或信息系统发生变化时现在是35页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级威胁类型威胁威胁来源威胁类型威胁威胁来源威胁类型威胁威胁来源物理损坏火灾A,D,E辐射干扰电磁辐射A,D,E技术故障设备失效A水灾A,D,E热辐射A,D,E设备故障A污染A,D,E电子脉冲A,D,E饱和的信息系统A,D重大事故A,D,E信息的损害截取损害干扰信号D软件故障A设备或介质损坏A,D,E远程间谍D信息可维护性的违背A,D灰尘、腐蚀、严寒A,D,E偷听D未经授权的活动设备的未经授权的使用D自然灾难气候现象E偷取介质或文件D非法的软件拷贝D地震现象E偷取设备D使用盗版软件A,D火山现象E信息的损害偷取设备D破坏数据D气象现象E获取循环利用或废弃的介质D非法处理数据D洪水E泄密A,D功能受损误用A基础服务失效空调或供水系统失效A,D来自非信任源的数据A,D滥用权限A,D电源失效A,D,E损坏硬件D盗用权限D通讯设备故障A,D损坏软件A,D拒绝服务D

位置检测D个人可用性的违背A,D,E注1：D故意的，A意外的，E环境的。注2：D是指所有针对信息资产的故意行为，A是指所有可能导致信息资产意外受损的人为活动，E是指非人为的所有意外事件。现在是36页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级威胁来源动机可能后果举例威胁来源动机可能后果举例计算机犯罪毁坏信息计算机犯罪如网上跟踪黑客挑战黑客攻击

非法信息泄密欺诈行为如回放、伪装、窃听自负社会工程

获取经济利益信息贿赂

逆反系统入侵

非法修改数据欺骗

身份未经授权的系统访问

系统入侵

金钱

恐怖活动邮件勒索爆炸/其它恐怖手段

内部人员

（缺乏培训、

泄愤、恶意、

疏忽、诚实

或被解雇的员工好奇攻击员工

破坏信息战

自负敲诈勒索

擅自利用系统攻击如拒绝服务情报浏览专有信息

报复系统渗透

经济利益计算机滥用

政治获益系统篡改

报复欺骗和窃取

媒体报道

无意的行为和疏忽（数据出入错误、编程错误）信息贿赂

行业间谍

（情报公司、

外国政府、

其他政府利益）竞争优势国防优势

输入伪造或错误数据

经济间谍活动政治优势

窃听

经济宣传

恶意代码如病毒、逻辑炸弹、木马

窃取信息

销售个人信息

个人隐私入侵

系统漏洞

社会工程

系统入侵

系统渗透

系统破坏

未经授权的系统访问访问保密的、私有的和/或技术相关信息

未经授权的系统访问

现在是37页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估威胁等级示例信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级威胁描述（a）结果（资产价值）（b=[1-5]）威胁发生的可能性（c=[1-5]）风险等级（d=[b×c]）威胁等级（e）ThreatA52103ThreatB2484ThreatC35152ThreatD1335ThreatE4145ThreatF2484现在是38页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级控制措施文档风险处置实施计划输入所有现有或计划的控制措施清单控制措施实施和使用状况输出识别现有控制措施识别已计划控制措施活动实施指南识别现有控制措施时应检查其工作有效性控制措施没有预期工作，会形成脆弱点估算控制措施效果的方法是，看它怎样降低威胁发生的可能性、消除暴露的脆弱点或降低事件的影响按照风险处置计划将要实施的控制措施应该视同已经实施的控制措施现在是39页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级已知的威胁清单已知的资产清单现有的控制措施清单输入与资产、威胁和控制措施相关的脆弱点清单待评审的与已识别威胁不相关的脆弱点清单输出识别可被威胁利用的资产的脆弱点识别可对组织造成损害的脆弱点活动实施指南脆弱点的存在本身不会形成损害，它需要被某个威胁利用如果脆弱点没有对应的威胁，则可不需要实施控制措施，但要监视其变化控制措施错误实施、失效或错误使用本身也是一个脆弱点如果威胁没有对应的脆弱点，也不会导致风险发生需要考虑不同来源的脆弱点，内在的或外来的现在是40页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级脆弱性类型脆弱性示例威胁示例脆弱性类型脆弱性示例威胁示例脆弱性类型脆弱性示例威胁示例硬件维护不善/存储介质的错误维护违背信息系统的可维护性站点建筑物或房间的不合适或随意的物理访问控制设备或介质的损坏组织缺乏正式的用户注册和注销程序伪装缺乏定期更换计划设备或介质地损坏位于易受洪水影响的区域洪水缺乏访问权限评审过程（监督）伪装受潮湿、灰尘、污染的影响灰尘、腐蚀、严寒不稳定的电网缺乏电力供应与客户和/或第三方直接的合同中缺乏（关于安全）的条款，或不充分权限的不正当使用对电磁辐射的敏感电磁辐射缺乏建筑物、门、窗的物理防护窃取设备缺乏监视信息处理设施的程序权限的不正当使用缺乏有效的变更控制错误的使用网络缺乏如用户认证身份认证机制伪装缺乏定期审计（监督）权限的不正当使用受电压波动的影响电力供应不善缺乏保护的密码表伪装缺乏风险识别和评估权限的不正当使用受温度变化影响气象现象弱的密码管理伪装缺乏管理员和操作员日志中记录的错误报告权限的不正当使用缺乏防护的存储窃取介质或文件启用不必要的服务非法处理数据不充分的服务维护响应违背信息系统可管理性对废弃处置缺乏关注窃取介质或文件不成熟或新的软件软件故障缺乏服务等级协议或不充分违背信息系统可管理性不受控的拷贝窃取介质或文件开发规范不清晰或不完整软件故障缺乏变更控制违背信息系统可管理性没有或不受控权限的滥用缺乏有效的变更控制软件故障缺乏ISMS文件控制程序数据损坏软件众所周知的软件缺陷权限的滥用不受控的下载和使用软件软件纂改缺乏ISMS纪录控制程序（监督）数据损坏离开时，没有登出终端权限的滥用缺乏备份软件纂改缺乏公众可用信息的认可过程来自非信任源的数据存储介质的处置和再利用前没有正确的清除数据权限的滥用缺乏建筑物、门、窗的物理保护窃取介质或文件缺乏合适的信息安全职责分配拒绝行动缺乏审计痕迹权限的滥用未形成管理报告设备未经授的权使用缺乏连续性计划设备失效错误的分配权限权限的滥用缺乏证据的邮件发送和接收拒绝行动缺乏e-mail使用方针误用广泛的分布式软件数据损坏缺乏保护的通讯线路窃听缺乏向操作系统导入软件的程序误用按时间点利用应用程序时，导入错误数据数据损坏不受保护的敏感信息的传送窃听缺乏管理员和操作员日志记录误用复杂的用户界面误用不良的接线通讯设备的失效缺乏保密信息处理程序误用缺乏文件误用单点失效通讯设备的失效在工作说明书中缺乏安全职责误用错误的参数设置误用缺乏发送者和接受者的认证伪装与员工合同中缺乏（关于信息安全）条款或不足非法处理数据错误的日期误用不安全的网络架构远程间谍缺乏一旦发生信息安全事件时的记录处理过程窃取设备人员人员缺乏人员可用性的违背明文传输密码远程间谍缺乏正式的移动计算机的方针窃取设备不合适的招聘程序设备或介质的损坏错误的网络管理（路由的健壮性）信息系统的渗透缺乏组织场所外设备的控制窃取设备缺乏安全培训误用不受保护的公共网络连接未经授权的设备使用缺乏“清空桌面和屏幕”方针窃取介质或文件软、硬件的不正确使用误用

缺乏信息处理设施的授权窃取介质或文件缺乏安全意识误用

缺乏确定的信息安全违背监视机制窃取介质或文件缺乏监视机制非法处理数据

缺乏定期评审未经授权的使用设备缺乏对由外部或清洁工完成的工作的监督非法处理数据

缺乏报告信息安全弱点的程序未经授权的使用设备缺乏正确使用电子媒介和电子消息的方针未经授权的设备使用

缺乏保证知识产权复合型的程序使用盗版软件现在是41页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估技术脆弱性评估方法（信息系统测试）漏洞自动扫描工具用于针对已知的脆弱服务，扫描一组主机或网络（如系统允许匿名的文件传输协议(FTP)，邮件转发）。应该注意，自动识别的某些潜在脆弱点在系统环境背景下可能并不是真正的脆弱点。例如，某些扫描工具在对潜在脆弱点进行定级时，并不考虑场所环境和要求。自动扫描软件标识的某些脆弱点对于特定场所可能并不是脆弱点，而且因环境要求必须如此配置。因此，本测试方法可能报告虚假脆弱点。安全测试和评价（STE）是在风险评估过程中识别ICT系统脆弱点的另外一个方法。它包括开发和执行一个测试计划（如，测试脚本、测试过程和预期的测试结果）。系统安全测试的目的是测试已经应用到某个运行环境中的ICT系统的安全控制措施的有效性。目标是保证应用的控制措施满足已认可的软、硬件安全规范，满足组织的安全方针或行业标准。

渗透测试用作安全控制措施评审的补充，以保证ICT系统的不同方面都是安全的。渗透测试可用于评估一个信息和通信技术系统防止企图绕过系统安全措施的能力。目的是从威胁源的视点来测试ICT系统，以识别ICT系统保护方案的潜在失效点。

代码评审最为彻底（也可能是最为昂贵）的漏洞评估方式。这些安全测试的结果将有助于识别系统的脆弱点。特别需要注意，渗透工具和技术可能提供虚假的结果，除非脆弱点被成功利用。为利用特定的脆弱点，需要知道被测试系统的系统、应用、补丁的准确设置。如果在进行测试时，不知道这些数据，可能难以成功利用特定的脆弱点（例如，获取远程逆转界面）；然而，还是可能导致崩溃或重新启动进程和系统。在这种情形，应该认为被测试对象是存在脆弱点的。方法包括以下活动：

人员和用户访谈

调查问卷

物理检查

分析文件

信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级现在是42页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级资产清单业务过程清单威胁和脆弱点清单资产相关关系输入资产和业务过程相关的事件场景清单输出识别资产丧失保密性、完整性和可用性的后果活动实施指南后果可能是有效性的丧失、不利的运行环境、业务的丧失、名誉的损失和损害等事件场景是对在信息安全事件中威胁利用某个特定的脆弱点或一组脆弱点的描述根据在确定环境信息活动中所定义的影响准则，确定事件场景的影响按资产的财务成本和资产破坏或损坏后带来的业务影响对资产赋值现在是43页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估风险分析包括考虑风险的原因和来源，以及所带来的正面和负面的后果及这些后果发生的可能性。现有的控制措施和其效果和效率也宜被考虑在内。考虑不同风险和其源的相互依赖关系。依据环境条件，风险分析可以定性的、半定量或定量的，也可以是组合的方式。后果和其可能性可以通过模拟一个或一系列事件的结果，或由实验研究或可用数据推断确定。后果可基于有形和无形的影响表述。信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级现在是44页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估定性风险分析：

定性风险采用级别分级属性（如低、中、高）来描述潜在后果的严重性和潜在后果发生的可能性。定性风险分析的优点是易于所有相关人员的理解，同时其弱点是级别选择对主观判断的依赖。可以对级别进行修订或调整，以适应环境，并为不同的风险采用不同的描述。定性风险分析可以用于：

作为最初的筛选活动，以识别需要进一步具体分析的风险

当定性分析适合于决策时

当量化数据不足以进行定量估算时

定性分析应该使用可用的真实的信息和数据。

定量风险分析：

定量风险分析通过不同来源的数据，使用数字化的级别来描述后果和可能性（而不是定性风险分析中所使用的描述性级别）。分析的质量依赖于量化数字的准确性和完整性，以及所使用模型的有效性。在很多情况下，定量风险分析使用历史事件数据，优势是其直接与信息安全目标和组织所关心的问题相关。不足是缺乏新的风险或信息安全弱点的数据。当无法获得真实和可审计数据时，将显示定量方法的不足，因为这将导致风险评估准确性和价值的假象。信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级现在是45页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级已识别的事件场景，包括：识别的威胁、脆弱点、受影响的资产、对资产或业务过程的后果输入用资产和影响准则表示的事件场景评定后果的清单输出考虑违背信息安全，丧失资产的（保密性、完整性、可用性）的基础上），评估可能或实际导致的业务的影响活动实施指南识别所有资产并评审后，在评估后果的同时给资产赋值通过以下两种措施来确定资产价值：

资产的替代价值：恢复清理和替换信息所需的成本，以及

资产丧失或损坏的业务后果：如信息或其他信息资产的泄密、修改、不可用和/或破坏带来的潜在业务负面影响和/或法律后果

可以从业务影响分析来确定赋值现在是46页\一共有86页\编辑于星期一风险评估潜在后果/影响定义示例：后果/影响定义低如果预期保密性、完整性或可用性的缺失对组织运营、组织资产或个人会产生有限的负面影响，则潜在影响级别为低。有限的负面影响是指例如保密性、完整性或可用性的缺失可能会：(i)造成使命能力的降级，以致组织仍能执行其主要职能，但职能的有效性明显降低。(ii)对组织资产产生较小破坏;(iii)导致较轻的财务损失(iv)对个人造成轻微的损害。中如果预期保密性、完整性或可用性的缺失对组织运营、组织资产或个人会产生严重的负面影响，则潜在影响级别为中级。严重的负面影响是指例如保密性、完整性或可用性的缺失可能会：(i)造成使命能力的严重降级，以致组织仍能执行其主要职能，但职能的有效性严重降低。(ii)对组织资产产生严重破坏;(iii)导致严重的财务损失(iv)对个人造成严重损害，但不至丧命或对生命产生严重威胁。高如果预期保密性、完整性或可用性的缺失对组织运营、组织资产或个人会产生重大的或灾难性的负面影响，则潜在影响级别为高。重大的或灾难性的负面影响是指例如保密性、完整性或可用性的缺失可能会：(i)造成使命能力的重大降级，以致组织无法执行其主要职能(ii)对组织资产产生重大破坏;(iii)导致重大财务损失(iv)对个人造成重大的或灾难性的损害，以至丧命或对生命产生严重威胁。现在是47页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级已识别的事件场景，包括：识别的威胁、脆弱点、受影响的资产、对资产或业务过程的后果现有和计划的控制措施清单，以及控制措施有效性、实施和使用状态输入事件场景的可能性（定性的或定量的）输出评估事件场景的可能性活动实施指南识别事件场景后，需要利用定性或定量分析技术对每一场景的可能性和产生的影响进行评估考虑威胁发生经常性和脆弱点被利用的容易度现在是48页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估事件发生可能性示例信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级威胁可能性LowMediumHigh脆弱性级别LowMediumHighLowMediumHighLowMediumHigh事件场景的可能性值012123234现在是49页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级事件场景清单产、对资产或业务过程的后果和可能性输入分配有风险级别数值的风险清单输出对事件场景确定风险级别活动实施指南对风险的可能性和后果进行赋值（定性或量）估计的风险是某个事件场景的可能性及其后果的组合现在是50页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级组合风险矩阵44565676783345456567223434545611232343450012123234资产价值风险级别利用的容易度

威胁发生的可能性LowMediumHighLowMediumHighLowMediumHighLowMediumHigh现在是51页\一共有86页\编辑于星期一风险评估定性风险矩阵VeryHigh45678High34567Medium23456Low12345VeryLow01234业务影响度风险级别

事件场景的可能性VeryLow（VeryUnlikely）Low（Unlikely）Medium（Possible）High（High）VeryHigh（Frequent）现在是52页\一共有86页\编辑于星期一风险评估定量风险矩阵445678334567223456112345001234可能性值风险值

资产价值01234现在是53页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估风险评价的目的是，基于风险分析的结果，帮助做出有关风险需要处理和处理实施优先的决策。风险评价包括将分析过程中确定的风险程度与在明确环境时建立的风险准则进行比较。决策宜考虑更为宽泛风险含义，包括考虑风险获益组织外的团体对风险的容忍性。决策宜依据法律法规和其他要求做出。在某些情况下，风险评价可导致对决策的进一步分析。风险评价也可导致，除了保持现存措施，不以任何方式处理风险的决策。信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级现在是54页\一共有86页\编辑于星期一风险评价风险分析风险识别风险评估信息资产威胁控制措施脆弱性后果后果严重性发生可能性风险级别风险优先级分配有风险级别数值的风险清单风险评价准则输入将事件场景导致的风险按风险评价进行优先级排序的风险清单输出风险级别与风险评价准则和风险接受准则进行比较活动实施指南用于制定决策的风险评价准则应该与已定义的内外部风险管理环境信息相一致，并考虑组织的目标和利益相关方的观点。在风险评价活动中采取的决策主要基于风险可接受级别。同时应该考虑后果、可能性以及风险识别和分析的可信程度。多个低或中风险的组合，可能导致更高的综合风险，并需要进行相应的处理。现在是55页\一共有86页\编辑于星期一信息安全风险管理确定环境信息1风险评估2风险处置3风险接受４沟通与磋商５监视和评审６现在是56页\一共有86页\编辑于星期一信息安全风险管理过程风险评估环境建立风险识别风险分析风险评价风险处置风险接受满足？满足？风险沟通和磋商风险监视和评审风险决策点1评估满足风险决策点2处置满足NONOYESYES第一次结束或随后重复信息安全风险管理过程现在是57页\一共有86页\编辑于星期一风险处置已按风险评价准则进行风险优先级排序的风险清单输入风险处置计划残余风险报告输出选择风险处置选项制定风险处置计划过程实施指南风险处置选项应基于风险评估的结果和实施这些选项的预计成本及预期收益来选择如果某一选项可以通过相对较低的花费大幅度降低风险，则应该实施该选项管理者应该考虑罕见但严重的风险，在这种情形下，可能需要实施控制措施，而不会严格按经济性进行判断风险处置计划应该清晰定义所列出的单个需要实施的风险处置项的优先级，以及实施的期限现在是58页\一共有86页\编辑于星期一风险处置风险处置活动风险处置风险处置选项风险降低令人满意的处置风险保持风险回避风险转移残余风险满意的评估风险评估结果风险决策点1风险决策点2现在是59页\一共有86页\编辑于星期一风险处置风险处理方案不必互相排斥或适宜所有情况。方案可以包括以下内容:通过决定不开展或停止产生风险的活动，来规避风险；为寻求机会，接受或提高风险；

消除风险源；改变可能性；改变后果；与另一方或多方共担风险（包括合约和风险融资）；通过有事实依据的决策，保留风险。风险处理包括选择一种或几种修正风险的方案，以及实施那些方案。风险处理包括了一个循环过程：评价风险处理；确定残留风险程度是否可容许；如果不可容许，产生新的风险处理；评价该处理的有效性。现在是60页\一共有86页\编辑于星期一风险处置风险保持：也叫接受风险，根据风险评价，决定不采取进一步的活动而保持风险。接受准则。风险降低：也叫控制风险，引进、去除或修改控制措施，以至于残余风险能被再评估，成为可接受的。措施选择。风险回避：避免风险，是直接消极或去除某些风险，例如一个组织可以通过禁止网络连接来避免远程攻击；但是，不是所有的风险都是可以消极避免，例如，一个专业的电子商务网站就不能通过禁止网络连接来消除远程攻击的风险。成本分担。风险转移：也叫转移风险，根据风险评价结果，将风险转移到能最有效的管理这个特定风险的其他方，例如，产品没有出保质期，这样可用性面临的风险就部分地转移给供应商。机会效率。风险处置选项现在是61页\一共有86页\编辑于星期一风险处置风险控制减少降低威胁脆弱性可能性影响预防性控制措施补救性控制措施形成风险威胁、脆弱性和控制措施的关系示意图现在是62页\一共有86页\编辑于星期一风险处置什么是控制措施管理风险的方法。为达成组织目标提供合理保证，并能预防、检查和纠正风险。它们可以是行政、技术、管理、法律等方面的措施。控制措施的分类：预防性控制措施检查性控制措施纠正性控制措施控制措施威胁、脆弱性和控制措施的关系示意图现在是63页\一共有86页\编辑于星期一风险处置预防性控制措施：在问题发生前，并作出纠正仅雇佣胜任的人员职责分工使用访问控制软件，只允许授权用户访问敏感文件检查性控制措施：检查控制发生的错误、疏漏或蓄意行为网络通信过程中的Echo控制内部审计纠正性控制措施：减少危害影响，修复检查性控制发现的问题意外处理计划备份流程恢复运营流程控制措施威胁、脆弱性和控制措施的关系示意图现在是64页\一共有86页\编辑于星期一风险处置控制措施威胁、脆弱性和控制措施的关系示意图InformationSecurityIncident信息安全事件管理BCM业务连续性管理Human人员安全Physical物理安全InformationSystem系统获得/开发/维护Operation操作安全AccessControl访问控制AccessControl访问控制Asset资产管理Organization组织安全Policy方针目标Compliance合规性Compliance合规性Compliance合规性Compliance合规性Communication通信安全Supplier供应关系Cryptography密码学现在是65页\一共有86页\编辑于星期一风险处置控制措施制定思路决策层—控制策略管理层—控制程序执行层—控制制度操作层—控制记录控制措施威胁、脆弱性和控制措施的关系示意图现在是66页\一共有86页\编辑于星期一风险处置准备和实施风险处置计划选择最合适的风险处理方案包括，针对以法律法规和诸如社会责任和自然环境保护的其他要求所获得的利益，平衡成本和实施的工作量。决策也宜考虑可以批准在经济层面上不合理的风险处理的风险，例如，严重的（高负面后果）但稀少（低可能性）的风险。风险处理计划的目的是将如何实施已选择的处理措施形成文件。将要实施的风险处理方案。处理计划中提供的信息宜包括：——选择风险处理措施的原因，包括所期待获得的效益；——负责改进和实施计划的人员；——建议的措施；——资源需求，包括紧急情况时；——绩效测量和控制；——汇报及监测要求；——时间和日程安排。处理计划宜组织管理过程整合并与适当的利益相关方讨论。决策者和其他利益相关方宜意识到风险处理后残留风险的性质和程度。残留风险宜形成文件并进行监测、评审，适当时，进一步处理。现在是67页\一共有86页\编辑于星期一信息安全风险管理确定环境信息1风险评估2风险处置3风险接受４沟通与磋商５监视和评审６现在是68页\一共有86页\编辑于星期一信息安全风险管理过程风险评估环境建立风险识别风险分析风险评价风险处置风险接受满足？满足？风险沟通和磋商风险监视和评审风险决策点1评估满足风险决策点2处置满足NONOYESYES第一次结束或随后重复信息安全风险管理过程现在是69页\一共有86页\编辑于星期一风险接受风险处置计划残余风险报告输入未能满足正常风险接受准则，但被接受的风险清单，并附带接受的理由输出风险接受决策记录风险决策接受责任过程实施指南风险处置计划应该描述怎样处置被评估的风险以满足风险接受准则。承担责任的管理者对被提议的风险处置计划和随之而来的残余风险的评审和批准，并记录与批准相关的任何先决条件。在某些情形，残余风险的级别可能不满足风险接受准则，因为目前适用的准则，没有考虑到当前的情形，可能修订风险接受准则。现在是70页\一共有86页\编辑于星期一信息安全风险管理确定环境信息1风险评估2风险处置3风险接受４沟通与磋商５监视和评审６现在是71页\一共有86页\编辑于星期一信息安全风险管理过程风险评估环境建立风险识别风险分析风险评价风险处置风险接受满足？满足？风险沟通和磋商风险监视和评审风险决策点1评估满足风险决策点2处置满足NONOYESYES第一次结束或随后重复信息安全风险管理过程现在是72页\一共有86页\编辑于星期一沟通与磋商沟通与磋商

与内、外部利益相关方沟通和协商宜在风险管理过程所有阶段进行。因此，沟通和协商计划宜在早期制定。该计划宜针对与风险本身、风险成因、风险后果（如果掌握）以及处理风险措施相关的问题。为确保实施风险管理过程的职责明确，以及利益相关方理解决策的基础和特定措施需求的原因，宜采取有效的外部和内部沟通和协商。

协商团队方法可以：——适当地帮助明确状况；——确保利益相关方的利益被理解和考虑；——帮助确保风险充分地被识别；——将不同领域的专业知识一并用于分析风险；——确保在界定风险准则和评定风险时，不同的观点被恰当地考虑；——确保认同和支持处理计划；——加强在风险管理过程中的变更管理；——制定一个恰当的内部和外部沟通和协商计划。

与利益相关方的沟通协商是重要的，由于他们基于对风险的感知，做出了对风险的判断。这些感知可以由于利益相关方的价值观、需求、臆断、概念和关注点的不同而变化。由于利益相关方的观点会对决策产生重大影响，因此他们的感知以被识别、记录、以及在决策过程中考虑。

沟通和协商宜提供真实的、相关的、准确的、便于理解的交流信息，同时宜考虑到保密和个人诚实因素。现在是73页\一共有86页\编辑于星期一沟通与磋商风险管理活动中获得的所有风险信息输入对组织信息安全风险管理过程和结果的持续理解输出在决策者和其他利益方之间交换或共享有关风险的信息过程实施指南风险沟通是通过在决策者或其他相关利益方之间交换和/或共享风险信息就如何管理风险协商一致的活动。这些信息包括但不限于，风险的存在方式、性质、形式、可能性、严重性、