风险评估管理制度及风险评估管理程序

风险评估管理制度第一章总则第一条为加强XXXX村镇银行风险管理，及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险承受度和风险应对策略，根据有关法律法规和《企业内部控制基本规范》等的有关规定，结合我行实际情况，制订本制度。第二条本制度所称风险是指我行经营活动中与我行实现内部控制目标相关的风险，包括信息风险、财务风险、市场风险、运营风险和法律风险等。本制度所称风险评估是指通过对基于事实的信息进行分析，就如何处理特定风险以及如何选择风险应对策略进行科学决策。第二章组织机构及职责第三条各部门为我行风险评估管理工作的责任机构，具体职责：(一）对我行经营活动中的风险进行识别；(二)对识别的风险进行评估，辨识评估出风险等级并将中、高风险以书面形式上报我行管理层，上报内容应包括：风险发生地、发生原因、可能造成的损失和影响、拟采取的应对措施等。(三)执行审批后的风险应对预案，并及时反馈风险的应对、解决结果；(四)对识别的风险进行监控，发生变化时重新评估，并根据新辨识评估的风险等级进行相应的处理；(五)年中、年度对风险评估管理工作进行总结。第四条我行企划部门为我行风险评估管理工作的组织机构，具体职责：（一）负责制定我行的风险评估方案；（二）负责组建风险评估工作小组；（三）负责审核风险清单、应对预案；（四）拟定我行风险评估报告，上报我行管理层。（五）负责建立经营环境监控体系，切实监控并记录内、外部经营环境和条件的变化，以修正风险识别与评估。（六）负责建立风险预警指标体系，要求各具体部门定期提供数据，进行指标分析；对于超过风险预警值的指标，应确定相应的整改措施。第五条财务部门的风险评估（一）负责建立流程识别和应对会计法规、准则、制度的变化，评估对会计信息的影响。（二）负责建立沟通渠道和流程参与我行业务操作流程的变化，评估对会计核算的影响。第六条我行管理层主要职责为：（一）审定我行各部门风险管理工作职责；（二）批准风险应对预案；（三）研究、确定我行重大风险事项及应对预案；（四）审定内部审计部门提交的我行风险管理方面的报告，并报董事会审议。第七条董事会负责审议我行管理层提交的我行风险评估报告报告，批准风险管理其他重大事项。第三章风险评估的频率第八条风险评估每年至少进行一次，并根据实际需要增加评估的频率。第九条当出现下述情况时，应考虑重新进行风险评估：（一）企业经营模式发生重大变动；（二）企业所使用的信息技术发生重大变动；（三）关键人员变动；（四）企业所适用的会计准则发生重大变动；（五）购并的发生、金融工具的使用等等涉及到复杂的会计处理要求的事项发生；（六）其他。第四章控制目标的设定和传达第十条企业董事会应当按照战略目标，设定相关的经营目标、财务报告目标、合规性目标与资产安全完整目标，并根据设定的目标合理确定企业整体风险承受能力和具体业务层次上的可接受的风险水平。

第十一条我行董事会应定期更新和修正我行的战略目标、经营目标、风险管理目标；第十二条我行管理层应向各部门清晰传达了我行的战略目标、经营目标和风险管理目标（如通过工作准备会等），并进行目标分解。第十三条我行企划部负责风险评估方案的制订，风险评估方案须经我行总经理办公会审批后执行，风险评估工作由企划部组建风险评估小组负责风险评估的具体工作。第五章风险识别第十四条我行各部门应当根据风险评估方案的要求，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估，准确识别与实现控制目标相关的内部风险和外部风险。第十五条我行各部门在进行风险识别时，可以采取座谈讨论、问卷调查、案例分析、咨询专业机构意见等方法识别相关的风险因素，特别应注意总结、吸取企业过去的经验教训和同行业的经验教训，加强对高危性、多发性风险因素的关注。

第十六条各部门及子我行应广泛、持续不断地收集与本我行风险和风险管理相关的内外部信息，包括历史数据和未来预测。第十七条我行识别内部风险，应当关注下列因素：1.董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。2.组织机构、经营方式、资产管理、业务流程等管理因素。3.研究开发、技术投入、信息技术运用等自主创新因素。4.财务状况、经营成果、现金流量等财务因素。5.营运安全、员工健康、环境保护等安全环保因素。6.其他有关内部风险因素。第十八条我行识别外部风险，应当关注下列因素：1.经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。2.法律法规、监管要求等法律因素。3.安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。4.技术进步、工艺改进等科学技术因素。5.自然灾害、环境状况等自然环境因素。6.其他有关外部风险因素。第六章风险分析第十九条我行各部门应当针对已识别的风险因素，从风险发生的可能性和影响程度两个方面进行分析。企业应当根据实际情况，针对不同的风险类别确定科学合理的定性、定量分析标准。具体如下：表一：风险发生的可能性程度描述说明I大致确定事件可能在多数情况下发生II可能事件有时可能发生III可能性不高事件只在少数情况下可能发生IV罕见事件仅在很少的情况下发生V极不可能事件极少的情况下发生表二：风险的后果或影响程度描述说明1微不足道没有经济损失2轻微轻微经济损失3中度可以得到控制，经济损失不大4高度经济损失较大5灾难性经济损失巨大第二十条企业应当根据风险分析的结果，依据风险的重要性水平，运用专业判断，按照风险发生的可能性大小及其对企业影响的严重程度进行风险排序，确定应当重点关注的重要风险。风险程度定性分析表

可能性后果微不足道1轻微2中度3高度4灾难性5大致确定ICCDEE可能IIBCCDE可能性不高IIIABCDE罕见IVAABCD极不可能VAABCC注：E=极高；要立刻停止有关工作，直到风险减低。在风险减低前有关工作须完全禁止进行。D=高风险；要停止有关工作，直到风险减低。如有关工作现正在进行中，须提供有效监控及紧急应变程序。C=中等风险；须规定有关管理职责及指引把危害控制，或在可行下进一步减低风险，如有关风险可能产生严重的危害，应作进一步危害评估及加强控制。B=可接受的风险；按正常运作程序管理，在不影响成本下可作进一步改善。A=微不足道的风险；无须作任何行动，按惯常运作。第七章风险汇总及应对预案第二十一条企业各部门应当根据风险分析情况，结合风险成因、企业整体风险承受能力和具体业务层次上的可接受风险水平，确定风险应对策略。风险应对策略主要包括风险回避、风险承担、风险管理和风险分担经营。第二十二条我行各部门应根据风险分析的结果编制风险清单，并制订相应的应对预案，风险清单、应对预案须报我行风险评估工作小组审核后，报总经理办公会审批。第八章风险评估报告及执行第二十三条我行风险评估工作小组负责编制风险评估报告，风险评估报告经我行总经理办公会审核后，报我行董事会审议。第二十四条风险评估报告应包括以下内容：1、风险评估的范围；2、风险评估的方法；3、风险清单；4、风险应对预案；第二十五条各部门应根据董事会批准的风险评估报告进行实施，对风险应对预案的执行情况进行实时监控，并及时反馈风险应对、解决的执行情况。第二十六条内部审计部门（或协同风险管理部门或小组）负责定期或不定期检查具体部门风险控制措施的实施、整改情况，形成检查记录。第九章附则第二十七条本制度未尽事宜，按国家有关法律、法规和我行章程的规定执行；如与国家日后颁布的法律、法规或经合法程序修改后的我行章程相抵触时，按国家有关法律、法规和我行章程的规定执行，并及时修订本制度，报董事会审议通过。第二十八条本制度由我行董事会负责解释。第二十九条本制度自我行董事会审议通过之日起实施。XXXX村镇银行二〇XX年十月十六日风险评估管理程序历史修订记录序号更改单号更改说明修订人生效日期现行版次目录70611概述 5100092术语与定义 5118252.1风险管理 5159202.1.1风险评估 5306672.2其他 6168633风险评估框架及流程 791923.1风险要素关系 736373.2风险分析原理 9272673.3实施流程 9242294风险评估准备过程 1059034.1确定范围 10244704.2确定目标 11246104.3确定组织结构 114594.4确定风险评估方法 11240214.5获得最高管理者批准 11178785风险评估实施过程 1171435.1资产赋值 13102735.1.1资产分类 14281895.1.2资产价值属性 17231335.1.3资产价值属性赋值标准 1983085.2威胁评估 2375125.2.1威胁分类 23107885.2.2威胁赋值 26262445.3脆弱性评估 273945.4确定现有控制 3058155.5风险评估 30246765.5.1风险值计算 30296775.5.2风险等级划分 317885.5.3风险评估结果纪录 31261276风险管理过程 326976.1安全控制的识别与选择 33141016.2降低风险 34105996.3接受风险 35227696.4风险管理要求 35227237相关文件 36

概述目前信息安全管理的发展趋势是将风险管理与信息安全管理紧密结合在一起，将风险概念作为信息安全管理实践的对象和出发点，信息安全管理的控制点以风险出现的可能性作为对象而展开的。ISO27001标准对信息安全管理体系(ISMS)的要求即通过对信息资产的风险管理,确定重要信息资产清单以及风险等级,从而采取相应的控制措施来实现信息资产的安全。信息安全管理是风险管理的过程，风险评估是风险管理的基础。风险管理是指导和控制组织风险的过程。风险管理遵循管理的一般循环模式—计划(Plan)、执行(Do)、检查(Check)、行动(Action)的持续改进模式。ISO27001标准要求企业设计、实施、维护信息安全管理体系都要依据PDCA循环模式。术语与定义风险管理风险管理是以可接受成本识别、评估、控制、降低可能影响信息系统风险的过程，通过风险评估识别风险，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降低到一个可以被接受的水平，同时考虑控制费用与风险之间的平衡。风险管理的核心是信息的保护。信息对于组织是一种具有重要价值的资产。建立信息安全管理体系(ISMS)的目的是在最大范围内保护信息资产，确保信息的机密性、完整性和可用性，将风险管理自始至终的贯穿于整个信息安全管理体系中，这种体系并不能完全消除信息安全的风险，只是尽量减少风险，尽量将攻击造成的损失降低到最低限度。风险评估风险评估指风险分析和风险评价的整个过程，其中风险分析是指系统化地识别风险来源和风险类型，风险评价是指按组织制定的风险标准估算风险水平，确定风险严重性。风险评估的出发点是对与风险有关的各因素的确认和分析，与信息安全风险有关的因素可以包括四大类：资产、威胁、脆弱性、安全控制措施。风险评估是对信息和信息处理设施的威胁、脆弱性和风险的评估，它包含以下元素：风险是被特定威胁利用的资产的一种或一组脆弱性，导致资产丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。资产是对组织具有价值的信息资源，是安全控制措施保护的对象。威胁是可能对资产或组织造成损害的事故的潜在原因。脆弱性是资产或资产组中能被威胁利用的弱点。安全控制措施是降低风险的措施、程序或机制。其他资产Asset：对组织具有价值的信息或资源，是安全策略保护的对象。资产价值AssetValue：资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。机密性confidentiality：数据所具有的特性，即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。完整性integrity：保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。可用性availability：数据或资源的特性，被授权实体按要求能访问和使用数据或资源。数据完整性dataintegrity：数据所具有的特性，即无论数据形式作何变化，数据的准确性和一致性均保持不变。系统完整性systemintegrity：在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下，信息系统能履行其操作目的的品质。信息安全风险informationsecurityrisk：人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。信息安全风险评估informationsecurityriskassessment：依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。信息系统informationsystem：由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。典型的信息系统由三部分组成：硬件系统（计算机硬件系统和网络硬件系统）；系统软件（计算机系统软件和网络系统软件）；应用软件（包括由其处理、存储的信息）。检查评估inspectionassessment：由被评估组织的上级主管机关或业务主管机关发起的，依据国家有关法规与标准，对信息系统及其管理进行的具有强制性的检查活动。组织organization：由作用不同的个体为实施共同的业务目标而建立的结构。组织的特性在于为完成目标而分工、合作；一个单位是一个组织，某个业务部门也可以是一个组织。残余风险residualrisk：采取了安全措施后，仍然可能存在的风险。自评估self-assessment：由组织自身发起，参照国家有关法规与标准，对信息系统及其管理进行的风险评估活动。安全事件securityevent：指系统、服务或网络的一种可识别状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或未预知的不安全状况。安全措施securitymeasure：保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制的总称。安全需求securityrequirement：为保证组织业务战略的正常运作而在安全措施方面提出的要求。威胁threat：可能导致对系统或组织危害的不希望事故潜在原因。脆弱性vulnerability：可能被威胁所利用的资产或若干资产的弱点。风险评估框架及流程本章提出了风险评估的要素关系、分析原理及实施流程。风险要素关系资产所有者应对信息资产进行保护，通过分析信息资产的脆弱性来确定威胁可能利用哪些弱点来破坏其安全性。风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。风险评估中各要素的关系如图3-1所示：图3-1风险要素关系图图3-1中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。风险评估围绕着这些基本要素展开，在对这些要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。图3-1中的风险要素及属性之间存在着以下关系：业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；资产价值越大，原则上则其面临的风险越大；风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能导致安全事件；弱点越多，威胁利用脆弱性导致安全事件的可能性越大；脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产，从而形成风险；风险的存在及对风险的认识导出安全需求；安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；安全措施可抵御威胁，降低安全事件发生的可能性，并减少影响；风险不可能也没有必要降为零，在实施了安全措施后还可能有残余风险。有些残余风险的原因可能是安全措施不当或无效,需要继续控制；而有些残余风险则是在综合考虑了安全成本与效益后未去控制的风险，是可以接受的；残余风险应受到密切监视，它可能会在将来诱发新的安全事件。风险分析原理风险分析原理如图3-2所示：图3-2风险分析原理图风险分析中要涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为：对资产进行识别，并对资产的价值进行赋值；对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性；根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失；根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。实施流程图3-3给出风险评估的实施流程，第4章将围绕风险评估流程阐述风险评估各具体实施步骤。图3-3风险评估实施流程图风险评估准备过程风险评估的准备过程是运维中心进行风险评估的基础，是整个风险评估过程有效性的保证。运维中心对信息及信息系统进行风险评估是一种战略性的考虑，其结果将受到运维中心业务需求及战略目标、文化、业务流程、安全要求、规模和结构的影响。因此在风险评估实施前，应：确定风险评估的范围；确定风险评估的目标；建立适当的组织结构；建立系统化的风险评估方法；获得最高管理者对风险评估策划的批准。确定范围进行风险评估是基于运维中心自身商业要求及战略目标的要求，国家法律法规和行业监管要求，根据上述要求确定风险评估范围，每次评估范围可以是全公司的信息和信息系统，可以是单独的信息系统，可以是关键业务流程。此项工作需要在资产识别和分类工作基础上进行。确定目标运维中心的信息、信息系统、应用软件和网络是运维中心重要的资产，信息资产的机密性，完整性和可用性对于维持竞争优势，提高安全管理水平，符合法律法规要求和运维中心的形象是必要的。运维中心要面对来自四面八方日益增长的安全威胁，信息、信息系统、应用软件和网络可能是严重威胁的目标，同时由于运维中心信息化程度不断提高，对信息系统和技术的依赖日益增加，则可能出现更多的脆弱性。运维中心风险评估的目标来源于业务持续发展的需要、满足国家法律法规和行业监管的要求等方面。确定组织结构在风险评估过程中，应建立适合的组织结构，以推进评估过程，成立由管理层、相关业务骨干、IT技术人员等组成的风险评估小组，以保证能够满足风险评估的范围、目标。确定风险评估方法风险评估方法应考虑评估的范围、目的、时间、效果、组织文化、人员素质以及具体开展的程度等因素来确定，使之能够与运维中心的环境和安全要求相适应。获得最高管理者批准上述所有内容应得到运维中心管理层批准，并对相关部门和员工进行传达，就风险评估相关内容进行培训，以明确各有关人员在风险评估中的任务。风险评估实施过程信息安全各组成因素：资产的价值、对资产的威胁和威胁发生的可能性、资产脆弱性、现有的安全控制提供的保护，风险评估过程是综合以上因素而导出风险的过程，如图5-1所示：资产赋值资产赋值脆弱性评估威胁评估确定现有控制风险评估图5-1 风险评估的过程详细的风险评估方法描述详细的风险评估是对资产、威胁和脆弱点进行详细的识别和估价，评估结果被用于评估风险和安全控制的识别和选择。通过识别资产的风险并将风险降低到可接受水平，来证明管理者所采用的安全控制是适当的。详细的风险评估，需要仔细地制定被评估的信息系统范围内的业务环境、业务运营、信息和资产的边界，是一个需要管理者持续关注的方法，如下表：风险评估评估活动资产赋值识别和列出信息安全管理范围内被评估的业务环境、业务运营和信息相关的所有的资产，定义一个价值尺度并为每一项资产分配价值（机密性、完整性和可用性的价值）。威胁评估识别与资产相关的所有威胁，并根据它们发生的可能性为它们赋值。脆弱性评估识别与资产相关的所有的脆弱点，并根据它们被威胁利用的程度和严重性来赋值。确定现有控制识别与记录所有与资产相关联的、现有的控制。风险评估利用上述对资产、威胁、脆弱点的评价结果，进行风险评估，风险为资产的相对价值、威胁发生的可能性与脆弱点被利用的可能性的函数，采用适当的风险测量工具进行风险计算。表5-1详细风险评估内容详细风险评估方法将安全风险作为资产、威胁及脆弱点的函数来进行识别与评估，具体程序包括：对资产（说明它们的价值、业务相关性）、威胁（说明它们发生的可能性）和脆弱性（说明有关它们的弱点和敏感性的程度）进行测量与赋值。使用预定义风险计算函数完成风险测量。资产赋值资产赋值就是要识别影响信息系统的信息资产（以下简称资产），并评估其价值，包括资产识别与资产赋值两部分。资产识别资产是影响信息系统运行而需要保护的有用资源，资产以多种形式存在。运维中心资产分为：硬件类、系统服务类、支撑服务类、信息类、人员、无形资产等，每类资产具有不同价值属性和存在特点，固有的弱点、面临的威胁、需要实施的保护和安全控制各不相同。为了对资产进行有效的保护，组织需要在各个管理层对资产落实责任，进行恰当的管理。在信息安全体系范围内识别资产并为资产编制清单是一项重要工作，每项资产都应该清晰地定义，在组织中明确资产所有权关系，进行安全分类，并以文件方式详细记录在案。资产赋值为了明确对资产的保护，有必要对资产进行估价，其价值大小不仅仅是考虑其自身的价值，还要考虑其业务的相关性和一定条件下的潜在价值。资产价值常常是以安全事件发生时所产生的潜在业务影响来衡量，安全事件会导致资产机密性、完整性和可用性的损失，从而导致企业资金、市场份额、企业形象的损失。为了资产评估的一致性与准确性，组织应当建立一个资产的价值评估标准，对每一种资产和每一种可能的损失，例如机密性、完整性和可用性的损失，都可以赋予一个价值。但采用精确的方式给资产赋值是较困难的一件事，一般采用定性的方式，按照事前建立的资产的价值评估标准将资产的价值划分为不同等级。经过资产的识别与估价后，组织应根据资产价值大小，进一步确定要保护的关键资产。资产分别具有不同的安全属性，机密性、完整性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的数值。对信息资产进行估价赋值的目的是为了更好地反映资产的价值，以便于进一步考察资产相关的弱点、威胁和风险属性，并进行量化。在评估过程，为了保证没有资产被忽略和遗漏，应该先确定信息安全管理体系(ISMS)范围，建立资产的评审边界。评估资产最简单的方式是列出组织业务过程中、安全管理体系范围内所有具有价值的资产，然后对资产赋予一定的价值，这种价值应该反映资产对组织业务运营的重要性，并以对业务的潜在影响程度表现出来。例如，资产价值越大，由于泄露、修改、损害、不可用等安全事件对组织业务的潜在影响就越大。基于组织业务需要的资产的识别与估价，是建立信息安全体系，确定风险的重要一步。资产的价值应当由资产的所有者和相关用户来确定，只有他们才最清楚资产对组织业务的重要性，才能较准确地评估出资产的实际价值。为确保资产赋值时的一致性和准确性，组织应建立一个资产价值评价尺度，以指导资产赋值。在对资产赋予价值时，一方面要考虑资产购买成本及维护成本，另一方面主要考虑当这种资产的机密性、完整性、可用性受到损害时，对业务运营的负面影响程度。在信息安全管理中，并不是直接采用资产的账面价值，在运维中心风险评估中采用以定性分级的方式建立资产的相对价值，以相对价值来作为确定重要资产的依据和为这种资产的保护投入多大资源的依据。资产分类运维中心资产分类见下表：大类小类名称硬件类H010大型机H020小型机H030PC服务器H040PC台式机H050PC移动电脑H060业务终端H070通讯设施H080网络交换机H090网络路由器H100负载均衡器H110网络安全设备H120数据存储设备H130移动存储设备H140存储介质H150纸质文档H160智能卡设备H170UPS设备H180发电机H190设备管理间H200电线电缆H210显示设备H220监控设备H230传真机/传真系统H240照明设施H250供电设施H260供水设施H270暖通空调H280消防设施H290门禁系统H300打印机H310复印机H320扫描仪H330投影机H340机架系统服务类S010核心业务应用系统S020辅助业务应用系统S030网络基础应用系统S040网络安全系统S050操作系统S060数据库S070中间件S080软件开发工具S090软件测试工具S100其他系统或服务信息类I010软件I020开发文档及源代码I030用户文档I040系统业务数据I050系统支撑数据I060密码数据I070其他支撑服务类F010通讯服务F020系统运行F030系统维护F040软件开发F050软件维护F060安全保卫F070人力资源服务F080财务服务F090供电F100供暖F110消防F120照明F130空调F140咨询服务F150培训服务F160审计服务人员类R010管理层人员R020网络管理人员R030系统管理人员R040安全管理人员R050软件开发人员R060软件测试人员R070通讯管理人员R080文档管理人员R090系统用户R100企业客户R110签约供应商R120第三方人员R130临时人员无形资产类W010公信力W020组织形象与声誉W030商标W040产品名称W050知识产权表5-2资产分类表资产价值属性除了机密性、完整性和可用性外，在运维中心风险评估中引入系统对业务的重要程度、资产对系统的重要程度，资产花费等资产价值属性，各价值属性图示如下：图5-2资产价值属性系统服务范围：说明当前业务系统应用或服务的范围，评估人员可以人工分析并选择系统服务范围值。业务对系统的依赖程度：用于衡量部门业务对当前业务系统的依赖程度，评估人员可以人工分析并选择业务对系统的依赖程度值。系统对业务的重要程度：用于衡量业务系统对业务的重要性，其值由系统服务范围和业务对系统的依赖程度确定。信息保密性：说明信息资产本身或硬件、系统服务类资产所包含信息的保密性价值，评估人员可以人工分析并选择信息保密性值。信息完整性：说明信息资产本身或硬件、系统服务类资产所包含信息的完整性价值，评估人员可以人工分析并选择信息完整性值。信息可用性：说明信息资产本身或硬件、系统服务类资产所包含信息的可用性价值，评估人员可以人工分析并选择信息可用性值。资产信息重要性：用于衡量信息资产本身或硬件、系统服务类资产所包含信息的信息价值，其值由信息保密性、信息完整性和信息可用性确定。资产对系统的重要程度：用于衡量硬件、系统服务类资产对业务系统的可用性价值，评估人员可以人工分析并选择对系统的重要程度值。资产对业务的重要程度：用于衡量硬件、系统服务类资产对业务的重要性，其值由系统对业务的重要程度和资产对系统的重要程度确定。资产业务价值：用于衡量硬件、系统服务、人员及其它类资产对业务的价值，对于人员及无形类资产，其值由对业务的重要程度确定，对于硬件、系统服务类资产，其值由对业务的重要程度和资产信息重要性确定。花费：用于衡量购买或恢复被破坏的资产所需要的花消，评估人员可以人工分析并选择花费值。资产价值：用于表示资产的重要性，其值由资产业务价值和花费确定。不同类别资产赋值可能采用不同的价值属性。具体见下表：资产类别价值属性硬件类系统服务类信息类支撑服务人员无形资产系统服务范围√√√√√业务对系统的依赖程度√√√√√系统对业务的重要程度√√√√√保密性√√完整性√√可用性√√√√√资产CIA重要性√√√√√资产对系统的重要程度√√√√√资产对业务的重要程度√√√√√资产业务价值√√√√√花费√√√√√表5-3不同资产采用的价值属性资产价值属性赋值标准运维中心风险评估使用的资产属性赋值标准见下表：系统服务范围赋值系统服务范围赋值描述1运维中心内部。2面向开发基地。3面向整个公司内部。4面向整个公司内部及客户、政府、组织等。表5-4系统服务范围赋值表业务对系统的依赖程度赋值业务对系统依赖程度赋值描述1整个业务处理流程可以通过手工方式或其他方式完成，而且这些替代方式对组织业务的开展没有或极少影响。2整个业务处理流程可以通过手工方式或其他方式完成，但这些替代方式对组织业务的开展有较大的影响。3业务处理流程的部分环节可以通过手工方式或其他方式替代完成,这些替代方式对组织业务的开展有较大的影响。4业务处理流程完全依赖信息系统，手工方式无法完成。表5-5业务对系统的依赖程度赋值表系统对业务的重要程度计算系统重要程度权值（W）＝系统服务范围值+业务对系统依赖程度值系统重要程度值＝T1（W） T1是非线性函数，用于将计算出的权值W映射到5级，得到系统重要程度值，见下表：系统对业务重要程度赋值描述1W={2，3}2W={4}3W={5}4W={6}5W={7，8}表5-6系统对业务的重要程度计算表信息保密性赋值信息保密性赋值描述1信息的未授权泄露对运维中心的业务以及利益基本不会受到影响或损害极小。2信息的未授权泄露对运维中心的业务以及利益带来一定的损失或破坏。3信息的未授权泄露对运维中心的业务、利益以及整个公司利益带来严重的损失或破坏。4信息的未授权泄露对运维中心的业务、利益以及整个公司利益带来极其严重的损失或破坏。5信息的未授权泄露会对运维中心的业务、利益以及整个公司利益带来灾难性的损失或破坏。表5-7信息保密性赋值表信息完整性赋值信息完整性赋值描述1信息的未授权的修改或破坏对运维中心的业务以及利益基本不会受到影响或损害极小。2信息的未授权的修改或破坏对运维中心的业务以及利益带来一定的损失或破坏。3信息的未授权的修改或破坏对运维中心的业务、利益以及整个公司利益带来严重的损失或破坏。4信息的未授权的修改或破坏会对运维中心的业务、利益以及整个公司利益带来极其严重的损失或破坏。5信息的未授权的修改或破坏会对运维中心的业务、利益以及整个公司利益带来灾难性的损失或破坏。表5-8信息完整性赋值表信息可用性赋值信息可用性赋值描述1可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于25%2可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上3可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上4可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上5可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上表5-9信息可用性赋值表资产CIA重要性计算资产CIA重要性值＝MAX（保密性值、完整性值、可用性值）资产对系统的重要程度赋值对系统的重要程度赋值描述1资产出现问题对整个业务系统的可用性影响极小或没有影响。2资产出现问题对整个业务系统的可用性有一定的影响。3资产出现问题对整个业务系统的可用性有较大的影响。4资产出现问题将导致整个业务系统丧失可用性。表5-10资产对系统的重要程度赋值表资产对业务的重要程度计算资产对业务的重要程度权重(W)＝系统对业务的重要程度值×资产对系统的重要程度值 资产对业务的重要程度值＝T2（W） T2是非线性函数，用于将计算出的权值W映射到5级，得到资产对业务重要程度值，见下表：资产对业务重要程度赋值描述1W={1，2}2W={3，4，5}3W={6，8，9}4W={10，12}5W={15，16，20}表5-11资产对业务的重要程度计算表资产业务价值计算资产业务价值＝MAX（资产对业务的重要程度值、资产CIA重要性值）花费赋值资产花费赋值描述1购买或恢复资产花费<=0.1万元。20.1万元<购买或恢复资产花费<1万元。31万元<购买或恢复资产花费<10万元。410万元<购买或恢复资产花费<50万元。550万元<购买或恢复资产花费表5-12资产花费赋值表资产价值计算资产价值＝MAX（资产业务价值、花费）威胁评估威胁是一种对运维中心资产构成潜在破坏的可能性因素或者事件。无论对于实施多少安全控制的信息系统，威胁始终是一个客观存在的，因此在风险评估中威胁是需要考虑的重要因素之一。威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，在机密性、完整性或可用性等方面造成损害；也可能是偶发的、或蓄意的事件。威胁分类在对威胁进行分类前，应考虑威胁的来源。威胁来源如下表述：威胁编号威胁来源威胁来源描述TR01环境因素、意外事故或故障由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害；意外事故或由于软件、硬件、数据、通讯线路方面的故障TR02无恶意内部人员内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致故障或被攻击；内部人员由于缺乏培训，专业技能不足,不具备岗位技能要求而导致信息系统故障或被攻击TR03恶意内部人员不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主的或内外勾结的方式盗窃机密信息或进行篡改，获取利益TR04第三方第三方合作伙伴和供应商，包括电信、移动等业务合作伙伴以及软件开发合作伙伴、系统集成商、服务商和产品供应商；包括第三方恶意的和无恶意的行为TR05外部人员攻击外部人员利用信息系统的脆弱性，对网络和系统的机密性、完整性和可用性进行破坏，以获取利益或炫耀能力表5-13威胁来源表在威胁评估过程中，首先就要对运维中心需要保护的每一项关键资产进行威胁识别。在威胁识别过程中，应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断。一项资产可能面临着多个威胁，同样一个威胁可能对不同的资产造成影响。在运维中心风险评估中采用问卷调查和小组访谈进行威胁识别和评估。对威胁进行分类的方式有多种多样，可以根据其表现形式将威胁分为以下种类：编号种类描述威胁子类TC01软硬件故障由于设备硬件故障、通讯链路中断、系统本身或软件缺陷造成对业务实施、系统稳定运行的影响。设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障。TC02物理环境影响断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题或自然灾害。TC03无作为或操作失误由于应该执行而没有执行相应的操作，或无意地执行了错误的操作，对系统造成的影响。维护错误、操作失误TC04管理不到位安全管理无法落实，不到位，造成安全管理不规范，或者管理混乱，从而破坏信息系统正常有序运行。TC05恶意代码和病毒具有自我复制、自我传播能力，对信息系统构成破坏的程序代码。恶意代码、木马后门、网络病毒、间谍软件、窃听软件TC06越权或滥用通过采用一些措施，超越自己的权限访问了本来无权访问的资源，或者滥用自己的职权，做出破坏信息系统的行为。未授权访问网络资源、未授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息TC07黑客攻击利用工具和技术，如侦察、密码破译、安装后门、嗅探、伪造和欺骗、拒绝服务等手段，对信息系统进行攻击和入侵。网络探测和信息采集、漏洞探测、嗅探（账户、口令、权限等）、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏TC08物理攻击通过物理的接触造成对软件、硬件、数据的破坏。物理接触、物理破坏、盗窃TC09泄密信息泄露给不应了解的他人。内部信息泄露、外部信息泄露TC10篡改非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用。篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息TC11抵赖不承认收到的信息和所作的操作和交易。原发抵赖、接收抵赖、第三方抵赖表5-14威胁种类表威胁赋值判断威胁出现的频率是威胁识别的重要内容，评估者应根据经验和（或）有关的统计数据来进行判断。在评估中，需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率：以往安全事件报告中出现过的威胁及其频率的统计；实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。可以对威胁出现的频率进行等级化处理，不同等级分别代表威胁出现的频率的高低。等级数值越大，威胁出现的频率越高。运维中心风险评估对威胁发生可能性采用以下赋值方法：等级标识定义5很高出现的频率很高（或≥1次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过。4高出现的频率较高（或≥1次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过。3中出现的频率中等（或>1次/半年）；或在某种情况下可能会发生；或被证实曾经发生过。2低出现的频率较小；或一般不太可能发生；或没有被证实发生过。1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生。表5-15威胁赋值表脆弱性评估脆弱性评估也称为漏洞评估，是风险评估中重要内容。脆弱性是信息资产自身存在的，它可以被威胁利用、引起资产或商业目标的损害。脆弱性包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的弱点。值得注意的是，脆弱性虽然是信息资产本身固有的，但它本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失。所以如果没有相应的威胁发生，单纯的脆弱性并不会对资产造成损害。那些没有安全威胁的脆弱性可以不需要实施安全保护措施，但它们必须记录下来以确保当环境、条件有所变化时能随之加以改变安全保护，需要注意的是不正确的、起不到应有作用的或没有正确实施的安全保护措施本身就可能是一个安全脆弱性环节。脆弱性评估将针对每一项需要保护的信息资产，找出每一种威胁所能利用的脆弱性，并对脆弱性的严重程度进行评估，即对脆弱性被威胁利用的可能性进行评估，最终为其赋值。在进行脆弱性评估时，提供的数据应该来自于这些资产的拥有者或使用者，来自于相关业务领域的专家以及软硬件信息系统方面的专业人员。脆弱性评估所采用的方法主要为：问卷调查、访谈、工具扫描、手动检查、文档审查、渗透测试等。在运维中心风险评估中采用问卷调查、小组访谈、工具扫描和人工检查等方法。脆弱性的识别以资产为核心，即根据每个资产分别识别其存在的弱点，然后综合评价该资产的脆弱性。脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关。脆弱性识别内容如下表述：类型识别对象识别内容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。服务器（含操作系统）从物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置（初始化）、注册表加固、网络安全、系统管理等方面进行识别。网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。数据库从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别。应用系统审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别。管理脆弱性技术管理物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性。组织管理安全策略、组织安全、资产分类与控制、人员安全、符合性表5-16弱点分类表安全控制措施的使用将减少脆弱性，考虑对现有安全控制措施的确认，采用等级方式对已识别的脆弱性的严重程度进行赋值。脆弱性严重程度的等级划分为五级，分别代表资产脆弱性严重程度的高低。等级数值越大，脆弱性严重程度越高。运维中心风险评估对脆弱性采用以下赋值方法：等级影响技术攻击角度管理防范角度1(可忽略)如果被威胁利用，将对资产造成的损害可以忽略。技术方面存在着低等级缺陷，从技术角度很难被利用对于攻击者来说，该漏洞目前还不能够被直接或者间接利用，或者利用的难度极高组织管理中没有相关的薄弱环节，很难被利用有规定，严格审核、记录、校验2(低)如果被威胁利用，将对资产造成较小损害。技术方面存在着低等级缺陷，从技术角度难以被利用对于攻击者来说，该漏洞无法被直接利用(需要其他条件配合)或者利用的难度较高组织管理中没有相应的薄弱环节，难以被利用有规定，职责明确，有专人负责检查执行落实情况，有记录3(中)如果被威胁利用，将对资产造成一般损害。技术方面存在着一般缺陷，从技术角度可以被利用可以配合其他条件被攻击者加以直接利用，或者该漏洞的利用有一定的难度组织管理中没有明显的薄弱环节，可以被利用有规定，定期检查落实，有记录4(高)如果被威胁利用，将对资产造成重大损害。技术方面存在着严重的缺陷，比较容易被利用一个特定漏洞，可以配合其他条件被攻击者加以直接利用，或者该漏洞的利用有一定的难度组织管理中存在着薄弱环节，比较容易被利用有规定．执行完全靠人自觉5(极高)如果被威胁利用，将对资产造成完全损害。技术方面存在着非常严重的缺陷，很容易被利用在没有任何保护措施的情况下，暴露于低安全级别网络上组织管理中存在着明显的薄弱环节，并且很容易被利用无人负责，无人过问表5-17弱点赋值表确定现有控制在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。对有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正，或用更合适的安全措施替代。安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统；保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响，如业务持续性计划。已有安全措施确认与脆弱性识别存在一定的联系。一般来说，安全措施的使用将减少系统技术或管理上的弱点，但安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的弱点，而是一类具体措施的集合，为风险处理计划的制定提供依据和参考。风险评估完成资产评估、威胁评估、脆弱性评估后，并考虑已有安全措施的情况下，利用恰当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性，并结合资产的安全属性受到破坏后的影响得出信息资产的风险。风险值计算在完成了资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险。使用本方法需要首先确定信息资产、威胁和脆弱性的赋值，要完成这些赋值，需要管理人员、技术人员的配合。运维中心风险评估中风险值计算方式如下：风险值(RW)＝资产价值×威胁可能性值×脆弱性严重程度值风险等级划分确定风险数值的大小不是风险评估的最终目的，重要的是明确不同威胁对资产所产生的风险的相对值，即要确定不同风险的优先次序或等级，对于风险级别高的资产应被优先分配资源进行保护。风险等级在运维中心风险评估中采用分值计算表示。分值越大，风险越高。见下表。风险等级标识风险值范围描述建议处置方式1很低RW≤5发生安全事件的可能性极小，即使发生对系统或组织也基本没影响。A-接受2低6≤RW≤10发生安全事件的可能性较小，安全事件发生后使系统受到的破坏较小或使组织利益受到的损失较少。A-接受3中11≤RW≤30发生安全事件的可能性一般，安全事件发生后将使系统受到一定的破坏或使组织利益受到一定的损失。B-降低4高31≤RW≤40发生安全事件的可能性较大，安全事件发生后将使系统受到较大的破坏或使组织利益受到较多的损失。B-降低5极高41≤RW发生安全事件的可能性很大，安全事件发生后将使系统受到很大的破坏或使组织利益受到很多的损失。B-降低表5-20风险等级描述表风险评估结果纪录风险评估的过程需要形成相关的文件及记录，文档管理考虑以下控制：文件发布前得到批准，以确保文件是充分的；必要时对文件进行评审、更新并再次批准；确保文件的更改和现行修订状态得到识别；确保在使用时，可获得有关版本的适用文件；确保文件保持清晰、易于识别；确保外来文件得到识别；确保文件的分发得到适当的控制；防止作废文件的非预期使用，若因任何目的需保留作废文件时，应对这些文件进行适当的标识。对于风险评估过程中形成的记录，还应规定记录的标识、储存、保护、检索、保存期限以及处置所需的控制。记录是否需要以及详略程度由管理过程来决定。风险评估过程应形成下列文件：风险评估过程计划：该计划中应阐述风险评估的范围、目标、组织机构、评估过程所需资源、形成的评估结果。风险评估程序：程序中应明确评估的目的、职责、过程、相关的文件要求，并且准备评估阶段需要的表格，如信息资产识别与评估表。信息资产识别清单：根据在风险评估程序文件中规定的资产分类方法进行资产的识别，并形成信息资产识别清单，清单中应明确各资产的负责人/部门。威胁参考列表：应根据评估对象、环境等因素，形成威胁的分类方法及具体的威胁列表，为风险评估提供支持。脆弱性参考列表：应针对不同分类的评估对象自身的弱点，形成脆弱性参考列表，为风险评估提供支持。风险评估记录：根据组织的风险评估程序文件，记录对重要信息资产的风险评估过程，包括脆弱性、威胁的赋值，已有安全控制措施的确认，