信息安全管理课件

信息平安管理

〔第二版〕授课内容：信息平安风险评估信息平安管理Informationsecuritymanagement第3章信息平安风险评估3.1概述3.2信息平安风险评估策略3.3信息平安风险评估流程3.4信息平安风险评估方法3.5风险评估案例3.6本章小结3.7习题从一个故事开始认识“风险〞3.1 概述

故事梗概傻根在外地打工挣了钱，随身携带着10万元钱坐上了一辆混杂着很多小偷的长途火车回家。傻根把钱就放在了普通的布质书包里。傻根没有坐软卧包厢，而是坐在挤满了上百人的硬座车厢。有时候累了，就坐着打个瞌睡。一路上，葛优等小偷团伙频频出手，尝试着偷这10万元钱。但是在好心人刘德华和刘假设英等的保护下，葛优等小偷团伙未能得逞。好险啊，如果这钱被偷走了，傻根就娶不上媳妇了。天下无贼？3.1 概述资产〔asset〕------对组织具有价值的任何东西[ISO/IECTR13335-1：2024]概念威胁〔threat〕------可能导致对系统或组织损害的不希望事故潜在起因[ISO/IECTR13335-1：2024]脆弱性〔vulnerability〕〔也称脆弱点、漏洞〕------可能会被威胁所利用的资产或假设干资产的弱点[ISO/IECTR13335-1：2024]3.1 概述风险管理〔riskmanagement〕------在风险方面指挥或控制一个组织的协调活动，一般包括风险评估、风险处理、风险接受和风险传递[ISOGuide73：2024]风险〔risk〕------事件的概率及其结果的组合[ISOGuide73：2024]风险评价〔riskevaluation〕------对照风险准那么比较被估计的风险，以确定风险严重性的过程[ISOGuide73：2024]概念3.1 概述信息平安风险信息平安风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。信息平安风险只考虑那些对组织有负面影响的事件。风险值=资产价值×威胁可能性×脆弱性严重性〔简单理解〕3.1 概述对信息和信息处理设施的威胁、影响(Impact，指平安事件所带来的直接和间接损失)和脆弱性及三者发生的可能性的评估。3.1 概述风险评估〔RiskAssessment〕故事分析在火车开动到停止这段时间内，综合资产、脆弱性、威胁和平安措施等各方面因素进行风险评估的结果是：因为10万元钱不是一笔小数目〔资产〕，葛优等小偷能力很强且决心坚决〔威胁〕，且傻根对钱的保管手段〔技术〕和意识〔管理〕都缺乏〔脆弱性〕，差一点发生“娶不上媳妇〞这样的结果〔风险〕。因好心人刘德华和刘假设英等的保护到位〔平安措施〕，最终钱保住了〔风险消减〕。3.1 概述以风险为核心的平安模型〔ISO13335〕风险安全措施信息资产威胁脆弱性安全需求降低增加增加利用暴露价值拥有抗击增加引出被满足3.1 概述信息平安风险评估的意义和作用信息平安中的风险评估是传统的风险理论和方法在信息系统中的运用，是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险，并在风险的减少、转移和躲避等风险控制方法之间做出决策的过程。风险评估将导出信息系统的平安需求，因此，所有信息平安建设都应该以风险评估为起点。信息平安建设的最终目的是效劳于信息化，但其直接目的是为了控制平安风险。只有在正确、全面地了解和理解平安风险后，才能决定如何处理平安风险，从而在信息平安的投资、信息平安措施的选择、信息平安保障体系的建设等问题中做出合理的决策。持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位的绩效的有力手段，风险评估的结果能够供相关主管单位参考，并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响，促进信息系统拥有单位加强信息平安建设。3.1 概述3.1 概述3.1.1信息平安风险评估相关要素信息平安风险评估的对象是信息系统，信息系统的资产、信息系统可能面对的威胁、系统中存在的弱点〔脆弱性〕、系统中已有的平安措施等是影响信息平安风险的根本要素，它们和平安风险、平安风险对业务的影响以及系统平安需求等构成信息平安风险评估的要素。1. 资产根据ISO/IEC13335-1,资产是指任何对组织有价值的东西，资产包括：物理资产、信息/数据、软件、提供产品和效劳的能力、人员、无形资产。?信息平安风险评估标准?——资产是指对组织具有价值的信息资源，是平安策略保护的对象。以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有效劳、形象等。根据资产的表现形式，可将资产分为数据、软件、硬件、文档、效劳、人员等类。3.1 概述2.威胁威胁是可能对资产或组织造成损害的潜在原因。威胁有潜力导致不期望发生的事件发生，该事件可能对系统或组织及其资产造成损害。这些损害可能是蓄意的对信息系统和效劳所处理信息的直接或间接攻击。也可能是偶发事件。根据威胁源的不同，威胁可分为：自然威胁、环境威胁、系统威胁、人员威胁3.脆弱性脆弱性是一个或一组资产所具有的，可能被威胁利用对资产造成损害的薄弱环节。4.风险根据ISO/IEC13335-1，信息平安风险是指威胁利用利用一个或一组资产的脆弱性导致组织受损的潜在，并以威胁利用脆弱性造成的一系列不期望发生的事件〔或称为平安事件〕表达3.1 概述5. 影响影响是威胁利用资产的脆弱性导致不期望发生事件的后果。这些后果可能表现为直接形式，如物理介质或设备的破坏、人员的损伤、直接的资金损失等；也可能表现为间接的损失如公司信用、形象受损、市场分额损失、法律责任等。6.平安措施平安措施是指为保护资产、抵御威胁、减少脆弱性、限制不期望发生事件的影响、加速不期望发生事件的检测及响应而采取的各种实践、规程和机制的总称。7.平安需求平安需求是指为保证组织业务战略的正常运作而在平安措施方面提出的要求。3.1 概述3.1.2信息平安风险评估信息平安风险评估是指依据有关信息平安技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等平安属性进行评价的过程。3.1.3风险要素相互间的关系资产、威胁、脆弱性是信息平安风险的根本要素与信息平安风险有关的要素还包括：平安措施、平安需求、影响等。ISO/IEC13335-1对它们之间的关系描述如图2-1所示

3.1 概述?信息平安风险评估标准?GB/T20984对ISO/IEC13335-1提出风险要素关系模型进行了扩展我国提出的信息风险要素关系图3.2 信息平安风险评估策略3.2.1基线风险评估要求组织根据自己的实际情况〔所在行业、业务环境与性质等〕，对信息系统进行基线平安检查〔将现有的平安措施与平安基线规定的措施进行比较，找出其中的差距〕，得出根本的平安需求，通过选择并实施标准的平安措施来消减和控制风险。可以根据以下资源来选择平安基线：(1) 国际标准和国家标准(2) 行业标准或推荐(3)来自其他有类似商务目标和规模的组织的惯例3.2 信息平安风险评估策略基线评估的优点是：(1)风险分析和每个防护措施的实施管理只需要最少数量的资源，并且在选择防护措施时花费更少的时间和努力(2)如果组织的大量系统都在普通环境下运行并且如果平安需要类似，那么很多系统都可以采用相同或相似的基线防护措施而不需要太多的努力基线评估的的缺点是：(1)基线水平难以设置(2)风险评估不全面、不透彻，且不易处理变更3.2 信息平安风险评估策略3.2.2详细风险评估详细风险评估要求对资产、威胁和脆弱性进行详细识别和评价，并对可能引起风险的水平进行评估通过不期望事件的潜在负面业务影响评估和他们发生的可能性来完成。根据风险评估的结果来识别和选择平安措施，将风险降低到可接受的水平详细评估的优点是：(1) 有可能为所有系统识别出适当的平安措施(2) 详细分析的结果可用于平安变更管理。详细评估的缺点：需要更多的时间、努力和专业知识3.2 信息平安风险评估策略3.2.3综合风险评估基线风险评估消耗资源少、周期短、操作简单，但不够准确，适合一般环境的评估详细风险评估准确而细致，但消耗资源较多，适合严格限定边界的较小范围内的评估实践中，多采用二者结合的综合评估方式3.3 信息平安风险评估流程3.3.1风险评估流程概述风险评估四个阶段:阶段1:评估准备阶段2:风险识别阶段3:风险评价阶段4:风险处理3.3 信息平安风险评估流程3.3.2风险评估的准备风险评估的准备是整个风险评估过程有效性的保证包括：1．确定风险评估目标2．确定风险评估的对象和范围3．组建团队。组建适当的风险评估管理与实施团队，以支持整个过程的推进4．选择方法应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险判断方法，使之能够与组织环境和平安要求相适应。5．获得支持6．准备相关的评估工具3.3 信息平安风险评估流程3.3.3资产识别与评估1．资产识别资产识别是风险识别的必要环节。资产识别的任务就是对确定的评估对象所涉及或包含的资产进行详细的标识资产识别过程中要特别注意无形资产的遗漏，同时还应注意不同资产间的相互依赖关系，关系紧密的资产可作为一个整体来考虑，同一中类型的资产也应放在一起考虑。资产识别方法:

访谈、现场调查、问卷、文档查阅

3.3 信息平安风险评估流程2．资产评估资产的评价是对资产的价值或重要程度进行评估，资产本身的货币价值是资产价值的表达，但更重要的是资产对组织关键业务的顺利开展乃至组织目标实现的重要程度。由于多数资产不能以货币形式的价值来衡量，资产评价很难以定量的方式来进行，多数情况下只能以定性的形式，依据重要程度的不同划分等级定性：非常重要→重要→比较重要→不太重要→不重要〔5级划分〕定量：54321信息资产的机密性、完整性、可用性、可审计性和不可抵赖性等是评价资产的平安属性可以先分别对资产在以上各方面的重要程度进行评估，然后通过一定的方法进行综合,可得资产的综合价值2.资产评估资产价值应依据资产在保密性、完整性和可用性上的赋值等级，经过综合评定得出电子信息资产纸介资产软件资产物理资产人员效劳性资产公司形象和名誉3.3 信息平安风险评估流程2.资产评估资产价值应依据资产在保密性、完整性和可用性上的赋值等级，经过综合评定得出最大原那么：取5个属性中最大的那个属性赋值作为综合评价值VA=Max(VAc,VAi,VAa,VAac,VAn)加权原那么：根据属性保护对业务开展影响赋权重Wc+Wi+Wa+Wac+Wn=1，VA=VAc·Wc+VAi·Wi+VAa·Wa+VAac·Wac+VAn·Wn3.3 信息平安风险评估流程2.资产评估?信息平安风险评估标准?GB/T20984推荐方法：首先，对资产的机密性、完整性、可用性定性赋值其次，用一定方法进行综合，根本属于最大原那么机密性赋值表2-3〔P28〕完整性赋值表2-4〔P29〕资产可用性赋值表2-5〔P29〕对关键资产进行风险评估是重点3.3 信息平安风险评估流程2.资产评估3.3 信息平安风险评估流程赋值标识定义5很高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害1很低可对社会公开的信息，公用的信息处理设备和系统资源等资产机密性赋值表?信息平安风险评估标准?GB/T209842.资产评估3.3 信息平安风险评估流程资产完整性赋值表赋值标识定义5很高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补3中等完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补2低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补1很低完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略?信息平安风险评估标准?GB/T209842.资产评估3.3 信息平安风险评估流程资产可用性赋值表赋值标识定义5很高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上，或系统不允许中断4高可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上，或系统允许中断时间小于10min3中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上，或系统允许中断时间小于30min2低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或系统允许中断时间小于60min5很高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上，或系统不允许中断?信息平安风险评估标准?GB/T209842.资产评估3.3 信息平安风险评估流程资产等级及含义描述等级标识描述5很高非常重要，其安全属性破坏后可能对组织造成非常严重的损失4高重要，其安全属性破坏后可能对组织造成比较严重的损失3中比较重要，其安全属性破坏后可能对组织造成中等程度的损失2低不太重要，其安全属性破坏后可能对组织造成较低的损失1很低不重要，其安全属性破坏后对组织造成导很小的损失，甚至忽略不计?信息平安风险评估标准?GB/T209843.3 信息平安风险评估流程3.3.4威胁识别与评估1．威胁识别威胁识别的任务是对组织资产面临的威胁进行全面的标识威胁识别可从威胁源进行分析，也可根据有关标准、组织所提供的威胁参考目录进行分析。如威胁树〔P30〕系统故障威胁树〔P31〕2．威胁评估平安风险的大小是由平安事件发生的可能性以及它造成的影响决定，平安事件发生的可能性与威胁出现的频率有关，而平安事件的影响那么与威胁的强度或破坏能力有关威胁评估就是对威胁出现的频率及强度进行评估，这是风险评估的重要环节评估者应根据经验和〔或〕有关的统计数据来分析威胁出现的频率及其强度或破坏能力威胁评估的通用方法为威胁列表中的全部可赋值威胁类进行赋值

3.3 信息平安风险评估流程等级标识定义5很高出现的频率很高（或≥1次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过4高出现的频率较高（或≥1次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过3中出现的频率中等（或>1次/半年）；或在某种情况下可能会发生；或被证实曾经发生过2低出现的频率较小；或一般不太可能发生；或没有被证实发生过1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生威胁赋值表?信息平安风险评估标准?GB/T20984威胁评估的通用方法判断威胁出现的频率是威胁赋值的重要内容，应根据经验和〔或〕有关的统计数据来进行判断。需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率：--以往平安事件报告中出现过的威胁及其频率的统计；--实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；--近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。为简化后续的风险计算过程，防止不必要的计算工作，仅采用TOP5或者TOP10威胁参与风险计算3.3 信息平安风险评估流程威胁举例3.3 信息平安风险评估流程外部威胁开展网络欺骗或讹诈感染恶意代码泄露重要信息手机攻击网络仿冒网页篡改网页恶意代码垃圾邮件拒绝服务攻击病毒蠕虫木马3.3 信息平安风险评估流程3.3 信息平安风险评估流程3.3.5脆弱性识别与评估1．脆弱性识别也称为弱点识别。弱点是资产本身存在的，如果没有相应的威胁发生，单纯的弱点本身不会对资产造成损害。而且如果系统足够强健，再严重的威胁也不会导致平安事件，并造成损失。即,威胁总是要利用资产的脆弱性才可能造成危害脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域和软硬件方面的专业人员等脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等3.3 信息平安风险评估流程3.3.5脆弱性识别与评估1．脆弱性识别脆弱性识别主要从技术和管理两个方面进行技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的平安问题管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关1．脆弱性识别类型识别对象识别内容技术脆弱性网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别3.3 信息平安风险评估流程脆弱性识别内容表

3.3 信息平安风险评估流程2.脆弱性评估对脆弱性被利用后对资产损害程度、技术实现的难易程度、弱点流行程度进行评估，评估的结果一般都是定性等级划分形式，综合的标识脆弱性的严重程度。也可对脆弱性被利用后对资产的损害程度以及被利用的可能性分别评估，然后以一定方式综合。假设多个脆弱性反映同一个问题，应综合考虑这些脆弱性，确定该类脆弱性严重程度脆弱性评估3.3 信息平安风险评估流程等级标识定义5很高如果被威胁利用，将对资产造成完全损害。4高如果被威胁利用，将对资产造成重大损害。3中等如果被威胁利用，将对资产造成一般损害。2低如果被威胁利用，将对资产造成较小损害。1很低如果被威胁利用，将对资产造成的损害可以忽略。脆弱性严重程度赋值表

脆弱性严重程度可以进行等级化处理，不同的等级分别代表资产脆弱性严重程度的上下。等级数值越大，脆弱性严重程度越高?信息平安风险评估标准?GB/T209843.3 信息平安风险评估流程3.3.6已有平安措施确实认平安措施可以分为预防性平安措施和保护性平安措施两种预防性平安措施可以降低威胁利用脆弱性导致平安事件发生的可能性，如入侵检测系统通过两个方面的作用来实现〔1〕减少威胁出现的频率，如通过立法或健全制度加大对员工恶意行为的惩罚，可以减少员工成心行为威胁出现的频率，通过平安培训可以减少无意行为导致平安事件出现的频率；〔2〕减少脆弱性，如及时为系统打补丁、对硬件设备定期检查能够减少系统的技术脆弱性等。保护性平安措施可以减少因平安事件发生后对组织或系统造成的影响。3.3 信息平安风险评估流程3.3.6已有平安措施确实认对已采取的平安措施进行确认，至少有两个方面的意义〔1〕有助于对当前信息系统面临的风险进行分析〔2〕通过对当前平安措施确实认，分析其有效性，对有效的平安措施继续保持，以防止不必要的工作和费用，防止平安措施的重复实施3.3 信息平安风险评估流程3.3.7风险分析风险分析就是利用资产、威胁、脆弱性识别与评估结果以及对已有平安措施确认后，采用适当的方法与工具确定威胁利用脆弱性导致平安事件发生的可能性。综合平安事件所作用的资产价值及脆弱性的严重程度，判断平安事件造成的损失对组织的影响，即平安风险3.3 信息平安风险评估流程3.3.7风险分析1．风险计算如前所述，风险可形式化的表示为R=(A,T,V)，其中R表示风险、A表示资产、T表示威胁、V表示脆弱性。相应的风险值由A、T、V的取值决定，是它们的函数，可以表示为：风险值=R〔A，T，V〕=R(L(T，V)，F(Ia，Va))Va表示脆弱性严重程度；L表示威胁利用资产的脆弱性导致平安事件发生的可能性；F表示平安事件发生后产生的损失3.3 信息平安风险评估流程3.3.7风险分析1．风险计算三个关键计算环节：a〕计算平安事件发生的可能性根据威胁出现频率及弱点的状况，计算威胁利用脆弱性导致平安事件发生的可能性，即：平安事件发生的可能性=L(威胁出现频率，脆弱性)=L(T，V)在具体评估中，应综合攻击者技术能力〔专业技术程度、攻击设备等〕、脆弱性被利用的难易程度〔可访问时间、设计和操作知识公开程度等〕、资产吸引力等因素来判断平安事件发生的可能性。3.3 信息平安风险评估流程3.3.7风险分析1．风险计算三个关键计算环节：b〕计算平安事件发生后的损失根据资产价值及脆弱性严重程度，计算平安事件一旦发生后的损失，即：平安事件的损失=F(资产价值，脆弱性严重程度)=F(Ia，Va)局部平安事件的发生造成的损失不仅仅是针对该资产本身，还可能影响业务的连续性；不同平安事件的发生对组织造成的影响也是不一样的。在计算某个平安事件的损失时，应将对组织的影响也考虑在内。对发生可能性极小的平安事件，可以不计算其损失3.3 信息平安风险评估流程3.3.7风险分析1．风险计算三个关键计算环节：c〕计算风险值根据计算出的平安事件发生的可能性以及平安事件的损失，计算风险值，即：风险值=R(平安事件发生的可能性，平安事件造成的损失)=R(L(T，V)，F(Ia，Va))可根据自身情况选择相应的风险计算方法计算风险值，如矩阵法或相乘法。矩阵法通过构造一个二维矩阵，形成平安事件发生的可能性与平安事件的损失之间的二维关系相乘法通过构造经验函数，将平安事件发生的可能性与平安事件的损失进行运算得到风险值。3.3 信息平安风险评估流程2．影响分析平安事件对组织的影响可表达在以下方面：直接经济损失、物理资产的损坏、业务影响、法律责任、人员平安危害、信誉〔形象〕损失上述损失有些容易定量表示，有些那么很难3．可能性分析平安事件发生的可能性的因素有：资产吸引力、威胁出现的可能性、脆弱性的属性、平安措施的效能等。根据威胁源的分类，引起平安事件发生的原因可能自然灾害、环境及系统威胁、人员无意行为、人员成心行为等不同类型的平安事件，其可能性影响因素也有点不同3.3 信息平安风险评估流程4.

风险结果判定为实现对风险的控制与管理，可以对风险评估的结果进行等级化处理。可以将风险划分为五级，等级越高，风险越高根据所采用的风险计算方法，计算每种资产面临的风险值根据风险值的分布状况，为每个等级设定风险值范围，并对所有风险计算结果进行等级处理。每个等级代表了相应风险的严重程度等级标识描述5很高一旦发生将产生非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织的正常经营，经济损失重大、社会影响恶劣4高一旦发生将产生较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成损害3中等一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大2低一旦发生造成的影响程度较低，一般仅限于组织内部，通过一定手段很快能解决1很低一旦发生造成的影响几乎不存在，通过简单的措施就能弥补风险等级划分表

3.3 信息平安风险评估流程3.3.8平安措施的选取风险评估的目的不仅是获取组织面临的有关风险信息，更重要的是采取适当的措施将平安风险控制在可接受的范围内。平安措施可以降低平安事件造成的影响，也可以降低平安事件发生的可能性，在对组织面临的平安风险有全面认识后，应根据风险的性质选取适宜的平安措施，并对对可能的剩余风险进行分析，直到剩余风险为可接受风险为止。3.3 信息平安风险评估流程3.3.9风险评估文件记录风险评估文件包括在整个风险评估过程中产生的评估过程文档和评估结果文档，这些文档包括：(1)风险评估方案(2)风险评估程序(3)资产识别清单(4)重要资产清单(5)威胁列表(6)脆弱性列表(7)已有平安措施确认表(8)风险评估报告(9)风险处理方案(10)风险评估记录3.3 信息平安风险评估流程3.3.10信息系统生命周期各阶段评估风险评估应贯穿于信息系统生命周期的各阶段中信息系统生命周期各阶段中涉及的风险评估的原那么和方法是一致的，但由于各阶段实施的内容、对象、平安需求不同，使得风险评估的对象、目的、要求等各方面也有所不同。规划设计阶段，通过风险评估以确定系统的平安目标；建设验收阶段，通过风险评估以确定系统的平安目标达成与否；运行维护阶段，要不断地实施风险评估以识别系统面临的不断变化的风险和脆弱性，从而确定平安措施的有效性，确保平安目标得以实现。每个阶段风险评估的具体实施应根据该阶段的特点有所侧重有条件时，应采用风险评估工具开展风险评估活动3.3 信息平安风险评估流程3.3.10信息系统生命周期各阶段评估规划阶段的风险评估〔详见GB/T20984—2024〕设计阶段的风险评估〔详见GB/T20984—2024〕实施阶段的风险评估〔详见GB/T20984—2024〕运行维护阶段的风险评估〔详见GB/T20984—2024〕废弃阶段的风险评估〔详见GB/T20984—2024〕3.3 信息平安风险评估流程3.3.11风险评估的工作形式分为自评估和检查评估两种形式。信息平安风险评估应以自评估为主，自评估和检查评估相结合、互为补充自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估自评估应在本标准的指导下，结合系统特定的平安要求进行实施周期性进行的自评估可以在评估流程上适当简化，重点考察自上次评估后系统发生变化后引入的新威胁，以及系统脆弱性的完整识别，以便于两次评估结果的比照但系统发生重大变更时，应依据本标准进行完整的评估3.3 信息平安风险评估流程3.3.11风险评估的工作形式分为自评估和检查评估两种形式。信息平安风险评估应以自评估为主，自评估和检查评估相结合、互为补充检查评估是指信息系统上级管理部门组织或国家有关职能部门依法开展的风险评估。检查评估可依据本标准的要求，实施完整的风险评估过程。检查评估也可在自评估实施的根底上，对关键环节或重点内容实施抽样评估3.3 信息平安风险评估流程3.3.11风险评估的工作形式检查评估包括以下内容a〕自评估队伍及技术人员审查；b〕自评估方法的检查；c〕自评估过程控制与文档记录检查；d〕自评估资产列表审查；e〕自评估威胁列表审查；f〕自评估脆弱性列表审查；g〕现有平安措施有效性检查；h〕自评估结果审查与采取相应措施的跟踪检查；i〕自评估技术技能限制未完成工程的检查评估；j〕上级关注或要求的关键环节和重点内容的检查评估；k〕软硬件维护制度及实施管理的检查；l〕突发事件应对措施的检查；3.4 信息平安风险评估方法3.4.1概述信息平安风险评估是通过采用一定的方法对组织面临的风险进行识别，并分析风险对组织带来的影响以及其发生的可能性大小，然后通过一定的综合评价方法来评估组织面临的风险，并选取适当的措施来控制风险。风险评估的复杂性决定了风险评估方法的多样性。从理论上看，风险评估方法的理论根底包括：概率风险分析方法、模糊决策方法、人工智能、定性推理方法、灰色决策理论、综合评价方法等。从风险评估过程整体上看，风险评估方法有：基于资产驱动的风险评估方法、威胁驱动的风险评估方法、脆弱性驱动的风险评估方法、基于案例的风险评估方法等。从风险分析方法来看，风险评估方法可分为两大类：定量方法与定性方法。3.4 信息平安风险评估方法3.4.2信息平安风险评估理论根底1.概率风险分析概率风险分析方法的思想是利用概率论方法来识别和分析风险，这类方法主要包括：故障树分析法〔FTA〕，故障模式影响和危害程度分析方法〔FMECA〕，危害及可操作性研究分析方法〔HazOp〕和Markov分析法。2.模糊决策方法风险评估的对象以及信息系统的状态具有不确定性，经典的数学模型由于其精确性特点使得它很难很好的把握问题的实质，模糊决策方法填补了这方面的缺乏。模糊决策理论不是把问题变成模糊不清的东西，相反，它具有数学的共性：条理清楚、一丝不苟，它是通过标准化的理论体系来描述模糊的对象，使模糊对象能清晰的呈现在决策者面前，这是经典的数学理论所不能做到的。3.4 信息平安风险评估方法3.人工智能人工智能是20世纪中期产生的并正在迅速开展的新兴边缘学科,它是探索和模拟人的智能和思维过程的规律,并进而设计出类似人的某些智能化的科学。信息系统状态变化规律的复杂性决定了很难用一确定的数学模型来描述，应综合神经网络、智能推理，知识库等多方面知识，建立一个具有自学习能力的专家系统，目前基于案例的风险评估方法就是这一理论的具体应用。6.灰色系统理论局部信息、局部信息未知的系统称为灰色系统。灰色系统理论是研究和解决灰色系统分析、建模、预测和控制的理论。在信息世界，由于数据的短缺或事物本身的特性，很多现象是“灰色〞的，其意义是指其中含有的、未知的与非确定的种种信息。3.4 信息平安风险评估方法7.综合评价方法信息平安风险评估对象是多指标的复杂系统，对于多指标系统，评价指标有多个，不同指标有不同的量纲，多指标系统的评价过程中必须解决以下两个问题：其一是采用什么方法将不同量纲指标无量纲化，其二是采用何种方式确定不同指标的相对重要性，通常是引入权向量来描述。不同综合评价方法有不同的处理方法，常用的综合评价方法有综合指数法、成效评分法、TOPSIS法、层次分析法、主成份分析法、聚类分析法等(1)综合指数法是多指标系统的一种评价方法。综合指数法通过计算各评价对象对每个指标折算指数值来实现不同指标值的无量纲化，并通过加权平均方法计算综合指数值3.4 信息平安风险评估方法(2)成效评分法通过成效系数来实现不同指标的无量纲化，然后在利用其他方法来确定成效权值，如均权法、层次分析法、离差权法等。(3)TOPSIS法3.4 信息平安风险评估方法3.4 信息平安风险评估方法(4)层次分析法是将决策问题的有关元素分解成目标、准那么、方案等层次，在此根底上进行定量和定性分析的一种决策方法。层次分析法的决策过程如下：a)分析各影响因素间的关系，建立层次模型b)构建两两比较判断矩阵c)计算单个判断矩阵对应的权重向量d)计算各层元素对目标层的合成权重向量(5)主成分分析是一种多元统计分析方法，对于多指标的复杂评价系统，由于指标多，数据处理相当复杂，由于指标之间存在一定的关系，可以适当简化。主成分分析的思想是通过一定的变换，用较少的指标来代替原先较多的指标，从而到达简化问题的处理与分析的目的。(6)聚类分析法是解决“物以类聚〞，解决事务分类的一种数学方法。它是在没有或不用样品所述类别信息的情况下，依据对样品采集的数据的内在结构以及相互间的关系，在样品间相似性度量的根底上，对样品进行分类的一种方法3.4 信息平安风险评估方法3.4.3定量方法定量方法试图用具体的货币表示形式的损失值来分析和度量风险，定量方法主要有基于期望损失的风险评估方法与基于期望损失效用的风险评估方法等。1．基于期望损失的风险评估方法类似的定义还有期望年损失ALE〔AnnualLossExpectancy〕，它是以组织在目前平安状态下平均年损失作为风险度量的标准。假设风险事件E造成的相对损失为loss，其发生的可能性为L，loss和L均为取值在[0,1]区间定量值。假设依据期望损失理论，将根据loss×L值大小划分等级，等级划分方法结果如图2-9所示3.4 信息平安风险评估方法2．基于期望损失效用的风险评估方法假设经过风险评估，风险事件E造成的相对损失为loss，其发生的可能性为L，loss和L均为取值在[0,1]区间定量值。建立风险等级划分方法，结果见图所示这种方法的好处就是能够更好的区分“高损失、低可能性〞及“低损失、高可能性〞两种不同平安事件的风险。3.4 信息平安风险评估方法3.4.4定性方法定性方法不是给出具体的货币形式的损失，而是用诸如“极为严重、严重、一般、可忽略〞等定性方法来度量风险。定性方法一般基于一定的定量方法，在定量方法的根底上进行裁剪和简化。典型的定性风险分析与评价方法有风险矩阵测量、威胁分级法、风险综合评价等。1．风险矩阵测量这种方法的特点是事先建立资产价值、威胁等级和脆弱性等级的一个对应矩阵，预先将风险等级进行了确定。然后根据不同资产的赋值从矩阵中确定不同的风险。2．威胁分级法这种方法是直接考虑威胁、威胁导致的平安事件对资产产生的影响以及威胁导致平安事件发生的可能性来确定风险。3．风险综合评价这种方法中风险由威胁导致的平安事件发生的可能性、对资产的影响程