信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹課件

1、信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹1信息安全風(fēng)險評估國家標(biāo)準(zhǔn)信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹編制及內(nèi)容介紹信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹2主要內(nèi)容主要內(nèi)容一、標(biāo)準(zhǔn)的編制過程一、標(biāo)準(zhǔn)的編制過程二、標(biāo)準(zhǔn)的主要內(nèi)容二、標(biāo)準(zhǔn)的主要內(nèi)容三、下一步工作的幾點思考三、下一步工作的幾點思考信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹3主要內(nèi)容主要內(nèi)容一、標(biāo)準(zhǔn)的編制過程一、標(biāo)準(zhǔn)的編制過程二、標(biāo)準(zhǔn)的主要內(nèi)容二、標(biāo)準(zhǔn)的主要內(nèi)容三、下一步工作的幾點思考三、下一步工作的幾點思考信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹4一、標(biāo)準(zhǔn)的編制過程一、標(biāo)準(zhǔn)的編制過程1 1、前期研究準(zhǔn)備、前期研究準(zhǔn)備2 2、標(biāo)準(zhǔn)草案編制標(biāo)

2、準(zhǔn)草案編制3 3、試點實踐檢驗、試點實踐檢驗4、專家評審論證、專家評審論證信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹5一、標(biāo)準(zhǔn)的編制過程一、標(biāo)準(zhǔn)的編制過程1 1、前期研究準(zhǔn)備、前期研究準(zhǔn)備2 2、標(biāo)準(zhǔn)草案編制標(biāo)準(zhǔn)草案編制3 3、試點實踐檢驗、試點實踐檢驗4、專家評審論證、專家評審論證信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹6 1、前期研究準(zhǔn)備、前期研究準(zhǔn)備 信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹7 信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹8一、標(biāo)準(zhǔn)的編制過程一、標(biāo)準(zhǔn)的編制過程1 1、前期研究準(zhǔn)備、前期研究準(zhǔn)備2 2、標(biāo)準(zhǔn)草案編制標(biāo)準(zhǔn)草案編制3 3、試點實踐檢驗、試點實踐檢驗4、專家評審論證、專家評審論

3、證信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹9 信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹10 信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹11 標(biāo)準(zhǔn)編制的過程中，標(biāo)準(zhǔn)起草組多次與相關(guān)主管標(biāo)準(zhǔn)編制的過程中，標(biāo)準(zhǔn)起草組多次與相關(guān)主管部門所屬機(jī)構(gòu)的專家代表就技術(shù)標(biāo)準(zhǔn)有關(guān)主體內(nèi)容進(jìn)行會部門所屬機(jī)構(gòu)的專家代表就技術(shù)標(biāo)準(zhǔn)有關(guān)主體內(nèi)容進(jìn)行會商；商；向相關(guān)單位發(fā)放標(biāo)準(zhǔn)文本，向相關(guān)單位發(fā)放標(biāo)準(zhǔn)文本，通過電子郵件等形式廣泛通過電子郵件等形式廣泛征求業(yè)界意見；召開標(biāo)準(zhǔn)討論會議三十幾次，共收集征求業(yè)界意見；召開標(biāo)準(zhǔn)討論會議三十幾次，共收集100100多條修改意見。多條修改意見。 起草組逐一對修改意見進(jìn)行研究，在充分吸納合理成起草

4、組逐一對修改意見進(jìn)行研究，在充分吸納合理成份的基礎(chǔ)上，對份的基礎(chǔ)上，對信息安全風(fēng)險評估規(guī)范信息安全風(fēng)險評估規(guī)范等標(biāo)準(zhǔn)進(jìn)行了等標(biāo)準(zhǔn)進(jìn)行了較大幅度的修改，使標(biāo)準(zhǔn)的體系結(jié)構(gòu)更趨完善、合理。較大幅度的修改，使標(biāo)準(zhǔn)的體系結(jié)構(gòu)更趨完善、合理。信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹12一、標(biāo)準(zhǔn)的制定過程一、標(biāo)準(zhǔn)的制定過程1 1、前期研究準(zhǔn)備、前期研究準(zhǔn)備2 2、標(biāo)準(zhǔn)草案編制標(biāo)準(zhǔn)草案編制3 3、試點實踐檢驗、試點實踐檢驗4、專家評審論證、專家評審論證信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹13 3、試點實踐檢驗、試點實踐檢驗 年年2 2月月, , 根據(jù)根據(jù)國信辦國信辦2005420054號和號和5 5號文件，號

5、文件，關(guān)于在銀行、稅務(wù)、電力等部門和電子政務(wù)外網(wǎng)，以及北關(guān)于在銀行、稅務(wù)、電力等部門和電子政務(wù)外網(wǎng)，以及北京、上海、黑龍江、云南等省市，開展信息安全風(fēng)險評估京、上海、黑龍江、云南等省市，開展信息安全風(fēng)險評估試點工作的要求，標(biāo)準(zhǔn)起草組配合風(fēng)險評估試點工作專家試點工作的要求，標(biāo)準(zhǔn)起草組配合風(fēng)險評估試點工作專家組開展了以下工作：組開展了以下工作： -為各試點單位提供標(biāo)準(zhǔn)草案文本和相關(guān)說明；為各試點單位提供標(biāo)準(zhǔn)草案文本和相關(guān)說明； -在試點準(zhǔn)備階段與各試點單位的技術(shù)骨干進(jìn)行標(biāo)在試點準(zhǔn)備階段與各試點單位的技術(shù)骨干進(jìn)行標(biāo) 準(zhǔn)技術(shù)交流；準(zhǔn)技術(shù)交流； -根據(jù)標(biāo)準(zhǔn)草案文本涉及的關(guān)鍵技術(shù)，起草組成員根據(jù)標(biāo)準(zhǔn)草案文

6、本涉及的關(guān)鍵技術(shù)，起草組成員 選擇試點環(huán)節(jié)參與實際試點；選擇試點環(huán)節(jié)參與實際試點； -在試點過程中，先后幾次召開標(biāo)準(zhǔn)研討會，征求在試點過程中，先后幾次召開標(biāo)準(zhǔn)研討會，征求 各單位對標(biāo)準(zhǔn)的意見與建議。各單位對標(biāo)準(zhǔn)的意見與建議。 信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹14 個試點工作歷時個試點工作歷時7 7個月，個月，各試點單位對標(biāo)準(zhǔn)草案各試點單位對標(biāo)準(zhǔn)草案先后提出先后提出40 多條補(bǔ)充修改意見，標(biāo)準(zhǔn)起草組多條補(bǔ)充修改意見，標(biāo)準(zhǔn)起草組根據(jù)試點結(jié)果根據(jù)試點結(jié)果先后進(jìn)行了三次較大規(guī)模的修改。主要內(nèi)容包括：先后進(jìn)行了三次較大規(guī)模的修改。主要內(nèi)容包括： -細(xì)化了資產(chǎn)的分類方法、脆弱性的識別要求，修細(xì)化了資

7、產(chǎn)的分類方法、脆弱性的識別要求，修 改并細(xì)化了風(fēng)險計算的方法；改并細(xì)化了風(fēng)險計算的方法； -對自評估、檢查評估不同評估形式的內(nèi)容與實施對自評估、檢查評估不同評估形式的內(nèi)容與實施 的重點進(jìn)行了區(qū)分；的重點進(jìn)行了區(qū)分； -對風(fēng)險評估的工具進(jìn)行了梳理和區(qū)分，形成了現(xiàn)對風(fēng)險評估的工具進(jìn)行了梳理和區(qū)分，形成了現(xiàn) 在的幾種類型；在的幾種類型； -細(xì)化了生命周期不同階段風(fēng)險評估的主要內(nèi)容。細(xì)化了生命周期不同階段風(fēng)險評估的主要內(nèi)容。 試點實踐證明，試行標(biāo)準(zhǔn)基本滿足各試點單位評估工試點實踐證明，試行標(biāo)準(zhǔn)基本滿足各試點單位評估工作的需求。作的需求。 信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹15一、標(biāo)準(zhǔn)的制定過程一、

8、標(biāo)準(zhǔn)的制定過程1 1、前期研究準(zhǔn)備、前期研究準(zhǔn)備2 2、標(biāo)準(zhǔn)草案編制標(biāo)準(zhǔn)草案編制3 3、試點實踐檢驗、試點實踐檢驗4、專家評審論證、專家評審論證信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹16 年年9 9月月1616日，國家信息中心在北京組織召開日，國家信息中心在北京組織召開了由周仲義院士主持的了由周仲義院士主持的信息安全風(fēng)險評估指南（征求意信息安全風(fēng)險評估指南（征求意見稿）見稿）第一次專家評審會。第一次專家評審會。 4、專家評審論證、專家評審論證信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹17第一次專家評審會名單第一次專家評審會名單姓姓 名名單單 位位職務(wù)職務(wù)/ /職稱職稱周仲義中國工程院院士熊四皓國務(wù)

9、院信息辦處長王娜國家發(fā)改委高科技司處長姚世權(quán)中國標(biāo)準(zhǔn)化協(xié)會研究員賈穎禾全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會副秘書長/研究員崔書昆國家信息化專家咨詢委員會委員/研究員景乾元公安部十一局處長李建彬國稅總局信息中心副處長張宏偉黑龍江省信息產(chǎn)業(yè)廳處長姚麗旋上海市信息化管理委員會處長肖京華總參三部三局處長馮惠中國電子技術(shù)標(biāo)準(zhǔn)化研究所副主任/高工吳偉國家電網(wǎng)公司處長詹榜華北京市CA中心總經(jīng)理信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹18 年年1010月月2727日，國家信息中心在北京組織召開了日，國家信息中心在北京組織召開了信息安全風(fēng)險評估國家標(biāo)準(zhǔn)征求意見稿的第二次專家評審會。信息安全風(fēng)險評估國家標(biāo)準(zhǔn)征求意見稿的第二

10、次專家評審會。信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹19第二次專家評審會名單第二次專家評審會名單姓姓 名名單單 位位職務(wù)職務(wù)/ /職稱職稱何義大全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會副主任趙戰(zhàn)生國家信息化咨詢委員會研究員曲成義國家信息化咨詢委員會研究員馮登國信息安全863項目專家組組長研究員陳曉樺中國信息安全產(chǎn)品測評認(rèn)證中心研究員崔書昆國家信息化咨詢委員會研究員景乾元公安部十一局處長肖京華解放軍信息安全測評中心處長賈穎禾全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會副秘書長李守鵬中國信息安全產(chǎn)品測評認(rèn)證中心副主任王同良中石油經(jīng)濟(jì)技術(shù)中心副主任江志強(qiáng)民航總局人事科技司處長謝小權(quán)航天科技集團(tuán)706所副所長呂仲濤中國工商銀行總

11、行信息科技部總工信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹20 會專家認(rèn)為標(biāo)準(zhǔn)起草組做了大量卓有成效的工作，會專家認(rèn)為標(biāo)準(zhǔn)起草組做了大量卓有成效的工作，標(biāo)準(zhǔn)的結(jié)構(gòu)合理、內(nèi)容完備、可操作性強(qiáng)，并充分考慮與信標(biāo)準(zhǔn)的結(jié)構(gòu)合理、內(nèi)容完備、可操作性強(qiáng)，并充分考慮與信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)相銜接。文本的編制符合國家標(biāo)準(zhǔn)息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)相銜接。文本的編制符合國家標(biāo)準(zhǔn)的要求。同時，專家們也對完善標(biāo)準(zhǔn)提出了進(jìn)一步的修改意的要求。同時，專家們也對完善標(biāo)準(zhǔn)提出了進(jìn)一步的修改意見。見。信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹21 年年1212月月1414日，由安標(biāo)委第五工作組主持召開了日，由安標(biāo)委第五工作組主持召開了

12、由沈昌祥院士為專家組組長的信息安全風(fēng)險評估國家標(biāo)準(zhǔn)送由沈昌祥院士為專家組組長的信息安全風(fēng)險評估國家標(biāo)準(zhǔn)送審稿的專家評審會。審稿的專家評審會。信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹22專家評審會名單專家評審會名單姓姓 名名單單 位位職務(wù)職務(wù)/ /職稱職稱沈昌祥海軍計算技術(shù)研究所院士吉增瑞公安部信息安全標(biāo)委會委員研究員趙戰(zhàn)生國家信息化咨詢委員會研究員卿斯?jié)h中科院信息安全技術(shù)工程研究中心研究員杜虹國家保密技術(shù)研究所所長景乾元公安部十一局處長崔書昆國家信息化咨詢委員會研究員信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹23 會專家聽取了起草小組的編制說明及內(nèi)容介紹，審閱了會專家聽取了起草小組的編制說明及內(nèi)容介

13、紹，審閱了相關(guān)文檔資料，經(jīng)質(zhì)詢和討論，一致認(rèn)為：相關(guān)文檔資料，經(jīng)質(zhì)詢和討論，一致認(rèn)為： 一、送審稿規(guī)范了風(fēng)險評估的評估內(nèi)容與范圍、基本概念，明確一、送審稿規(guī)范了風(fēng)險評估的評估內(nèi)容與范圍、基本概念，明確 了資產(chǎn)、威脅、脆弱性和安全風(fēng)險等關(guān)鍵要素及其賦值原則和了資產(chǎn)、威脅、脆弱性和安全風(fēng)險等關(guān)鍵要素及其賦值原則和 要求，提出了實施流程與操作步驟、評估規(guī)則與基本方法，并要求，提出了實施流程與操作步驟、評估規(guī)則與基本方法，并 充分考慮與信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)相銜接。充分考慮與信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)相銜接。 二、送審稿的操作性較強(qiáng)，對開展風(fēng)險評估工作具有指導(dǎo)作用，二、送審稿的操作性較強(qiáng)，對開展風(fēng)險評

14、估工作具有指導(dǎo)作用， 并在國務(wù)院信息辦組織的風(fēng)險評估試點中得到了進(jìn)一步的實踐并在國務(wù)院信息辦組織的風(fēng)險評估試點中得到了進(jìn)一步的實踐 驗證和充實完善。驗證和充實完善。 三、文本的編制符合國家標(biāo)準(zhǔn)三、文本的編制符合國家標(biāo)準(zhǔn)GB1.1GB1.1的要求。的要求。 專家組認(rèn)為送審稿達(dá)到國家標(biāo)準(zhǔn)送審稿的要求，同意通過評專家組認(rèn)為送審稿達(dá)到國家標(biāo)準(zhǔn)送審稿的要求，同意通過評 審。建議起草組根據(jù)專家意見盡快修改完善后申報。審。建議起草組根據(jù)專家意見盡快修改完善后申報。信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹24 年月日和月日，在國信辦進(jìn)行的年月日和月日，在國信辦進(jìn)行的行業(yè)和省市的風(fēng)險評估政策文件的兩次宣貫會上，信

15、息安全行業(yè)和省市的風(fēng)險評估政策文件的兩次宣貫會上，信息安全風(fēng)險評估征求意見稿以國信辦文件的形式下發(fā)，為各行業(yè)和風(fēng)險評估征求意見稿以國信辦文件的形式下發(fā)，為各行業(yè)和省市開展風(fēng)險評估提供技術(shù)依據(jù)。省市開展風(fēng)險評估提供技術(shù)依據(jù)。信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹25 年年4 4月月1818日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員（安標(biāo)委）會第五工作組（安標(biāo)委）會第五工作組（WG5WG5）在北京召開全體工作組成員）在北京召開全體工作組成員標(biāo)準(zhǔn)投票會議，對信息安全風(fēng)險評估國家標(biāo)準(zhǔn)送審稿進(jìn)行工標(biāo)準(zhǔn)投票會議，對信息安全風(fēng)險評估國家標(biāo)準(zhǔn)送審稿進(jìn)行工作組全體成員投票表決。與會的三十幾位專

16、家聽取了標(biāo)準(zhǔn)起作組全體成員投票表決。與會的三十幾位專家聽取了標(biāo)準(zhǔn)起草組對草組對指南指南的編制過程以及主要內(nèi)容的介紹，經(jīng)投票一的編制過程以及主要內(nèi)容的介紹，經(jīng)投票一致通過了標(biāo)準(zhǔn)的評審。致通過了標(biāo)準(zhǔn)的評審。 信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹26 年年6 6月月1919日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處在北京組織召開了信息安全風(fēng)險評估標(biāo)準(zhǔn)送審員會秘書處在北京組織召開了信息安全風(fēng)險評估標(biāo)準(zhǔn)送審稿的專家審查會，與會專家經(jīng)質(zhì)詢和討論，將標(biāo)準(zhǔn)正式命稿的專家審查會，與會專家經(jīng)質(zhì)詢和討論，將標(biāo)準(zhǔn)正式命名為名為信息安全技術(shù)信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范信息安全風(fēng)險評估規(guī)范

17、，認(rèn)為，認(rèn)為該標(biāo)準(zhǔn)達(dá)到國家標(biāo)準(zhǔn)送審稿的要求，同意通過評審。該標(biāo)準(zhǔn)達(dá)到國家標(biāo)準(zhǔn)送審稿的要求，同意通過評審。 會后，國家信息中心先后與各起草單位和有關(guān)專家會后，國家信息中心先后與各起草單位和有關(guān)專家就標(biāo)準(zhǔn)規(guī)范報批稿的修改進(jìn)行了進(jìn)一步的研討，并逐一落就標(biāo)準(zhǔn)規(guī)范報批稿的修改進(jìn)行了進(jìn)一步的研討，并逐一落實了專家提出的意見。實了專家提出的意見。 信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹27 年年7 7月月1919日，日， 全國信息安全標(biāo)準(zhǔn)化委員全國信息安全標(biāo)準(zhǔn)化委員會主任辦公會上討論通過了會主任辦公會上討論通過了信息安全技術(shù)信息安全技術(shù) 信息安全風(fēng)信息安全風(fēng)險評估規(guī)范險評估規(guī)范( (報批稿報批稿),),目前

18、已進(jìn)入報批程序。目前已進(jìn)入報批程序。信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹28主要內(nèi)容主要內(nèi)容一、標(biāo)準(zhǔn)的編制過程一、標(biāo)準(zhǔn)的編制過程二、標(biāo)準(zhǔn)的主要內(nèi)容二、標(biāo)準(zhǔn)的主要內(nèi)容三、下一步工作的幾點思考三、下一步工作的幾點思考信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹29二、標(biāo)準(zhǔn)的主要內(nèi)容二、標(biāo)準(zhǔn)的主要內(nèi)容1 1、什么是風(fēng)險評估、什么是風(fēng)險評估2 2、為什么要做風(fēng)險評估、為什么要做風(fēng)險評估3 3、風(fēng)險評估怎么做、風(fēng)險評估怎么做信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹30二、標(biāo)準(zhǔn)的主要內(nèi)容二、標(biāo)準(zhǔn)的主要內(nèi)容1 1、什么是風(fēng)險評估、什么是風(fēng)險評估2 2、為什么要做風(fēng)險評估、為什么要做風(fēng)險評估3 3、風(fēng)險評估怎么做、

19、風(fēng)險評估怎么做信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹311 1、什么是風(fēng)險評估、什么是風(fēng)險評估 信息安全風(fēng)險信息安全風(fēng)險 人為或自然的威脅利用信息系統(tǒng)及其人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。造成的影響。 信息安全風(fēng)險評估信息安全風(fēng)險評估 依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行評價的過程。它要評估資完整性和可用性等安全屬性進(jìn)行評價的過程。它要

20、評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。生對組織造成的影響。信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹32風(fēng)險評估要素關(guān)系圖風(fēng)險評估要素關(guān)系圖 圖中方框部分的內(nèi)容為風(fēng)險評估的基圖中方框部分的內(nèi)容為風(fēng)險評估的基本要素本要素; ;橢圓部分的內(nèi)容是與這些要素相橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性。關(guān)的屬性。 風(fēng)險評估圍繞著基本要素展開，同時風(fēng)險評估圍繞著基本要素展開，同時需要充分考慮與基本要素相關(guān)的各類屬性需要充分考

21、慮與基本要素相關(guān)的各類屬性。（1 1）業(yè)務(wù)戰(zhàn)略的實現(xiàn)對資產(chǎn)具有依賴性，依賴程度）業(yè)務(wù)戰(zhàn)略的實現(xiàn)對資產(chǎn)具有依賴性，依賴程度越高，要求其風(fēng)險越?。辉礁?，要求其風(fēng)險越小；（2 2）資產(chǎn)是有價值的，組織的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依）資產(chǎn)是有價值的，組織的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依賴程度越高，資產(chǎn)價值就越大；賴程度越高，資產(chǎn)價值就越大；（3 3）風(fēng)險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則）風(fēng)險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險越大，并可能演變成安全事件；風(fēng)險越大，并可能演變成安全事件；（4 4）資產(chǎn)的脆弱性可以暴露資產(chǎn)的價值，資產(chǎn)具有）資產(chǎn)的脆弱性可以暴露資產(chǎn)的價值，資產(chǎn)具有的弱點越多則風(fēng)險越大；的弱點越多則風(fēng)險越

22、大；（5 5）脆弱性是未被滿足的安全需求，威脅利用脆弱）脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產(chǎn)；性危害資產(chǎn)；（6 6）風(fēng)險的存在及對風(fēng)險的認(rèn)識導(dǎo)出安全需求；）風(fēng)險的存在及對風(fēng)險的認(rèn)識導(dǎo)出安全需求；（7 7）安全需求可通過安全措施得以滿足，需要結(jié)合）安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價值考慮實施成本；資產(chǎn)價值考慮實施成本；（8 8）安全措施可抵御威脅，降低風(fēng)險；）安全措施可抵御威脅，降低風(fēng)險；（9 9）殘余風(fēng)險是未被安全措施控制的風(fēng)險。有些是）殘余風(fēng)險是未被安全措施控制的風(fēng)險。有些是安全措施不當(dāng)或無效安全措施不當(dāng)或無效, ,需要加強(qiáng)才可控制的風(fēng)險；而需要加強(qiáng)才可控制的風(fēng)險；

23、而有些則是在綜合考慮了安全成本與效益后未去控制的有些則是在綜合考慮了安全成本與效益后未去控制的風(fēng)險；風(fēng)險；（1010）殘余風(fēng)險應(yīng)受到密切監(jiān)視，它可能會在將來誘）殘余風(fēng)險應(yīng)受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件。發(fā)新的安全事件。信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹33二、標(biāo)準(zhǔn)的主要內(nèi)容二、標(biāo)準(zhǔn)的主要內(nèi)容1 1、什么是風(fēng)險評估、什么是風(fēng)險評估2 2、為什么要做風(fēng)險評估、為什么要做風(fēng)險評估3 3、風(fēng)險評估怎么做、風(fēng)險評估怎么做信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹342 2、為什么要做風(fēng)險評估、為什么要做風(fēng)險評估 安安全源于風(fēng)險全源于風(fēng)險。 在信息化建設(shè)中，建設(shè)與運營的網(wǎng)絡(luò)與信息系統(tǒng)由于可能

24、在信息化建設(shè)中，建設(shè)與運營的網(wǎng)絡(luò)與信息系統(tǒng)由于可能存在的系統(tǒng)設(shè)計缺陷、隱含于軟硬件設(shè)備的缺陷、系統(tǒng)集成時存在的系統(tǒng)設(shè)計缺陷、隱含于軟硬件設(shè)備的缺陷、系統(tǒng)集成時帶來的缺陷，以及可能存在的某些管理薄弱環(huán)節(jié)，尤其當(dāng)網(wǎng)絡(luò)帶來的缺陷，以及可能存在的某些管理薄弱環(huán)節(jié)，尤其當(dāng)網(wǎng)絡(luò)與信息系統(tǒng)中擁有極為重要的信息資產(chǎn)時，都將使得面臨復(fù)雜與信息系統(tǒng)中擁有極為重要的信息資產(chǎn)時，都將使得面臨復(fù)雜環(huán)境的網(wǎng)絡(luò)與信息系統(tǒng)潛在著若干不同程度的安全風(fēng)險。環(huán)境的網(wǎng)絡(luò)與信息系統(tǒng)潛在著若干不同程度的安全風(fēng)險。 信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹35 險評估可以不斷深入地發(fā)現(xiàn)系統(tǒng)建設(shè)中的安全隱患，險評估可以不斷深入地發(fā)現(xiàn)系統(tǒng)建設(shè)中

25、的安全隱患，采取或完善更加經(jīng)濟(jì)有效的安全保障措施，來采取或完善更加經(jīng)濟(jì)有效的安全保障措施，來消除安全建設(shè)消除安全建設(shè)中的盲目樂觀或盲目恐懼，提出有針對性的從實際出發(fā)的解中的盲目樂觀或盲目恐懼，提出有針對性的從實際出發(fā)的解決方法，提高系統(tǒng)安全的科學(xué)管理水平，進(jìn)而全面提升網(wǎng)絡(luò)決方法，提高系統(tǒng)安全的科學(xué)管理水平，進(jìn)而全面提升網(wǎng)絡(luò)與信息系統(tǒng)的安全保障能力。與信息系統(tǒng)的安全保障能力。 信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹36 息安全風(fēng)險評估，是從風(fēng)險管理角度，運用科學(xué)息安全風(fēng)險評估，是從風(fēng)險管理角度，運用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨

26、的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護(hù)對策和整改措施。害程度，提出有針對性的抵御威脅的防護(hù)對策和整改措施。并為防范和化解信息安全風(fēng)險，或者將風(fēng)險控制在可接受并為防范和化解信息安全風(fēng)險，或者將風(fēng)險控制在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)和信息安全提供科學(xué)依的水平，從而最大限度地保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)。據(jù)。（國信辦（國信辦2006520065號文件）號文件）信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹37二、標(biāo)準(zhǔn)的主要內(nèi)容二、標(biāo)準(zhǔn)的主要內(nèi)容1 1、什么是風(fēng)險評估、什么是風(fēng)險評估2 2、為什么

27、要做風(fēng)險評估、為什么要做風(fēng)險評估3 3、風(fēng)險評估怎么做、風(fēng)險評估怎么做信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹383、風(fēng)險評估怎么做、風(fēng)險評估怎么做 - -風(fēng)險評估實施流程風(fēng)險評估實施流程 - -風(fēng)險評估的形式風(fēng)險評估的形式 - -信息系統(tǒng)生命周期各階段的風(fēng)險評估信息系統(tǒng)生命周期各階段的風(fēng)險評估 信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹393、風(fēng)險評估怎么做、風(fēng)險評估怎么做 - -風(fēng)險評估實施流程風(fēng)險評估實施流程 - -風(fēng)險評估的形式風(fēng)險評估的形式 - -信息系統(tǒng)生命周期各階段的風(fēng)險評估信息系統(tǒng)生命周期各階段的風(fēng)險評估 信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹40風(fēng)險評估的實施流程風(fēng)險評估的實施流程

28、信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹41 實施步驟實施步驟(1) (1) 風(fēng)險評估的準(zhǔn)備風(fēng)險評估的準(zhǔn)備(2) (2) 資產(chǎn)識別資產(chǎn)識別(3) (3) 威脅識別威脅識別(4) (4) 脆弱性識別脆弱性識別(5) (5) 已有安全措施的確認(rèn)已有安全措施的確認(rèn)(6) (6) 風(fēng)險分析風(fēng)險分析(7) (7) 風(fēng)險評估文件記錄風(fēng)險評估文件記錄信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹423、風(fēng)險評估怎么做、風(fēng)險評估怎么做 - -風(fēng)險評估實施流程風(fēng)險評估實施流程 - -風(fēng)險評估的形式風(fēng)險評估的形式 - -信息系統(tǒng)生命周期各階段的風(fēng)險評估信息系統(tǒng)生命周期各階段的風(fēng)險評估 信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹

29、43 息安全風(fēng)險評估分為自評估、檢查評估兩種形式。息安全風(fēng)險評估分為自評估、檢查評估兩種形式。自評估為主，自評估和檢查評估相互結(jié)合、互為補(bǔ)充。自自評估為主，自評估和檢查評估相互結(jié)合、互為補(bǔ)充。自評估和檢查評估可依托自身技術(shù)力量進(jìn)行，也可委托第三評估和檢查評估可依托自身技術(shù)力量進(jìn)行，也可委托第三方機(jī)構(gòu)提供技術(shù)支持。方機(jī)構(gòu)提供技術(shù)支持。 風(fēng)險評估的形式風(fēng)險評估的形式信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹44 自評估自評估 評估可由發(fā)起方實施或委托風(fēng)險評估服務(wù)技術(shù)支持方評估可由發(fā)起方實施或委托風(fēng)險評估服務(wù)技術(shù)支持方實施。由發(fā)起方實施的評估可以降低實施的費用、提高信息系實施。由發(fā)起方實施的評估可以降低

30、實施的費用、提高信息系統(tǒng)相關(guān)人員的安全意識，但可能由于缺乏風(fēng)險評估的專業(yè)技能，統(tǒng)相關(guān)人員的安全意識，但可能由于缺乏風(fēng)險評估的專業(yè)技能，其結(jié)果不夠深入準(zhǔn)確；同時，受到組織內(nèi)部各種因素的影響，其結(jié)果不夠深入準(zhǔn)確；同時，受到組織內(nèi)部各種因素的影響，其評估結(jié)果的客觀性易受影響。委托風(fēng)險評估服務(wù)技術(shù)支持方其評估結(jié)果的客觀性易受影響。委托風(fēng)險評估服務(wù)技術(shù)支持方實施的評估，過程比較規(guī)范、評估結(jié)果的客觀性比較好，可信實施的評估，過程比較規(guī)范、評估結(jié)果的客觀性比較好，可信程度較高；但由于受到行業(yè)知識技能及業(yè)務(wù)了解的限制，對被程度較高；但由于受到行業(yè)知識技能及業(yè)務(wù)了解的限制，對被評估系統(tǒng)的了解，尤其是在業(yè)務(wù)方面的

31、特殊要求存在一定的局評估系統(tǒng)的了解，尤其是在業(yè)務(wù)方面的特殊要求存在一定的局限。但由于引入第三方本身就是一個風(fēng)險因素，因此，對其背限。但由于引入第三方本身就是一個風(fēng)險因素，因此，對其背景與資質(zhì)、評估過程與結(jié)果的保密要求等方面應(yīng)進(jìn)行控制。景與資質(zhì)、評估過程與結(jié)果的保密要求等方面應(yīng)進(jìn)行控制。信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹45 自評估中的自評估中的“自自”不僅僅是指自已做評估的不僅僅是指自已做評估的“自自”，也不，也不僅僅是指自愿做評估的僅僅是指自愿做評估的“自自”。由于。由于“誰主管誰負(fù)責(zé)誰主管誰負(fù)責(zé)”，出，出于對自身信息系統(tǒng)的安全責(zé)任考慮，信息系統(tǒng)主管者應(yīng)定期于對自身信息系統(tǒng)的安全責(zé)任考慮

32、，信息系統(tǒng)主管者應(yīng)定期對系統(tǒng)進(jìn)行風(fēng)險評估，具體實施時可以依托自身的評估隊伍對系統(tǒng)進(jìn)行風(fēng)險評估，具體實施時可以依托自身的評估隊伍進(jìn)行，也可委托有資質(zhì)的第三方提供評估服務(wù)技術(shù)支持，但進(jìn)行，也可委托有資質(zhì)的第三方提供評估服務(wù)技術(shù)支持，但無論是哪一種形式，責(zé)任都是由信息系統(tǒng)主管者自已擔(dān)負(fù)的。無論是哪一種形式，責(zé)任都是由信息系統(tǒng)主管者自已擔(dān)負(fù)的。因此，自評估中的因此，自評估中的“自自”的含義是自已負(fù)責(zé)的的含義是自已負(fù)責(zé)的“自自”。包括。包括自已負(fù)責(zé)系統(tǒng)的安全、自己發(fā)起對信息系統(tǒng)的風(fēng)險評估以及自已負(fù)責(zé)系統(tǒng)的安全、自己發(fā)起對信息系統(tǒng)的風(fēng)險評估以及自己負(fù)責(zé)為保障系統(tǒng)安全所做的風(fēng)險評估的安全等。自己負(fù)責(zé)為保障系

33、統(tǒng)安全所做的風(fēng)險評估的安全等。信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹46 此外，為保證風(fēng)險評估的實施，與系統(tǒng)相連的相關(guān)方也此外，為保證風(fēng)險評估的實施，與系統(tǒng)相連的相關(guān)方也應(yīng)配合，以防止給其他方的使用帶來困難或引入新的風(fēng)險也應(yīng)配合，以防止給其他方的使用帶來困難或引入新的風(fēng)險也往往較多，因此，要對實施檢查評估機(jī)構(gòu)的資質(zhì)進(jìn)行嚴(yán)格管往往較多，因此，要對實施檢查評估機(jī)構(gòu)的資質(zhì)進(jìn)行嚴(yán)格管理。理。信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹47 檢查評估檢查評估 查評估是指信息系統(tǒng)上級管理部門組織的或國家有查評估是指信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法開展的風(fēng)險評估。關(guān)職能部門依法開展的風(fēng)險評估。 檢

34、查評估可依據(jù)本標(biāo)準(zhǔn)的要求，實施完整的風(fēng)險評估過程。檢查評估可依據(jù)本標(biāo)準(zhǔn)的要求，實施完整的風(fēng)險評估過程。信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹48 一是風(fēng)險評估究其根本是評估系統(tǒng)的敏感信息，涉及大量一是風(fēng)險評估究其根本是評估系統(tǒng)的敏感信息，涉及大量的安全問題，完全委托第三方將帶來評估本身的風(fēng)險；的安全問題，完全委托第三方將帶來評估本身的風(fēng)險； 二是進(jìn)行風(fēng)險評估要求評估人員既要了解評估本身的一套二是進(jìn)行風(fēng)險評估要求評估人員既要了解評估本身的一套方法與流程，還要了解被評估系統(tǒng)的業(yè)務(wù)特性，這對于完全方法與流程，還要了解被評估系統(tǒng)的業(yè)務(wù)特性，這對于完全從事評估的第三方來講，在短時間內(nèi)了解每個系統(tǒng)的業(yè)務(wù)特

35、從事評估的第三方來講，在短時間內(nèi)了解每個系統(tǒng)的業(yè)務(wù)特性難度是比較大的；性難度是比較大的； 三是風(fēng)險評估工作流程中常常要求被評估方向評估方提供三是風(fēng)險評估工作流程中常常要求被評估方向評估方提供各種信息，需要之間的良好互動以及多方會商，單靠評估方各種信息，需要之間的良好互動以及多方會商，單靠評估方第三方是無法完成系統(tǒng)評估的。第三方是無法完成系統(tǒng)評估的。 基于以上原因，委托評估技術(shù)支持比委托評估的提法更為基于以上原因，委托評估技術(shù)支持比委托評估的提法更為切合實際。并且，提供委托評估技術(shù)支持的機(jī)構(gòu)應(yīng)具有相應(yīng)切合實際。并且，提供委托評估技術(shù)支持的機(jī)構(gòu)應(yīng)具有相應(yīng)的資質(zhì)。的資質(zhì)。信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制

36、及內(nèi)容介紹493、風(fēng)險評估怎么做、風(fēng)險評估怎么做 - -風(fēng)險評估實施流程風(fēng)險評估實施流程 - -風(fēng)險評估的形式風(fēng)險評估的形式 - -信息系統(tǒng)生命周期各階段的風(fēng)險評估信息系統(tǒng)生命周期各階段的風(fēng)險評估 信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹50 信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹51規(guī)劃階段的風(fēng)險評估規(guī)劃階段的風(fēng)險評估設(shè)計階段的風(fēng)險評估設(shè)計階段的風(fēng)險評估實施階段的風(fēng)險評估實施階段的風(fēng)險評估運行維護(hù)階段的風(fēng)險評估運行維護(hù)階段的風(fēng)險評估廢棄階段的風(fēng)險評估廢棄階段的風(fēng)險評估信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹52 規(guī)劃階段的風(fēng)險評估規(guī)劃階段的風(fēng)險評估 劃階段風(fēng)險評估的目的是識別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，劃階

37、段風(fēng)險評估的目的是識別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。規(guī)劃階段的評估應(yīng)能以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。規(guī)劃階段的評估應(yīng)能夠描述信息系統(tǒng)建成后對現(xiàn)有業(yè)務(wù)模式的作用，包括技術(shù)、夠描述信息系統(tǒng)建成后對現(xiàn)有業(yè)務(wù)模式的作用，包括技術(shù)、管理等方面，并根據(jù)其作用確定系統(tǒng)建設(shè)應(yīng)達(dá)到的安全目管理等方面，并根據(jù)其作用確定系統(tǒng)建設(shè)應(yīng)達(dá)到的安全目標(biāo)。標(biāo)。 信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹53 設(shè)計階段的風(fēng)險評估設(shè)計階段的風(fēng)險評估 計階段的風(fēng)險評估需要根據(jù)規(guī)劃階段所明確的系計階段的風(fēng)險評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運行環(huán)境、資產(chǎn)重要性，提出安全功能需求。設(shè)計階段統(tǒng)運行環(huán)境、資產(chǎn)重要性，提出安全

38、功能需求。設(shè)計階段的風(fēng)險評估結(jié)果應(yīng)對設(shè)計方案中所提供的安全功能符合性的風(fēng)險評估結(jié)果應(yīng)對設(shè)計方案中所提供的安全功能符合性進(jìn)行判斷，作為采購過程風(fēng)險控制的依據(jù)。進(jìn)行判斷，作為采購過程風(fēng)險控制的依據(jù)。信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹54實施階段的風(fēng)險評估實施階段的風(fēng)險評估 施階段風(fēng)險評估的目的是根據(jù)系統(tǒng)安全需求和運行施階段風(fēng)險評估的目的是根據(jù)系統(tǒng)安全需求和運行環(huán)境對系統(tǒng)開發(fā)、實施過程進(jìn)行風(fēng)險識別，并對系統(tǒng)建成后環(huán)境對系統(tǒng)開發(fā)、實施過程進(jìn)行風(fēng)險識別，并對系統(tǒng)建成后的安全功能進(jìn)行驗證。根據(jù)設(shè)計階段分析的威脅和制定的安的安全功能進(jìn)行驗證。根據(jù)設(shè)計階段分析的威脅和制定的安全措施，在實施及驗收時進(jìn)行質(zhì)量

39、控制。全措施，在實施及驗收時進(jìn)行質(zhì)量控制。 基于設(shè)計階段的資產(chǎn)列表、安全措施，實施階段應(yīng)對規(guī)基于設(shè)計階段的資產(chǎn)列表、安全措施，實施階段應(yīng)對規(guī)劃階段的安全威脅進(jìn)行進(jìn)一步細(xì)分，同時評估安全措施的實劃階段的安全威脅進(jìn)行進(jìn)一步細(xì)分，同時評估安全措施的實現(xiàn)程度，從而確定安全措施能否抵御現(xiàn)有威脅、脆弱性的影現(xiàn)程度，從而確定安全措施能否抵御現(xiàn)有威脅、脆弱性的影響。實施階段風(fēng)險評估主要對系統(tǒng)的開發(fā)與技術(shù)響。實施階段風(fēng)險評估主要對系統(tǒng)的開發(fā)與技術(shù)/ /產(chǎn)品獲取、產(chǎn)品獲取、系統(tǒng)交付實施兩個過程進(jìn)行評估。系統(tǒng)交付實施兩個過程進(jìn)行評估。信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹55 運行維護(hù)階段的風(fēng)險評估運行維護(hù)階段的風(fēng)

40、險評估 運行維護(hù)階段風(fēng)險評估的目的是了解和控制運行過程中的安全風(fēng)險，運行維護(hù)階段風(fēng)險評估的目的是了解和控制運行過程中的安全風(fēng)險，是一種較為全面的風(fēng)險評估。評估內(nèi)容包括對真實運行的信息系統(tǒng)、資是一種較為全面的風(fēng)險評估。評估內(nèi)容包括對真實運行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等各方面。產(chǎn)、威脅、脆弱性等各方面。 資產(chǎn)評估：在真實環(huán)境下較為細(xì)致的評估。包括實施階段采購的軟資產(chǎn)評估：在真實環(huán)境下較為細(xì)致的評估。包括實施階段采購的軟硬件資產(chǎn)、系統(tǒng)運行過程中生成的信息資產(chǎn)、相關(guān)的人員與服務(wù)等，本硬件資產(chǎn)、系統(tǒng)運行過程中生成的信息資產(chǎn)、相關(guān)的人員與服務(wù)等，本階段資產(chǎn)識別是前期資產(chǎn)識別的補(bǔ)充與增加；階段資產(chǎn)識別是

41、前期資產(chǎn)識別的補(bǔ)充與增加； 威脅評估：應(yīng)全面地分析威脅的可能性和影響程度。對非故意威脅威脅評估：應(yīng)全面地分析威脅的可能性和影響程度。對非故意威脅導(dǎo)致安全事件的評估可以參照安全事件的發(fā)生頻率；對故意威脅導(dǎo)致安導(dǎo)致安全事件的評估可以參照安全事件的發(fā)生頻率；對故意威脅導(dǎo)致安全事件的評估主要就威脅的各個影響因素做出專業(yè)判斷；全事件的評估主要就威脅的各個影響因素做出專業(yè)判斷； 脆弱性評估：是全面的脆弱性評估。包括運行環(huán)境中物理、網(wǎng)絡(luò)、脆弱性評估：是全面的脆弱性評估。包括運行環(huán)境中物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、安全保障設(shè)備、管理等各方面的脆弱性。技術(shù)脆弱性評估系統(tǒng)、應(yīng)用、安全保障設(shè)備、管理等各方面的脆弱性。技術(shù)

42、脆弱性評估可以采取核查、掃描、案例驗證、滲透性測試的方式實施；安全保障設(shè)可以采取核查、掃描、案例驗證、滲透性測試的方式實施；安全保障設(shè)備的脆弱性評估，應(yīng)考慮安全功能的實現(xiàn)情況和安全保障設(shè)備本身的脆備的脆弱性評估，應(yīng)考慮安全功能的實現(xiàn)情況和安全保障設(shè)備本身的脆弱性；管理脆弱性評估可以采取文檔、記錄核查等方式進(jìn)行驗證；弱性；管理脆弱性評估可以采取文檔、記錄核查等方式進(jìn)行驗證； 風(fēng)險計算：根據(jù)本標(biāo)準(zhǔn)的相關(guān)方法，對重要資產(chǎn)的風(fēng)險進(jìn)行定性或風(fēng)險計算：根據(jù)本標(biāo)準(zhǔn)的相關(guān)方法，對重要資產(chǎn)的風(fēng)險進(jìn)行定性或定量的風(fēng)險分析，描述不同資產(chǎn)的風(fēng)險高低狀況。定量的風(fēng)險分析，描述不同資產(chǎn)的風(fēng)險高低狀況。信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹56 廢棄階段的風(fēng)險評估廢棄階段的風(fēng)險評估 當(dāng)信息系統(tǒng)不能滿足現(xiàn)有要求時，信息系統(tǒng)進(jìn)入廢棄階段。根據(jù)廢當(dāng)信息系統(tǒng)不能滿足現(xiàn)有要求時，信息系統(tǒng)進(jìn)入廢棄階段。根據(jù)廢棄的程度，又分為部分廢棄和全部廢棄兩種。棄的程度，又分為部分廢棄和全部廢棄兩種。 廢棄階段風(fēng)險評估著重在以下幾方面：廢棄階段風(fēng)險評估著重在以下幾方面： 1 1、確保硬件和軟件等資產(chǎn)及殘留信息得到了適當(dāng)?shù)奶幹茫⒋_保系、確保硬件和軟件等資產(chǎn)及殘留信息得到了適當(dāng)?shù)奶幹茫⒋_保系 統(tǒng)組件被合理地丟棄或更換；統(tǒng)組件被合理地丟棄或更換； 2 2、如果被廢棄的系統(tǒng)是某個系統(tǒng)的一部分，或