風險評估管理程序

1、.：.； 風險評價管理程序 歷史修訂記錄序號更改單號更改闡明修訂人生效日期現(xiàn)行版次目 錄 TOC o 1-3 h z u HYPERLINK l _Toc7061 1 概述 PAGEREF _Toc7061 5 HYPERLINK l _Toc10009 2 術語與定義 PAGEREF _Toc10009 5 HYPERLINK l _Toc11825 2.1 風險管理 PAGEREF _Toc11825 5 HYPERLINK l _Toc15920 2.1.1 風險評價 PAGEREF _Toc15920 5 HYPERLINK l _Toc30667 2.2 其他 PAGEREF _To

2、c30667 6 HYPERLINK l _Toc16863 3 風險評價框架及流程 PAGEREF _Toc16863 7 HYPERLINK l _Toc9192 3.1 風險要素關系 PAGEREF _Toc9192 7 HYPERLINK l _Toc3637 3.2 風險分析原理 PAGEREF _Toc3637 9 HYPERLINK l _Toc27267 3.3 實施流程 PAGEREF _Toc27267 9 HYPERLINK l _Toc24229 4 風險評價預備過程 PAGEREF _Toc24229 10 HYPERLINK l _Toc5903 4.1 確定范圍

3、PAGEREF _Toc5903 10 HYPERLINK l _Toc24470 4.2 確定目的 PAGEREF _Toc24470 11 HYPERLINK l _Toc24610 4.3 確定組織構造 PAGEREF _Toc24610 11 HYPERLINK l _Toc459 4.4 確定風險評價方法 PAGEREF _Toc459 11 HYPERLINK l _Toc24021 4.5 獲得最高管理者同意 PAGEREF _Toc24021 11 HYPERLINK l _Toc17878 5 風險評價實施過程 PAGEREF _Toc17878 11 HYPERLINK l

4、 _Toc7143 5.1 資產賦值 PAGEREF _Toc7143 13 HYPERLINK l _Toc10273 5.1.1 資產分類 PAGEREF _Toc10273 14 HYPERLINK l _Toc28189 5.1.2 資產價值屬性 PAGEREF _Toc28189 17 HYPERLINK l _Toc23133 5.1.3 資產價值屬性賦值規(guī)范 PAGEREF _Toc23133 19 HYPERLINK l _Toc8308 5.2 要挾評價 PAGEREF _Toc8308 23 HYPERLINK l _Toc7512 5.2.1 要挾分類 PAGEREF _

5、Toc7512 23 HYPERLINK l _Toc10788 5.2.2 要挾賦值 PAGEREF _Toc10788 26 HYPERLINK l _Toc26244 5.3 脆弱性評價 PAGEREF _Toc26244 27 HYPERLINK l _Toc394 5.4 確定現(xiàn)有控制 PAGEREF _Toc394 30 HYPERLINK l _Toc5815 5.5 風險評價 PAGEREF _Toc5815 30 HYPERLINK l _Toc24676 5.5.1 風險值計算 PAGEREF _Toc24676 30 HYPERLINK l _Toc29677 5.5.2

6、 風險等級劃分 PAGEREF _Toc29677 31 HYPERLINK l _Toc788 5.5.3 風險評價結果紀錄 PAGEREF _Toc788 31 HYPERLINK l _Toc26127 6 風險管理過程 PAGEREF _Toc26127 32 HYPERLINK l _Toc697 6.1 平安控制的識別與選擇 PAGEREF _Toc697 33 HYPERLINK l _Toc14101 6.2 降低風險 PAGEREF _Toc14101 34 HYPERLINK l _Toc10599 6.3 接受風險 PAGEREF _Toc10599 35 HYPERLI

7、NK l _Toc22769 6.4 風險管理要求 PAGEREF _Toc22769 35 HYPERLINK l _Toc22723 7 相關文件 PAGEREF _Toc22723 36概述目前信息平安管理的開展趨勢是將風險管理與信息平安管理嚴密結合在一同，將風險概念作為信息平安管理實際的對象和出發(fā)點，信息平安管理的控制點以風險出現(xiàn)的能夠性作為對象而展開的。ISO27001規(guī)范對信息平安管理體系(ISMS)的要求即經過對信息資產的風險管理,確定重要信息資產清單以及風險等級,從而采取相應的控制措施來實現(xiàn)信息資產的平安。信息平安管理是風險管理的過程，風險評價是風險管理的根底。風險管理是指點和

8、控制組織風險的過程。風險管理遵看管理的普通循環(huán)方式方案 (Plan)、執(zhí)行 (Do)、檢查 (Check)、行動 (Action)的繼續(xù)改良方式。ISO27001規(guī)范要求企業(yè)設計、實施、維護信息平安管理體系都要根據(jù)PDCA循環(huán)方式。術語與定義風險管理風險管理是以可接受本錢識別、評價、控制、降低能夠影響信息系統(tǒng)風險的過程，經過風險評價識別風險，經過制定信息平安方針，采取適當?shù)目刂颇康呐c控制方式對風險進展控制，使風險被防止、轉移或降低到一個可以被接受的程度，同時思索控制費用與風險之間的平衡。風險管理的中心是信息的維護。信息對于組織是一種具有重要價值的資產。建立信息平安管理體系(ISMS)的目的是在

9、最大范圍內維護信息資產，確保信息的性、完好性和可用性，將風險管理自始至終的貫穿于整個信息平安管理體系中，這種體系并不能完全消除信息平安的風險，只是盡量減少風險，盡量將攻擊呵斥的損失降低到最低限制。風險評價風險評價指風險分析和風險評價的整個過程，其中風險分析是指系統(tǒng)化地識別風險來源和風險類型，風險評價是指按組織制定的風險規(guī)范估算風險程度，確定風險嚴重性。風險評價的出發(fā)點是對與風險有關的各要素確實認和分析，與信息平安風險有關的要素可以包括四大類：資產、要挾、脆弱性、平安控制措施。風險評價是對信息和信息處置設備的要挾、脆弱性和風險的評價，它包含以下元素：風險是被特定要挾利用的資產的一種或一組脆弱性，

10、導致資產喪失或損害的潛在能夠性，即特定要挾事件發(fā)生的能夠性與后果的結合。資產是對組織具有價值的信息資源，是平安控制措施維護的對象。要挾是能夠對資產或組織呵斥損害的事故的潛在緣由。脆弱性是資產或資產組中能被要挾利用的弱點。平安控制措施是降低風險的措施、程序或機制。其他資產Asset：對組織具有價值的信息或資源，是平安戰(zhàn)略維護的對象。資產價值Asset Value：資產的重要程度或敏感程度的表征。資產價值是資產的屬性，也是進展資產識別的主要內容。性confidentiality：數(shù)據(jù)所具有的特性，即表示數(shù)據(jù)所到達的未提供或未泄露給未授權的個人、過程或其他實體的程度。完好性integrity：保證信

11、息及信息系統(tǒng)不會被非授權更改或破壞的特性。包括數(shù)據(jù)完好性和系統(tǒng)完好性。可用性availability：數(shù)據(jù)或資源的特性，被授權實體按要求能訪問和運用數(shù)據(jù)或資源。數(shù)據(jù)完好性data integrity ：數(shù)據(jù)所具有的特性，即無論數(shù)據(jù)方式作何變化，數(shù)據(jù)的準確性和一致性均堅持不變。系統(tǒng)完好性system integrity ：在防止非授權用戶修正或運用資源和防止授權用戶不正確地修正或運用資源的情況下，信息系統(tǒng)能履行其操作目的的質量。信息平安風險information security risk：人為或自然的要挾利用信息系統(tǒng)及其管理體系中存在的脆弱性導致平安事件的發(fā)生及其對組織呵斥的影響。信息平安風險

12、評價information security risk assessment：根據(jù)有關信息平安技術與管理規(guī)范，對信息系統(tǒng)及由其處置、傳輸和存儲的信息的性、完好性和可用性等平安屬性進展評價的過程。它要評價資產面臨的要挾以及要挾利用脆弱性導致平安事件的能夠性，并結合平安事件所涉及的資產價值來判別平安事件一旦發(fā)生對組織呵斥的影響。信息系統(tǒng)information system：由計算機及其相關的和配套的設備、設備(含網(wǎng)絡)構成的，按照一定的運用目的和規(guī)那么對信息進展采集、加工、存儲、傳輸、檢索等處置的人機系統(tǒng)。典型的信息系統(tǒng)由三部分組成：硬件系統(tǒng)計算機硬件系統(tǒng)和網(wǎng)絡硬件系統(tǒng)；系統(tǒng)軟件計算機系統(tǒng)軟件和網(wǎng)

13、絡系統(tǒng)軟件；運用軟件包括由其處置、存儲的信息。檢查評價inspection assessment：由被評價組織的上級主管機關或業(yè)務主管機關發(fā)起的，根據(jù)國家有關法規(guī)與規(guī)范，對信息系統(tǒng)及其管理進展的具有強迫性的檢查活動。組織organization：由作用不同的個體為實施共同的業(yè)務目的而建立的構造。組織的特性在于為完成目的而分工、協(xié)作；一個單位是一個組織，某個業(yè)務部門也可以是一個組織。剩余風險residual risk：采取了平安措施后，依然能夠存在的風險。自評價self-assessment：由組織本身發(fā)起，參照國家有關法規(guī)與規(guī)范，對信息系統(tǒng)及其管理進展的風險評價活動。平安事件security

14、event ：指系統(tǒng)、效力或網(wǎng)絡的一種可識別形狀的發(fā)生，它能夠是對信息平安戰(zhàn)略的違反或防護措施的失效，或未預知的不平安情況。平安措施security measure：維護資產、抵御要挾、減少脆弱性、降低平安事件的影響，以及打擊信息犯罪而實施的各種實際、規(guī)程和機制的總稱。平安需求security requirement：為保證組織業(yè)務戰(zhàn)略的正常運作而在平安措施方面提出的要求。要挾threat：能夠導致對系統(tǒng)或組織危害的不希望事故潛在緣由。脆弱性vulnerability：能夠被要挾所利用的資產或假設干資產的弱點。風險評價框架及流程本章提出了風險評價的要素關系、分析原理及實施流程。風險要素關系資產

15、一切者應對信息資產進展維護，經過分析信息資產的脆弱性來確定要挾能夠利用哪些弱點來破壞其平安性。風險評價要識別資產相關要素的關系，從而判別資產面臨的風險大小。風險評價中各要素的關系如圖3-1所示：圖3-1 風險要素關系圖圖3-1中方框部分的內容為風險評價的根本要素，橢圓部分的內容是與這些要素相關的屬性。風險評價圍繞著這些根本要素展開，在對這些要素的評價過程中，需求充分思索業(yè)務戰(zhàn)略、資產價值、平安需求、平安事件、剩余風險等與這些根本要素相關的各類屬性。圖3-1中的風險要素及屬性之間存在著以下關系： 業(yè)務戰(zhàn)略的實現(xiàn)對資產具有依賴性，依賴程度越高，要求其風險越小；資產是有價值的，組織的業(yè)務戰(zhàn)略對資產的

16、依賴程度越高，資產價值就越大；資產價值越大，原那么上那么其面臨的風險越大；風險是由要挾引發(fā)的，資產面臨的要挾越多那么風險越大，并能夠導致平安事件；弱點越多，要挾利用脆弱性導致平安事件的能夠性越大；脆弱性是未被滿足的平安需求，要挾利用脆弱性危害資產，從而構成風險；風險的存在及對風險的認識導出平安需求；平安需求可經過平安措施得以滿足，需求結合資產價值思索實施本錢；平安措施可抵御要挾，降低平安事件發(fā)生的能夠性，并減少影響；風險不能夠也沒有必要降為零，在實施了平安措施后還能夠有剩余風險。有些剩余風險的緣由能夠是平安措施不當或無效,需求繼續(xù)控制；而有些剩余風險那么是在綜合思索了平安本錢與效益后未去控制的

17、風險，是可以接受的；剩余風險應遭到親密監(jiān)視，它能夠會在未來誘發(fā)新的平安事件。風險分析原理 風險分析原理如圖3-2所示：圖3-2 風險分析原理圖風險分析中要涉及資產、要挾、脆弱性等根本要素。每個要素有各自的屬性，資產的屬性是資產價值；要挾的屬性可以是要挾主體、影響對象、出現(xiàn)頻率、動機等；脆弱性的屬性是資產弱點的嚴重程度。風險分析的主要內容為：對資產進展識別，并對資產的價值進展賦值；對要挾進展識別，描畫要挾的屬性，并對要挾出現(xiàn)的頻率賦值；對資產的脆弱性進展識別，并對詳細資產的脆弱性的嚴重程度賦值；根據(jù)要挾及要挾利用弱點的難易程度判別平安事件發(fā)生的能夠性；根據(jù)脆弱性的嚴重程度及平安事件所作用資產的價

18、值計算平安事件的損失；根據(jù)平安事件發(fā)生的能夠性以及平安事件的損失，計算平安事件一旦發(fā)生對組織的影響，即風險值。實施流程圖3-3給出風險評價的實施流程，第4章將圍繞風險評價流程論述風險評價各詳細實施步驟。圖3-3 風險評價實施流程圖 風險評價預備過程風險評價的預備過程是運維中心進展風險評價的根底，是整個風險評價過程有效性的保證。運維中心對信息及信息系統(tǒng)進展風險評價是一種戰(zhàn)略性的思索，其結果將遭到運維中心業(yè)務需求及戰(zhàn)略目的、文化、業(yè)務流程、平安要求、規(guī)模和構造的影響。因此在風險評價實施前，應：確定風險評價的范圍；確定風險評價的目的；建立適當?shù)慕M織構造；建立系統(tǒng)化的風險評價方法；獲得最高管理者對風險

19、評價謀劃的同意。確定范圍進展風險評價是基于運維中心本身商業(yè)要求及戰(zhàn)略目的的要求，國家法律法規(guī)和行業(yè)監(jiān)管要求，根據(jù)上述要求確定風險評價范圍，每次評價范圍可以是全公司的信息和信息系統(tǒng)，可以是單獨的信息系統(tǒng)，可以是關鍵業(yè)務流程。此項任務需求在資產識別和分類任務根底上進展。確定目的運維中心的信息、信息系統(tǒng)、運用軟件和網(wǎng)絡是運維中心重要的資產，信息資產的性，完好性和可用性對于維持競爭優(yōu)勢，提高平安管理程度，符合法律法規(guī)要求和運維中心的籠統(tǒng)是必要的。運維中心要面對四面八方日益增長的平安要挾，信息、信息系統(tǒng)、運用軟件和網(wǎng)絡能夠是嚴重要挾的目的，同時由于運維中心信息化程度不斷提高，對信息系統(tǒng)和技術的依賴日益添

20、加，那么能夠出現(xiàn)更多的脆弱性。運維中心風險評價的目的來源于業(yè)務繼續(xù)開展的需求、滿足國家法律法規(guī)和行業(yè)監(jiān)管的要求等方面。確定組織構造在風險評價過程中，應建立適宜的組織構造，以推進評價過程，成立由管理層、相關業(yè)務骨干、IT技術人員等組成的風險評價小組，以保證可以滿足風險評價的范圍、目的。確定風險評價方法風險評價方法應思索評價的范圍、目的、時間、效果、組織文化、人員素質以及詳細開展的程度等要素來確定，使之可以與運維中心的環(huán)境和平安要求相順應。獲得最高管理者同意上述一切內容應得到運維中心管理層同意，并對相關部門和員工進展傳達，就風險評價相關內容進展培訓，以明確各有關人員在風險評價中的義務。風險評價實施

21、過程信息平安各組成要素：資產的價值、對資產的要挾和要挾發(fā)生的能夠性、資產脆弱性、現(xiàn)有的平安控制提供的維護，風險評價過程是綜合以上要素而導出風險的過程，如圖5-1所示：資產賦值脆弱性評價要挾評價確定現(xiàn)有控制風險評價圖5-1風險評價的過程詳細的風險評價方法描畫詳細的風險評價是對資產、要挾和脆弱點進展詳細的識別和估價，評價結果被用于評價風險和平安控制的識別和選擇。經過識別資產的風險并將風險降低到可接受程度，來證明管理者所采用的平安控制是適當?shù)?。詳細的風險評價，需求仔細地制定被評價的信息系統(tǒng)范圍內的業(yè)務環(huán)境、業(yè)務運營、信息和資產的邊境，是一個需求管理者繼續(xù)關注的方法，如下表：風險評價評價活動資產賦值識

22、別和列出信息平安管理范圍內被評價的業(yè)務環(huán)境、業(yè)務運營和信息相關的一切的資產，定義一個價值尺度并為每一項資產分配價值性、完好性和可用性的價值。要挾評價識別與資產相關的一切要挾，并根據(jù)它們發(fā)生的能夠性為它們賦值。脆弱性評價識別與資產相關的一切的脆弱點，并根據(jù)它們被要挾利用的程度和嚴重性來賦值。確定現(xiàn)有控制識別與記錄一切與資產相關聯(lián)的、現(xiàn)有的控制。風險評價利用上述對資產、要挾、脆弱點的評價結果，進展風險評價，風險為資產的相對價值、要挾發(fā)生的能夠性與脆弱點被利用的能夠性的函數(shù)，采用適當?shù)娘L險丈量工具進展風險計算。表5-1 詳細風險評價內容詳細風險評價方法將平安風險作為資產、要挾及脆弱點的函數(shù)來進展識別

23、與評價，詳細程序包括：對資產闡明它們的價值、業(yè)務相關性、要挾闡明它們發(fā)生的能夠性和脆弱性闡明有關它們的弱點和敏感性的程度進展丈量與賦值。運用預定義風險計算函數(shù)完成風險丈量。資產賦值資產賦值就是要識別影響信息系統(tǒng)的信息資產以下簡稱資產，并評價其價值，包括資產識別與資產賦值兩部分。資產識別 資產是影響信息系統(tǒng)運轉而需求維護的有用資源，資產以多種方式存在。運維中心資產分為：硬件類、系統(tǒng)效力類、支撐效力類、信息類、人員、無形資產等，每類資產具有不同價值屬性和存在特點，固有的弱點、面臨的要挾、需求實施的維護和平安控制各不一樣。 為了對資產進展有效的維護，組織需求在各個管理層對資產落實責任，進展恰當?shù)墓芾?/p>

24、。 在信息平安體系范圍內識別資產并為資產編制清單是一項重要任務，每項資產都應該明晰地定義，在組織中明確資產一切權關系，進展平安分類，并以文件方式詳細記錄在案。 資產賦值 為了明確對資產的維護，有必要對資產進展估價，其價值大小不僅僅是思索其本身的價值，還要思索其業(yè)務的相關性和一定條件下的潛在價值。資產價值經常是以平安事件發(fā)生時所產生的潛在業(yè)務影響來衡量，平安事件會導致資產性、完好性和可用性的損失，從而導致企業(yè)資金、市場份額、企業(yè)籠統(tǒng)的損失。為了資產評價的一致性與準確性，組織該當建立一個資產的價值評價規(guī)范，對每一種資產和每一種能夠的損失，例如性、完好性和可用性的損失，都可以賦予一個價值。但采用準確

25、的方式給資產賦值是較困難的一件事，普通采用定性的方式，按照事前建立的資產的價值評價規(guī)范將資產的價值劃分為不同等級。經過資產的識別與估價后，組織應根據(jù)資產價值大小，進一步確定要維護的關鍵資產。 資產分別具有不同的平安屬性，性、完好性和可用性分別反映了資產在三個不同方面的特性。平安屬性的不同通常也意味著平安控制、維護功能需求的不同。經過調查三種不同平安屬性，可以得出一個可以根本反映資產價值的數(shù)值。對信息資產進展估價賦值的目的是為了更好地反映資產的價值，以便于進一步調查資產相關的弱點、要挾和風險屬性，并進展量化。 在評價過程，為了保證沒有資產被忽略和脫漏，應該先確定信息平安管理體系(ISMS)范圍，

26、建立資產的評審邊境。評價資產最簡單的方式是列出組織業(yè)務過程中、平安管理體系范圍內一切具有價值的資產，然后對資產賦予一定的價值，這種價值應該反映資產對組織業(yè)務運營的重要性，并以對業(yè)務的潛在影響程度表現(xiàn)出來。例如，資產價值越大，由于泄露、修正、損害、不可用等平安事件對組織業(yè)務的潛在影響就越大?；诮M織業(yè)務需求的資產的識別與估價，是建立信息平安體系，確定風險的重要一步。 資產的價值該當由資產的一切者和相關用戶來確定，只需他們才最清楚資產對組織業(yè)務的重要性，才干較準確地評價出資產的實踐價值。為確保資產賦值時的一致性和準確性，組織應建立一個資產價值評價尺度，以指點資產賦值。 在對資產賦予價值時，一方面要

27、思索資產購買本錢及維護本錢，另一方面主要思索當這種資產的性、完好性、可用性遭到損害時，對業(yè)務運營的負面影響程度。在信息平安管理中，并不是直接采用資產的賬面價值，在運維中心風險評價中采用以定性分級的方式建立資產的相對價值，以相對價值來作為確定重要資產的根據(jù)和為這種資產的維護投入多大資源的根據(jù)。資產分類 運維中心資產分類見下表：大類小類稱號硬件類H010大型機H020小型機H030PC效力器H040PC臺式機H050PC挪動電腦H060業(yè)務終端H070通訊設備H080網(wǎng)絡交換機H090網(wǎng)絡路由器H100負載平衡器H110網(wǎng)絡平安設備H120數(shù)據(jù)存儲設備H130挪動存儲設備H140存儲介質H150紙

28、質文檔H160智能卡設備H170UPS設備H180發(fā)電機H190設備管理間H200電線電纜H210顯示設備H220監(jiān)控設備H230機/系統(tǒng)H240照明設備H250供電設備H260供水設備H270暖通空調H280消防設備H290門禁系統(tǒng)H300打印機H310復印機H320掃描儀H330投影機H340機架系統(tǒng)效力類S010中心業(yè)務運用系統(tǒng)S020輔助業(yè)務運用系統(tǒng)S030網(wǎng)絡根底運用系統(tǒng)S040網(wǎng)絡平安系統(tǒng)S050操作系統(tǒng)S060數(shù)據(jù)庫S070中間件S080軟件開發(fā)工具S090軟件測試工具S100其他系統(tǒng)或效力信息類I010軟件I020開發(fā)文檔及源代碼I030用戶文檔I040系統(tǒng)業(yè)務數(shù)據(jù)I050系統(tǒng)

29、支撐數(shù)據(jù)I060密碼數(shù)據(jù)I070其他支撐效力類F010通訊效力F020系統(tǒng)運轉F030系統(tǒng)維護F040軟件開發(fā)F050軟件維護F060平安捍衛(wèi)F070人力資源效力F080財務效力F090供電F100供暖F110消防F120照明F130空調F140咨詢效力F150培訓效力F160審計效力人員類R010管理層人員R020網(wǎng)絡管理人員R030系統(tǒng)管理人員R040平安管理人員R050軟件開發(fā)人員R060軟件測試人員R070通訊管理人員R080文檔管理人員R090系統(tǒng)用戶R100企業(yè)客戶R110簽約供應商R120第三方人員R130暫時人員無形資產類W010公信力 W020組織籠統(tǒng)與聲譽 W030商標W0

30、40產品稱號W050知識產權表5-2 資產分類表資產價值屬性除了性、完好性和可用性外，在運維中心風險評價中引入系統(tǒng)對業(yè)務的重要程度、資產對系統(tǒng)的重要程度，資產破費等資產價值屬性，各價值屬性圖示如下：圖5-2 資產價值屬性系統(tǒng)效力范圍：闡明當前業(yè)務系統(tǒng)運用或效力的范圍，評價人員可以人工分析并選擇系統(tǒng)效力范圍值。業(yè)務對系統(tǒng)的依賴程度：用于衡量部門業(yè)務對當前業(yè)務系統(tǒng)的依賴程度，評價人員可以人工分析并選擇業(yè)務對系統(tǒng)的依賴程度值。系統(tǒng)對業(yè)務的重要程度：用于衡量業(yè)務系統(tǒng)對業(yè)務的重要性，其值由系統(tǒng)效力范圍和業(yè)務對系統(tǒng)的依賴程度確定。信息嚴密性：闡明信息資產本身或硬件、系統(tǒng)效力類資產所包含信息的嚴密性價值，評

31、價人員可以人工分析并選擇信息嚴密性值。信息完好性：闡明信息資產本身或硬件、系統(tǒng)效力類資產所包含信息的完好性價值，評價人員可以人工分析并選擇信息完好性值。信息可用性：闡明信息資產本身或硬件、系統(tǒng)效力類資產所包含信息的可用性價值，評價人員可以人工分析并選擇信息可用性值。資產信息重要性：用于衡量信息資產本身或硬件、系統(tǒng)效力類資產所包含信息的信息價值，其值由信息嚴密性、信息完好性和信息可用性確定。資產對系統(tǒng)的重要程度：用于衡量硬件、系統(tǒng)效力類資產對業(yè)務系統(tǒng)的可用性價值，評價人員可以人工分析并選擇對系統(tǒng)的重要程度值。資產對業(yè)務的重要程度：用于衡量硬件、系統(tǒng)效力類資產對業(yè)務的重要性，其值由系統(tǒng)對業(yè)務的重要

32、程度和資產對系統(tǒng)的重要程度確定。資產業(yè)務價值：用于衡量硬件、系統(tǒng)效力、人員及其它類資產對業(yè)務的價值，對于人員及無形類資產，其值由對業(yè)務的重要程度確定，對于硬件、系統(tǒng)效力類資產，其值由對業(yè)務的重要程度和資產信息重要性確定。破費：用于衡量購買或恢復被破壞的資產所需求的花消，評價人員可以人工分析并選擇破費值。資產價值：用于表示資產的重要性，其值由資產業(yè)務價值和破費確定。不同類別資產賦值能夠采用不同的價值屬性。詳細見下表：資產類別價值屬性硬件類系統(tǒng)效力類信息類支撐效力人員無形資產系統(tǒng)效力范圍業(yè)務對系統(tǒng)的依賴程度系統(tǒng)對業(yè)務的重要程度嚴密性完好性可用性資產CIA重要性資產對系統(tǒng)的重要程度資產對業(yè)務的重要程

33、度資產業(yè)務價值破費表5-3 不同資產采用的價值屬性資產價值屬性賦值規(guī)范運維中心風險評價運用的資產屬性賦值規(guī)范見下表：系統(tǒng)效力范圍賦值系統(tǒng)效力范圍賦值描畫1運維中心內部。2面向開發(fā)基地。3面向整個公司內部。4面向整個公司內部及客戶、政府、組織等。表5-4 系統(tǒng)效力范圍賦值表業(yè)務對系統(tǒng)的依賴程度賦值業(yè)務對系統(tǒng)依賴程度賦值描畫1整個業(yè)務處置流程可以經過手工方式或其他方式完成，而且這些替代方式對組織業(yè)務的開展沒有或極少影響。2整個業(yè)務處置流程可以經過手工方式或其他方式完成，但這些替代方式對組織業(yè)務的開展有較大的影響。3業(yè)務處置流程的部分環(huán)節(jié)可以經過手工方式或其他方式替代完成, 這些替代方式對組織業(yè)務的

34、開展有較大的影響。4業(yè)務處置流程完全依賴信息系統(tǒng)，手工方式無法完成。表5-5業(yè)務對系統(tǒng)的依賴程度賦值表系統(tǒng)對業(yè)務的重要程度計算系統(tǒng)重要程度權值W系統(tǒng)效力范圍值+業(yè)務對系統(tǒng)依賴程度值系統(tǒng)重要程度值T1WT1是非線性函數(shù)，用于將計算出的權值W映射到5級，得到系統(tǒng)重要程度值，見下表：系統(tǒng)對業(yè)務重要程度賦值描畫1W=2，32W=43W=54W=65W=7，8表5-6系統(tǒng)對業(yè)務的重要程度計算表信息嚴密性賦值信息嚴密性賦值描畫1信息的未授權泄露對運維中心的業(yè)務以及利益根本不會遭到影響或損害極小。2信息的未授權泄露對運維中心的業(yè)務以及利益帶來一定的損失或破壞。3信息的未授權泄露對運維中心的業(yè)務、利益以及整個

35、公司利益帶來嚴重的損失或破壞。4信息的未授權泄露對運維中心的業(yè)務、利益以及整個公司利益帶來極其嚴重的損失或破壞。5信息的未授權泄露會對運維中心的業(yè)務、利益以及整個公司利益帶來災難性的損失或破壞。表5-7信息嚴密性賦值表信息完好性賦值信息完好性賦值描畫1信息的未授權的修正或破壞對運維中心的業(yè)務以及利益根本不會遭到影響或損害極小。2信息的未授權的修正或破壞對運維中心的業(yè)務以及利益帶來一定的損失或破壞。3信息的未授權的修正或破壞對運維中心的業(yè)務、利益以及整個公司利益帶來嚴重的損失或破壞。4信息的未授權的修正或破壞會對運維中心的業(yè)務、利益以及整個公司利益帶來極其嚴重的損失或破壞。5信息的未授權的修正或

36、破壞會對運維中心的業(yè)務、利益以及整個公司利益帶來災難性的損失或破壞。表5-8信息完好性賦值表信息可用性賦值信息可用性賦值描畫1可用性價值可以忽略，合法運用者對信息及信息系統(tǒng)的可用度在正常任務時間低于25%2可用性價值較低，合法運用者對信息及信息系統(tǒng)的可用度在正常任務時間到達25%以上3可用性價值中等，合法運用者對信息及信息系統(tǒng)的可用度在正常任務時間到達70%以上4可用性價值較高，合法運用者對信息及信息系統(tǒng)的可用度到達每天90%以上5可用性價值非常高，合法運用者對信息及信息系統(tǒng)的可用度到達年度99.9%以上表5-9信息可用性賦值表資產CIA重要性計算資產CIA重要性值MAX嚴密性值、完好性值、可

37、用性值資產對系統(tǒng)的重要程度賦值對系統(tǒng)的重要程度賦值描畫1資產出現(xiàn)問題對整個業(yè)務系統(tǒng)的可用性影響極小或沒有影響。2資產出現(xiàn)問題對整個業(yè)務系統(tǒng)的可用性有一定的影響。3資產出現(xiàn)問題對整個業(yè)務系統(tǒng)的可用性有較大的影響。4資產出現(xiàn)問題將導致整個業(yè)務系統(tǒng)喪失可用性。表5-10資產對系統(tǒng)的重要程度賦值表資產對業(yè)務的重要程度計算資產對業(yè)務的重要程度權重(W)系統(tǒng)對業(yè)務的重要程度值資產對系統(tǒng)的重要程度值資產對業(yè)務的重要程度值T2WT2是非線性函數(shù)，用于將計算出的權值W映射到5級，得到資產對業(yè)務重要程度值，見下表：資產對業(yè)務重要程度賦值描畫1W=1，22W=3，4，53W=6，8，94W=10，125W=15，1

38、6，20表5-11資產對業(yè)務的重要程度計算表資產業(yè)務價值計算資產業(yè)務價值MAX資產對業(yè)務的重要程度值、資產CIA重要性值破費賦值資產破費賦值描畫1購買或恢復資產破費=0.1萬元。20.1萬元購買或恢復資產破費1萬元。31萬元購買或恢復資產破費10萬元。410萬元購買或恢復資產破費50萬元。550萬元 1 次/半年；或在某種情況下能夠會發(fā)生；或被證明曾經發(fā)生過。2低出現(xiàn)的頻率較??；或普通不太能夠發(fā)生；或沒有被證明發(fā)生過。1很低要挾幾乎不能夠發(fā)生，僅能夠在非常稀有和例外的情況下發(fā)生。表5-15要挾賦值表脆弱性評價 脆弱性評價也稱為破綻評價，是風險評價中重要內容。脆弱性是信息資產本身存在的，它可以被

39、要挾利用、引起資產或商業(yè)目的的損害。脆弱性包括物理環(huán)境、組織、過程、人員、管理、配置、硬件、軟件和信息等各種資產的弱點。 值得留意的是，脆弱性雖然是信息資產本身固有的，但它本身不會呵斥損失，它只是一種條件或環(huán)境、能夠導致被要挾利用而呵斥資產損失。所以假設沒有相應的要挾發(fā)生，單純的脆弱性并不會對資產呵斥損害。那些沒有平安要挾的脆弱性可以不需求實施平安維護措施，但它們必需記錄下來以確保當環(huán)境、條件有所變化時能隨之加以改動平安維護，需求留意的是不正確的、起不到應有作用的或沒有正確實施的平安維護措施本身就能夠是一個平安脆弱性環(huán)節(jié)。 脆弱性評價將針對每一項需求維護的信息資產，找出每一種要挾所能利用的脆弱

40、性，并對脆弱性的嚴重程度進展評價，即對脆弱性被要挾利用的能夠性進展評價，最終為其賦值。在進展脆弱性評價時，提供的數(shù)據(jù)應該于這些資產的擁有者或運用者，于相關業(yè)務領域的專家以及軟硬件信息系統(tǒng)方面的專業(yè)人員。脆弱性評價所采用的方法主要為：問卷調查、訪談、工具掃描、手動檢查、文檔審查、浸透測試等。 在運維中心風險評價中采用問卷調查、小組訪談、工具掃描和人工檢查等方法。 脆弱性的識別以資產為中心，即根據(jù)每個資產分別識別其存在的弱點，然后綜合評價該資產的脆弱性。 脆弱性識別主要從技術和管理兩個方面進展，技術脆弱性涉及物理層、網(wǎng)絡層、系統(tǒng)層、運用層等各個層面的平安問題。管理脆弱性又可分為技術管理和組織管理兩

41、方面，前者與詳細技術活動相關，后者與管理環(huán)境相關。脆弱性識別內容如下表述：類型識別對象識別內容技術脆弱性物理環(huán)境從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通訊線路的維護、機房區(qū)域防護、機房設備管理等方面進展識別。效力器含操作系統(tǒng)從物理維護、用戶帳號、口令戰(zhàn)略、資源共享、事件審計、訪問控制、新系統(tǒng)配置初始化、注冊表加固、網(wǎng)絡平安、系統(tǒng)管理等方面進展識別。網(wǎng)絡構造從網(wǎng)絡構造設計、邊境維護、外部訪問控制戰(zhàn)略、內部訪問控制戰(zhàn)略、網(wǎng)絡設備平安配置等方面進展識別。數(shù)據(jù)庫從補丁安裝、鑒別機制、口令機制、訪問控制、網(wǎng)絡和效力設置、備份恢復機制、審計機制等方面進展識別。運用系統(tǒng)審計

42、機制、審計存儲、訪問控制戰(zhàn)略、數(shù)據(jù)完好性、通訊、鑒別機制、密碼維護等方面進展識別。管理脆弱性技術管理物理和環(huán)境平安、通訊與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務延續(xù)性。組織管理平安戰(zhàn)略、組織平安、資產分類與控制、人員平安、符合性表5-16弱點分類表 平安控制措施的運用將減少脆弱性，思索對現(xiàn)有平安控制措施確實認，采用等級方式對已識別的脆弱性的嚴重程度進展賦值。 脆弱性嚴重程度的等級劃分為五級，分別代表資產脆弱性嚴重程度的高低。等級數(shù)值越大，脆弱性嚴重程度越高。 運維中心風險評價對脆弱性采用以下賦值方法： 等級影響 技術 攻擊角度 管理防備角度1(可忽略)假設被要挾利用，將對資產呵斥的損害可以忽

43、略。 技術方面存在著低等級缺陷，從技術角度很難被利用 對于攻擊者來說，該破綻目前還不可以被直接或者間接利用，或者利用的難度極高 組織管理中沒有相關的薄弱環(huán)節(jié)，很難被利用 有規(guī)定，嚴厲審核、記錄、校驗2(低)假設被要挾利用，將對資產呵斥較小損害。 技術方面存在著低等級缺陷，從技術角度難以被利用 對于攻擊者來說，該破綻無法被直接利用(需求其他條件配合)或者利用的難度較高 組織管理中沒有相應的薄弱環(huán)節(jié)，難以被利用 有規(guī)定，職責明確，有專人擔任檢查執(zhí)行落實情況，有記錄3(中)假設被要挾利用，將對資產呵斥普通損害。 技術方面存在著普通缺陷，從技術角度可以被利用 可以配合其他條件被攻擊者加以直接利用，或者

44、該破綻的利用有一定的難度 組織管理中沒有明顯的薄弱環(huán)節(jié)，可以被利用 有規(guī)定，定期檢查落實，有記錄4(高)假設被要挾利用，將對資產呵斥艱苦損害。 技術方面存在著嚴重的缺陷，比較容易被利用 一個特定破綻，可以配合其他條件被攻擊者加以直接利用，或者該破綻的利用有一定的難度 組織管理中存在著薄弱環(huán)節(jié)，比較容易被利用 有規(guī)定執(zhí)行完全靠人自覺5(極高)假設被要挾利用，將對資產呵斥完全損害。 技術方面存在著非常嚴重的缺陷，很容易被利用 在沒有任何維護措施的情況下，暴露于低平安級別網(wǎng)絡上 組織管理中存在著明顯的薄弱環(huán)節(jié)，并且很容易被利用 無人擔任，無人過問表5-17弱點賦值表確定現(xiàn)有控制 在識別脆弱性的同時，

45、評價人員應對已采取的平安措施的有效性進展確認。平安措施確實認應評價其有效性，即能否真正地降低了系統(tǒng)的脆弱性，抵御了要挾。對有效的平安措施繼續(xù)堅持，以防止不用要的任務和費用，防止平安措施的反復實施。對確以為不適當?shù)钠桨泊胧藢嵞芊駪蝗∠驅ζ溥M展修正，或用更適宜的平安措施替代。 平安措施可以分為預防性平安措施和維護性平安措施兩種。預防性平安措施可以降低要挾利用脆弱性導致平安事件發(fā)生的能夠性，如入侵檢測系統(tǒng)；維護性平安措施可以減少因平安事件發(fā)生后對組織或系統(tǒng)呵斥的影響，如業(yè)務繼續(xù)性方案。 已有平安措施確認與脆弱性識別存在一定的聯(lián)絡。普通來說，平安措施的運用將減少系統(tǒng)技術或管理上的弱點，但平安措

46、施確認并不需求和脆弱性識別過程那樣詳細到每個資產、組件的弱點，而是一類詳細措施的集合，為風險處置方案的制定提供根據(jù)和參考。風險評價完成資產評價、要挾評價、脆弱性評價后，并思索已有平安措施的情況下，利用恰當?shù)姆椒ㄅc工具確定要挾利用資產脆弱性發(fā)生平安事件的能夠性，并結合資產的平安屬性遭到破壞后的影響得出信息資產的風險。風險值計算在完成了資產識別、要挾識別、脆弱性識別，以及對已有平安措施確認后，將采用適當?shù)姆椒ㄅc工具確定要挾利用脆弱性導致平安事件發(fā)生的能夠性。綜合平安事件所作用的資產價值及脆弱性的嚴重程度，判別平安事件呵斥的損失對組織的影響，即平安風險。運用本方法需求首先確定信息資產、要挾和脆弱性的

47、賦值，要完成這些賦值，需求管理人員、技術人員的配合。運維中心風險評價中風險值計算方式如下：風險值(RW)資產價值要挾能夠性值脆弱性嚴重程度值風險等級劃分確定風險數(shù)值的大小不是風險評價的最終目的，重要的是明確不同要挾對資產所產生的風險的相對值，即要確定不同風險的優(yōu)先次序或等級，對于風險級別高的資產應被優(yōu)先分配資源進展維護。風險等級在運維中心風險評價中采用分值計算表示。分值越大，風險越高。見下表。風險等級標識風險值范圍描畫建議處置方式1很低RW5發(fā)生平安事件的能夠性極小，即使發(fā)生對系統(tǒng)或組織也根本沒影響。A-接受2低6RW10發(fā)生平安事件的能夠性較小，平安事件發(fā)生后使系統(tǒng)遭到的破壞較小或使組織利益

48、遭到的損失較少。A-接受3中11RW30發(fā)生平安事件的能夠性普通，平安事件發(fā)生后將使系統(tǒng)遭到一定的破壞或使組織利益遭到一定的損失。B-降低4高31RW40發(fā)生平安事件的能夠性較大，平安事件發(fā)生后將使系統(tǒng)遭到較大的破壞或使組織利益遭到較多的損失。B-降低5極高41RW發(fā)生平安事件的能夠性很大，平安事件發(fā)生后將使系統(tǒng)遭到很大的破壞或使組織利益遭到很多的損失。B-降低表5-20風險等級描畫表風險評價結果紀錄風險評價的過程需求構成相關的文件及記錄，文檔管理思索以下控制：文件發(fā)布前得到同意，以確保文件是充分的；必要時對文件進展評審、更新并再次同意；確保文件的更改和現(xiàn)行修訂形狀得到識別；確保在運用時，可獲

49、得有關版本的適用文件；確保文件堅持明晰、易于識別；確保外來文件得到識別；確保文件的分發(fā)得到適當?shù)目刂?；防止作廢文件的非預期運用，假設因任何目的需保管作廢文件時，應對這些文件進展適當?shù)臉俗R。對于風險評價過程中構成的記錄，還應規(guī)定記錄的標識、儲存、維護、檢索、保管期限以及處置所需的控制。記錄能否需求以及詳略程度由管理過程來決議。風險評價過程應構成以下文件：風險評價過程方案：該方案中應論述風險評價的范圍、目的、組織機構、評價過程所需資源、構成的評價結果。風險評價程序：程序中應明確評價的目的、職責、過程、相關的文件要求，并且預備評價階段需求的表格，如信息資產識別與評價表。信息資產識別清單：根據(jù)在風險評

50、價程序文件中規(guī)定的資產分類方法進展資產的識別，并構成信息資產識別清單，清單中應明確各資產的擔任人/部門。要挾參考列表：應根據(jù)評價對象、環(huán)境等要素，構成要挾的分類方法及詳細的要挾列表，為風險評價提供支持。脆弱性參考列表：應針對不同分類的評價對象本身的弱點，構成脆弱性參考列表，為風險評價提供支持。風險評價記錄：根據(jù)組織的風險評價程序文件，記錄對重要信息資產的風險評價過程，包括脆弱性、要挾的賦值，已有平安控制措施確實認，風險值的計算與等級劃分。風險評價報告：風險評價報告應對整個風險評價過程進展總結，闡明組織的風險情況及剩余風險情況，經過管理層的評審，確定評價后的風險情況滿足業(yè)務開展及其他相關方的要求

51、。上述文件均應由運維中心管理層同意。風險管理過程經過風險評價對風險進展識別與估價后，引入適宜的控制措施，對風險實施管理，把風險降低到運維中心可以接受的程度，對風險的管理過程如以下圖所示：圖6-1 風險管理過程平安控制的識別與選擇選擇平安控制的另一個重要方面就是費用要素，假照實施與維護這些控制的費用比資產蒙受要挾所呵斥的損失的預期值還要高，那么所選擇的控制是不適宜的；假設控制費用比組織方案的平安預算要高，也是不適當?shù)?。但假設由于預算缺乏使控制的數(shù)據(jù)與質量下降，就會使系統(tǒng)產生不用要的風險，對此要特別留意。平安控制預算應該作為一個限制性的要素加以思索。同樣，也可以對現(xiàn)有的控制進展費用比較，假設現(xiàn)有控制不是充分有效，就要思索取消或改良。根據(jù)ISO27001的要求，運維中心在以下領域引入控制措施：平安政策信息平安的組織資產管理人力資源平安物理與環(huán)境平安通訊與操作管理訪問控制信息系統(tǒng)獲取、開發(fā)及維護信息平安事故管理業(yè)務延續(xù)性管理符合性控制的選擇要思索非技術性的控制與技術性的控制之間的平衡，兩種控制之間是相互支持與互補的。運營管理包括物理、人員、行政管理等方面平安的控制。中選擇