信息安全風(fēng)險(xiǎn)管理程序

信息安全風(fēng)險(xiǎn)管理程序信息安全風(fēng)險(xiǎn)管理程序信息安全風(fēng)險(xiǎn)管理程序xxx公司信息安全風(fēng)險(xiǎn)管理程序文件編號(hào)：文件日期：修訂次數(shù)：第1.0次更改批準(zhǔn)審核制定方案設(shè)計(jì)，管理制度城云科技（杭州）有限公司信息安全風(fēng)險(xiǎn)管理程序文檔編號(hào)受控狀態(tài)受控版本號(hào)作者鄂鵬羽審核人李振華批準(zhǔn)人夏敏發(fā)布日期2014/12/1批準(zhǔn)日期2014/12/1目錄信息安全風(fēng)險(xiǎn)管理程序 1第一章 目的 1第二章 范圍 1第三章 名詞解釋 1第四章 風(fēng)險(xiǎn)評(píng)估方法 2第五章 風(fēng)險(xiǎn)評(píng)估實(shí)施 5第六章 風(fēng)險(xiǎn)管理要求 19第七章 附則 20第八章 檢查要求 20

目的目的：指導(dǎo)信息安全組織針對(duì)信息系統(tǒng)及其管理開展的信息風(fēng)險(xiǎn)評(píng)估工作。本指南定義了風(fēng)險(xiǎn)評(píng)估的基本概念、原理及實(shí)施流程；對(duì)資產(chǎn)、威脅和脆弱性識(shí)別要求進(jìn)行了詳細(xì)描述。范圍范圍：適用于風(fēng)險(xiǎn)評(píng)估組開展各項(xiàng)信息安全風(fēng)險(xiǎn)評(píng)估工作。名詞解釋資產(chǎn)對(duì)組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象。資產(chǎn)價(jià)值資產(chǎn)的重要程度或敏感程度的表征。資產(chǎn)價(jià)值是資產(chǎn)的屬性，也是進(jìn)行資產(chǎn)識(shí)別的主要內(nèi)容。資產(chǎn)價(jià)值通過(guò)機(jī)密性、完整性和可用性三個(gè)方面評(píng)估計(jì)算獲得。（一）機(jī)密性（Confidentiality）：確保只有經(jīng)過(guò)授權(quán)的人才能訪問(wèn)信息；（二）完整性（Integrality）：保護(hù)信息和信息的處理方法準(zhǔn)確而完整；（三）可用性（Availability）：確保經(jīng)過(guò)授權(quán)的用戶在需要時(shí)可以訪問(wèn)信息并使用相關(guān)信息資產(chǎn)。威脅可能導(dǎo)致對(duì)系統(tǒng)或組織危害的不希望事故潛在起因。脆弱性可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的弱點(diǎn)。信息安全風(fēng)險(xiǎn)人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。信息安全評(píng)估依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過(guò)程。它要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響。殘余風(fēng)險(xiǎn)采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)管理模型圖1風(fēng)險(xiǎn)管理模型圖1為風(fēng)險(xiǎn)管理的基本模型，橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性。風(fēng)險(xiǎn)管理圍繞著資產(chǎn)、威脅、脆弱性和安全措施這些基本要素展開。信息安全風(fēng)險(xiǎn)評(píng)估在對(duì)風(fēng)險(xiǎn)管理要素的評(píng)估過(guò)程中，需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等與這些基本要素相關(guān)的各類屬性。圖1中的風(fēng)險(xiǎn)管理要素及屬性之間存在著以下關(guān)系：（一）業(yè)務(wù)戰(zhàn)略的實(shí)現(xiàn)對(duì)資產(chǎn)具有依賴性，依賴程度越高，要求其風(fēng)險(xiǎn)越小；（二）資產(chǎn)是有價(jià)值的，組織的業(yè)務(wù)戰(zhàn)略對(duì)資產(chǎn)的依賴程度越高，資產(chǎn)價(jià)值就越大；（三）風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大，并可能演變成為安全事件；（四）資產(chǎn)的脆弱性可能暴露資產(chǎn)的價(jià)值，資產(chǎn)具有的弱點(diǎn)越多則風(fēng)險(xiǎn)越大；（五）脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產(chǎn)；（六）風(fēng)險(xiǎn)的存在及對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)導(dǎo)出安全需求；（七）安全需求可通過(guò)安全措施得以滿足，需要結(jié)合資產(chǎn)價(jià)值考慮實(shí)施成本；（八）安全措施可抵御威脅，降低風(fēng)險(xiǎn)；（九）殘余風(fēng)險(xiǎn)有些是安全措施不當(dāng)或無(wú)效,需要加強(qiáng)才可控制的風(fēng)險(xiǎn)；而有些則是在綜合考慮了安全成本與效益后不去控制的風(fēng)險(xiǎn)；（十）殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它可能會(huì)在將來(lái)誘發(fā)新的安全事件。風(fēng)險(xiǎn)評(píng)估模型圖2風(fēng)險(xiǎn)評(píng)估原理圖風(fēng)險(xiǎn)評(píng)估的過(guò)程中主要包含信息資產(chǎn)（InformationAsset），脆弱性（Vulnerability）、威脅（Threat）、影響（Impact）和風(fēng)險(xiǎn)（Risk）五個(gè)要素。信息資產(chǎn)的基本屬性是資產(chǎn)價(jià)值（AssetsValue），脆弱性的基本屬性是被威脅利用的難易程度（HowEasilyExploitedbyThreats）、威脅的基本屬性是威脅的可能性（ThreatLikelihood）、影響度的基本屬性是嚴(yán)重性（Severity），它們直接影響風(fēng)險(xiǎn)的兩個(gè)屬性，風(fēng)險(xiǎn)的后果（RiskConsequence）和風(fēng)險(xiǎn)的可能性（RiskLikelihood）。其中資產(chǎn)價(jià)值和影響的嚴(yán)重性構(gòu)成風(fēng)險(xiǎn)的后果，脆弱性被威脅利用的難易程度和威脅的可能性構(gòu)成風(fēng)險(xiǎn)的可能性，風(fēng)險(xiǎn)的后果和風(fēng)險(xiǎn)的可能性構(gòu)成風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估方法圖3風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容為：（一）對(duì)資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)的價(jià)值進(jìn)行賦值；（二）對(duì)威脅進(jìn)行識(shí)別，描述威脅的屬性，并對(duì)威脅出現(xiàn)的頻率賦值；（三）對(duì)脆弱性進(jìn)行識(shí)別，并對(duì)具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；（四）根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性；（五）根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價(jià)值計(jì)算安全事件的損失；（六）根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計(jì)算安全事件一旦發(fā)生對(duì)組織的影響；（七）綜合分析，采用適當(dāng)?shù)姆绞接?jì)算風(fēng)險(xiǎn)值。風(fēng)險(xiǎn)評(píng)估實(shí)施風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備是整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程有效性的保證。組織實(shí)施風(fēng)險(xiǎn)評(píng)估是一種戰(zhàn)略性的考慮，其結(jié)果將受到組織業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。因此，在風(fēng)險(xiǎn)評(píng)估實(shí)施前應(yīng)：（一）確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)；（二）確定風(fēng)險(xiǎn)評(píng)估的范圍；（三）組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)；（四）進(jìn)行系統(tǒng)調(diào)研；（五）確定評(píng)估依據(jù)和方法（即評(píng)估列表）；（六）獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持。資產(chǎn)識(shí)別資產(chǎn)識(shí)別是對(duì)直接賦予了價(jià)值因而需要保護(hù)的資產(chǎn)進(jìn)行分類和價(jià)值等級(jí)賦值。資產(chǎn)分類和賦值方法可根據(jù)ISO27001體系結(jié)合組織自身情況完成，資產(chǎn)價(jià)值作為風(fēng)險(xiǎn)計(jì)算的輸入。威脅評(píng)估安全威脅是一種對(duì)系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素或者事件。產(chǎn)生安全威脅的主要因素可以分為人為因素和環(huán)境因素。人為因素包括有意因素和無(wú)意因素。環(huán)境因素包括自然界的不可抗力因素和其它物理因素。威脅可能是對(duì)信息系統(tǒng)直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機(jī)密性、完整性或可用性等方面造成損害。威脅也可能是偶發(fā)的、或蓄意的事件。一般來(lái)說(shuō)，威脅總是要利用網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用或數(shù)據(jù)的弱點(diǎn)才可能成功地對(duì)資產(chǎn)造成傷害。安全事件及其后果是分析威脅的重要依據(jù)。但是有相當(dāng)一部分威脅發(fā)生時(shí)，由于未能造成后果，或者沒有意識(shí)到，而被安全控制人員忽略。這將導(dǎo)致對(duì)安全威脅的認(rèn)識(shí)出現(xiàn)偏差。威脅分析方法首先需要考慮威脅的來(lái)源，然后分析各種來(lái)源存在哪些威脅種類，最后做出威脅來(lái)源和威脅種類的列表進(jìn)行威脅賦值。（一）威脅來(lái)源分析信息系統(tǒng)的安全威脅來(lái)源可考慮以下方面：威脅源威脅分類威脅來(lái)源描述人為因素非惡意人員威脅事件內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心和不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或被攻擊；內(nèi)部人員由于缺乏培訓(xùn)，專業(yè)技能不足,不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊。惡意人員威脅事件不滿的或有預(yù)謀的內(nèi)部人員對(duì)信息系統(tǒng)進(jìn)行惡意破壞；采用自主的或內(nèi)外勾結(jié)的方式盜竊機(jī)密信息或進(jìn)行篡改，獲取利益。第三方合作伙伴和供應(yīng)商，包括業(yè)務(wù)合作伙伴以及軟件開發(fā)合作伙伴、系統(tǒng)集成商、服務(wù)商和產(chǎn)品供應(yīng)商；包括第三方惡意的和無(wú)惡意的行為。外部人員利用信息系統(tǒng)的弱點(diǎn)，對(duì)網(wǎng)絡(luò)和系統(tǒng)的機(jī)密性、完整性和可用性進(jìn)行破壞，以獲取利益或炫耀能力。環(huán)境威脅自然威脅事件洪災(zāi)、火災(zāi)、地震等環(huán)境條件和自然災(zāi)害物理威脅事件由于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、；非人為系統(tǒng)威脅事件意外事故或由于軟件、硬件、數(shù)據(jù)、通訊線路方面的故障。社會(huì)因素威脅社會(huì)動(dòng)亂恐怖襲擊表1：威脅來(lái)源（二）威脅種類分析對(duì)安全威脅進(jìn)行分類的方式有多種多樣，針對(duì)上表威脅來(lái)源，組織信息管理部的安全威脅種類按類列舉如下表所示。威脅的編號(hào)按照類別進(jìn)行劃分，以字母“T”開頭（Threats），第二個(gè)字母為威脅類型，例如人員威脅為TP為前綴，以“-”連接，以數(shù)字后綴為序列。威脅源威脅分類威脅編號(hào)威脅類型威脅表現(xiàn)威脅注釋人為因素非惡意人員威脅事件TP-01無(wú)作為或操作失誤操作失誤、錯(cuò)誤在正常工作或使用過(guò)程中，由于技能不足或精神不集中導(dǎo)致的操作不當(dāng)、設(shè)置錯(cuò)誤，無(wú)意中造成對(duì)資產(chǎn)的侵害TP-02無(wú)作為或操作失誤無(wú)意識(shí)傳播惡意代碼使用個(gè)人電腦、移動(dòng)介質(zhì)等時(shí)無(wú)意識(shí)中傳播了惡意的代碼，TP-03管理不到位遺失無(wú)意遺失重要資產(chǎn)TP-04管理不到位生病感染流行病或傳染病導(dǎo)致無(wú)法正常出勤TP-05管理不到位事假、離職因事假或離職導(dǎo)致無(wú)法正常工作TP-06無(wú)作為或操作失誤工作疏忽、監(jiān)控不力、判斷失誤在正常工作或使用過(guò)程中，由于技能不足或精神不集中導(dǎo)致的監(jiān)察不力、響應(yīng)不及時(shí)等，無(wú)意中造成對(duì)資產(chǎn)的侵害惡意人員威脅事件TP-07物理攻擊蓄意破壞蓄意以各種方式破壞信息資產(chǎn)，可能導(dǎo)致資產(chǎn)不可用，如縱火，在系統(tǒng)中故意留后門TP-08篡改數(shù)據(jù)破壞對(duì)系統(tǒng)中數(shù)據(jù)進(jìn)行惡意刪除等行為TP-09越權(quán)或?yàn)E用非授權(quán)訪問(wèn)/使用非授權(quán)地對(duì)網(wǎng)絡(luò)或系統(tǒng)進(jìn)行訪問(wèn)，非授權(quán)地使用設(shè)備或軟件，如對(duì)系統(tǒng)內(nèi)容非法下載或批量導(dǎo)出,非授權(quán)掃描TP-10惡意代碼惡意代碼攻擊病毒、蠕蟲、邏輯炸彈、木馬后門等惡意代碼的攻擊TP-11篡改非授權(quán)篡改對(duì)系統(tǒng)或數(shù)據(jù)進(jìn)行非授權(quán)篡改，導(dǎo)致完整性喪失TP-12管理不到位擅自使用非授權(quán)軟件擅自通過(guò)互聯(lián)網(wǎng)下載、使用公司非授權(quán)軟件，可能造成版權(quán)等符合性問(wèn)題TP-13網(wǎng)絡(luò)攻擊黑客入侵黑客利用各種手段對(duì)公司信息系統(tǒng)實(shí)施攻擊TP-14網(wǎng)絡(luò)攻擊DOS攻擊攻擊方發(fā)動(dòng)拒絕服務(wù)攻擊TP-15物理環(huán)境影響盜竊竊取物品TP-16越權(quán)或?yàn)E用身份假冒非授權(quán)人員冒用他人或授權(quán)人員身份TP-17網(wǎng)絡(luò)攻擊竊聽通過(guò)網(wǎng)絡(luò)嗅探、偷聽、搭線竊聽等途徑非法獲取信息TP-18管理不到位人員短缺完成某項(xiàng)工作的合格的人力資源不足TP-19管理不到位泄密泄漏敏感信息或電子數(shù)據(jù)TP-20管理不到位社會(huì)工程/欺騙以非技術(shù)手段（例如欺騙）獲取特定信息，包括間諜行為TP-21抵賴無(wú)法進(jìn)行審查的抵賴行為不承認(rèn)之前的行為或操作，無(wú)法追查當(dāng)事人責(zé)任TP-22管理不到位商業(yè)間諜行為通過(guò)賄賂等行為刺探商業(yè)情報(bào)TP-23管理不到位惡意申告向主管機(jī)關(guān)和利益集團(tuán)申告存在的軟件正版化等問(wèn)題，或由此進(jìn)行敲詐環(huán)境威脅自然威脅事件TE-01物理環(huán)境影響雷電資產(chǎn)所處地點(diǎn)可能發(fā)生雷電TE-02物理環(huán)境影響臺(tái)風(fēng)資產(chǎn)所處地點(diǎn)可能發(fā)生臺(tái)風(fēng)TE-03物理環(huán)境影響暴雨資產(chǎn)所處地點(diǎn)可能發(fā)生暴雨TE-04物理環(huán)境影響海嘯資產(chǎn)所處地點(diǎn)可能發(fā)生海嘯TE-05物理環(huán)境影響洪水資產(chǎn)所處地點(diǎn)可能發(fā)生洪水TE-06物理環(huán)境影響冰雹資產(chǎn)所處地點(diǎn)可能發(fā)生冰雹TE-07物理環(huán)境影響地震資產(chǎn)所處地點(diǎn)可能發(fā)生地震物理威脅事件TE-08軟硬件故障極端的溫度/濕度資產(chǎn)所處環(huán)境的溫度/濕度發(fā)生劇烈變化，超出正常范圍。TE-09物理環(huán)境影響落塵資產(chǎn)所處物理環(huán)境灰塵大TE-10物理環(huán)境影響老鼠、蟲蟻咬食資產(chǎn)被老鼠、蟲蟻破壞TE-11軟硬件故障電力故障電力中斷或者供電不穩(wěn)定TE-12物理環(huán)境影響灰塵環(huán)境中存在嚴(yán)重的落塵問(wèn)題TE-13物理環(huán)境影響環(huán)境污染資產(chǎn)所處環(huán)境受到污染，包括有毒氣體和液體TE-14物理環(huán)境影響電磁輻射/干擾資產(chǎn)所處環(huán)境存在電磁輻射或干擾TE-15物理環(huán)境影響靜電資產(chǎn)所處環(huán)境存在嚴(yán)重的靜電問(wèn)題TE-16物理環(huán)境影響供水故障出現(xiàn)停水、水壓低等情況TE-17軟硬件故障空調(diào)故障出現(xiàn)空調(diào)制冷量不正常、空調(diào)設(shè)施機(jī)械故障等情況TE-18軟硬件故障液體泄漏消防水管破裂、空調(diào)漏水、漏雨TE-19軟硬件故障電壓異常波動(dòng)設(shè)備所處地點(diǎn)的電壓出現(xiàn)異常的波動(dòng)TE-20軟硬件故障爆炸資產(chǎn)所處地點(diǎn)發(fā)生爆炸非人為系統(tǒng)威脅事件TE-21軟硬件故障軟件故障軟件因?yàn)楣收隙捎眯越档突虿豢捎肨E-22軟硬件故障軟件使用量異常因蠕蟲、拒絕服務(wù)攻擊、突發(fā)訪問(wèn)或業(yè)務(wù)增長(zhǎng)等，軟件容量、性能不足或資源耗竭而導(dǎo)致可用性降低或不可用TE-23軟硬件故障硬件部件技術(shù)故障設(shè)備出現(xiàn)老化或故障而導(dǎo)致可用性降低或不可用TE-24軟硬件故障硬件部件使用量異常因蠕蟲、拒絕服務(wù)攻擊、突發(fā)訪問(wèn)或業(yè)務(wù)增長(zhǎng)等，硬件部件容量不足或資源耗竭而導(dǎo)致可用性降低或不可用TE-25軟硬件故障通信線路技術(shù)故障設(shè)備出現(xiàn)老化或故障而導(dǎo)致可用性降低或不可用TE-26通信流量異常通信流量異常因蠕蟲、拒絕服務(wù)攻擊、突發(fā)訪問(wèn)或業(yè)務(wù)增長(zhǎng)等，通訊流量異常增大而導(dǎo)致可用性、服務(wù)質(zhì)量降低或不可用TE-27軟硬件故障存儲(chǔ)介質(zhì)損壞存儲(chǔ)介質(zhì)出現(xiàn)老化或故障而導(dǎo)致可用性降低或不可用TE-28軟硬件故障存儲(chǔ)介質(zhì)空間使用量異常存儲(chǔ)介質(zhì)空間出現(xiàn)不足，介質(zhì)老化或故障而導(dǎo)致可用性降低或不可用社會(huì)因素威脅TS-1社會(huì)動(dòng)亂突發(fā)政治事件因政治事件導(dǎo)致組織業(yè)務(wù)發(fā)生變化TS-2恐怖襲擊暴力攻擊業(yè)務(wù)系統(tǒng)和組織遭受恐怖組織或相關(guān)群體襲擊表2：威脅類型列表（三）威脅賦值本風(fēng)險(xiǎn)評(píng)估管理辦法通過(guò)對(duì)于威脅的可能性（Likelihood）屬性（*注意:此處描述的是威脅的可能性，并不是風(fēng)險(xiǎn)的可能性，威脅要實(shí)際產(chǎn)生影響還要考慮脆弱性被利用的難易程度這個(gè)因素。）進(jìn)行分析賦值。賦值取決于威脅發(fā)生的概率和威脅發(fā)生的頻率。我們用變量T來(lái)表示威脅的可能性，它可以被賦予一個(gè)數(shù)值，來(lái)表示該屬性的程度。確定威脅發(fā)生的可能性是風(fēng)險(xiǎn)評(píng)估的重要環(huán)節(jié)，評(píng)估人員應(yīng)該根據(jù)經(jīng)驗(yàn)和相關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)判斷威脅發(fā)生的概率和頻率。實(shí)際評(píng)估過(guò)程中，威脅的可能性賦值需要參考下面三方面的資料和信息來(lái)源，綜合考慮，形成在特定評(píng)估環(huán)境中各種威脅發(fā)生的可能性。（1）通過(guò)評(píng)估體過(guò)去的安全事件報(bào)告或記錄，統(tǒng)計(jì)各種發(fā)生過(guò)的威脅和其發(fā)生頻率；（2）在評(píng)估體實(shí)際環(huán)境中，通過(guò)安全設(shè)備系統(tǒng)獲取的威脅發(fā)生數(shù)據(jù)的統(tǒng)計(jì)和分析，各種日志中威脅發(fā)生的數(shù)據(jù)的統(tǒng)計(jì)和分析；（3）過(guò)去一年或兩年來(lái)相關(guān)信息安全管理機(jī)構(gòu)發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)安全威脅發(fā)生頻率的統(tǒng)計(jì)數(shù)據(jù)均值。威脅的賦值標(biāo)準(zhǔn)參照下表：賦值描述說(shuō)明4幾乎肯定預(yù)期在大多數(shù)情況下發(fā)生，不可避免（>90%）3很可能在大多數(shù)情況下，很有可能會(huì)發(fā)生（50%~90%）2可能在某種情況下或某個(gè)時(shí)間，可能會(huì)發(fā)生（20%~50%）1不太可能發(fā)生的可能性很小，不太可能（<20%）0罕見僅在非常例外的情況下發(fā)生，非常罕見，幾乎不可能（0%~1%）表3：威脅賦值標(biāo)準(zhǔn)脆弱性評(píng)估脆弱性評(píng)估主要目的是評(píng)估信息資產(chǎn)的弱點(diǎn)。通常信息資產(chǎn)存在的弱點(diǎn)主要表現(xiàn)在三個(gè)方面：安全控制方面、承載信息資產(chǎn)的IT設(shè)備方面以及處理、加工這些信息資產(chǎn)的應(yīng)用系統(tǒng)方面。因此弱點(diǎn)評(píng)估也主要按照這三個(gè)方面進(jìn)行。（一）脆弱性的識(shí)別脆弱性的識(shí)別和獲取通過(guò)以下多種方式：工具掃描、人工分析、模擬攻擊測(cè)試（PenetrationTesting）、網(wǎng)絡(luò)架構(gòu)分析、業(yè)務(wù)流程分析等。評(píng)估人員根據(jù)具體的評(píng)估對(duì)象、評(píng)估目的來(lái)選擇具體的脆弱性獲取方式。在脆弱性的識(shí)別和獲取必須對(duì)應(yīng)前一個(gè)過(guò)程中識(shí)別出的威脅列表，不能被列表中威脅所利用的脆弱性在風(fēng)險(xiǎn)評(píng)估中沒有意義，可以不進(jìn)行識(shí)別。同時(shí)，因?yàn)橥{來(lái)源可以分為內(nèi)部和外部，所以脆弱性的獲取方法也可以根據(jù)威脅的來(lái)源不同而選擇不同的獲取方式，比如從內(nèi)網(wǎng)獲取和從外網(wǎng)獲取。安全控制脆弱性評(píng)估：可根據(jù)ISO27002的14個(gè)方面對(duì)整體安全控制評(píng)估；設(shè)備脆弱性評(píng)估：可通過(guò)網(wǎng)絡(luò)掃描及專家人工評(píng)估方法對(duì)IT設(shè)備進(jìn)行評(píng)估；應(yīng)用系統(tǒng)脆弱性評(píng)估：可通過(guò)對(duì)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)構(gòu)架、系統(tǒng)主機(jī)、數(shù)據(jù)流分析等方法進(jìn)行評(píng)估。（二）脆弱性分類脆弱性包括物理環(huán)境、組織、過(guò)程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的脆弱性。脆弱性的編號(hào)按照類別進(jìn)行劃分，以字母“V”開頭（Vulnerabilities），第二個(gè)字母為脆弱性類型，例如組織管理脆弱性以VP為前綴，以“-”連接，以數(shù)字后綴為序列。脆弱性分類脆弱性子類脆弱性編號(hào)脆弱性類型管理脆弱性組織管理VP-01IT治理機(jī)制不夠完善VP-02缺乏總體IT規(guī)劃VP-03缺乏安全方針VP-04缺乏組織范圍內(nèi)統(tǒng)一的安全策略VP-05缺乏可執(zhí)行性的安全程序VP-06安全技術(shù)與管理措施不能有效結(jié)合VP-07沒有科學(xué)有效的資產(chǎn)管理或配置管理VP-08沒有跨部門的協(xié)調(diào)組織VP-09沒有負(fù)責(zé)安全管理部門VP-10沒有建立完善的溝通交流機(jī)制VP-11組織的重要記錄沒有得到保護(hù)VP-12業(yè)務(wù)流程設(shè)計(jì)沒有既定明確的要求人員管理VH-01人員知識(shí)水平缺乏VH-02人員技能缺乏VH-03人員安全意識(shí)缺乏VH-04人員敬業(yè)精神不夠VH-05不能遵守操作規(guī)程VH-06道德風(fēng)險(xiǎn)VH-07人員流動(dòng)頻繁VH-08沒有簽訂協(xié)議VH-09沒有背景調(diào)查VH-10崗位職責(zé)中沒有安全要求VH-11安全無(wú)法與員工績(jī)效掛鉤VH-12人員缺乏職責(zé)分離VH-13沒有人員備份機(jī)制VH-14缺乏對(duì)員工行為的審計(jì)技術(shù)脆弱性物理環(huán)境VE-01電力單路VE-02線路暴露VE-03場(chǎng)所很容易進(jìn)入VE-04場(chǎng)所監(jiān)控有盲點(diǎn)VE-05場(chǎng)所易受雷擊VE-06場(chǎng)所易進(jìn)水VE-07場(chǎng)所易燃燒VE-08場(chǎng)所不抗震VE-09電力容量不夠VE-10場(chǎng)地不夠硬件VM-01設(shè)備易受電力變化影響VM-02設(shè)備、介質(zhì)易損壞VM-03電源開關(guān)沒有限制未經(jīng)授權(quán)的使用VM-04存儲(chǔ)空間不夠VM-05運(yùn)算能力不夠VM-06信號(hào)輻射VM-07設(shè)備性能差VM-08存在單點(diǎn)故障VM-09口令更改周期較長(zhǎng)VM-10線路輻射VM-11協(xié)議開放VM-12明文傳輸VM-13隨意接入VM-14口令簡(jiǎn)單VM-15協(xié)議漏洞VM-16帶寬不夠VM-17很容易進(jìn)入VM-18可用性差VM-19SNMP的Community值為缺省VM-20無(wú)網(wǎng)絡(luò)流量監(jiān)控管理措施VM-21缺少處置、報(bào)廢規(guī)定軟件及應(yīng)用系統(tǒng)VS-01系統(tǒng)沒有及時(shí)更新補(bǔ)丁VS-02系統(tǒng)開放默認(rèn)服務(wù)和端口VS-03系統(tǒng)存在可疑服務(wù)和端口VS-04系統(tǒng)管理員和用戶弱口令或空口令VS-05系統(tǒng)沒有實(shí)現(xiàn)賬號(hào)實(shí)名制VS-06系統(tǒng)沒有開放審計(jì)日志功能VS-07系統(tǒng)沒有啟用安全選項(xiàng)VS-08系統(tǒng)沒有啟用帳戶密碼安全策略VS-09系統(tǒng)使用默認(rèn)共享VS-10系統(tǒng)無(wú)權(quán)限控制措施VS-11特權(quán)賬戶沒有控制VS-12版本較低VS-13存在弱密碼或空密碼VS-14系統(tǒng)漏洞VS-15配置漏洞VS-16存在后門VS-17沒有數(shù)據(jù)加密功能VS-18軟件架構(gòu)缺陷VS-19很容易變更業(yè)務(wù)設(shè)計(jì)和流程VB-01業(yè)務(wù)流程缺陷VB-02業(yè)務(wù)邏輯錯(cuò)誤VB-03業(yè)務(wù)系統(tǒng)設(shè)計(jì)性能不足VB-04業(yè)務(wù)系統(tǒng)功能實(shí)現(xiàn)不足VB-05業(yè)務(wù)系統(tǒng)缺乏審計(jì)和記錄VB-06業(yè)務(wù)系統(tǒng)缺乏連續(xù)性計(jì)劃服務(wù)VR-01缺乏服務(wù)水平協(xié)議VR-02服務(wù)不符合業(yè)務(wù)需求VR-03服務(wù)響應(yīng)不及時(shí)VR-04服務(wù)易中斷VR-05沒有按照規(guī)范執(zhí)行VR-06服務(wù)成本太高其他法規(guī)法規(guī)VL-01沒有識(shí)別相應(yīng)的法律、法規(guī)VL-02不符合法律法規(guī)要求信息類VI-01信息缺乏準(zhǔn)確性VI-02信息缺乏及時(shí)性VI-03信息容易傳播VI-04信息容易毀損VI-05信息容易丟失無(wú)形資產(chǎn)類VT-01恢復(fù)困難VT-02容易受到損害表3：脆弱性類別列表（三）脆弱性屬性參照國(guó)際安全標(biāo)準(zhǔn)，本管理辦法將脆弱性屬性定義為脆弱性的嚴(yán)重性，既脆弱性被某些威脅利用后產(chǎn)生的影響的嚴(yán)重程度，（三）脆弱性賦值在CVE和業(yè)界大多數(shù)的掃描器中關(guān)于技術(shù)性脆弱性的嚴(yán)重性（Severity）定義中，都是指可能引發(fā)的影響的嚴(yán)重性，參考業(yè)界通用的脆弱性嚴(yán)重性等級(jí)劃分標(biāo)準(zhǔn)，我們采用的等級(jí)劃分標(biāo)準(zhǔn)如下：賦值簡(jiǎn)稱說(shuō)明4VH脆弱性很容易被利用，如果被威脅利用，將對(duì)資產(chǎn)造成完全損害3H脆弱性容易被利用，如果被威脅利用，將對(duì)資產(chǎn)造成重大損害2M脆弱性可以被利用，如果被威脅利用，將對(duì)資產(chǎn)造成一般損害1L脆弱性較難被利用，如果被威脅利用，將對(duì)資產(chǎn)造成較小損害0N脆弱性很難被利用，如果被威脅利用，將對(duì)資產(chǎn)造成的損害可以忽略表4：脆弱性賦值在實(shí)際評(píng)估工作中，脆弱性的值一般參考掃描工具的歸類標(biāo)準(zhǔn)，并參考CVE、中國(guó)國(guó)家漏洞庫(kù)等相關(guān)漏洞庫(kù)標(biāo)準(zhǔn)中的說(shuō)明，按照實(shí)際情況進(jìn)行修正，從而獲得適用的脆弱性值。管理類的脆弱性值按照管理成熟度進(jìn)行賦值。影響評(píng)估影響的屬性的評(píng)估方法主要考察一個(gè)屬性：嚴(yán)重性。本辦法將將影響嚴(yán)重性分為5個(gè)等級(jí)，分別是很高（VH）、高（H）、中等（M）、低（L）、可忽略（N），并且從高到低分別賦值4-0。賦值標(biāo)準(zhǔn)參照下表。賦值簡(jiǎn)稱說(shuō)明4VH可以造成資產(chǎn)全部損失或不可用，持續(xù)的業(yè)務(wù)中斷，巨大的財(cái)務(wù)損失等非常嚴(yán)重的影響；3H可以造成資產(chǎn)重大損失，業(yè)務(wù)中斷，較大的財(cái)務(wù)損失等嚴(yán)重影響；2M可以造成資產(chǎn)損失，業(yè)務(wù)受到損害，中等的財(cái)務(wù)損失等影響1L可以造成資產(chǎn)較小損失，并且立即可以受到控制，較小的財(cái)務(wù)損失等影響；0N資產(chǎn)損失可以忽略、對(duì)業(yè)務(wù)無(wú)損害，輕微或可忽略的財(cái)務(wù)損失等影響。表5：脆弱性賦值影響嚴(yán)重性賦值標(biāo)準(zhǔn)風(fēng)險(xiǎn)計(jì)算在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及對(duì)已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)分析方法風(fēng)險(xiǎn)分析方法可以是定性分析、半定量分析或定量分析，或者是這些分析方法的組合。如果按遞升次序?qū)⑦@些分析的復(fù)雜性和成本加以排列的話，將會(huì)是：定性分析、半定量、定量。實(shí)際上，定性分析往往首先被采用，來(lái)得到風(fēng)險(xiǎn)程度的總的提示組織可根據(jù)信息管理實(shí)際評(píng)估效果、工作量、成本效益、技術(shù)復(fù)雜度和數(shù)據(jù)收集困難度等方面的考慮，選擇合適的分析方法作為安全風(fēng)險(xiǎn)的計(jì)算方法。（二）風(fēng)險(xiǎn)的計(jì)算本管理辦法采用相乘法進(jìn)行量值計(jì)算。相乘法提供一種定量的計(jì)算方法，直接使用兩個(gè)要素值進(jìn)行相乘得到另一個(gè)要素的值。相乘法的特點(diǎn)是簡(jiǎn)單明確，直接按照統(tǒng)一公式計(jì)算，即可得到所需結(jié)果。在風(fēng)險(xiǎn)值計(jì)算中，通常需要對(duì)兩個(gè)要素確定的另一個(gè)要素值進(jìn)行計(jì)算，例如由威脅和脆弱性確定安全事件發(fā)生可能性值、由資產(chǎn)和脆弱性確定安全事件的損失值，因此相乘法在風(fēng)險(xiǎn)分析中得到廣泛采用即：風(fēng)險(xiǎn)值=資產(chǎn)價(jià)值×威脅可能性值×脆弱性值×影響性值（三）風(fēng)險(xiǎn)等級(jí)化方法對(duì)風(fēng)險(xiǎn)進(jìn)行定量取值后，將風(fēng)險(xiǎn)值按照以“4”為底取對(duì)數(shù)計(jì)算并四舍五入得到風(fēng)險(xiǎn)等級(jí)值，將風(fēng)險(xiǎn)劃分為五個(gè)登記，如下表所描述：風(fēng)險(xiǎn)等級(jí)等級(jí)描述風(fēng)險(xiǎn)值范圍4該風(fēng)險(xiǎn)將可觸發(fā)非常嚴(yán)重的經(jīng)濟(jì)或社會(huì)影響，如組織信譽(yù)嚴(yán)重破壞、嚴(yán)重影響組織的正常經(jīng)營(yíng)，經(jīng)濟(jì)損失重大、社會(huì)影響惡劣128≤風(fēng)險(xiǎn)值3該風(fēng)險(xiǎn)將可觸發(fā)較大的經(jīng)濟(jì)或社會(huì)影響，在一定范圍內(nèi)給組織的經(jīng)營(yíng)和組織信譽(yù)造成損害32≤風(fēng)險(xiǎn)值<1282該風(fēng)險(xiǎn)將可觸發(fā)一定的經(jīng)濟(jì)、社會(huì)或生產(chǎn)經(jīng)營(yíng)影響，但影響面和影響程度不大8≤風(fēng)險(xiǎn)值<321該風(fēng)險(xiǎn)將可觸發(fā)的影響程度較低，一般僅限于組織內(nèi)部，通過(guò)一定手段很快能解決2≤風(fēng)險(xiǎn)值<80該風(fēng)險(xiǎn)將可觸發(fā)的影響幾乎不存在，通過(guò)簡(jiǎn)單的措施就能彌補(bǔ)風(fēng)險(xiǎn)值<2表6：風(fēng)險(xiǎn)級(jí)別表（三）風(fēng)險(xiǎn)矩陣定性分析本管理辦法采用下面的賦值矩陣來(lái)獲得風(fēng)險(xiǎn)點(diǎn)的定量分析表。通過(guò)資產(chǎn)分析、威脅分析、脆弱性分析以及影響分析進(jìn)行風(fēng)險(xiǎn)點(diǎn)匯總。風(fēng)險(xiǎn)類別風(fēng)險(xiǎn)子類資產(chǎn)名稱資產(chǎn)賦值威脅類型威脅賦值脆弱性描述脆弱性賦值影響描述影響賦值風(fēng)險(xiǎn)描述風(fēng)險(xiǎn)值風(fēng)險(xiǎn)級(jí)別管理類風(fēng)險(xiǎn)技術(shù)類風(fēng)險(xiǎn)運(yùn)維類風(fēng)險(xiǎn)表7：風(fēng)險(xiǎn)點(diǎn)收集表通過(guò)技術(shù)、管理、運(yùn)維各方面風(fēng)險(xiǎn)點(diǎn)的綜合定性分析，我們將風(fēng)險(xiǎn)項(xiàng)合并歸類，總結(jié)出相應(yīng)的風(fēng)險(xiǎn)項(xiàng)并進(jìn)行編號(hào)，風(fēng)險(xiǎn)的編號(hào)按照類別進(jìn)行劃分，以字母“R”開頭（Risk），第二個(gè)字母為風(fēng)險(xiǎn)類別，如管理風(fēng)險(xiǎn)為RM為前綴，后綴以數(shù)字為序列、技術(shù)風(fēng)險(xiǎn)以RT為前綴，后綴以數(shù)字為序列、運(yùn)維風(fēng)險(xiǎn)以RO為前綴，后綴以數(shù)字為序列。風(fēng)險(xiǎn)級(jí)別RM-013RT-012R0-014表8：風(fēng)險(xiǎn)列表風(fēng)險(xiǎn)處置方法根據(jù)計(jì)算出的風(fēng)險(xiǎn)值，對(duì)風(fēng)險(xiǎn)進(jìn)行排序，并根據(jù)企業(yè)自身的特點(diǎn)和具體條件、需求，選擇相應(yīng)的風(fēng)險(xiǎn)處置方式。風(fēng)險(xiǎn)處置方法描述如下：（1）消除風(fēng)險(xiǎn)：在某些情況下，可以決定不繼續(xù)進(jìn)行可能產(chǎn)生風(fēng)險(xiǎn)的活動(dòng)來(lái)回避風(fēng)險(xiǎn)。在某些情況可能是較為穩(wěn)妥的處理辦法，但是在某些情況下可能會(huì)因此而喪失機(jī)會(huì)。（2）降低風(fēng)險(xiǎn)：在某些情況下，可以決定通過(guò)合同、要求、規(guī)范、法律、監(jiān)察、管理、測(cè)試、技術(shù)開發(fā)、技術(shù)控制等措施來(lái)減小風(fēng)險(xiǎn)的可能性，來(lái)達(dá)到減小風(fēng)險(xiǎn)的目的。（3）轉(zhuǎn)移風(fēng)險(xiǎn)：這涉及承擔(dān)或分擔(dān)部分風(fēng)險(xiǎn)的另一方。手段包括合同、保險(xiǎn)安排、合伙、資產(chǎn)轉(zhuǎn)移等。（4）接受風(fēng)險(xiǎn)：不管如何處置，一般資產(chǎn)面臨的風(fēng)險(xiǎn)總是在一定程度上存在。決策者可以在繼續(xù)處置需要的成本和風(fēng)險(xiǎn)之間進(jìn)行抉擇。在適當(dāng)?shù)那闆r下，決策者可以選擇接受/承受風(fēng)險(xiǎn)。選擇處置方式的原則（1）風(fēng)險(xiǎn)可能造成的危害性；（2）控制、降低該風(fēng)險(xiǎn)方案的可行性,它需對(duì)成本因素、技術(shù)實(shí)現(xiàn)的難度、技術(shù)的成熟度以及對(duì)企業(yè)現(xiàn)有業(yè)務(wù)系統(tǒng)的影響等各方面進(jìn)行綜合考慮。建議風(fēng)險(xiǎn)處置策略如下：可行性風(fēng)險(xiǎn)等級(jí)低中高低（0-1）接受接受降低中（2-3）接受/轉(zhuǎn)移接受/降低降低高（4）轉(zhuǎn)移/避免降低/轉(zhuǎn)移降低表8：風(fēng)險(xiǎn)