XXXXCIS信息安全風(fēng)險(xiǎn)管理-v

信息安全風(fēng)險(xiǎn)管理培訓(xùn)機(jī)構(gòu)名稱講師姓名版本：3.0發(fā)布日期：2014-12-1生效日期：2015-1-1課程內(nèi)容2知識(shí)體知識(shí)域知識(shí)子域信息安全風(fēng)險(xiǎn)管理信息安全風(fēng)險(xiǎn)管理主要內(nèi)容信息安全風(fēng)險(xiǎn)管理的基本內(nèi)容和過(guò)程信息安全風(fēng)險(xiǎn)管理概述風(fēng)險(xiǎn)相關(guān)基本概念信息系統(tǒng)生命周期與信息安全風(fēng)險(xiǎn)管理信息安全風(fēng)險(xiǎn)管理基礎(chǔ)信息安全風(fēng)險(xiǎn)相關(guān)政策與標(biāo)準(zhǔn)信息安全風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估工作形式風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估的實(shí)施流程風(fēng)險(xiǎn)評(píng)估工具知識(shí)域：信息安全風(fēng)險(xiǎn)管理基礎(chǔ)知識(shí)子域：風(fēng)險(xiǎn)相關(guān)基礎(chǔ)概念理解風(fēng)險(xiǎn)的概念，理解資產(chǎn)、威脅、脆弱性、業(yè)務(wù)戰(zhàn)略、安全事件、安全需求、安全措施等風(fēng)險(xiǎn)相關(guān)概念理解風(fēng)險(xiǎn)準(zhǔn)則、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)管理、殘余風(fēng)險(xiǎn)的概念，掌握信息安全風(fēng)險(xiǎn)評(píng)估的概念理解風(fēng)險(xiǎn)相關(guān)要素之間的關(guān)系3風(fēng)險(xiǎn)，指事態(tài)的概率及其結(jié)果的組合

（——GB/Z24364-2009《信息安全風(fēng)險(xiǎn)管理指南》）信息安全風(fēng)險(xiǎn)，指人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響（——GB/T20984-2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》）信息安全風(fēng)險(xiǎn)會(huì)破壞組織信息資產(chǎn)的保密性、完整性或可用性等屬性風(fēng)險(xiǎn)、信息安全風(fēng)險(xiǎn)的概念4風(fēng)險(xiǎn)的構(gòu)成包括五個(gè)方面：起源（威脅源）、方式（威脅行為）、途徑（脆弱性）、受體（資產(chǎn)）和后果（影響）風(fēng)險(xiǎn)的構(gòu)成5風(fēng)險(xiǎn)相關(guān)術(shù)語(yǔ)資產(chǎn)（Asset）威脅（Threat）脆弱性（Vunerability）可能性（Likelihood,Probability）安全措施/控制措施（Countermeasure,safeguard,control）6業(yè)務(wù)戰(zhàn)略安全事件安全需求風(fēng)險(xiǎn)準(zhǔn)則風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)管理殘余風(fēng)險(xiǎn)（ResidentalRisk）信息安全風(fēng)險(xiǎn)評(píng)估資產(chǎn)資產(chǎn)是任何對(duì)組織有價(jià)值的東西，是要保護(hù)的對(duì)象資產(chǎn)以多種形式存在（多種分類方法）物理的（如計(jì)算設(shè)備、網(wǎng)絡(luò)設(shè)備和存儲(chǔ)介質(zhì)等）和邏輯的（如體系結(jié)構(gòu)、通信協(xié)議、計(jì)算程序和數(shù)據(jù)文件等）硬件的（如計(jì)算機(jī)主板、機(jī)箱、顯示器、鍵盤和鼠標(biāo)等）和軟件的（如操作系統(tǒng)軟件、數(shù)據(jù)庫(kù)管理軟件、工具軟件和應(yīng)用軟件等）有形的（如機(jī)房、設(shè)備和人員等）和無(wú)形的（如品牌、信心和名譽(yù)等）靜態(tài)的（如設(shè)施和規(guī)程等）和動(dòng)態(tài)的（如人員和過(guò)程等）技術(shù)的（如計(jì)算機(jī)硬件、軟件和固件等）和管理的（如業(yè)務(wù)目標(biāo)、戰(zhàn)略、策略、規(guī)程、過(guò)程、計(jì)劃和人員等）等7威脅可能導(dǎo)致對(duì)系統(tǒng)或組織危害的不希望事故潛在起因引起風(fēng)險(xiǎn)的外因威脅源采取恰當(dāng)?shù)耐{方式才可能引發(fā)風(fēng)險(xiǎn)威脅舉例操作失誤濫用授權(quán)行為抵賴身份假冒口令攻擊密鑰分析8漏洞利用拒絕服務(wù)竊取數(shù)據(jù)物理破壞社會(huì)工程脆弱性可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)造成風(fēng)險(xiǎn)的內(nèi)因脆弱性本身并不對(duì)資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時(shí)，脆弱性會(huì)被威脅源利用恰當(dāng)?shù)耐{方式對(duì)信息資產(chǎn)造成危害脆弱性舉例系統(tǒng)程序代碼缺陷系統(tǒng)設(shè)備安全配置錯(cuò)誤系統(tǒng)操作流程有缺陷維護(hù)人員安全意識(shí)不足9可能性某件事發(fā)生的機(jī)會(huì)威脅源利用脆弱性造成不良后果的機(jī)會(huì)舉例脆弱性只有國(guó)家級(jí)測(cè)試人員采用專業(yè)工具才能利用，發(fā)生不良后果的機(jī)會(huì)很小系統(tǒng)存在漏洞，但只在與互聯(lián)網(wǎng)物理隔離的局域網(wǎng)運(yùn)行，發(fā)生不良后果的機(jī)會(huì)較小互聯(lián)網(wǎng)公開漏洞且有相應(yīng)的測(cè)試工具，發(fā)生不良后果的機(jī)會(huì)很大10對(duì)風(fēng)險(xiǎn)險(xiǎn)概念念的理理解威脅源源采用用某種種威脅脅方式式利用用脆弱弱性造造成不不良后后果的的可能能性網(wǎng)站存存在SQL注入漏漏洞，普通攻攻擊者者利用自自動(dòng)化化攻擊擊工具具很容容易控制網(wǎng)網(wǎng)站，，修改改網(wǎng)站站內(nèi)容容，從從而損損害國(guó)國(guó)家政政府部部門聲聲譽(yù)11威脅源源威脅方方式脆弱性性風(fēng)險(xiǎn)采取利用造成對(duì)信息息安全全風(fēng)險(xiǎn)險(xiǎn)的理理解信息安安全風(fēng)風(fēng)險(xiǎn)是是指一一種特特定的的威脅脅利用用一種種或一一組脆脆弱性性造成成組織織的信信息相相關(guān)資資產(chǎn)損損失或或損害害的可可能性性信息安安全風(fēng)風(fēng)險(xiǎn)是是指信信息資資產(chǎn)的的保密密性、、完整整性和和可用用性遭遭到破破壞的的可能能性信息安安全風(fēng)風(fēng)險(xiǎn)只只考慮慮那些些對(duì)組組織有有負(fù)面面影響響的事事件12信息安安全風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估13是依據(jù)據(jù)有關(guān)關(guān)信息息安全全技術(shù)術(shù)與管管理標(biāo)標(biāo)準(zhǔn)，，對(duì)信信息系系統(tǒng)及及由其其處理理、傳傳輸和和存儲(chǔ)儲(chǔ)的信信息的的保密密性、、完整整性和和可用用性等等安全全屬性性進(jìn)行行評(píng)價(jià)價(jià)的過(guò)過(guò)程它要評(píng)評(píng)估資資產(chǎn)面面臨的的威脅脅以及及威脅脅利用用脆弱弱性導(dǎo)導(dǎo)致安安全事事件的的可能能性，，并結(jié)結(jié)合安安全事事件所所涉及及的資資產(chǎn)價(jià)價(jià)值來(lái)來(lái)判斷斷安全全事件件一旦旦發(fā)生生對(duì)組組織造造成的的影響響風(fēng)險(xiǎn)處處理、、風(fēng)險(xiǎn)險(xiǎn)管理理14風(fēng)險(xiǎn)處處理是是選擇擇并且且執(zhí)行行措施施來(lái)更更改風(fēng)風(fēng)險(xiǎn)的的過(guò)程程風(fēng)險(xiǎn)管管理是是識(shí)別別、控控制、、消除除或最最小化化可能能影響響系統(tǒng)統(tǒng)資源源不確確定因因素的的過(guò)程程安全措措施/控制制措施施保護(hù)資資產(chǎn)，，抵御御威脅脅，減減少脆脆弱性性，降降低安安全事事件的的影響響，以以及打打擊信信息犯犯罪而而實(shí)施施的各各種實(shí)實(shí)踐、、規(guī)程程和機(jī)機(jī)制，，它是是管理理風(fēng)險(xiǎn)險(xiǎn)的具具體手手段和和方法法根據(jù)安安全需需求部部署，，用來(lái)來(lái)防范范威脅脅，降降低風(fēng)風(fēng)險(xiǎn)的的措施施舉例部署防防火墻墻、入入侵檢檢測(cè)、、審計(jì)計(jì)系統(tǒng)統(tǒng)測(cè)試環(huán)環(huán)節(jié)操作審審批環(huán)環(huán)節(jié)應(yīng)急體體系終端U盤管理理制度度15殘余風(fēng)風(fēng)險(xiǎn)采取了了安全全措施施后，，信息息系統(tǒng)統(tǒng)仍然然可能能存在在的風(fēng)風(fēng)險(xiǎn)有些殘殘余風(fēng)風(fēng)險(xiǎn)是是在綜綜合考考慮了了安全全成本本與效效益后后不去去控制制的風(fēng)風(fēng)險(xiǎn)殘余風(fēng)風(fēng)險(xiǎn)應(yīng)應(yīng)受到到密切切監(jiān)視視，它它可能能會(huì)在在將來(lái)來(lái)誘發(fā)發(fā)新的的安全全事件件舉例風(fēng)險(xiǎn)列列表中中有10項(xiàng)風(fēng)險(xiǎn)險(xiǎn)，根根據(jù)風(fēng)風(fēng)險(xiǎn)成成本效效益分分析，，只有有前8項(xiàng)需要要控制制，則則前8項(xiàng)處理理后剩剩余的的風(fēng)險(xiǎn)險(xiǎn)加上上另2項(xiàng)風(fēng)險(xiǎn)險(xiǎn)為殘殘余風(fēng)風(fēng)險(xiǎn)，，一段段時(shí)間間內(nèi)系系統(tǒng)處處于風(fēng)風(fēng)險(xiǎn)可可接受受水平平16風(fēng)險(xiǎn)相相關(guān)要要素之之間的的關(guān)系系17知識(shí)域域：信信息安安全風(fēng)風(fēng)險(xiǎn)管管理基基礎(chǔ)知識(shí)子子域：：信息安安全風(fēng)風(fēng)險(xiǎn)管管理概概述理解實(shí)實(shí)施風(fēng)風(fēng)險(xiǎn)管管理的的主要要原則則理解風(fēng)風(fēng)險(xiǎn)管管理的的范圍圍和對(duì)對(duì)象18實(shí)施風(fēng)風(fēng)險(xiǎn)管管理的的主要要原則則風(fēng)險(xiǎn)管管理創(chuàng)創(chuàng)造和和保護(hù)護(hù)價(jià)值值風(fēng)險(xiǎn)管管理是是所有有組織織過(guò)程程不可可分割割的一一個(gè)部部分，，促進(jìn)進(jìn)組織織的持持續(xù)改改進(jìn)風(fēng)險(xiǎn)管管理是是透明明的，，參與與人員員應(yīng)包包含廣廣泛，，同時(shí)時(shí)考慮慮人員員和文文化因因素風(fēng)險(xiǎn)管管理是是定制制的，，并具具有體體系化化、結(jié)結(jié)構(gòu)化化的特特點(diǎn)風(fēng)險(xiǎn)管管理是是動(dòng)態(tài)態(tài)的、、反復(fù)復(fù)的和和響應(yīng)應(yīng)變化化的19風(fēng)險(xiǎn)管管理的的范圍圍和對(duì)對(duì)象信息安安全的的概念念涵蓋蓋了信信息、、信息息載體體和信信息環(huán)環(huán)境三三個(gè)方方面的的安全全信息載載體指指承載載信息息的媒媒介，，即用用于記記錄、、傳輸輸、積積累和和保存存信息息的實(shí)實(shí)體，，如紙紙張、、硬盤盤、網(wǎng)網(wǎng)線等等信息環(huán)環(huán)境指指信息息及信信息載載體所所處的的環(huán)境境，包包括物物理平平臺(tái)、、系統(tǒng)統(tǒng)平臺(tái)臺(tái)、網(wǎng)網(wǎng)絡(luò)平平臺(tái)和和應(yīng)用用平臺(tái)臺(tái)等硬硬環(huán)境境和軟軟環(huán)境境信息安安全風(fēng)風(fēng)險(xiǎn)管管理涉涉及信信息安安全上上述三三個(gè)方方面包包含的的所有有相關(guān)關(guān)對(duì)象象對(duì)于一一個(gè)具具體的的信息息系統(tǒng)統(tǒng)，風(fēng)風(fēng)險(xiǎn)管管理選選擇的的范圍圍和對(duì)對(duì)象重重點(diǎn)應(yīng)應(yīng)有所所不同同20知識(shí)域域：信信息安安全風(fēng)風(fēng)險(xiǎn)管管理基基礎(chǔ)知識(shí)子子域：：信息安安全風(fēng)風(fēng)險(xiǎn)相相關(guān)政政策與與標(biāo)準(zhǔn)準(zhǔn)了解我我國(guó)有有關(guān)信信息安安全風(fēng)風(fēng)險(xiǎn)管管理的的政策策要求求了解信信息安安全風(fēng)風(fēng)險(xiǎn)管管理相相關(guān)的的國(guó)內(nèi)內(nèi)外標(biāo)標(biāo)準(zhǔn)21我國(guó)有有關(guān)信信息安安全風(fēng)風(fēng)險(xiǎn)管管理的的政策策要求求《國(guó)家家信息息化領(lǐng)領(lǐng)導(dǎo)小小組關(guān)關(guān)于加加強(qiáng)信信息安安全保保障工工作的的意見見》（（中辦辦發(fā)［［2003］27號(hào)）明明確提提出要要重視視信息息安全全風(fēng)險(xiǎn)險(xiǎn)評(píng)估估工作作，將將風(fēng)險(xiǎn)險(xiǎn)評(píng)估估作為為提高高我國(guó)國(guó)信息息安全全保障障水平平的一一項(xiàng)重重要舉舉措《關(guān)于于開展展信息息安全全風(fēng)險(xiǎn)險(xiǎn)評(píng)估估工作作的意意見》》（國(guó)國(guó)信辦辦[2006]5號(hào)），，就信信息安安全風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估工工作的的基本本內(nèi)容容和原原則，，以及及開展展信息息安全全風(fēng)險(xiǎn)險(xiǎn)評(píng)估估工作作的有有關(guān)安安排等等做出出規(guī)定定和部部署《關(guān)于于加強(qiáng)強(qiáng)國(guó)家家電子子政務(wù)務(wù)工程程建設(shè)設(shè)項(xiàng)目目信息息安全全風(fēng)險(xiǎn)險(xiǎn)評(píng)估估工作作的通通知》》（發(fā)發(fā)改高高技[2008]2071號(hào)），，規(guī)范范了國(guó)家電電子政政務(wù)工工程建建設(shè)項(xiàng)項(xiàng)目信信息安安全風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估工工作22《關(guān)于開開展信信息安安全風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估工工作的的意見見》（國(guó)信信辦[2006]5號(hào)）的實(shí)施施要求求信息安安全風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估工工作應(yīng)應(yīng)當(dāng)貫貫穿信信息系系統(tǒng)全全生命命周期期。規(guī)規(guī)劃設(shè)設(shè)計(jì)階階段、、驗(yàn)收收時(shí)均均應(yīng)實(shí)實(shí)施風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估；；運(yùn)行行后應(yīng)應(yīng)定期期實(shí)施施應(yīng)通過(guò)過(guò)信息息安全全風(fēng)險(xiǎn)險(xiǎn)評(píng)估估為信信息系系統(tǒng)確確定安安全等等級(jí)提提供依依據(jù)，，根據(jù)據(jù)風(fēng)險(xiǎn)險(xiǎn)評(píng)估估的結(jié)結(jié)果檢檢驗(yàn)網(wǎng)網(wǎng)絡(luò)與與信息息系統(tǒng)統(tǒng)的防防護(hù)水水平是是否符符合等等級(jí)保保護(hù)的的要求求23《關(guān)于開開展信信息安安全風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估工工作的的意見見》（國(guó)信信辦[2006]5號(hào)）的管理理要求求為規(guī)避避由于于風(fēng)險(xiǎn)險(xiǎn)評(píng)估估工作作而引引入新新的安安全風(fēng)風(fēng)險(xiǎn)，，必須須高度度重視視信息息安全全風(fēng)險(xiǎn)險(xiǎn)評(píng)估估的組組織管管理工工作。。要求求：參與信信息安安全風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估工工作的的單位位及其其有關(guān)關(guān)人員員必須須遵守守國(guó)家家有關(guān)關(guān)信息息安全全的法法律法法規(guī)，，并承承擔(dān)相相應(yīng)的的責(zé)任任和義義務(wù)風(fēng)險(xiǎn)評(píng)評(píng)估工工作的的發(fā)起起方必必須采采取相相應(yīng)保保密措措施，，并與與參與與評(píng)估估的有有關(guān)單單位或或人員員簽訂訂具有有法律律約束束力的的保密密協(xié)議議對(duì)關(guān)系系國(guó)計(jì)計(jì)民生生和社社會(huì)穩(wěn)穩(wěn)定的的基礎(chǔ)礎(chǔ)信息息網(wǎng)絡(luò)絡(luò)和重重要信信息系系統(tǒng)的的信息息安全全風(fēng)險(xiǎn)險(xiǎn)評(píng)估估工作作必須須遵循循國(guó)家家的有有關(guān)規(guī)規(guī)定進(jìn)進(jìn)行24《關(guān)于加加強(qiáng)國(guó)國(guó)家電電子政政務(wù)工工程建建設(shè)項(xiàng)項(xiàng)目信信息安安全風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估工工作的的通知知》（發(fā)改高高技【【2008】2071號(hào)）電子政政務(wù)工工程建建設(shè)項(xiàng)項(xiàng)目應(yīng)應(yīng)開展展信息息安全全風(fēng)險(xiǎn)險(xiǎn)評(píng)估估工作作項(xiàng)目建建設(shè)單單位應(yīng)應(yīng)在試試運(yùn)行行期間間開展展風(fēng)險(xiǎn)險(xiǎn)評(píng)估估工作作，作作為項(xiàng)項(xiàng)目驗(yàn)驗(yàn)收的的重要要依據(jù)據(jù)項(xiàng)目驗(yàn)驗(yàn)收申申請(qǐng)時(shí)時(shí)，應(yīng)應(yīng)提交交信息息安全全風(fēng)險(xiǎn)險(xiǎn)評(píng)估估報(bào)告告系統(tǒng)投投入運(yùn)運(yùn)行后后，應(yīng)應(yīng)定期期開展展信息息安全全風(fēng)險(xiǎn)險(xiǎn)評(píng)估估25信息安安全風(fēng)風(fēng)險(xiǎn)管管理相相關(guān)的的國(guó)內(nèi)內(nèi)外標(biāo)標(biāo)準(zhǔn)GB/T20984-2007《信息息安全全風(fēng)險(xiǎn)險(xiǎn)評(píng)估估規(guī)范范》GB/Z24364-2009《信息息安全全風(fēng)險(xiǎn)險(xiǎn)管理理指南南》ISO/IEC27005:2011《信息息安全全風(fēng)險(xiǎn)險(xiǎn)管理理》ISOGUIDE73:2009《風(fēng)險(xiǎn)險(xiǎn)管理理－術(shù)術(shù)語(yǔ)》》ISO31000:2009《風(fēng)險(xiǎn)險(xiǎn)管理理－主主要原原則和和指南南》IEC/ISO31010:2009《風(fēng)險(xiǎn)險(xiǎn)管理理－風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估技技術(shù)》》NISTSP800-30(2012)《實(shí)施施風(fēng)險(xiǎn)險(xiǎn)評(píng)估估指南南》NISTSP800-39(2011)《管理理信息息安全全風(fēng)險(xiǎn)險(xiǎn)：組組織、、使命命和信信息系系統(tǒng)梗梗概》》NISTSP800-37(2010)《聯(lián)邦邦信息息系統(tǒng)統(tǒng)應(yīng)用用風(fēng)險(xiǎn)險(xiǎn)管理理框架架指南南：安安全生生命周周期方方法》》NISTSP800-53(2010)《為聯(lián)聯(lián)邦信信息系系統(tǒng)和和組織織推薦薦的安安全控控制措措施》》NISTSP800-53A(2010)《聯(lián)邦信信息系統(tǒng)統(tǒng)和組織織安全控控制措施施評(píng)估指指南：建建立有效效的安全全評(píng)估計(jì)計(jì)劃》26知識(shí)域：：信息安安全風(fēng)險(xiǎn)險(xiǎn)管理主主要內(nèi)容容知識(shí)子域域：信息安全全風(fēng)險(xiǎn)管管理的基基本內(nèi)容容和過(guò)程程理解背景景建立的的主要工工作內(nèi)容容理解風(fēng)險(xiǎn)險(xiǎn)評(píng)估的的主要工工作內(nèi)容容理解風(fēng)險(xiǎn)險(xiǎn)處理的的主要工工作內(nèi)容容理解批準(zhǔn)準(zhǔn)監(jiān)督的的主要工工作內(nèi)容容理解監(jiān)控控審查的的主要工工作內(nèi)容容理解溝通通咨詢的的主要工工作內(nèi)容容27信息安全全風(fēng)險(xiǎn)管管理工作作內(nèi)容背景建立立風(fēng)險(xiǎn)評(píng)估估風(fēng)險(xiǎn)處理理批準(zhǔn)監(jiān)督督監(jiān)控審查溝通咨詢GB/Z24364《信息安全全風(fēng)險(xiǎn)管管理指南南》：四個(gè)階階段，兩兩個(gè)貫穿穿28背景建立立背景建立立是信息息安全風(fēng)風(fēng)險(xiǎn)管理理的第一一步驟，，確定風(fēng)風(fēng)險(xiǎn)管理理的對(duì)象象和范圍圍，確立立實(shí)施風(fēng)風(fēng)險(xiǎn)管理理的準(zhǔn)備備，進(jìn)行行相關(guān)信信息的調(diào)調(diào)查和分分析風(fēng)險(xiǎn)管理理準(zhǔn)備：：確定對(duì)對(duì)象、組組建團(tuán)隊(duì)隊(duì)、制定定計(jì)劃、、獲得支支持信息系統(tǒng)統(tǒng)調(diào)查：：信息系系統(tǒng)的業(yè)業(yè)務(wù)目標(biāo)標(biāo)、技術(shù)術(shù)和管理理上的特特點(diǎn)信息系統(tǒng)統(tǒng)分析：：信息系系統(tǒng)的體體系結(jié)構(gòu)構(gòu)、關(guān)鍵鍵要素信息安全全分析：：分析安安全要求求、分析析安全環(huán)環(huán)境29背景建立立過(guò)程30風(fēng)險(xiǎn)評(píng)估估信息安全全風(fēng)險(xiǎn)管管理要依依靠風(fēng)險(xiǎn)險(xiǎn)評(píng)估的的結(jié)果來(lái)來(lái)確定隨隨后的風(fēng)風(fēng)險(xiǎn)處理理和批準(zhǔn)準(zhǔn)監(jiān)督活活動(dòng)風(fēng)險(xiǎn)評(píng)估估準(zhǔn)備：：制定風(fēng)風(fēng)險(xiǎn)評(píng)估估方案、、選擇評(píng)評(píng)估方法法風(fēng)險(xiǎn)要素素識(shí)別：：發(fā)現(xiàn)系系統(tǒng)存在在的威脅脅、脆弱弱性和控控制措施施風(fēng)險(xiǎn)分析析：判斷斷風(fēng)險(xiǎn)發(fā)發(fā)生的可可能性和和影響的的程度風(fēng)險(xiǎn)結(jié)果果判定：：綜合分分析結(jié)果果判定風(fēng)風(fēng)險(xiǎn)等級(jí)級(jí)31風(fēng)險(xiǎn)評(píng)估估過(guò)程32風(fēng)險(xiǎn)處理理風(fēng)險(xiǎn)處理理是為了了將風(fēng)險(xiǎn)險(xiǎn)始終控控制在可可接受的的范圍內(nèi)內(nèi)。現(xiàn)存風(fēng)險(xiǎn)險(xiǎn)判斷：：判斷信信息系統(tǒng)統(tǒng)中哪些些風(fēng)險(xiǎn)可可以接受受，哪些些不可以以處理目標(biāo)標(biāo)確認(rèn)：：不可接接受的風(fēng)風(fēng)險(xiǎn)需要要控制到到怎樣的的程度處理措施施選擇：：選擇風(fēng)風(fēng)險(xiǎn)處理理方式，，確定風(fēng)風(fēng)險(xiǎn)控制制措施處理措施施實(shí)施：：制定具具體安全全方案，，部署控控制措施施33風(fēng)險(xiǎn)處理理過(guò)程34減低風(fēng)險(xiǎn)險(xiǎn)轉(zhuǎn)移風(fēng)險(xiǎn)險(xiǎn)規(guī)避風(fēng)險(xiǎn)險(xiǎn)接受風(fēng)險(xiǎn)險(xiǎn)常用的四四類風(fēng)險(xiǎn)險(xiǎn)處置方方法35減低風(fēng)險(xiǎn)險(xiǎn)通過(guò)對(duì)面面臨風(fēng)險(xiǎn)險(xiǎn)的資產(chǎn)產(chǎn)采取保保護(hù)措施施來(lái)降低低風(fēng)險(xiǎn)首先應(yīng)當(dāng)當(dāng)考慮的的風(fēng)險(xiǎn)處處置措施施，通常常在安全全投入小小于負(fù)面面影響價(jià)價(jià)值的情情況下采采用保護(hù)措施施可以從從構(gòu)成風(fēng)風(fēng)險(xiǎn)的五五個(gè)方面面（即威威脅源、、威脅行行為、脆脆弱性、、資產(chǎn)和和影響））來(lái)降低低風(fēng)險(xiǎn)36減低風(fēng)險(xiǎn)險(xiǎn)的具體體辦法減少威脅脅源采用法律律的手段段制裁計(jì)計(jì)算機(jī)犯犯罪，發(fā)發(fā)揮法律律的威懾懾作用，，從而有有效遏制制威脅源源的動(dòng)機(jī)機(jī)減低威脅脅能力采取身份份認(rèn)證措措施，從從而抵制制身份假假冒這種種威脅行行為的能能力減少脆弱弱性及時(shí)給系系統(tǒng)打補(bǔ)補(bǔ)丁，關(guān)關(guān)閉無(wú)用用的網(wǎng)絡(luò)絡(luò)服務(wù)端端口，從從而減少少系統(tǒng)的的脆弱性性，降低低被利用用的可能能性防護(hù)資產(chǎn)產(chǎn)采用各種種防護(hù)措措施，建建立資產(chǎn)產(chǎn)的安全全域，從從而保證證資產(chǎn)不不受侵犯犯，其價(jià)價(jià)值得到到保持降低負(fù)面面影響采取容災(zāi)災(zāi)備份、、應(yīng)急響響應(yīng)和業(yè)業(yè)務(wù)連續(xù)續(xù)計(jì)劃等等措施，，從而減減少安全全事件造造成的影影響程度度37轉(zhuǎn)移風(fēng)險(xiǎn)險(xiǎn)通過(guò)將面面臨風(fēng)險(xiǎn)險(xiǎn)的資產(chǎn)產(chǎn)或其價(jià)價(jià)值轉(zhuǎn)移移到更安安全的地地方來(lái)避避免或降降低風(fēng)險(xiǎn)險(xiǎn)通常只有有當(dāng)風(fēng)險(xiǎn)險(xiǎn)不能被被降低或或避免、、且被第第三方（（被轉(zhuǎn)嫁嫁方）接接受時(shí)才才被采用用。一般般用于那那些低概概率、但但一旦風(fēng)風(fēng)險(xiǎn)發(fā)生生時(shí)會(huì)對(duì)對(duì)組織產(chǎn)產(chǎn)生重大大影響的的風(fēng)險(xiǎn)38購(gòu)買保險(xiǎn)險(xiǎn)服務(wù)外包包規(guī)避風(fēng)險(xiǎn)險(xiǎn)通過(guò)不使使用面臨臨風(fēng)險(xiǎn)的的資產(chǎn)來(lái)來(lái)避免風(fēng)風(fēng)險(xiǎn)。比比如：在沒(méi)有足足夠安全全保障的的信息系系統(tǒng)中，，不處理理特別敏敏感的信信息，從從而防止止敏感信信息的泄泄漏對(duì)于只處處理內(nèi)部部業(yè)務(wù)的的信息系系統(tǒng)，不不使用互互聯(lián)網(wǎng)，，從而避避免外部部的有害害入侵和和不良攻攻擊通常在風(fēng)風(fēng)險(xiǎn)的損損失無(wú)法法接受，，又難以以通過(guò)控控制措施施減低風(fēng)風(fēng)險(xiǎn)的情情況下39接受風(fēng)險(xiǎn)險(xiǎn)接受風(fēng)險(xiǎn)險(xiǎn)是選擇擇對(duì)風(fēng)險(xiǎn)險(xiǎn)不采取取進(jìn)一步步的處理理措施，，接受風(fēng)風(fēng)險(xiǎn)可能能帶來(lái)的的結(jié)果用于那些些在采取取了降低低風(fēng)險(xiǎn)和和避免風(fēng)風(fēng)險(xiǎn)措施施后，出出于實(shí)際際和經(jīng)濟(jì)濟(jì)方面的的原因，，只要組組織進(jìn)行行運(yùn)營(yíng)，，就必然然存在并并必須接接受的風(fēng)風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)險(xiǎn)不意味味著不聞聞不問(wèn)，，需要對(duì)對(duì)風(fēng)險(xiǎn)態(tài)態(tài)勢(shì)變化化進(jìn)行持持續(xù)的監(jiān)監(jiān)控，一一旦發(fā)展展為無(wú)法法接受的的風(fēng)險(xiǎn)就就要進(jìn)一一步采取取措施40批準(zhǔn)監(jiān)督督批準(zhǔn)：是是指機(jī)構(gòu)構(gòu)的決策策層依據(jù)據(jù)風(fēng)險(xiǎn)評(píng)評(píng)估和風(fēng)風(fēng)險(xiǎn)處理理的結(jié)果果是否滿滿足信息息系統(tǒng)的的安全要要求，做做出是否否認(rèn)可風(fēng)風(fēng)險(xiǎn)管理理活動(dòng)的的決定監(jiān)督：是是指檢查查機(jī)構(gòu)及及其信息息系統(tǒng)以以及信息息安全相相關(guān)的環(huán)環(huán)境有無(wú)無(wú)變化，，監(jiān)督變變化因素素是否有有可能引引入新風(fēng)風(fēng)險(xiǎn)41批準(zhǔn)監(jiān)督督過(guò)程42監(jiān)控審查查的意義義監(jiān)控與審審查可以以及時(shí)發(fā)發(fā)現(xiàn)已經(jīng)經(jīng)出現(xiàn)或或即將出出現(xiàn)的變變化、偏偏差和延延誤等問(wèn)問(wèn)題，并并采取適適當(dāng)?shù)拇氪胧┻M(jìn)行行控制和和糾正，，從而減減少因此此造成的的損失，，保證信信息安全全風(fēng)險(xiǎn)管管理主循循環(huán)的有有效性43類似信息息系統(tǒng)工工程中的的監(jiān)理監(jiān)控審查查過(guò)程44溝通咨詢?cè)兺ㄟ^(guò)暢通通的交流流和充分分的溝通通，保持持行動(dòng)的的協(xié)調(diào)和和一致；；通過(guò)有有效的培培訓(xùn)和方方便的咨咨詢，保保證行動(dòng)動(dòng)者具有有足夠的的知識(shí)和和技能，，就是溝溝通咨詢?cè)兊囊饬x義所在溝通咨詢與領(lǐng)導(dǎo)溝通，以得到理解和批準(zhǔn)單位內(nèi)部各有關(guān)部門相互溝通，以得到理解和協(xié)作與支持單位和系統(tǒng)用戶溝通，以得到了解和支持

為所有層面的相關(guān)人員提供咨詢和培訓(xùn)等，以提高人員的安全意識(shí)、知識(shí)和技能45溝通咨詢?cè)冞^(guò)程46知識(shí)域：：信息安安全風(fēng)險(xiǎn)險(xiǎn)管理主主要內(nèi)容容知識(shí)子域域：信息系統(tǒng)統(tǒng)使命周周期與信信息安全全風(fēng)險(xiǎn)管管理理解信息息系統(tǒng)生生命周期期與信息息安全風(fēng)風(fēng)險(xiǎn)管理理的關(guān)系系理解系統(tǒng)統(tǒng)規(guī)劃階階段的風(fēng)風(fēng)險(xiǎn)管理理工作內(nèi)內(nèi)容理解系統(tǒng)統(tǒng)設(shè)計(jì)階階段的風(fēng)風(fēng)險(xiǎn)管理理工作內(nèi)內(nèi)容理解系統(tǒng)統(tǒng)實(shí)施階階段的風(fēng)風(fēng)險(xiǎn)管理理工作內(nèi)內(nèi)容理解系統(tǒng)統(tǒng)運(yùn)行維維護(hù)階段段的風(fēng)險(xiǎn)險(xiǎn)管理工工作內(nèi)容容理解系統(tǒng)統(tǒng)廢棄階階段的風(fēng)風(fēng)險(xiǎn)管理理工作內(nèi)內(nèi)容47信息系統(tǒng)統(tǒng)生命周周期與信信息安全全風(fēng)險(xiǎn)管管理的關(guān)關(guān)系信息系統(tǒng)統(tǒng)生命周周期的每每個(gè)階段段，有不同的的信息安安全目標(biāo)標(biāo)為了達(dá)到到其安全全目標(biāo)，，每一階段段都需要相相應(yīng)的風(fēng)風(fēng)險(xiǎn)管理理手段作作為支持持信息安全目目標(biāo)就是要要實(shí)現(xiàn)信息息系統(tǒng)的基基本安全特特性（即信信息安全基基本屬性）），并達(dá)到到所需的保保障級(jí)別48規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄系統(tǒng)規(guī)劃階階段的安全全目標(biāo)49明確信息系系統(tǒng)安全建建設(shè)的目的的,對(duì)信息系統(tǒng)統(tǒng)安全建設(shè)設(shè)實(shí)現(xiàn)的可可能性進(jìn)行行分析論證證并設(shè)計(jì)出出總體安全全規(guī)劃方案案為了保證安安全目標(biāo)的的實(shí)現(xiàn)，需需要對(duì)信息息系統(tǒng)規(guī)劃劃階段中可可能引入安安全風(fēng)險(xiǎn)的的環(huán)節(jié)進(jìn)行行風(fēng)險(xiǎn)管理理，從而降降低在項(xiàng)目目后期處理理相同安全全風(fēng)險(xiǎn)所帶帶來(lái)的高額額成本序號(hào)風(fēng)險(xiǎn)管理活動(dòng)風(fēng)險(xiǎn)管理工作內(nèi)容1明確安全總體方針背景建立2安全需求分析背景建立4風(fēng)險(xiǎn)評(píng)估準(zhǔn)則達(dá)成一致風(fēng)險(xiǎn)評(píng)估5安全實(shí)現(xiàn)論證分析風(fēng)險(xiǎn)處理、批準(zhǔn)監(jiān)督系統(tǒng)規(guī)劃階階段的信息息安全風(fēng)險(xiǎn)險(xiǎn)管理50系統(tǒng)設(shè)計(jì)階階段的安全全目標(biāo)51規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄依據(jù)規(guī)劃階階段輸出的的總體安全全規(guī)劃方案案來(lái)設(shè)計(jì)信息系系統(tǒng)安全的的實(shí)現(xiàn)結(jié)構(gòu)構(gòu)（包括功能能劃分、接接口協(xié)議和和性能指標(biāo)標(biāo)等）和實(shí)施方案案（包括實(shí)現(xiàn)現(xiàn)技術(shù)、設(shè)設(shè)備選型和和系統(tǒng)集成成等）在設(shè)計(jì)信息息系統(tǒng)的實(shí)實(shí)現(xiàn)結(jié)構(gòu)和和實(shí)施方案案時(shí)，在技技術(shù)的選擇擇、配合、、管理等眾眾多的環(huán)節(jié)節(jié)均容易引引入安全風(fēng)風(fēng)險(xiǎn)，因此此對(duì)關(guān)鍵的的環(huán)節(jié)應(yīng)提提出必要的的安全要求求并有針對(duì)對(duì)性地進(jìn)行行安全風(fēng)險(xiǎn)險(xiǎn)管理系統(tǒng)設(shè)計(jì)階階段的信息息安全風(fēng)險(xiǎn)險(xiǎn)管理序號(hào)風(fēng)險(xiǎn)管理活動(dòng)風(fēng)險(xiǎn)管理工作內(nèi)容1設(shè)計(jì)方案分析論證背景建立、風(fēng)險(xiǎn)評(píng)估2安全技術(shù)選擇風(fēng)險(xiǎn)處理3安全產(chǎn)品選擇風(fēng)險(xiǎn)處理4自開發(fā)軟件設(shè)計(jì)風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)處理52系統(tǒng)實(shí)施階階段的安全全目標(biāo)53規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄按照規(guī)劃和和設(shè)計(jì)階段段所定義的的信息系統(tǒng)統(tǒng)安全實(shí)施施方案采購(gòu)設(shè)備和軟件件，開發(fā)定制功能集成、部署署、配置和和測(cè)試信息系統(tǒng)的的安全機(jī)制制培訓(xùn)人員對(duì)是否允許系系統(tǒng)投入運(yùn)運(yùn)行進(jìn)行批準(zhǔn)監(jiān)監(jiān)督系統(tǒng)實(shí)施階階段的信息息安全風(fēng)險(xiǎn)險(xiǎn)管理序號(hào)風(fēng)險(xiǎn)管理活動(dòng)風(fēng)險(xiǎn)管理工作內(nèi)容1安全測(cè)試風(fēng)險(xiǎn)評(píng)估2檢查與配置風(fēng)險(xiǎn)處理3人員培訓(xùn)風(fēng)險(xiǎn)處理4授權(quán)系統(tǒng)運(yùn)行批準(zhǔn)監(jiān)督54在信息系統(tǒng)統(tǒng)經(jīng)過(guò)授權(quán)權(quán)投入運(yùn)行行之后，確確保在運(yùn)行行過(guò)程中，，以及信息息系統(tǒng)或其其運(yùn)行環(huán)境境發(fā)生變化化時(shí)維持系系統(tǒng)的正常常運(yùn)行和安安全性系統(tǒng)運(yùn)維階階段的安全全目標(biāo)55規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄系統(tǒng)運(yùn)維階階段的信息息安全風(fēng)險(xiǎn)險(xiǎn)管理序號(hào)風(fēng)險(xiǎn)管理活動(dòng)風(fēng)險(xiǎn)管理工作內(nèi)容1安全運(yùn)行和管理風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理2變更管理風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理3風(fēng)險(xiǎn)再評(píng)估風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理4定期重新審批批準(zhǔn)監(jiān)督56確保對(duì)信息息系統(tǒng)的過(guò)過(guò)時(shí)或無(wú)用用部分進(jìn)行行安全報(bào)廢廢處理，防防止信息系系統(tǒng)的安全全要求和安安全功能遭遭到破壞系統(tǒng)廢棄階階段的安全全目標(biāo)57規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄信息系統(tǒng)廢廢棄階段的的風(fēng)險(xiǎn)管理理序號(hào)風(fēng)險(xiǎn)管理活動(dòng)風(fēng)險(xiǎn)管理工作內(nèi)容1確定廢棄對(duì)象背景建立2廢棄對(duì)象的風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估3廢棄過(guò)程的風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)處理4廢棄后的評(píng)審批準(zhǔn)監(jiān)督58知識(shí)域：信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估知識(shí)子域：：風(fēng)險(xiǎn)評(píng)估工工作形式理解自評(píng)估估和檢查評(píng)評(píng)估的風(fēng)險(xiǎn)險(xiǎn)評(píng)估工作作形式理解自評(píng)估估和檢查評(píng)評(píng)估的區(qū)別別及優(yōu)缺點(diǎn)點(diǎn)理解風(fēng)險(xiǎn)評(píng)評(píng)估、檢查查評(píng)估和等等級(jí)保護(hù)測(cè)測(cè)評(píng)之間的的關(guān)系59風(fēng)險(xiǎn)評(píng)估工工作形式信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估分分為自評(píng)估估、檢查評(píng)評(píng)估兩種形形式自評(píng)估為主主，自評(píng)估估和檢查評(píng)評(píng)估相互結(jié)結(jié)合、互為為補(bǔ)充自評(píng)估和檢檢查評(píng)估可可依托自身身技術(shù)力量量進(jìn)行，也也可委托第第三方機(jī)構(gòu)構(gòu)提供技術(shù)術(shù)支持60自評(píng)估信息系統(tǒng)擁?yè)碛?、運(yùn)營(yíng)營(yíng)或使用單單位發(fā)起的的對(duì)本單位位信息系統(tǒng)統(tǒng)進(jìn)行的風(fēng)風(fēng)險(xiǎn)評(píng)估61由發(fā)起方實(shí)實(shí)施優(yōu)點(diǎn)有利于降低實(shí)施的的費(fèi)用有利于保密密有利于發(fā)揮揮行業(yè)和部部門內(nèi)人員員的業(yè)務(wù)特特長(zhǎng)有利于提高相關(guān)人人員的安全全意識(shí)和評(píng)估能力力缺點(diǎn)可能結(jié)果不不夠深入準(zhǔn)準(zhǔn)確客觀性易受受影響由受委托方實(shí)施施優(yōu)點(diǎn)過(guò)程比較規(guī)規(guī)范客觀性比較較好缺點(diǎn)對(duì)業(yè)務(wù)了解解存在局限限性不利于保密密檢查評(píng)估信息系統(tǒng)上上級(jí)管理部部門組織的的或國(guó)家有有關(guān)職能部部門依法開開展的風(fēng)險(xiǎn)險(xiǎn)評(píng)估62優(yōu)點(diǎn)具權(quán)威性通過(guò)行政手手段加強(qiáng)信信息安全，，具強(qiáng)制性缺點(diǎn)間隔時(shí)間較較長(zhǎng)，難以以貫穿信息息系統(tǒng)的生生命周期一般是以抽抽樣的方式式進(jìn)行，難難以覆蓋全全部評(píng)估對(duì)對(duì)象風(fēng)險(xiǎn)評(píng)估、、檢查評(píng)估估和等級(jí)保保護(hù)測(cè)評(píng)之之間的關(guān)系系等保測(cè)評(píng)、、安全檢查查都是在既既定安全基基線的基礎(chǔ)礎(chǔ)上開展的的符合性測(cè)測(cè)評(píng)，其中中等保測(cè)評(píng)評(píng)是符合國(guó)國(guó)家安全要要求的測(cè)評(píng)評(píng)，安全檢檢查是符合合行業(yè)主管管安全要求求的符合性性測(cè)評(píng)而風(fēng)險(xiǎn)評(píng)估估是在國(guó)家家、行業(yè)安安全要求的的基礎(chǔ)上，，以被評(píng)估估系統(tǒng)特定定安全要求求為目標(biāo)而而開展的風(fēng)風(fēng)險(xiǎn)識(shí)別、、風(fēng)險(xiǎn)分析析、風(fēng)險(xiǎn)評(píng)評(píng)價(jià)活動(dòng)63知識(shí)域：信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估知識(shí)子域：：風(fēng)險(xiǎn)評(píng)估方方法理解定性風(fēng)風(fēng)險(xiǎn)分析方法理解定量風(fēng)風(fēng)險(xiǎn)分析方方法，掌握握年度預(yù)期期損失（ALE）的計(jì)算方方法理解半定量量風(fēng)險(xiǎn)分析析方法理解定性和和定量風(fēng)險(xiǎn)險(xiǎn)分析方法法的優(yōu)缺點(diǎn)點(diǎn)64定性風(fēng)險(xiǎn)分分析定性風(fēng)險(xiǎn)分分析在風(fēng)險(xiǎn)險(xiǎn)評(píng)價(jià)時(shí)，，往往需要要憑借分析析者的經(jīng)驗(yàn)驗(yàn)和直覺，，或者業(yè)界界的標(biāo)準(zhǔn)和和慣例，為為風(fēng)險(xiǎn)諸要要素的大小小或高低程程度定性分分級(jí)定性風(fēng)險(xiǎn)分分析更具主主觀性后果或影響響的定性量量度（示例例）65等級(jí)描述

詳細(xì)情形1可以忽略無(wú)傷害，低財(cái)務(wù)損失2

較小立即受控制，中等財(cái)務(wù)損失3

中等

受控，高財(cái)務(wù)損失4

較大大傷害，失去生產(chǎn)能力有較大財(cái)務(wù)損失5災(zāi)難性持續(xù)能力中斷，巨大財(cái)務(wù)損失可能性的定定性量度（（示例）等級(jí)描述

詳細(xì)情形A幾乎肯定預(yù)期在大多數(shù)情況發(fā)生B很可能在大多數(shù)情況下很可能會(huì)發(fā)生C可能在某個(gè)時(shí)間可能會(huì)發(fā)生D不太可能在某個(gè)時(shí)間能夠發(fā)生E罕見僅在例外的情況下可能發(fā)生定性風(fēng)險(xiǎn)分分析66根據(jù)預(yù)設(shè)的的等級(jí)劃分分規(guī)則判定定風(fēng)險(xiǎn)結(jié)果果依此類推，，得到所有有重要資產(chǎn)產(chǎn)的風(fēng)險(xiǎn)值值，并根據(jù)據(jù)風(fēng)險(xiǎn)等級(jí)級(jí)劃分表，，確定風(fēng)險(xiǎn)險(xiǎn)等級(jí)

可能性

影響可以忽略1較小2中等3較大4災(zāi)難性5A（幾乎肯定）HHEEEB（很可能）MHHEEC(可能）LMHEED（不太可能）LLMHEE（罕見）LLMHHE：極度風(fēng)險(xiǎn)險(xiǎn)H：高風(fēng)險(xiǎn)M：中等風(fēng)險(xiǎn)險(xiǎn)L:低風(fēng)險(xiǎn)定性風(fēng)險(xiǎn)分分析——矩陣法67定量風(fēng)險(xiǎn)分分析定量風(fēng)險(xiǎn)分分析試圖是是在風(fēng)險(xiǎn)評(píng)評(píng)估與成本本效益分析析期間收集集的各個(gè)組組成部分計(jì)計(jì)算客觀數(shù)數(shù)字值，定定量風(fēng)險(xiǎn)分分析更具客客觀性例如，用替替換成本、、生產(chǎn)率損損失成本、、品牌名譽(yù)譽(yù)成本以及及其他直接接和間接商商業(yè)價(jià)值來(lái)來(lái)估計(jì)各項(xiàng)項(xiàng)資產(chǎn)的真真實(shí)價(jià)值定量分析主主要試圖從從財(cái)務(wù)數(shù)字字上對(duì)安全全風(fēng)險(xiǎn)進(jìn)行行評(píng)估，得得出可以量量化的風(fēng)險(xiǎn)險(xiǎn)分析結(jié)果果，準(zhǔn)確度度量風(fēng)險(xiǎn)的的可能性和和損失量因?yàn)槎糠址治鎏幚頂?shù)數(shù)字和金額額價(jià)值，它它必須有公公式68定量風(fēng)險(xiǎn)分分析——年年度預(yù)期損損失法步驟1-評(píng)估資產(chǎn)：：根據(jù)資產(chǎn)產(chǎn)價(jià)值（AV）清單,計(jì)算資產(chǎn)總總價(jià)值及資資產(chǎn)損失對(duì)對(duì)財(cái)務(wù)的直直接和間接接影響步驟2-確定單一預(yù)預(yù)期損失SLESLE是指發(fā)生一一次風(fēng)險(xiǎn)引引起的收入入損失總額額SLE是分配給單單個(gè)事件的的金額，代代表一個(gè)具具體威脅利利用漏洞時(shí)時(shí)將面臨的的潛在損失失（SLE類似于定性性風(fēng)險(xiǎn)分析析的影響））將資產(chǎn)價(jià)值值與暴露系系數(shù)相乘(EF)計(jì)算出SLE。暴露系數(shù)數(shù)表示為現(xiàn)現(xiàn)實(shí)威脅對(duì)對(duì)某個(gè)資產(chǎn)產(chǎn)造成的損損失百分比比步驟3-確定年發(fā)生生率AROARO是一年中風(fēng)風(fēng)險(xiǎn)發(fā)生的的次數(shù)69步驟4-確定年預(yù)期期損失ALEALE是不采取任任何減輕風(fēng)風(fēng)險(xiǎn)的措施施在一年中中可能損失失的總金額額。SLE乘以ARO即可計(jì)算出出該值（ALE類似于定性性風(fēng)險(xiǎn)分析析的相對(duì)級(jí)級(jí)別）步驟5-確定控制成成本控制成本就就是為了規(guī)規(guī)避企業(yè)所所存在風(fēng)險(xiǎn)險(xiǎn)的發(fā)生而而應(yīng)投入的的費(fèi)用步驟6-安全投資收收益ROSIROSI=(實(shí)施控制前前的ALE）–（實(shí)施控制制后的ALE）–（年控制成成本）70定量風(fēng)險(xiǎn)分分析——年年度預(yù)期損損失法（續(xù)續(xù)）定性分析與與定量分析析71

定量定性優(yōu)點(diǎn)結(jié)果可用貨幣值和具體數(shù)據(jù)（如百分比）來(lái)表達(dá)按財(cái)務(wù)影響確定風(fēng)險(xiǎn)優(yōu)先級(jí)；按財(cái)務(wù)價(jià)值確定資產(chǎn)優(yōu)先級(jí)通過(guò)安全投資收益分析推動(dòng)風(fēng)險(xiǎn)管理隨著組織建立的歷史數(shù)據(jù)記錄而獲得經(jīng)驗(yàn)，其精確度將隨時(shí)間的推移而提高可以對(duì)風(fēng)險(xiǎn)的處置排定優(yōu)先順序更容易達(dá)成一致意見無(wú)需量化威脅頻率無(wú)需確定資產(chǎn)的財(cái)務(wù)價(jià)值更便于非安全或計(jì)算機(jī)專業(yè)人員的參與缺點(diǎn)分配給風(fēng)險(xiǎn)的影響值以參與者的主觀意見為基礎(chǔ)達(dá)成可靠結(jié)果和一致意見的流程非常耗時(shí)計(jì)算可能會(huì)非常復(fù)雜且耗時(shí)流程專業(yè)技術(shù)性強(qiáng)，參與者若未獲指導(dǎo)則無(wú)法輕松執(zhí)行流程在重要的風(fēng)險(xiǎn)之間沒(méi)有足夠的區(qū)別沒(méi)有為成本效益分析，難以證明投資控制措施是否正確結(jié)果取決于風(fēng)險(xiǎn)管理團(tuán)隊(duì)的素質(zhì)、經(jīng)驗(yàn)和知識(shí)技能在風(fēng)險(xiǎn)分析析過(guò)程中綜綜合使用定定性和定量量風(fēng)險(xiǎn)分析析技術(shù)對(duì)風(fēng)風(fēng)險(xiǎn)要素賦賦值的方式式，實(shí)現(xiàn)對(duì)對(duì)風(fēng)險(xiǎn)各要要素的度量量數(shù)值化在實(shí)際的風(fēng)風(fēng)險(xiǎn)分析活活動(dòng)中，經(jīng)經(jīng)常采用半半定量的風(fēng)風(fēng)險(xiǎn)分析方方法72半定量風(fēng)險(xiǎn)險(xiǎn)分析半定量風(fēng)險(xiǎn)險(xiǎn)分析———相乘法73

可能性影響可以忽略1較小2中等3較大4災(zāi)難性55（幾乎肯定）5101520254（很可能）481216203(可能）36912152（不太可能）2468101（罕見）12345知識(shí)域：信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估知識(shí)子域：：風(fēng)險(xiǎn)評(píng)估的的實(shí)施流程程掌握風(fēng)險(xiǎn)評(píng)評(píng)估準(zhǔn)備階階段的工作作內(nèi)容掌握風(fēng)險(xiǎn)要要素識(shí)別階階段的工作作內(nèi)容掌握風(fēng)險(xiǎn)分分析階段的的工作內(nèi)容容和工作步步驟掌握風(fēng)險(xiǎn)結(jié)結(jié)果判定階階段的工作作內(nèi)容74風(fēng)險(xiǎn)評(píng)估準(zhǔn)準(zhǔn)備風(fēng)險(xiǎn)要素識(shí)識(shí)別風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)結(jié)果判判定75風(fēng)險(xiǎn)評(píng)估實(shí)實(shí)施流程76風(fēng)險(xiǎn)評(píng)估準(zhǔn)準(zhǔn)備77風(fēng)險(xiǎn)要素識(shí)識(shí)別78資產(chǎn)識(shí)別資產(chǎn)識(shí)別在在整個(gè)風(fēng)險(xiǎn)險(xiǎn)評(píng)估中起起什么作用用？?jī)牲c(diǎn)：是整整個(gè)風(fēng)險(xiǎn)評(píng)評(píng)估工作的的起點(diǎn)和終終點(diǎn)資產(chǎn)識(shí)別的的重點(diǎn)和難難點(diǎn)是什么么？一線：業(yè)務(wù)務(wù)戰(zhàn)略→信信息化戰(zhàn)戰(zhàn)略→系系統(tǒng)特征（（管理/技術(shù)）資產(chǎn)識(shí)別的的方法有哪哪些？資產(chǎn)分類：：樹狀法。。自然形態(tài)態(tài)分類（勾勾畫資產(chǎn)樹樹：管理、、技術(shù)…逐步往下細(xì)細(xì)化）；信信息形態(tài)分分類（信息息環(huán)境、信信息載載體、信息息）79按信息形態(tài)態(tài)分類資產(chǎn)識(shí)別8081威脅識(shí)別威脅識(shí)別與與資產(chǎn)識(shí)別別是何關(guān)系系？點(diǎn)和面：重重點(diǎn)識(shí)別和和全面識(shí)別別威脅識(shí)別的的重點(diǎn)和難難點(diǎn)是什么么？三問(wèn)：“敵敵人”在哪哪兒？效果果如何？如如何取證？？威脅識(shí)別的的方法有哪哪些？日志分析歷史安全事事件專家經(jīng)驗(yàn)互聯(lián)網(wǎng)信息息檢索威脅分類分為：人為故意威威脅威脅意圖評(píng)評(píng)估、威脅脅能力評(píng)估估、操作限限制評(píng)估、、威脅源特特點(diǎn)評(píng)估人為非故意意威脅判定威脅源源、評(píng)估威威脅源特點(diǎn)點(diǎn)、評(píng)估威威脅源環(huán)境境、評(píng)估事事故發(fā)生時(shí)時(shí)間自然威脅地震、海嘯嘯、洪水8283脆弱性識(shí)別別脆弱性識(shí)別別的難點(diǎn)是是什么？三性：隱蔽蔽性、欺騙騙性、復(fù)雜雜性脆弱性識(shí)別的的方法有哪些些？脆弱性分類管理脆弱性（（如缺少管理理制度）結(jié)構(gòu)脆弱性（（如安全域劃劃分不當(dāng)）操作脆弱性（（如安全審計(jì)計(jì)員業(yè)務(wù)生疏疏）技術(shù)脆弱性（（如系統(tǒng)有bug）物理脆弱性（（如一層的窗窗子沒(méi)有防護(hù)護(hù)欄）脆弱性識(shí)別與與威脅識(shí)別是是何關(guān)系？驗(yàn)證：以資產(chǎn)產(chǎn)為對(duì)象，對(duì)對(duì)威脅識(shí)別進(jìn)進(jìn)行驗(yàn)證脆弱性識(shí)別內(nèi)內(nèi)容84常見脆弱性識(shí)識(shí)別工作方式式85脆弱性識(shí)別方式工作對(duì)象安全配置核查服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端、中間件、應(yīng)用軟件漏洞掃描主機(jī)、應(yīng)用程序滲透測(cè)試系統(tǒng)各個(gè)層面安全架構(gòu)分析系統(tǒng)各個(gè)層面數(shù)據(jù)流分析網(wǎng)絡(luò)中的數(shù)據(jù)流訪談管理人員及系統(tǒng)開發(fā)、運(yùn)維技術(shù)人員......確認(rèn)已有的安安全控制考慮：預(yù)防性措施檢測(cè)性措施糾正性措施威懾性措施8687風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析GB/T20984-2007《《信息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估規(guī)范》給出信息安全全風(fēng)險(xiǎn)分析思思路88風(fēng)險(xiǎn)值=R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va））R表示安全風(fēng)險(xiǎn)險(xiǎn)計(jì)算函數(shù)A表示資產(chǎn)T表示威脅V表示脆弱性Ia表示安全事件件所作用的資資產(chǎn)價(jià)值Va表示脆弱性嚴(yán)嚴(yán)重程度L表示威脅利用用資產(chǎn)的脆弱弱性導(dǎo)致安全全事件的可能能性F表示安全事件件發(fā)生后造成成的損失89風(fēng)險(xiǎn)結(jié)果判定定知識(shí)域：信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估知識(shí)子域：風(fēng)險(xiǎn)評(píng)估工具具了解風(fēng)險(xiǎn)評(píng)估估工具的分類類了解常用風(fēng)險(xiǎn)險(xiǎn)評(píng)估工具90風(fēng)險(xiǎn)評(píng)估工具具風(fēng)險(xiǎn)評(píng)估與管管理工具一套集成了風(fēng)風(fēng)險(xiǎn)評(píng)估各類類知識(shí)和判據(jù)據(jù)的管理信息息系統(tǒng)，以規(guī)規(guī)范風(fēng)險(xiǎn)評(píng)估估的過(guò)程和操操作方法；或或者是用于收收集評(píng)估所需需要的數(shù)據(jù)和和資料，基于于專家經(jīng)驗(yàn)，，對(duì)輸入輸出出進(jìn)行模型分分析系統(tǒng)基礎(chǔ)平臺(tái)臺(tái)風(fēng)險(xiǎn)評(píng)估工工具主要用于對(duì)信信息系統(tǒng)的主主要部件（如如操作系統(tǒng)、、數(shù)據(jù)庫(kù)系統(tǒng)統(tǒng)、網(wǎng)絡(luò)設(shè)備備等）的脆弱弱性進(jìn)行分析析，或?qū)嵤┗诖嗳跣缘牡墓麸L(fēng)險(xiǎn)評(píng)估輔助助工具實(shí)現(xiàn)對(duì)數(shù)據(jù)的的采集、現(xiàn)狀狀分析和趨勢(shì)勢(shì)分析等單項(xiàng)項(xiàng)功能，為風(fēng)風(fēng)險(xiǎn)評(píng)估各要要素的賦值、、定級(jí)提供依依據(jù)9192風(fēng)險(xiǎn)評(píng)估工具具風(fēng)險(xiǎn)評(píng)估與管管理工具基于標(biāo)準(zhǔn)的工工具，如基于NISTSP800-30或ISO27005開發(fā)的工具基于知識(shí)的工工具，綜合各種風(fēng)風(fēng)險(xiǎn)分析方法法，形成知識(shí)識(shí)庫(kù)，以此為為基礎(chǔ)完成綜綜合評(píng)估基于模型的工工具，對(duì)典型系統(tǒng)統(tǒng)的資產(chǎn)、威威脅、脆弱性性建立量化或或半量化的模模型系統(tǒng)基礎(chǔ)平臺(tái)臺(tái)風(fēng)險(xiǎn)評(píng)估工工具脆弱性掃描工工具：基于網(wǎng)絡(luò)的掃掃描器、基于于主機(jī)的掃描描器、分布式式網(wǎng)絡(luò)掃描器器、數(shù)據(jù)庫(kù)脆弱性性掃描器滲透性測(cè)試工工具：黑客工具、腳腳本文件風(fēng)險(xiǎn)評(píng)估輔助助工具檢查列表、入入侵檢測(cè)系統(tǒng)統(tǒng)、安全審計(jì)計(jì)工具、拓?fù)鋼浒l(fā)現(xiàn)工具和和資產(chǎn)信息收收集系統(tǒng)，用用于評(píng)估過(guò)程程參考的評(píng)估估指標(biāo)庫(kù)、知知識(shí)庫(kù)、漏洞洞庫(kù)、算法庫(kù)庫(kù)和模型庫(kù)謝謝，請(qǐng)?zhí)釂?wèn)問(wèn)題！9、靜夜四無(wú)鄰鄰，荒居舊業(yè)業(yè)貧。。1月-231月-23Thursday,January5,202310、雨中黃葉葉樹，燈下下白頭人。。。00:56:4700:56:4700:561/5/202312:56:47AM11、以以我我獨(dú)獨(dú)沈沈久久，，愧愧君君相相見見頻頻。。。。1月月-2300:56:4700:56Jan-2305-Jan-2312、故人江江海別，，幾度隔隔山川。。。00:56:4700:56:4700:56Thursday,January5,202313、乍見見翻疑疑夢(mèng)，，相悲悲各問(wèn)問(wèn)年。。。1月-231月-2300:56:4700:56:47January5,202314、他鄉(xiāng)生白白發(fā)，舊國(guó)國(guó)見青山。。。05一月月202312:56:47上上午00:56:471月-2315、比不了了得就不不比，得得不到的的就不要要。。。。一月2312:56上