電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告模板

電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)――安全風(fēng)險(xiǎn)評(píng)估報(bào)告編號(hào)：密級(jí)：編號(hào)：密級(jí)：評(píng)估對(duì)象：XX電信************評(píng)估單位：XX電信****評(píng)估日期：2009年XX月XX日至2009年XX月XX日XX電信固定通信網(wǎng)**省****安全風(fēng)險(xiǎn)評(píng)估報(bào)告

目錄TOC\o"1-3"\h\z1概述 11.1背景和目的 11.2內(nèi)容及范圍 11.3風(fēng)險(xiǎn)評(píng)估方法 11.4風(fēng)險(xiǎn)評(píng)估依據(jù) 22資產(chǎn)分析 22.1資產(chǎn)清單 22.2重要資產(chǎn)列表 32.3資產(chǎn)賦值方法 32.4資產(chǎn)賦值 53威脅分析 53.1威脅概述 63.2威脅列表及賦值 64脆弱性分析 74.1脆弱性概述 74.2脆弱性列表 74.3脆弱性賦值 85已有安全措施 85.1概述 85.2已有安全措施列表 96安全風(fēng)險(xiǎn)分析 96.1風(fēng)險(xiǎn)計(jì)算方法 96.2風(fēng)險(xiǎn)閾值確定 106.3風(fēng)險(xiǎn)分析列表 116.4風(fēng)險(xiǎn)結(jié)果判定和風(fēng)險(xiǎn)處理建議 117總結(jié) 12附件1、風(fēng)險(xiǎn)分析列表 13附件2、風(fēng)險(xiǎn)評(píng)估方案 13附件3、風(fēng)險(xiǎn)評(píng)估流程 13附件4、殘余風(fēng)險(xiǎn)分析列表 13電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)――安全風(fēng)險(xiǎn)評(píng)估報(bào)告PAGE13PAGE13概述背景和目的為貫徹落實(shí)信息產(chǎn)業(yè)部電信管理局[2007]555號(hào)《關(guān)于進(jìn)一步開展電信網(wǎng)絡(luò)安全防護(hù)工作的實(shí)施意見》對(duì)關(guān)于安全防護(hù)的相關(guān)要求，開展對(duì)****的風(fēng)險(xiǎn)評(píng)估工作。通過本次風(fēng)險(xiǎn)評(píng)估，可以充分掌握****當(dāng)前的安全狀況，及時(shí)發(fā)現(xiàn)****中存在的安全風(fēng)險(xiǎn)，通過采取有效的安全措施規(guī)避風(fēng)險(xiǎn)，更好地促進(jìn)XX電信公司開展安全防護(hù)工作，切實(shí)提高安全保障水平，滿足國(guó)家、行業(yè)的安全要求。內(nèi)容及范圍本次風(fēng)險(xiǎn)評(píng)估的范圍為*****。拓?fù)鋱D。風(fēng)險(xiǎn)評(píng)估方法采用訪談、查閱文檔、現(xiàn)場(chǎng)查看、漏洞掃描等方式對(duì)****的安全風(fēng)險(xiǎn)情況進(jìn)行評(píng)估，通過對(duì)資產(chǎn)進(jìn)行識(shí)別、并對(duì)其所面臨的威脅和資產(chǎn)本身固有的脆弱性進(jìn)行分析，綜合分析得到不同資產(chǎn)的安全風(fēng)險(xiǎn)等級(jí)，之后結(jié)合已有安全措施判斷目前安全風(fēng)險(xiǎn)是否在可用接受的范圍內(nèi)，并主要針對(duì)不可接受風(fēng)險(xiǎn)制定下一步的風(fēng)險(xiǎn)處理計(jì)劃。對(duì)安全風(fēng)險(xiǎn)評(píng)估的過程包括以下幾個(gè)步驟：資產(chǎn)識(shí)別及賦值；脆弱性識(shí)別及賦值；威脅識(shí)別及賦值；已有安全措施確認(rèn)；風(fēng)險(xiǎn)分析。風(fēng)險(xiǎn)評(píng)估依據(jù)本次安全風(fēng)險(xiǎn)評(píng)估參考以下標(biāo)準(zhǔn)：YDT1728-2008《電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)管理指南》YDT1730-2008《電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》。。。。資產(chǎn)分析資產(chǎn)清單****資產(chǎn)包括以下內(nèi)容：設(shè)備、機(jī)房及相關(guān)設(shè)施、重要數(shù)據(jù)、網(wǎng)絡(luò)、服務(wù)、管理制度及文檔、人員。資產(chǎn)列表見表1－表7。詳細(xì)資產(chǎn)清單列表參見附件4。設(shè)備列表設(shè)備名稱數(shù)量設(shè)備型號(hào)備注機(jī)房及相關(guān)設(shè)施列表設(shè)施名稱數(shù)量型號(hào)備注機(jī)房防火噴淋系統(tǒng)滅火器立式空調(diào)加濕器UPS電源變電設(shè)備重要數(shù)據(jù)列表數(shù)據(jù)類型備注計(jì)費(fèi)數(shù)據(jù)計(jì)費(fèi)表用戶信息數(shù)據(jù)用戶帳單網(wǎng)絡(luò)網(wǎng)絡(luò)類型備注服務(wù)服務(wù)類型備注計(jì)費(fèi)綜合結(jié)算帳務(wù)管理制度及文檔文檔類型備注管理制度各類規(guī)章制度，各級(jí)職能部門下發(fā)的文件等管理文檔各類管理制度形成的文檔技術(shù)文檔各設(shè)備的技術(shù)規(guī)范，操作維護(hù)說明書等人員人員類型備注管理人員省公司領(lǐng)導(dǎo)、網(wǎng)絡(luò)支撐中心部門經(jīng)理、部門副經(jīng)理、其他職能部門管理人員技術(shù)人員負(fù)責(zé)*****的操作維護(hù)其他人員保安、物業(yè)、保潔人員等重要資產(chǎn)列表列舉重要資產(chǎn)，如重要的服務(wù)器、數(shù)據(jù)、人員等。可從資產(chǎn)清單中選取。資產(chǎn)賦值方法資產(chǎn)的賦值過程體現(xiàn)出資產(chǎn)的安全狀況的重要性。根據(jù)《電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》，安全風(fēng)險(xiǎn)評(píng)估中的資產(chǎn)賦值可以綜合考慮資產(chǎn)的如下三個(gè)安全屬性：社會(huì)影響力：表示資產(chǎn)被破壞后對(duì)社會(huì)造成的影響程度；業(yè)務(wù)價(jià)值：表示資產(chǎn)被破壞導(dǎo)致業(yè)務(wù)無法正常運(yùn)行對(duì)評(píng)估對(duì)象造成的影響程度；可用性：表示對(duì)資產(chǎn)可正常提供服務(wù)的不同要求。對(duì)于不同類型的資產(chǎn)，這三個(gè)屬性通過不同的指標(biāo)進(jìn)行衡量。資產(chǎn)識(shí)別考慮的要素如表所列舉。資產(chǎn)識(shí)別要素資產(chǎn)類別資產(chǎn)識(shí)別要素社會(huì)影響力業(yè)務(wù)價(jià)值可用性設(shè)備（硬件和軟件）、機(jī)房、重要數(shù)據(jù)、服務(wù)、網(wǎng)絡(luò)1.地域的重要性（從政治、經(jīng)濟(jì)、文化的角度衡量）2.服務(wù)的規(guī)模（所覆蓋的地域和人數(shù)）3.提供的服務(wù)類型（通信、計(jì)費(fèi)、網(wǎng)管等）所提供的服務(wù)對(duì)企業(yè)的重要性所提供的服務(wù)可正常工作的時(shí)間人員人員與國(guó)家安全、社會(huì)秩序、公眾利益的相關(guān)性人員與企業(yè)利益的相關(guān)性評(píng)估人員工作時(shí)間，工作效率管理制度和文檔管理制度、文檔與社會(huì)、公眾的相關(guān)性，（技術(shù)文檔可參考所提供的服務(wù)類型）管理制度、文檔與企業(yè)利益的相關(guān)性考察管理制度的執(zhí)行力度，考察文檔的實(shí)用性和有效性首先根據(jù)*****的實(shí)際情況對(duì)資產(chǎn)的社會(huì)影響力、業(yè)務(wù)價(jià)值、可用性三個(gè)安全屬性分別進(jìn)行等級(jí)化賦值，在此基礎(chǔ)上根據(jù)公式1的方法綜合計(jì)算得到資產(chǎn)價(jià)值。對(duì)資產(chǎn)的社會(huì)影響力、業(yè)務(wù)價(jià)值、可用性的等級(jí)化賦值原則如表所示。為促進(jìn)資產(chǎn)等級(jí)化賦值時(shí)的一致性和準(zhǔn)確性，進(jìn)一步明確資產(chǎn)價(jià)值評(píng)價(jià)尺度，并指導(dǎo)資產(chǎn)賦值。公式1：AssetValue=Round1{Log2[(α×2I+β×2V+γ×2A其中，AssetValue代表計(jì)算得到的資產(chǎn)價(jià)值；I代表社會(huì)影響力賦值；V代表業(yè)務(wù)價(jià)值賦值；A代表可用性賦值；Round1{}表示四舍五入處理，保留1位小數(shù)；Log2[]表示取以2為底的對(duì)數(shù)；α、β和γ分別表示社會(huì)影響力、業(yè)務(wù)價(jià)值和可用性所占的權(quán)重，根據(jù)具體網(wǎng)絡(luò)的情況確定α、β和γ的取值，α、β和γ值的確定應(yīng)該充分考慮這三個(gè)安全屬性的關(guān)聯(lián)性及其在資產(chǎn)價(jià)值計(jì)算中的比重大小。α≥0，β≥0，γ≥0，且α+β+γ=1。資產(chǎn)賦值方法說明：采用對(duì)數(shù)法，既考慮到了每個(gè)因素對(duì)資產(chǎn)價(jià)值的影響，又避免了不同因素之間的相互影響。資產(chǎn)社會(huì)影響力賦值表賦值標(biāo)識(shí)定義5很高資產(chǎn)的社會(huì)影響力價(jià)值非常高，資產(chǎn)被破壞會(huì)對(duì)社會(huì)造成災(zāi)難性的損害和致命性的潛在影響4高資產(chǎn)的社會(huì)影響力價(jià)值較高，資產(chǎn)被破壞會(huì)對(duì)社會(huì)造成嚴(yán)重?fù)p害3中等資產(chǎn)的社會(huì)影響力價(jià)值中等，資產(chǎn)被破壞會(huì)對(duì)社會(huì)造成一定損害2低資產(chǎn)的社會(huì)影響力價(jià)值較低，資產(chǎn)被破壞會(huì)對(duì)社會(huì)造成輕微損害，但影響較小1很低資產(chǎn)的社會(huì)影響力價(jià)值非常低，資產(chǎn)被破壞對(duì)社會(huì)造成的危害可以忽略資產(chǎn)業(yè)務(wù)價(jià)值賦值表賦值標(biāo)識(shí)定義5很高資產(chǎn)所提供業(yè)務(wù)的價(jià)值非常關(guān)鍵，資產(chǎn)被破壞導(dǎo)致業(yè)務(wù)無法正常運(yùn)行會(huì)對(duì)中國(guó)網(wǎng)通集團(tuán)公司造成嚴(yán)重的或無法接受的影響4高資產(chǎn)所提供業(yè)務(wù)的價(jià)值較高，資產(chǎn)被破壞導(dǎo)致業(yè)務(wù)無法正常運(yùn)行會(huì)對(duì)XX電信集團(tuán)公司造成重大影響3中等資產(chǎn)所提供業(yè)務(wù)的價(jià)值中等，資產(chǎn)被破壞導(dǎo)致業(yè)務(wù)無法正常運(yùn)行會(huì)對(duì)XX電信集團(tuán)公司造成明顯的影響2低資產(chǎn)所提供業(yè)務(wù)的價(jià)值較低，資產(chǎn)被破壞導(dǎo)致業(yè)務(wù)無法正常運(yùn)行會(huì)對(duì)XX電信集團(tuán)公司造成輕微影響1很低資產(chǎn)所提供業(yè)務(wù)的價(jià)值非常低，資產(chǎn)被破壞導(dǎo)致業(yè)務(wù)無法正常運(yùn)行對(duì)XX電信集團(tuán)公司造成的影響可以忽略資產(chǎn)可用性賦值表賦值標(biāo)識(shí)定義5很高可用性價(jià)值非常關(guān)鍵，可用性應(yīng)在正常工作時(shí)間達(dá)到年度99.999%以上4高可用性價(jià)值較高，可用性應(yīng)在正常工作時(shí)間達(dá)到年度99.99%以上3中等可用性價(jià)值中等，可用性應(yīng)在正常工作時(shí)間達(dá)到年度99.9%以上2低可用性價(jià)值較低，可用性應(yīng)在正常工作時(shí)間達(dá)到年度99%以上1很低可用性價(jià)值非常低，可用性在正常工作時(shí)間低于年度99%注：這里列出的可用性是針對(duì)交換設(shè)備或服務(wù)器從正常工作時(shí)間方面考慮，對(duì)于其他類型的資產(chǎn)可采用不同的標(biāo)準(zhǔn)。資產(chǎn)賦值見附件1“風(fēng)險(xiǎn)分析列表”。威脅分析威脅概述一般情況下，威脅的可能性是由以下方面決定的：通過被評(píng)估對(duì)象體的歷史故障報(bào)告或記錄，統(tǒng)計(jì)各種發(fā)生過的威脅和其發(fā)生頻率；通過網(wǎng)管或安全管理系統(tǒng)的數(shù)據(jù)統(tǒng)計(jì)和分析；通過整個(gè)社會(huì)同行業(yè)近年來曾發(fā)生過的威脅統(tǒng)計(jì)數(shù)據(jù)均值。判斷威脅出現(xiàn)的頻率是威脅識(shí)別的重要工作，可根據(jù)威脅出現(xiàn)的頻率高低對(duì)威脅賦值，威脅賦值原則如表所示。威脅出現(xiàn)頻率賦值表等級(jí)標(biāo)識(shí)定義5很高威脅出現(xiàn)的頻率很高，在大多數(shù)情況下幾乎不可避免或者可以證實(shí)經(jīng)常發(fā)生過4高威脅出現(xiàn)的頻率較高，在大多數(shù)情況下很有可能會(huì)發(fā)生或者可以證實(shí)多次發(fā)生過3中等威脅出現(xiàn)的頻率中等，在某種情況下可能會(huì)發(fā)生或被證實(shí)曾經(jīng)發(fā)生過2低威脅出現(xiàn)的頻率較低，一般不太可能發(fā)生，也沒有被證實(shí)發(fā)生過1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生威脅列表及賦值威脅列表如下威脅列表威脅類別威脅名稱威脅描述出現(xiàn)頻率人為威脅主機(jī)攻擊遠(yuǎn)程root攻擊、拒絕服務(wù)攻擊、遠(yuǎn)程溢出攻擊、洪泛攻擊、請(qǐng)求放大攻擊、遠(yuǎn)程文件訪問、密碼、口令猜測(cè)攻擊、后門攻擊、畸形數(shù)據(jù)包攻擊、操作系統(tǒng)軟件攻擊等2服務(wù)攻擊DNS服務(wù)攻擊、SNMP服務(wù)攻擊等2泄密向非授權(quán)方泄漏機(jī)密數(shù)據(jù)和信息1篡改非授權(quán)的篡改或刪除信息2惡意代碼和病毒各種惡意代碼和病毒2越權(quán)低級(jí)別用戶具備高級(jí)用戶的管理權(quán)限2相關(guān)人員損失人員離職、疾病等導(dǎo)致網(wǎng)絡(luò)、系統(tǒng)、設(shè)備等相關(guān)工作出現(xiàn)問題2人員物理威脅人員在開發(fā)、建設(shè)、維護(hù)等過程中由于不理解或不能進(jìn)行有效的修正或進(jìn)行非正常行為而出現(xiàn)問題的威脅1文檔的損毀、丟失文檔的損毀、丟失2環(huán)境威脅地震地震1水災(zāi)水災(zāi)1濕度超標(biāo)濕度超標(biāo)1靜電靜電超標(biāo)2灰塵灰塵超標(biāo)2磁場(chǎng)磁場(chǎng)超標(biāo)1技術(shù)威脅數(shù)據(jù)量過大，超限工作滿負(fù)荷、超負(fù)荷工作3設(shè)備故障由于設(shè)備老化、過載、功能部件（電源等）故障等造成的系統(tǒng)癱瘓3信息備份不成功信息備份不成功1磁帶機(jī)故障磁帶機(jī)老化造成存儲(chǔ)數(shù)據(jù)的丟失2磁盤陣列故障磁帶機(jī)老化造成存儲(chǔ)數(shù)據(jù)的丟失2系統(tǒng)變更出現(xiàn)故障在系統(tǒng)變更的過程中出現(xiàn)故障2威脅列表及賦值見附件5“風(fēng)險(xiǎn)分析表”。脆弱性分析脆弱性概述脆弱性是資產(chǎn)本身存在的，是資產(chǎn)中存在的弱點(diǎn)、缺陷與不足。在評(píng)估過程中，應(yīng)根據(jù)資產(chǎn)清單，針對(duì)每個(gè)資產(chǎn)分別識(shí)別其可能被威脅利用的脆弱性。脆弱性包括技術(shù)、管理等方面的脆弱性。針對(duì)每一個(gè)檢查子項(xiàng)中的各個(gè)脆弱性，根據(jù)脆弱性對(duì)資產(chǎn)損害的嚴(yán)重程度進(jìn)行脆弱性賦值，賦值原則如表所示。如涉及到的資產(chǎn)不存在該種脆弱性，或者認(rèn)為該脆弱性并不會(huì)被相應(yīng)的威脅所利用到，賦值可以是0。脆弱性識(shí)別及賦值表格如表所示。脆弱性嚴(yán)重程度賦值表等級(jí)標(biāo)識(shí)定義5很高如果被威脅利用，將對(duì)資產(chǎn)造成完全損害4高如果被威脅利用，將對(duì)資產(chǎn)造成重大損害3中等如果被威脅利用，將對(duì)資產(chǎn)造成一般損害2低如果被威脅利用，將對(duì)資產(chǎn)造成較小損害1很低如果被威脅利用，對(duì)資產(chǎn)造成的損害可以忽略脆弱性列表本次風(fēng)險(xiǎn)評(píng)估通過訪談、現(xiàn)場(chǎng)檢查以及漏洞掃描等方式對(duì)XX電信集團(tuán)公司全國(guó)*****的脆弱性進(jìn)行分析和識(shí)別。通過訪談問答和現(xiàn)場(chǎng)檢查的方式識(shí)別脆弱性列表見表。脆弱性列表脆弱性類別脆弱性名稱脆弱性描述管理脆弱性授權(quán)訪問缺陷人員錄用制度不完善崗位安全機(jī)制不健全保密機(jī)制不健全介質(zhì)管控漏洞機(jī)房缺少來訪人員審批機(jī)房無來訪人員活動(dòng)的范圍的限制和相應(yīng)規(guī)定無進(jìn)入機(jī)房的人員身份標(biāo)識(shí)措施缺少處理秘密信息的設(shè)備相關(guān)電磁屏蔽的管理制度環(huán)境脆弱性重要區(qū)域未設(shè)置攝像頭無電子門禁無防盜報(bào)警系統(tǒng)機(jī)房在電力線纜和相關(guān)設(shè)備等危險(xiǎn)部位缺少標(biāo)有特殊警示標(biāo)志機(jī)架及設(shè)備無抗震裝置機(jī)房沒有防水設(shè)計(jì)無相關(guān)防水、防滲、防潮措施機(jī)房靜電工作臺(tái)機(jī)房地面重要介質(zhì)缺少電磁屏蔽防護(hù)技術(shù)脆弱性內(nèi)網(wǎng)外網(wǎng)非隔離系統(tǒng)/服務(wù)漏洞終端安全機(jī)制不健全病毒防護(hù)缺陷惡意代碼檢測(cè)缺陷惡意代碼升級(jí)缺陷告警缺陷缺少過負(fù)荷處理機(jī)制存儲(chǔ)介質(zhì)老化脆弱性賦值脆弱性賦值見附件1“風(fēng)險(xiǎn)分析表”。已有安全措施概述安全措施的確認(rèn)應(yīng)評(píng)估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。對(duì)有效的安全措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止安全措施的重復(fù)實(shí)施。對(duì)確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實(shí)是否應(yīng)被取消或?qū)ζ溥M(jìn)行修正，或用更合適的安全措施替代。安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如入侵檢測(cè)系統(tǒng)；保護(hù)性安全措施可以減少因安全事件發(fā)生后對(duì)組織或系統(tǒng)造成的影響，如業(yè)務(wù)持續(xù)性計(jì)劃。已有安全措施確認(rèn)與脆弱性識(shí)別存在一定的聯(lián)系。一般來說，安全措施的使用將減少系統(tǒng)技術(shù)或管理上的弱點(diǎn)，但安全措施確認(rèn)并不需要和脆弱性識(shí)別過程那樣具體到每個(gè)資產(chǎn)、組件的弱點(diǎn)，而是一類具體措施的集合，為風(fēng)險(xiǎn)處理計(jì)劃的制定提供依據(jù)和參考。已有安全措施列表編號(hào)名稱描述類型實(shí)施效果安全風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)計(jì)算方法本風(fēng)險(xiǎn)評(píng)估采用“相乘法”作為風(fēng)險(xiǎn)值計(jì)算的方法。影響風(fēng)險(xiǎn)值的因素有資產(chǎn)價(jià)值、威脅影響、威脅頻率以及弱點(diǎn)值等，這些因素與風(fēng)險(xiǎn)值都是正相關(guān)的。因此，將這些因素值相乘得到資產(chǎn)對(duì)應(yīng)某項(xiàng)弱點(diǎn)的風(fēng)險(xiǎn)值。計(jì)算公式如下：風(fēng)險(xiǎn)值＝資產(chǎn)價(jià)值x威脅值x脆弱性值計(jì)算方法說明：采用相乘法，風(fēng)險(xiǎn)值與資產(chǎn)價(jià)值、威脅性和脆弱性值成正比。根據(jù)影響風(fēng)險(xiǎn)值的各個(gè)因素的取值范圍可以知道，采用相乘法計(jì)算風(fēng)險(xiǎn)值的取值范圍為1-125，可進(jìn)一步對(duì)風(fēng)險(xiǎn)值進(jìn)行等級(jí)化處理，將風(fēng)險(xiǎn)等級(jí)劃分為五級(jí)，如表所示，每個(gè)等級(jí)代表了相應(yīng)風(fēng)險(xiǎn)的嚴(yán)重程度，等級(jí)越高，風(fēng)險(xiǎn)越高。表提供了風(fēng)險(xiǎn)等級(jí)判定標(biāo)準(zhǔn)。風(fēng)險(xiǎn)等級(jí)判定表風(fēng)險(xiǎn)等級(jí)12345風(fēng)險(xiǎn)值1-1011-3031-6061-9091-125風(fēng)險(xiǎn)等級(jí)劃分表等級(jí)標(biāo)識(shí)描述5很高一旦發(fā)生將使*****遭受非常嚴(yán)重破壞，組織利益受到非常嚴(yán)重?fù)p失，如組織信譽(yù)嚴(yán)重破壞、嚴(yán)重影響組織業(yè)務(wù)的正常運(yùn)行、經(jīng)濟(jì)損失重大、社會(huì)影響惡劣4高如果發(fā)生將使*****遭受比較嚴(yán)重的破壞，組織利益受到很嚴(yán)重?fù)p失3中等發(fā)生后將使*****受到一定的破壞，組織利益受到中等程度的損失2低發(fā)生后將使*****受到的破壞程度和利益損失一般1很低即使發(fā)生只會(huì)使*****受到較小的破壞風(fēng)險(xiǎn)閾值確定根據(jù)資產(chǎn)類型，對(duì)不同類別的風(fēng)險(xiǎn)確定風(fēng)險(xiǎn)閾值，如表所示：對(duì)象的安全等級(jí)1級(jí)2級(jí)3.1級(jí)3.2級(jí)4級(jí)5級(jí)風(fēng)險(xiǎn)閾值（風(fēng)險(xiǎn)值大于此閾值的風(fēng)險(xiǎn)視為不可接受）設(shè)備類風(fēng)險(xiǎn)（包括設(shè)備、機(jī)房、數(shù)據(jù)、網(wǎng)絡(luò)）60452515105人員類風(fēng)險(xiǎn)906040302010管理制度、文檔類風(fēng)險(xiǎn)80503020105風(fēng)險(xiǎn)分析列表風(fēng)險(xiǎn)分析列表是風(fēng)險(xiǎn)分析的匯總表（附件1），其中包括以下內(nèi)容：資產(chǎn)的識(shí)別及賦值：對(duì)各項(xiàng)資產(chǎn)進(jìn)行識(shí)別并對(duì)各項(xiàng)資產(chǎn)進(jìn)行賦值；威脅的識(shí)別及賦值：對(duì)各項(xiàng)資產(chǎn)可能面臨的威脅進(jìn)行識(shí)別并賦值；脆弱性的識(shí)別及賦值：對(duì)中各種威脅可利用的脆弱性進(jìn)行識(shí)別并賦值；風(fēng)險(xiǎn)描述及風(fēng)險(xiǎn)值：對(duì)風(fēng)險(xiǎn)進(jìn)行描述描述，根據(jù)資產(chǎn)