（风险管理）风险评估实施步骤

《（风险管理）风险评估实施步骤》由会员分享，可在线阅读，更多相关《（风险管理）风险评估实施步骤（9页珍藏版）》请在金锄头文库上搜索。

1、风险评估实施步骤一 风评准备1.确定风险评估的目标2. 确定风险评估的范围3. 组建适当的评估管理与实施团队4. 进行系统调研，采取问卷调查、现场询问等方式，至少包括以下内容： 业务战略及管理制度 主要的业务功能和要求 网络结构与网络环境，包括内部链接好外部链接 系统边界 主要的硬件、软件 数据和信息 系统和数据的敏感性 支持和使用系统的人员5. 制定方案，为之后的风评实施提供一个总体计划，至少包括： 确定实施评估团队成员 工作计划及时间进度安排6. 获得最高管理者对风险评估工作的支持二 资产识别资产的价值是按照资产在保密性、完整性和可用性上达到的程度或者其未达到时造成的影响程度来决定1. 资

2、产分类根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类2. 资产的赋值（五个等级：可忽略、低、中等、高、极高） 保密性赋值：根据资产在保密性上的不同要求，对应资产在保密性上应达成的不同程度或者密保性缺失时对整个组织的影响，划分为五个不同的等级 完整性赋值：根据资产在完整性上的不同要求，对应资产在完整性上缺失时对整个组织的影响，划分为五个不同的等级 可用性赋值：根据资产在可用性上的不同要求，对应资产在可用性上应达成的不同程度，划分为五个不同的等级3. 资产重要性等级（五个等级：很低、低、中、高、很高）资产价值应依据资产在机密性、完整性和可用性上的赋值等级，经过综合评定得出。

3、综合评定方法，可以根据组织自身的特点，选择对资产机密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果，也可以根据资产机密性、完整性和可用性的不同重要程度对其赋值进行加权计算而得到资产的最终赋值。加权方法可根据组织的业务特点确定。三 威胁识别威胁是一种对组织及其资产构成潜在破坏的可能性因素，是客观存在的。1. 威胁的分类根据威胁的来源，威胁可分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改、抵赖2. 威胁的赋值（五个等级：很低、低、中、高、很高）判断威胁出现的频率是威胁识别的重要工作，评估者应根据经验和

4、（或）有关的统计数据来进行判断。在风险评估过程中，还需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率：（1) 以往安全事件报告中出现过的威胁及其频率的统计；（2) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；（3) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。四 脆弱性识别脆弱性是对一个或多个资产弱点的总称。脆弱性识别也称为弱点识别，弱点是资产本身存在的，如果没有相应的威胁发生，单纯的弱点本身不会对资产造成损害。而且如果系统足够强健，再严重的威胁也不会导致安全事件，并造成损失。即，威胁总是要利用资产的弱点才可能造成危害

5、。资产的脆弱性具有隐蔽性，有些弱点只有在一定条件和环境下才能显现，这是脆弱性识别中最为困难的部分。需要注意的是，不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个弱点。脆弱性识别将针对每一项需要保护的资产，找出可能被威胁利用的弱点，并对脆弱性的严重程度进行评估。脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域的专家和软硬件方面的专业等人员。脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。1. 脆弱性识别脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技

6、术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关。2. 脆弱性赋值（五个等级：很低、低、中、高、很高）可以根据对资产损害程度、技术实现的难易程度、弱点流行程度，采用等级方式对已识别的脆弱性的严重程度进行赋值。脆弱性由于很多弱点反映的是同一方面的问题，应综合考虑这些弱点，最终确定这一方面的脆弱性严重程度。对某个资产，其技术脆弱性的严重程度受到组织的管理脆弱性的影响。因此，资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。五 已有安全措施的确认组织应对已采取的安全措施的有效性进行确认，对有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。对于确认为

7、不适当的安全措施应核实是否应被取消，或者用更合适的安全措施替代。六 风险分析1. 风险计算方法安全事件发生的可能性 = L(威胁出现频率，脆弱性)安全事件的损失 = F(资产重要程度，脆弱性严重程度)风险值 = R(安全事件发生的可能性，安全事件的损失)评估者可根据自身情况选择相应的风险计算方法计算风险值。如矩阵法或相乘法，通过构造经验函数，矩阵法可形成安全事件发生的可能性与安全事件的损失之间的二维关系；运用相乘法可以将安全事件发生的可能性与安全事件的损失相乘得到风险值。2. 风险结果判定（五个等级：很低、低、中、高、很高）组织应当综合考虑风险控制成本与风险造成的影响，提出一个可接受风险阈值，

8、七 风险评估文件记录1. 风险评估文件记录的要求记录风险评估过程的相关文件，应该符合以下要求（但不仅限于此）：（1）确保文件发布前是得到批准的；（2）确保文件的更改和现行修订状态是可识别的；（3）确保在使用时可获得有关版本的适用文件；（4）确保文件的分发得到适当的控制；（5）防止作废文件的非预期使用，若因任何目的需保留作废文件时，应对这些文件进行适当的标识。对于风险评估过程中形成的相关文件，还应规定其标识、储存、保护、检索、保存期限以及处置所需的控制。相关文件是否需要以及详略程度由管理过程来决定。2. 风险评估文件风险评估文件包括在整个风险评估过程中产生的评估过程文档和评估结果文档，包括（但不

9、仅限于此）：（1）风险评估计划：阐述风险评估的目标、范围、团队、评估方法、评估结果的形式和实施进度等；（2）风险评估程序：明确评估的目的、职责、过程、相关的文件要求，并且准备实施评估需要的文档；（3）资产识别清单：根据组织在风险评估程序文件中所确定的资产分类方法进行资产识别，形成资产识别清单，清单中应明确各资产的责任人/部门；（4）重要资产清单：根据资产识别和赋值的结果，形成重要资产列表，包括重要资产名称、描述、类型、重要程度、责任人/部门等； （5）威胁列表：根据威胁识别和赋值的结果，形成威胁列表，包括威胁名称、种类、来源、动机及出现的频率等；（6）脆弱性列表：根据脆弱性识别和赋值的结果，形

10、成脆弱性列表，包括脆弱性名称、描述、类型及严重程度等； （7）已有安全措施确认表：根据已采取的安全措施确认的结果，形成已有安全措施确认表，包括已有安全措施名称、类型、功能描述及实施效果等；（8）风险评估报告：对整个风险评估过程和结果进行总结，详细说明被评估对象，风险评估方法，资产、威胁、脆弱性的识别结果，风险分析、风险统计和结论等内容；（9）风险处理计划：对评估结果中不可接受的风险制定风险处理计划，选择适当的控制目标及安全措施，明确责任、进度、资源，并通过对残余风险的评价确保所选择安全措施的有效性；（10）风险评估记录：根据组织的风险评估程序文件，记录对重要资产的风险评估过程。评估内容重要服务

11、器的安全配置 登录安全检测；用户及口令安全检测；共享资源安全检测；系统服务安全检测；系统安全补丁检测；日志记录审计检测；木马检测。安全设备 包括防火墙、入侵检测系统、网闸、防病毒、桌面管理、审计、加密机、身份鉴别等；查看安全设备的部署情况。查看安全设备的配置策略；查看安全的日志记录；通过漏洞扫描系统对安全进行扫描。通过渗透性测试检安全配置的有效性。路由器 检查操作系统是否存在安全漏洞；配置方面，检测端口开放、管理员口令设置与管理、口令文件安全存储形式、访问控制表；是否能对配置文件进行备份和导出；关键位置路由器是否有冗余配置。物理环境 包括 UPS、变电设备、空调、门禁等。交换机 检查安全漏洞和

12、补丁的升级情况，各VLAN间的访问控制策略；口令设置和管理，口令文件的安全存储形式；配置文件的备份。风险评估流程风险评估流程包括系统调研、资产识别、威胁识别、脆弱性识别（包括现有控制措施确认）、风险综合分析以及风险控制计划六个阶段。否是否是风险评估准备已有安全措施的确认风险计算风险是否接受保持已有的安全措施施施施选择适当的安全措施并评估残余风险实施风险管理脆弱性识别威胁识别资产识别是否接受残余风险 风险分析评估过程文档评估过程文档风险评估文件记录评估结果文档系统调研是熟悉和了解组织和系统的基本情况，对组织IT战略，业务目标、业务类型和业务流程以及所依赖的信息系统基础架构的基本状况和安全需求等进

13、行调研和诊断。资产识别是对系统中涉及的重要资产进行识别，并对其等级进行评估，形成资产识别表。资产信息至少包括：资产名称、资产类别、资产价值、资产用途、主机名、IP地址、硬件型号、操作系统类型及版本、数据库类型及版本、应用系统类型及版本等。威胁识别是对系统中涉及的重要资产可能遇到的威胁进行识别，并对其等级进行评估，形成威胁识别表。识别的过程主要包括威胁源分析、历史安全事件分析、实时入侵事件分析几个方面。脆弱性识别是对系统中涉及的重要资产可能被对应威胁利用的脆弱性进行识别，并对其等级进行评估，形成脆弱性识别表。脆弱性识别又具体分为物理安全、网络安全、主机系统安全、应用安全、数据安全、安全管理六个方

14、面的内容。风险综合分析是根据对系统资产识别，威胁分析，脆弱性评估的情况及收集的数据，定性和定量地评估系统安全现状及风险状况，评价现有保障措施的运行效能及对风险的抵御程度。结合系统的IT战略和业务连续性目标，确定系统不可接受风险范围。风险控制计划是针对风险评估中识别的安全风险，特别是不可接受风险，制定风险控制和处理计划，选择有效的风险控制措施将残余风险控制在可接受范围内。风险评估是按照ISO 27001建立信息安全管理体系的基础，是PDCA循环的策划阶段的主要工作内容，根据风险评估结果来从ISO 17799中选择控制目标与控制方式。风险评估是建立ISMS的基础，处于27001的第一个环节计划阶段（P），也为风险管理提供依据；等级保护理论上和27001没有直接关系，但是目前等保的管理安全部分借鉴了27001的控制域部分要求，二者是可以相融合的P阶段：建立ISMS(PLAN)定义ISMS 的范围定义ISMS 策略定义系统的风险评估途径识别风险评估风险识别并评价风险处理措施选择用于风险处理的控制目标和控制准备适用性声明（SoA）取得管理层对残留风险的承认，并授权实施和操作ISMS信息安全风险评估项目工序与流程一、项目启动1双方召开项目启动会议，确定各自接口负责人。 =工作输出1业务安全评估相关成员列表（包括双方人