信息安全風險評估國家標準編制及內容介紹1主要內容一、標準的編制過程二、標準的主要內容三、下一步工作的幾點思考2主要內容一、標準的編制過程二、標準的主要內容三、下一步工作的幾點思考3一、標準的編制過程1、前期研究準備2、標準草案編制3、試點實踐檢驗4、專家評審論證4一、標準的編制過程1、前期研究準備2、標準草案編制3、試點實踐檢驗4、專家評審論證5

1、前期研究準備

2003年7月,中辦發(fā)[2003]27號文件對開展信息安全風險評估工作提出了明確的要求。國信辦委托國家信息中心牽頭，成立了國家信息安全風險評估課題組，對信息安全風險評估相關工作展開調查研究。課題組利用半年多的時間，對我國信息安全風險評估現狀進行了深入調查，掌握了第一手情況；對國內外相關領域的理論進行了學習、分析和研究，查閱了大量的相關資料，基本了解了此領域的國際前沿動態(tài)。這些都為標準編制工作奠定了良好的基礎。6

統(tǒng)一的風險評估技術標準是規(guī)范開展信息安全風險評估工作的必備條件。落實中辦發(fā)27號文件、全面推進我國的信息安全風險評估工作，首先就必須解決我國缺乏統(tǒng)一的風險評估技術標準的問題。為此，國信辦領導根據專家們的建議，決定著手開展信息安全風險評估國家標準的編制工作及相關實踐活動。旨在通過這項工作更好地加強國家基礎網絡和重要信息系統(tǒng)的風險評估及管理工作，使其流程更加科學、統(tǒng)一、規(guī)范、有效。7一、標準的編制過程1、前期研究準備2、標準草案編制3、試點實踐檢驗4、專家評審論證8

根據國信辦的指示和信安標委的具體要求，國家信息中心組織國家保密技術研究所、公安部三所、北京信息安全測評中心、上海市測評認證中心、信息安全國家重點實驗室以及BJCA、上海三零衛(wèi)士、聯(lián)想、天融信、啟明星辰、綠盟、科飛、凝瑞等國內十幾家企事業(yè)單位于2004年3月29日正式啟動標準草案的編制工作。此后，中國信息安全產品測評認證中心、解放軍信息技術安全研究中心、航天部二院七O六所等單位也參與了標準的編制與起草。起草組在前期準備工作的基礎上，經過多次研究探討，確定了編制標準應遵循的原則:

2、標準草案編制9

1、符合我國現行的信息安全有關法律法規(guī)的要求，認真貫徹落實27號文件關于加強信息安全風險評估工作的精神；

2、立足于我國信息化建設實踐，積極借鑒國際先進標準的技術，提出符合我國基礎網絡和重要信息系統(tǒng)工程建設需求的風險評估規(guī)范；

3、針對網絡與信息系統(tǒng)的全生命周期，制訂適應不同階段特點和要求的風險評估實施方法；

4、積極吸收信息安全有關主管部門和單位在等級保護、保密檢查和產品測評等工作的經驗與成果；

5、標準文本體系結構科學合理，表述清晰，具有可實現性和可操作性。

10在標準準編編制制的的過過程程中中，，標標準準起起草草組組多多次次與與相相關關主主管管部部門門所所屬屬機機構構的的專專家家代代表表就就技技術術標標準準有有關關主主體體內內容容進進行行會會商商；；向相相關關單單位位發(fā)發(fā)放放標標準準文文本本，，通過過電電子子郵郵件件等等形形式式廣廣泛泛征征求求業(yè)業(yè)界界意意見見；；召召開開標標準準討討論論會會議議三三十十幾幾次次，，共共收收集集100多條條修修改改意意見見。。起草草組組逐逐一一對對修修改改意意見見進進行行研研究究，，在在充充分分吸吸納納合合理理成成份份的的基基礎礎上上，，對對《信息息安安全全風風險險評評估估規(guī)規(guī)范范》等標標準準進進行行了了較較大大幅幅度度的的修修改改，，使使標標準準的的體體系系結結構構更更趨趨完完善善、、合合理理。。11一、、標標準準的的制制定定過過程程1、前前期期研研究究準準備備2、標準準草草案案編編制制3、試試點點實實踐踐檢檢驗驗4、專專家家評評審審論論證證123、試試點點實實踐踐檢檢驗驗2005年2月,根據據國信信辦辦[2005]4號和和5號文文件件，，關關于于在在銀銀行行、、稅稅務務、、電電力力等等部部門門和和電電子子政政務務外外網網，，以以及及北北京京、、上上海海、、黑黑龍龍江江、、云云南南等等省省市市，，開開展展信信息息安安全全風風險險評評估估試試點點工工作作的的要要求求，，標標準準起起草草組組配配合合風風險險評評估估試試點點工工作作專專家家組組開開展展了了以以下下工工作作：：--為各各試試點點單單位位提提供供標標準準草草案案文文本本和和相相關關說說明明；；--在試試點點準準備備階階段段與與各各試試點點單單位位的的技技術術骨骨干干進進行行標標準技技術術交交流流；；--根據據標標準準草草案案文文本本涉涉及及的的關關鍵鍵技技術術，，起起草草組組成成員員選擇擇試試點點環(huán)環(huán)節(jié)節(jié)參參與與實實際際試試點點；；--在試試點點過過程程中中，，先先后后幾幾次次召召開開標標準準研研討討會會，，征征求求各單單位位對對標標準準的的意意見見與與建建議議。。13整個試試點點工工作作歷歷時時7個月月，，各試試點點單單位位對對標標準準草草案案先先后后提提出出40多條條補補充充修修改改意意見見，，標標準準起起草草組組根據試試點結結果先后進進行了了三次次較大大規(guī)模模的修修改。。主要要內容容包括括：--細化了了資產產的分分類方方法、、脆弱弱性的的識別別要求求，修修改并細細化了了風險險計算算的方方法；；--對自評評估、、檢查查評估估不同同評估估形式式的內內容與與實施施的重點點進行行了區(qū)區(qū)分；；--對風險險評估估的工工具進進行了了梳理理和區(qū)區(qū)分，，形成成了現現在的幾幾種類類型；；--細化了了生命命周期期不同同階段段風險險評估估的主主要內內容。。試點實實踐證證明，，試行行標準準基本本滿足足各試試點單單位評評估工工作的的需求求。14一、標標準的的制定定過程程1、前期期研究究準備備2、標準草草案編編制3、試點點實踐踐檢驗驗4、專家家評審審論證證152005年9月16日，國國家信信息中中心在在北京京組織織召開開了由周周仲義義院士士主持持的《信息安安全風風險評評估指指南（（征求求意見稿））》第一次次專家家評審審會。。4、專家家評審審論證證16第一次次專家家評審審會名名單姓名單位職務/職稱周仲義中國工程院院士熊四皓國務院信息辦處長王娜國家發(fā)改委高科技司處長姚世權中國標準化協(xié)會研究員賈穎禾全國信息安全標準化技術委員會副秘書長/研究員崔書昆國家信息化專家咨詢委員會委員/研究員景乾元公安部十一局處長李建彬國稅總局信息中心副處長張宏偉黑龍江省信息產業(yè)廳處長姚麗旋上海市信息化管理委員會處長肖京華總參三部三局處長馮惠中國電子技術標準化研究所副主任/高工吳偉國家電網公司處長詹榜華北京市CA中心總經理172005年10月27日，國國家信信息中中心在在北京京組織織召開開了信信息安安全風風險評評估國國家標標準征征求意意見稿稿的第第二次次專家家評審審會。。18第二次次專家家評審審會名名單姓名單位職務/職稱何義大全國信息安全標準化技術委員會副主任趙戰(zhàn)生國家信息化咨詢委員會研究員曲成義國家信息化咨詢委員會研究員馮登國信息安全863項目專家組組長研究員陳曉樺中國信息安全產品測評認證中心研究員崔書昆國家信息化咨詢委員會研究員景乾元公安部十一局處長肖京華解放軍信息安全測評中心處長賈穎禾全國信息安全標準化技術委員會副秘書長李守鵬中國信息安全產品測評認證中心副主任王同良中石油經濟技術中心副主任江志強民航總局人事科技司處長謝小權航天科技集團706所副所長呂仲濤中國工商銀行總行信息科技部總工19與會專家家認為為標準準起草草組做做了大大量卓卓有成成效的的工作作，標標準的的結構構合理理、內內容完完備、、可操操作性性強，，并充充分考考慮與與信息息安全全等級級保護護相關關標準準相銜銜接。。文本本的編編制符符合國國家標標準的的要求求。同同時，，專家家們也也對完完善標標準提提出了了進一一步的的修改改意見見。202005年12月14日，由由安標標委第第五工工作組組主持持召開開了由由沈昌昌祥院院士為為專家家組組組長的的信息息安全全風險險評估估國家家標準準送審審稿的的專家家評審審會。。21專家評評審會會名單單姓名單位職務/職稱沈昌祥海軍計算技術研究所院士吉增瑞公安部信息安全標委會委員研究員趙戰(zhàn)生國家信息化咨詢委員會研究員卿斯?jié)h中科院信息安全技術工程研究中心研究員杜虹國家保密技術研究所所長景乾元公安部十一局處長崔書昆國家信息化咨詢委員會研究員22與會專家家聽取取了起起草小小組的的編制制說明明及內內容介介紹，，審閱閱了相相關文文檔資資料，，經質質詢和和討論論，一一致認認為：：一、送送審稿稿規(guī)范范了風風險評評估的的評估估內容容與范范圍、、基本本概念念，明明確了資產產、威威脅、、脆弱弱性和和安全全風險險等關關鍵要要素及及其賦賦值原原則和和要求，，提出出了實實施流流程與與操作作步驟驟、評評估規(guī)規(guī)則與與基本本方法法，并并充分考考慮與與信息息安全全等級級保護護相關關標準準相銜銜接。。二、送送審稿稿的操操作性性較強強，對對開展展風險險評估估工作作具有有指導導作用用，并在國國務院院信息息辦組組織的的風險險評估估試點點中得得到了了進一一步的的實踐踐驗證和和充實實完善善。三、文文本的的編制制符合合國家家標準準GB1.1的要求求。專家組組認為為送審審稿達達到國國家標標準送送審稿稿的要要求，，同意意通過過評審。建建議起起草組組根據據專家家意見見盡快快修改改完善善后申申報。。232006年３月月６日日和３３月１１６日日，在在國信信辦進進行的的行業(yè)和和省市市的風風險評評估政政策文文件的的兩次次宣貫貫會上上，信信息安安全風險評評估征征求意意見稿稿以國國信辦辦文件件的形形式下下發(fā)，，為各各行業(yè)業(yè)和省市開開展風風險評評估提提供技技術依依據。。242006年4月18日，全全國信信息安安全標標準化化技術術委員員（安標標委））會第第五工工作組組（WG5）在北北京召召開全全體工工作組組成員員標準投投票會會議，，對信信息安安全風風險評評估國國家標標準送送審稿稿進行行工作組全全體成成員投投票表表決。。與會會的三三十幾幾位專專家聽聽取了了標準準起草組對對《指南》的編制制過程程以及及主要要內容容的介介紹，，經投投票一一致通過過了標標準的的評審審。252006年6月19日，全全國信信息安安全標標準化化技術術委員員會秘秘書處處在北北京組組織召召開了了信息息安全全風險險評估估標準準送審審稿的的專家家審查查會，，與會會專家家經質質詢和和討論論，將將標準準正式式命名名為《信息安安全技技術信信息安安全風風險評評估規(guī)規(guī)范》，認為為該標標準達達到國國家標標準送送審稿稿的要要求，，同意意通過過評審審。會后，，國家家信息息中心心先后后與各各起草草單位位和有有關專專家就就標準準規(guī)范范報批批稿的的修改改進行行了進進一步步的研研討，，并逐逐一落落實了了專家家提出出的意意見。。262006年7月19日，全全國國信息息安全全標準準化委委員會會主任任辦公公會上上討論論通過過了《信息安安全技技術信信息安安全風風險評評估規(guī)規(guī)范》(報批稿稿),目前已已進入入報批批程序序。27主要內內容一、標標準的的編制制過程程二、標標準的的主要要內容容三、下下一步步工作作的幾幾點思思考28二、標標準的的主要要內容容1、什么么是風風險評評估2、為什什么要要做風風險評評估3、風險險評估估怎么么做29二、標標準的的主要要內容容1、什么么是風風險評評估2、為什什么要要做風風險評評估3、風險險評估估怎么么做301、什么么是風風險評評估信息安安全風風險人為或或自然然的威威脅利利用信信息系系統(tǒng)及及其管管理體體系中中存在在的脆脆弱性性導致致安全全事件件的發(fā)發(fā)生及及其對對組織織造成成的影影響。。信息安全風風險評估依據有關信信息安全技技術與管理理標準，對對信息系統(tǒng)統(tǒng)及由其處處理、傳輸輸和存儲的的信息的保保密性、完完整性和可可用性等安安全屬性進進行評價的的過程。它它要評估資資產面臨的的威脅以及及威脅利用用脆弱性導導致安全事事件的可能能性，并結結合安全事事件所涉及及的資產價價值來判斷斷安全事件件一旦發(fā)生生對組織造造成的影響響。31風險評估要要素關系圖圖圖中方框部部分的內容容為風險評評估的基本本要素;橢圓部分的的內容是與與這些要素素相關的屬屬性。風險評估圍圍繞著基本本要素展開開，同時需需要充分考考慮與基本本要素相關關的各類屬屬性。（1）業(yè)務戰(zhàn)略略的實現對對資產具有有依賴性，，依賴程度度越高，要要求其風險險越?。唬?）資產是有有價值的，，組織的業(yè)業(yè)務戰(zhàn)略對對資產的依依賴程度越越高，資產產價值就越越大；（3）風險是由由威脅引發(fā)發(fā)的，資產產面臨的威威脅越多則則風險越大大，并可能能演變成安安全事件；；（4）資產的脆脆弱性可以以暴露資產產的價值，，資產具有有的弱點越越多則風險險越大；（5）脆弱性是是未被滿足足的安全需需求，威脅脅利用脆弱弱性危害資資產；（6）風險的存存在及對風風險的認識識導出安全全需求；（7）安全需求可可通過安全措措施得以滿足足，需要結合合資產價值考考慮實施成本本；（8）安全措施可可抵御威脅，，降低風險；；（9）殘余風險是是未被安全措措施控制的風風險。有些是是安全措施不不當或無效,需要加強才可可控制的風險險；而有些則則是在綜合考考慮了安全成成本與效益后后未去控制的的風險；（10）殘余風險應應受到密切監(jiān)監(jiān)視，它可能能會在將來誘誘發(fā)新的安全全事件。32二、標準的主主要內容1、什么是風險險評估2、為什么要做做風險評估3、風險評估怎怎么做332、為什么要做做風險評估安全源于風險。在信息化建設設中，建設與與運營的網絡絡與信息系統(tǒng)統(tǒng)由于可能存存在的系統(tǒng)設設計缺陷、隱隱含于軟硬件件設備的缺陷陷、系統(tǒng)集成成時帶來的缺缺陷，以及可可能存在的某某些管理薄弱弱環(huán)節(jié)，尤其其當網絡與信信息系統(tǒng)中擁擁有極為重要要的信息資產產時，都將使使得面臨復雜雜環(huán)境的網絡絡與信息系統(tǒng)統(tǒng)潛在著若干干不同程度的的安全風險。。34風險評估可以不不斷深入地發(fā)發(fā)現系統(tǒng)建設設中的安全隱隱患，采取或完善更更加經濟有效效的安全保障障措施，來消除安全建設設中的盲目樂樂觀或盲目恐恐懼，提出有有針對性的從從實際出發(fā)的的解決方法，，提高系統(tǒng)安安全的科學管管理水平，進進而全面提升升網絡與信息息系統(tǒng)的安全全保障能力。。35信息安全風險評評估，是從風風險管理角度度，運用科學學的方法和手手段，系統(tǒng)地地分析網絡與與信息系統(tǒng)所所面臨的威脅脅及其存在的的脆弱性，評評估安全事件件一旦發(fā)生可可能造成的危危害程度，提提出有針對性性的抵御威脅脅的防護對策策和整改措施施。并為防范范和化解信息息安全風險，，或者將風險險控制在可接接受的水平，，從而最大限限度地保障網網絡和信息安安全提供科學學依據。（國信辦[2006]5號文件）36二、標準的主主要內容1、什么是風險險評估2、為什么要做做風險評估3、風險評估怎怎么做373、風險評估怎怎么做-風險評估實施施流程-風險評估的形形式-信息系統(tǒng)生命命周期各階段段的風險評估估383、風險評估怎怎么做-風險評估實施施流程-風險評估的形形式-信息系統(tǒng)生命命周期各階段段的風險評估估39風險評估的實實施流程先期準備要素分析風險分析文檔記錄風險評估實施施流程圖40實施步驟(1)風險評估的準準備(2)資產識別(3)威脅識別(4)脆弱性識別(5)已有安全措施施的確認(6)風險分析(7)風險評估文件件記錄413、風險評估怎怎么做-風險評估實施施流程-風險評估的形形式-信息系統(tǒng)生命命周期各階段段的風險評估估42信息安全風險評評估分為自評評估、檢查評評估兩種形式式。自評估為為主，自評估估和檢查評估估相互結合、、互為補充。。自評估和檢檢查評估可依依托自身技術術力量進行，，也可委托第第三方機構提提供技術支持持。風險評估的形形式43自評估自評估可由發(fā)起起方實施或委委托風險評估估服務技術支支持方實施。。由發(fā)起方實實施的評估可可以降低實施施的費用、提提高信息系統(tǒng)統(tǒng)相關人員的的安全意識，，但可能由于于缺乏風險評評估的專業(yè)技技能，其結果果不夠深入準準確；同時，，受到組織內內部各種因素素的影響，其其評估結果的的客觀性易受受影響。委托托風險評估服服務技術支持持方實施的評評估，過程比比較規(guī)范、評評估結果的客客觀性比較好好，可信程度度較高；但由由于受到行業(yè)業(yè)知識技能及及業(yè)務了解的的限制，對被被評估系統(tǒng)的的了解，尤其其是在業(yè)務方方面的特殊要要求存在一定定的局限。但但由于引入第第三方本身就就是一個風險險因素，因此此，對其背景景與資質、評評估過程與結結果的保密要要求等方面應應進行控制。。44自評估中的““自”不僅僅僅是指自已做做評估的“自自”，也不僅僅僅是指自愿愿做評估的““自”。由于于“誰主管誰誰負責”，出出于對自身信信息系統(tǒng)的安安全責任考慮慮，信息系統(tǒng)統(tǒng)主管者應定定期對系統(tǒng)進進行風險評估估，具體實施施時可以依托托自身的評估估隊伍進行，，也可委托有有資質的第三三方提供評估估服務技術支支持，但無論論是哪一種形形式，責任都都是由信息系系統(tǒng)主管者自自已擔負的。。因此，自評評估中的“自自”的含義是是自已負責的的“自”。包包括自已負責責系統(tǒng)的安全全、自己發(fā)起起對信息系統(tǒng)統(tǒng)的風險評估估以及自己負負責為保障系系統(tǒng)安全所做做的風險評估估的安全等。。45此外，為保證證風險評估的的實施，與系系統(tǒng)相連的相相關方也應配配合，以防止止給其他方的的使用帶來困困難或引入新新的風險也往往往較多，因因此，要對實實施檢查評估估機構的資質質進行嚴格管管理。46檢查評估檢查評估是指信信息系統(tǒng)上級級管理部門組組織的或國家家有關職能部部門依法開展展的風險評估估。檢查評估可依依據本標準的的要求，實施施完整的風險險評估過程。。47一是風險評估估究其根本是是評估系統(tǒng)的的敏感信息，，涉及大量的的安全問題，，完全委托第第三方將帶來來評估本身的的風險；二是進行風險險評估要求評評估人員既要要了解評估本本身的一套方方法與流程，，還要了解被被評估系統(tǒng)的的業(yè)務特性，，這對于完全全從事評估的的第三方來講講，在短時間間內了解每個個系統(tǒng)的業(yè)務務特性難度是是比較大的；；三是風險評估估工作流程中中常常要求被被評估方向評評估方提供各各種信息，需需要之間的良良好互動以及及多方會商，，單靠評估方方第三方是無無法完成系統(tǒng)統(tǒng)評估的?；谝陨显蛞颍性u估估技術支持比比委托評估的的提法更為切切合實際。并并且，提供委委托評估技術術支持的機構構應具有相應應的資質。483、風險評估怎怎么做-風險評估實施施流程-風險評估的形形式-信息系統(tǒng)生命命周期各階段段的風險評估估49國信辦[2006]5號文件指出：：信息安全風險評估應貫貫穿于網絡與與信息系統(tǒng)建建設運行的全全過程。在網網絡與信息系系統(tǒng)的設計、、驗收及運行行維護階段均均應當進行信信息安全風險險評估。如在在網絡與信息息系統(tǒng)規(guī)劃設設計階段，應應通過信息安安全風險評估估進一步明確確安全需求和和安全目標。。50信息系系統(tǒng)生生命周周期各各階段段的風風險評評估規(guī)劃階階段的的風險險評估估設計階階段的的風險險評估估實施階階段的的風險險評估估運行維維護階階段的的風險險評估估廢棄階階段的的風險險評估估51規(guī)劃階階段的的風險險評估估規(guī)劃階段段風險險評估估的目目的是是識別別系統(tǒng)統(tǒng)的業(yè)業(yè)務戰(zhàn)戰(zhàn)略，，以支支撐系系統(tǒng)安安全需需求及及安全全戰(zhàn)略略等。。規(guī)劃劃階段段的評評估應應能夠夠描述述信息息系統(tǒng)統(tǒng)建成成后對對現有有業(yè)務務模式式的作作用，，包括括技術術、管管理等等方面面，并并根據據其作作用確確定系系統(tǒng)建建設應應達到到的安安全目目標。。52設計階階段的的風險險評估估設計階段段的風風險評評估需需要根根據規(guī)規(guī)劃階階段所所明確確的系系統(tǒng)運運行環(huán)環(huán)境、、資產產重要要性，，提出出安全全功能能需求求。設設計階階段的的風險險評估估結果果應對對設計計方案案中所所提供供的安安全功功能符符合性性進行行判斷斷，作作為采采購過過程風風險控控制的的依據據。53實施階階段的的風險險評估估實施階段段風險險評估估的目目的是是根據據系統(tǒng)統(tǒng)安全全需求求和運運行環(huán)環(huán)境對對系統(tǒng)統(tǒng)開發(fā)發(fā)、實實施過過程進進行風風險識識別，，并對對系統(tǒng)統(tǒng)建成成后的的安全全功能能進行行驗證證。根根據設設計階階段分分析的的威脅脅和制制定的的安全全措施施，在在實施施及驗驗收時時進行行質量量控制制?；谠O設計階階段的的資產產列表表、安安全措措施，，實施施階段段應對對規(guī)劃劃階段段的安安全威威脅進進行進進一步步細分分，同同時評評估安安全措措施的的實現現程度度，從從而確確定安安全措措施能能否抵抵御現現有威威脅、、脆弱弱性的的影響響。實實施階階段風風險評評估主主要對對系統(tǒng)統(tǒng)的開開發(fā)與與技術術/產品品獲獲取取、、系系統(tǒng)統(tǒng)交交付付實實施施兩兩個個過過程程進進行行評評估估。。54運行行維維護護階階段段的的風風險險評評估估運行行維維護護階階段段風風險險評評估估的的目目的的是是了了解解和和控控制制運運行行過過程程中中的的安安全全風風險險，，是是一一種種較較為為全全面面的的風風險險評評估估。。評評估估內內容容包包括括對對真真實實運運行行的的信信息息系系統(tǒng)統(tǒng)、、資資產產、、威威脅脅、、脆脆弱弱性性等等各各方方面面。。資產產評評估估：：在在真真實實環(huán)環(huán)境境下下較較為為細細致致的的評評估估。。包包括括實實施施階階段段采采購購的的軟軟硬硬件件資資產產、、系系統(tǒng)統(tǒng)運運行行過過程程中中生生成成的的信信息息資資產產、、相相關關的的人人員員與與服服務務等等，，本本階階段段資資產產識識別別是是前前期期資資產產識識別別的的補補充充與與增增加加；；威脅脅評評估估：：應應全全面面地地分分析析威威脅脅的的可可能能性性和和影影響響程程度度。。對對非非故故意意威威脅脅導導致致安安全全事事件件的的評評估估可可以以參參照照安安全全事事件件的的發(fā)發(fā)生生頻頻率率；；對對故故意意威威脅脅導導致致安安全全事事件件的的評評估估主主要要就就威威脅脅的的各各個個影影響響因因素素做做出出專專業(yè)業(yè)判判斷斷；；脆弱弱性性評評估估：：是是全全面面的的脆脆弱弱性性評評估估。。包包括括運運行行環(huán)環(huán)境境中中物物理理、、網網絡絡、、系系統(tǒng)統(tǒng)、、應應用用、、安安全全保保障障設設備備、、管管理理等等各各方方面面的的脆脆弱弱性性。。技技術術脆脆弱弱性性評評估估可可以以采采取取核核查查、、掃掃描描、、案案例例驗驗證證、、滲滲透透性性測測試試的的方方式式實實施施；；安安全全保保障障設設備備的的脆脆弱弱性性評評估估，，應應考考慮慮安安全全功功能能的的實實現現情情況況和和安安全全保保障障設設備備本本身身的的脆脆弱弱性性；；管管理理脆脆弱弱性性評評估估可可以以采采取取文文檔檔、、記記錄錄核核查查等等方方式式進進行行驗驗證證；；風險險計計算算：：根根據據本本標標準準的的相相關關方方法法，，對對重重要要資資產產的的風風險險進進行行定定性性或或定定量量的的風風險險分分析析，，描描述述不不同同資資產產的的風風險險高高低低狀狀況況。。55廢棄棄階階段段的的風風險險評評估估當信信息息系系統(tǒng)統(tǒng)不不能能滿滿足足現現有有要要求求時時，，信信息息系系統(tǒng)統(tǒng)進進入入廢廢棄棄階階段段。。根根據據廢廢棄棄的的程程度度，，又又分分為為部部分分廢廢棄棄和和全全部部廢廢棄棄兩兩種種。。廢棄棄階階段段風風險險評評估估著著重重在在以以下下幾幾方方面面：：1、確確保保硬硬件件和和軟軟件件等等資資產產及及殘殘留留信信息息得得到到了了適適當當的的處處置置，，并并確確保保系系統(tǒng)組組件件被被合合理理地地丟丟棄棄或或更更換換；；2、如如果果被被廢廢棄棄的的系系統(tǒng)統(tǒng)是是某某個個系系統(tǒng)統(tǒng)的的一一部部分分，，或或與與其其他他系系統(tǒng)統(tǒng)存存在在物物理理或邏邏輯輯上上的的連連接接，，還還應應考考慮慮系系統(tǒng)統(tǒng)廢廢棄棄后后與與其其他他系系統(tǒng)統(tǒng)的的連連接接是是否否被被關閉閉；；3、如如果果在在系系統(tǒng)統(tǒng)變變更更中中廢廢棄棄，，除除對對廢廢棄棄部部分分外外，，還還應應對對變變更更的的部部分分進進行評評估估，，以以確確定