ISOIEC標(biāo)準(zhǔn)系列培訓(xùn)課程信息安全風(fēng)險(xiǎn)管理演示文稿目前一頁\總數(shù)八十六頁\編于十四點(diǎn)優(yōu)選ISOIEC標(biāo)準(zhǔn)系列培訓(xùn)課程信息安全風(fēng)險(xiǎn)管理ppt目前二頁\總數(shù)八十六頁\編于十四點(diǎn)信息安全風(fēng)險(xiǎn)管理過程風(fēng)險(xiǎn)評(píng)估環(huán)境建立風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)處置溝通和磋商監(jiān)視和評(píng)審風(fēng)險(xiǎn)評(píng)估環(huán)境建立風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)接受滿足？滿足？風(fēng)險(xiǎn)溝通和磋商風(fēng)險(xiǎn)監(jiān)視和評(píng)審風(fēng)險(xiǎn)決策點(diǎn)1評(píng)估滿足風(fēng)險(xiǎn)決策點(diǎn)2處置滿足NONOYESYES第一次結(jié)束或隨后重復(fù)信息安全風(fēng)險(xiǎn)評(píng)估過程ISO31000風(fēng)險(xiǎn)評(píng)估過程目前三頁\總數(shù)八十六頁\編于十四點(diǎn)信息安全風(fēng)險(xiǎn)管理過程信息安全風(fēng)險(xiǎn)管理過程風(fēng)險(xiǎn)評(píng)估環(huán)境建立風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)處置溝通和磋商監(jiān)視和評(píng)審9.績(jī)效評(píng)價(jià)ISO/IEC27001:20136.1.3.信息安全風(fēng)險(xiǎn)處置ISO/IEC27001:20136.1.2.信息安全風(fēng)險(xiǎn)評(píng)估ISO/IEC27001:20137.支持ISO/IEC27001:20134.組織背景ISO/IEC27001:2013目前四頁\總數(shù)八十六頁\編于十四點(diǎn)信息安全風(fēng)險(xiǎn)管理過程ISMS的調(diào)整和風(fēng)險(xiǎn)管理過程ISMS過程信息安全風(fēng)險(xiǎn)管理過程計(jì)劃（P）建立環(huán)境風(fēng)險(xiǎn)評(píng)估開發(fā)風(fēng)險(xiǎn)計(jì)劃風(fēng)險(xiǎn)接受實(shí)施（D）實(shí)施風(fēng)險(xiǎn)處置計(jì)劃?rùn)z查（C）持續(xù)監(jiān)視和評(píng)審風(fēng)險(xiǎn)改進(jìn)（A）維持和改進(jìn)信息安全風(fēng)險(xiǎn)管理過程目前五頁\總數(shù)八十六頁\編于十四點(diǎn)信息安全風(fēng)險(xiǎn)管理確定環(huán)境信息1風(fēng)險(xiǎn)評(píng)估2風(fēng)險(xiǎn)處置3風(fēng)險(xiǎn)接受４溝通與磋商５監(jiān)視和評(píng)審６目前六頁\總數(shù)八十六頁\編于十四點(diǎn)信息安全風(fēng)險(xiǎn)管理過程風(fēng)險(xiǎn)評(píng)估環(huán)境建立風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)接受滿足？滿足？風(fēng)險(xiǎn)溝通和磋商風(fēng)險(xiǎn)監(jiān)視和評(píng)審風(fēng)險(xiǎn)決策點(diǎn)1評(píng)估滿足風(fēng)險(xiǎn)決策點(diǎn)2處置滿足NONOYESYES第一次結(jié)束或隨后重復(fù)信息安全風(fēng)險(xiǎn)管理過程目前七頁\總數(shù)八十六頁\編于十四點(diǎn)確定環(huán)境信息外部環(huán)境信息內(nèi)部環(huán)境信息輸入基本準(zhǔn)則說明范圍和邊界說明組織架構(gòu)說明輸出確定基本準(zhǔn)則確定范圍和邊界確定組織架構(gòu)過程實(shí)施指南確定信息安全風(fēng)險(xiǎn)評(píng)估的宗旨：支持ISMS符合法律和盡職調(diào)查的證據(jù)準(zhǔn)備業(yè)務(wù)連續(xù)性計(jì)劃準(zhǔn)備事件響應(yīng)計(jì)劃描述某個(gè)產(chǎn)品、服務(wù)或機(jī)制對(duì)信息安全要求目前八頁\總數(shù)八十六頁\編于十四點(diǎn)確定環(huán)境信息

外部環(huán)境信息externalcontext組織尋求實(shí)現(xiàn)其目標(biāo)的外部環(huán)境。注：外部環(huán)境可包括：文化、社會(huì)、政治、法律法規(guī)、財(cái)政金融、技術(shù)、經(jīng)濟(jì)、自然和競(jìng)爭(zhēng)環(huán)境，無論國(guó)際、國(guó)家、區(qū)域或地方對(duì)組織目標(biāo)具有影響的主要驅(qū)動(dòng)和趨勢(shì)。與外部利益相關(guān)方的關(guān)系和其感受和價(jià)值觀。

[ISO導(dǎo)則73:2009,定義]內(nèi)部環(huán)境信息internalcontext組織尋求實(shí)現(xiàn)其目標(biāo)的外部環(huán)境。注：內(nèi)部狀況可包括：治理、組織結(jié)構(gòu)、作用和責(zé)任；方針、目標(biāo)、以及實(shí)現(xiàn)它們的戰(zhàn)略；以資源和知識(shí)來理解的能力（如資本、時(shí)間、人員、過程、系統(tǒng)和技術(shù)）；信息系統(tǒng)、信息流和決策過程（正式和非正式的）；與內(nèi)部利益相關(guān)方的關(guān)系、以及他們的感受和價(jià)值觀；組織的文化；標(biāo)準(zhǔn)、指南和組織采用的模式；合同關(guān)系的形式和范圍[ISO導(dǎo)則73:2009,定義]目前九頁\總數(shù)八十六頁\編于十四點(diǎn)確定環(huán)境信息基本準(zhǔn)則風(fēng)險(xiǎn)管理方法風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則影響準(zhǔn)則風(fēng)險(xiǎn)接受準(zhǔn)則范圍和邊界組織架構(gòu)風(fēng)險(xiǎn)管理方法根據(jù)風(fēng)險(xiǎn)管理的范圍和目標(biāo)的不同，可能采用不同的方法。對(duì)于每一循環(huán)，所采用的方法也可能不同。一個(gè)合適的風(fēng)險(xiǎn)管理方法應(yīng)該選擇或開發(fā)基本準(zhǔn)則，如風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則、影響準(zhǔn)則、風(fēng)險(xiǎn)接受準(zhǔn)則。目前十頁\總數(shù)八十六頁\編于十四點(diǎn)確定環(huán)境信息工具及技術(shù)風(fēng)險(xiǎn)評(píng)估過程風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)價(jià)后果可能性風(fēng)險(xiǎn)等級(jí)頭腦風(fēng)暴法SA1A2AAA結(jié)構(gòu)化/半結(jié)構(gòu)化訪談SAAAAA德爾菲法SAAAAA情景分析SASAAAA檢查表SANA3NANANA預(yù)先危險(xiǎn)分析SANANANANA失效模式和效應(yīng)分析（FMEA）SANANANANA危險(xiǎn)與可操作性分析（HAZOP）SASANANASA危險(xiǎn)分析與關(guān)鍵控制點(diǎn)（HACCP）SASANANASA保護(hù)層分析法SANANANANA結(jié)構(gòu)化假設(shè)分析(SWIFT)SASASASASA風(fēng)險(xiǎn)矩陣SASASASAA人因可靠性分析SASASASAA以可靠性為中心的維修SASASASASA業(yè)務(wù)影響分析ASAAAA根原因分析ANASASANA工具及技術(shù)風(fēng)險(xiǎn)評(píng)估過程風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)價(jià)后果可能性風(fēng)險(xiǎn)等級(jí)潛在通路分析ANANANANA因果分析ASANAAA風(fēng)險(xiǎn)指數(shù)ASASAASA故障樹分析NAAAAA事件樹分析NASASAANA決策樹分析NASASAAABow-tie法NAASASAA層次分析法（AHP）NASASASASA在險(xiǎn)值（VaR）法NASASASASA均值—方差模型NAAAASA資本資產(chǎn)定價(jià)模型NANANANASAFN曲線ASASAASA馬爾可夫分析法ANASANANA蒙特卡羅模擬法NASASASASA貝葉斯分析NANASANASA1）SA表示非常適用；2）A表示適用；3）NA表示不適用。風(fēng)險(xiǎn)評(píng)估技術(shù)目前十一頁\總數(shù)八十六頁\編于十四點(diǎn)確定環(huán)境信息風(fēng)險(xiǎn)評(píng)估技術(shù)的特征風(fēng)險(xiǎn)評(píng)估方法及技術(shù)說明影響因素能否提供定量結(jié)果資源與能力不確定性的性質(zhì)與程度復(fù)雜性頭腦風(fēng)暴法及結(jié)構(gòu)化訪談一種收集各種觀點(diǎn)及評(píng)價(jià)并將其在團(tuán)隊(duì)內(nèi)進(jìn)行評(píng)級(jí)的方法。頭腦風(fēng)暴法可由提示、一對(duì)一以及一對(duì)多的訪談技術(shù)所激發(fā)。低低低否德爾菲法一種綜合各類專家觀點(diǎn)并促其一致的方法，這些觀點(diǎn)有利于支持風(fēng)險(xiǎn)源及影響的識(shí)別、可能性與后果分析以及風(fēng)險(xiǎn)評(píng)價(jià)。需要獨(dú)立分析和專家投票。中中中否情景分析在想象和推測(cè)的基礎(chǔ)上，對(duì)可能發(fā)生的未來情景加以描述?？梢酝ㄟ^正式或非正式的、定性或定量的手段進(jìn)行情景分析。中高中否檢查表一種簡(jiǎn)單的風(fēng)險(xiǎn)識(shí)別技術(shù)，提供了一系列典型的需要考慮的不確定性因素。使用者可參照以前的風(fēng)險(xiǎn)清單、規(guī)定或標(biāo)準(zhǔn)。低低低否預(yù)先危險(xiǎn)分析（PHA）PHA是一種簡(jiǎn)單的歸納分析方法，其目標(biāo)是識(shí)別風(fēng)險(xiǎn)以及可能危害特定活動(dòng)、設(shè)備或系統(tǒng)的危險(xiǎn)性情況及事項(xiàng)。低高中否失效模式和效應(yīng)分析（FMEA）FMEA是一種識(shí)別失效模式、機(jī)制及其影響的技術(shù)。有幾類FMEA：設(shè)計(jì)（或產(chǎn)品）FMEA，用于部件及產(chǎn)品；系統(tǒng)FMEA；過程FMEA，用于加工及組裝過程；還有服務(wù)FMEA及軟件FMEA。中中中是危險(xiǎn)與可操作性分析（HAZOP）HAZOP是一種綜合性的風(fēng)險(xiǎn)識(shí)別過程，用于明確可能偏離預(yù)期績(jī)效的偏差，并可評(píng)估偏離的危害度。它使用一種基于引導(dǎo)詞的系統(tǒng)。中高高否危險(xiǎn)分析與關(guān)鍵控制點(diǎn)（HACCP）HACCP是一種系統(tǒng)的、前瞻性及預(yù)防性的技術(shù)，通過測(cè)量并監(jiān)控那些應(yīng)處于規(guī)定限值內(nèi)的具體特征來確保產(chǎn)品質(zhì)量、可靠性以及過程的安全性。中中中否保護(hù)層分析法保護(hù)層分析，也被稱作障礙分析，它可以對(duì)控制及其效果進(jìn)行評(píng)價(jià)。中中中是結(jié)構(gòu)化假設(shè)分析（SWIFT）一種激發(fā)團(tuán)隊(duì)識(shí)別風(fēng)險(xiǎn)的技術(shù)，通常在引導(dǎo)式研討班上使用，并可用于風(fēng)險(xiǎn)分析及評(píng)價(jià)。中中任何否風(fēng)險(xiǎn)矩陣風(fēng)險(xiǎn)矩陣（RiskMatrix）是一種將后果分級(jí)與風(fēng)險(xiǎn)可能性相結(jié)合的方式。中中中是目前十二頁\總數(shù)八十六頁\編于十四點(diǎn)確定環(huán)境信息風(fēng)險(xiǎn)評(píng)估技術(shù)的特征風(fēng)險(xiǎn)評(píng)估方法及技術(shù)說明影響因素能否提供定量結(jié)果資源與能力不確定性的性質(zhì)與程度復(fù)雜性人因可靠性分析人因可靠性分析（HRA）主要關(guān)注系統(tǒng)績(jī)效中人為因素的作用，可用于評(píng)價(jià)人為錯(cuò)誤對(duì)系統(tǒng)的影響。中中中是以可靠性為中心的維修以可靠性為中心的維修（RCM）是一種基于可靠性分析方法實(shí)現(xiàn)維修策略優(yōu)化的技術(shù)，其目標(biāo)是在滿足安全性、環(huán)境技術(shù)要求和使用工作要求的同時(shí)，獲得產(chǎn)品的最小維修資源消耗。通過這項(xiàng)工作，用戶可以找出系統(tǒng)組成中對(duì)系統(tǒng)性能影響最大的零部件及其維修工作方式。中中中是業(yè)務(wù)影響分析分析重要風(fēng)險(xiǎn)影響組織運(yùn)營(yíng)的方式，同時(shí)明確如何對(duì)這些風(fēng)險(xiǎn)進(jìn)行管理。中中中否根原因分析對(duì)發(fā)生的單項(xiàng)損失進(jìn)行分析，以理解造成損失的原因以及如何改進(jìn)系統(tǒng)或過程以避免未來出現(xiàn)類似的損失。分析應(yīng)考慮發(fā)生損失時(shí)可使用的風(fēng)險(xiǎn)控制方法以及怎樣改進(jìn)風(fēng)險(xiǎn)控制方法。中低中否潛在通路分析潛在分析（SA）是一種用于識(shí)別設(shè)計(jì)錯(cuò)誤的技術(shù)。潛在通路是指能夠?qū)е鲁霈F(xiàn)非期望的功能或抑制期望功能的狀態(tài)，這些不良狀態(tài)的特點(diǎn)具有隨意性，在最嚴(yán)格的標(biāo)準(zhǔn)化系統(tǒng)檢查中也不一定檢測(cè)到。中中中否因果分析綜合運(yùn)用故障樹分析和事件樹分析，并允許時(shí)間延誤。初始事件的原因和后果都要予以考慮。高中高是風(fēng)險(xiǎn)指數(shù)風(fēng)險(xiǎn)指數(shù)可以提供一種有效的劃分風(fēng)險(xiǎn)等級(jí)的工具。中低中是故障樹分析始于不良事項(xiàng)（頂事件）的分析并確定該事件可能發(fā)生的所有方式，并以邏輯樹形圖的形式進(jìn)行展示。在建立起故障樹后，就應(yīng)考慮如何減輕或消除潛在的風(fēng)險(xiǎn)源。高高中是事件樹分析運(yùn)用歸納推理方法將各類初始事件的可能性轉(zhuǎn)化成可能發(fā)生的結(jié)果。中中中是決策樹分析對(duì)于決策問題的細(xì)節(jié)提供了一種清楚的圖解說明。高中中是目前十三頁\總數(shù)八十六頁\編于十四點(diǎn)確定環(huán)境信息風(fēng)險(xiǎn)評(píng)估技術(shù)的特征風(fēng)險(xiǎn)評(píng)估方法及技術(shù)說明影響因素能否提供定量結(jié)果資源與能力不確定性的性質(zhì)與程度復(fù)雜性Bow-tie法一種簡(jiǎn)單的圖形描述方式，分析了風(fēng)險(xiǎn)從危險(xiǎn)發(fā)展到后果的各類路徑，并可審核風(fēng)險(xiǎn)控制措施?？蓪⑵湟暈榉治鍪马?xiàng)起因（由蝶形圖的結(jié)代表）的故障樹和分析后果的事件樹這兩種方法的結(jié)合體。中高中是層次分析法（AHP）定性與定量分析相結(jié)合，適合于多目標(biāo)、多層次、多因素的復(fù)雜系統(tǒng)的決策。中任何任何是在險(xiǎn)值（VaR）法基于統(tǒng)計(jì)分析基礎(chǔ)上的風(fēng)險(xiǎn)度量技術(shù)，可有效描述資產(chǎn)組合的整體市場(chǎng)風(fēng)險(xiǎn)狀況。中低高是均值—方差模型將收益和風(fēng)險(xiǎn)相平衡，可應(yīng)用于投資和資產(chǎn)組合選擇。中低中是資本資產(chǎn)定價(jià)模型清晰地闡明了資本市場(chǎng)中風(fēng)險(xiǎn)與收益的關(guān)系。高低高是FN曲線FN曲線通過區(qū)域塊來表示風(fēng)險(xiǎn)，并可進(jìn)行風(fēng)險(xiǎn)比較，可用于系統(tǒng)或過程設(shè)計(jì)以及現(xiàn)有系統(tǒng)的管理。高中中是馬爾可夫分析法馬爾可夫分析通常用于對(duì)那些存在多種狀態(tài)（包括各種降級(jí)使用狀態(tài)）的可維修復(fù)雜系統(tǒng)進(jìn)行分析。高低高是蒙特卡羅模擬法蒙特卡羅模擬用于確定系統(tǒng)內(nèi)的綜合變化，該變化產(chǎn)生于多個(gè)輸入數(shù)據(jù)的變化，其中每個(gè)輸入數(shù)據(jù)都有確定的分布，而且輸入數(shù)據(jù)與輸出結(jié)果有著明確的關(guān)系。該方法能用于那些可將不同輸入數(shù)據(jù)之間相互作用計(jì)算確定的具體模型。根據(jù)輸入數(shù)據(jù)所代表的不確定性的特征，輸入數(shù)據(jù)可以基于各種分布類型。風(fēng)險(xiǎn)評(píng)估中常用的是三角或貝塔分布。高低高是貝葉斯分析貝葉斯分析是一種統(tǒng)計(jì)程序，利用先驗(yàn)分布數(shù)據(jù)來評(píng)估結(jié)果的可能性，其推斷的準(zhǔn)確程度依賴于先驗(yàn)分布的準(zhǔn)確性。貝葉斯信念網(wǎng)通過捕捉那些能產(chǎn)生一定結(jié)果的各種輸入數(shù)據(jù)之間的概率關(guān)系來對(duì)原因及效果進(jìn)行模擬。高低高是目前十四頁\總數(shù)八十六頁\編于十四點(diǎn)確定環(huán)境信息頭腦風(fēng)暴法事項(xiàng)內(nèi)容概述指刺激并鼓勵(lì)一群知識(shí)淵博的人員暢所欲言，以發(fā)現(xiàn)潛在的失效模式及相關(guān)危險(xiǎn)、風(fēng)險(xiǎn)、決策標(biāo)準(zhǔn)或處理辦法。泛指各種形式的小組討論。用途可與其它方法一起使用，或單獨(dú)使用，用于激發(fā)想象力?？捎糜诎l(fā)現(xiàn)問題的高層討論，或更細(xì)致的評(píng)審。輸入召集一個(gè)熟悉被評(píng)估的組織、系統(tǒng)、過程或應(yīng)用的專家團(tuán)隊(duì)活動(dòng)討論會(huì)之前，主持人準(zhǔn)備好與討論內(nèi)容相關(guān)的一系列問題及思考提示確定討論會(huì)的目標(biāo)并解釋規(guī)則引導(dǎo)員首先介紹一系列想法，然后大家探討各種觀點(diǎn)，盡量多發(fā)現(xiàn)問題當(dāng)某一方向的思想已充分挖掘或討論偏離主題太遠(yuǎn)，引導(dǎo)進(jìn)入新的方向收集盡可能多的不同觀點(diǎn)，以便進(jìn)行后面的分析輸出取決于該結(jié)果所應(yīng)用的風(fēng)險(xiǎn)管理過程的階段。如，識(shí)別階段，輸出可能是風(fēng)險(xiǎn)及當(dāng)前控制手段的清單優(yōu)點(diǎn)有助于發(fā)現(xiàn)新的風(fēng)險(xiǎn)和全新的解決方案讓主要利益相關(guān)者參與其中，有助于進(jìn)行全面溝通速度較快且易于開展局限參與者可能缺乏必要的技術(shù)及知識(shí)，無法提出有效的建議相對(duì)松散，較難保證過程的全面性可能會(huì)出現(xiàn)特殊的小組狀況，導(dǎo)致某些重要觀點(diǎn)的人保持沉默而其他人成為討論的主角目前十五頁\總數(shù)八十六頁\編于十四點(diǎn)確定環(huán)境信息風(fēng)險(xiǎn)矩陣法事項(xiàng)內(nèi)容概述是一種將定性或半定量的后果分級(jí)與產(chǎn)生一定水平的風(fēng)險(xiǎn)或風(fēng)險(xiǎn)等級(jí)的可能性相結(jié)合的方式。矩陣格式及適用的定義取決于使用背景，關(guān)鍵是要在這種情況下使用合適的設(shè)計(jì)。用途可用來根據(jù)風(fēng)險(xiǎn)等級(jí)對(duì)風(fēng)險(xiǎn)、風(fēng)險(xiǎn)來源或風(fēng)險(xiǎn)應(yīng)對(duì)進(jìn)行排序。作為一種篩查工具：確定哪些風(fēng)險(xiǎn)需更細(xì)致的分析；哪些風(fēng)險(xiǎn)無需進(jìn)一步考慮?？捎糜贔MECA（失效模式、效應(yīng)和危害度分析）危險(xiǎn)度分析?？捎糜贖AZOP（危險(xiǎn)與可操作性分析）結(jié)束后確定先后順序。當(dāng)缺乏足夠數(shù)據(jù)進(jìn)行細(xì)致分析，或無法保證進(jìn)一步定量分析的時(shí)間和精力時(shí)，可采用后果可能性矩陣。輸入輸入數(shù)據(jù)為個(gè)性化的后果和可能性等級(jí)，以及將兩者結(jié)合起來的矩陣活動(dòng)首先發(fā)現(xiàn)最適合當(dāng)時(shí)情況的后果描述符，然后界定那些結(jié)果發(fā)生的可能性。很多事項(xiàng)會(huì)有各種后果，并有各種不同的相關(guān)的可能性。關(guān)鍵要使用與所選后果相關(guān)的可能性，而不是整個(gè)事項(xiàng)的可能性。輸出對(duì)各類風(fēng)險(xiǎn)的分級(jí)或確定了重要性級(jí)別的風(fēng)險(xiǎn)清單。優(yōu)點(diǎn)便于使用。將風(fēng)險(xiǎn)快速劃分為不同的重要性等級(jí)。局限必須設(shè)計(jì)適合具體情況的矩陣，因此，很難有適用于組織各環(huán)境的通用系統(tǒng)。很難清晰地界定等級(jí)，具有很強(qiáng)的主觀色彩，不同的分級(jí)者有明顯的結(jié)果差異。無法對(duì)風(fēng)險(xiǎn)進(jìn)行總計(jì)，組織或比較不同類型后果的風(fēng)險(xiǎn)等級(jí)比較困難。目前十六頁\總數(shù)八十六頁\編于十四點(diǎn)確定環(huán)境信息風(fēng)險(xiǎn)矩陣法5510152025448121620336912152246810112345可能性等級(jí)風(fēng)險(xiǎn)級(jí)別

后果等級(jí)12345目前十七頁\總數(shù)八十六頁\編于十四點(diǎn)確定環(huán)境信息consequence（

后果）：outcomeofanevent(3.3)affectingobjectives[ISOGuide73:2009]event（事態(tài)）：occurrenceorchangeofaparticularsetofcircumstances[ISOGuide73:2009]AneventcanbedefinedasanydetectableordiscernibleoccurrencethathassignificanceforthemanagementoftheITInfrastructureorthedeliveryofITserviceandevaluationoftheimpactadeviationmightcausetotheservices.[ITILV3]EventsaretypicallynotificationscreatedbyanITservice,ConfigurationItem(CI)ormonitoringtool.[ITILV3]incident（事件）：AnunplannedinterruptiontoanITserviceorreductioninthequalityofanITservice.Failureofaconfigurationitemthathasnotyetimpactedserviceisalsoanincident,forexamplefailureofonediskfromamirrorset.[ITILV3]基本概念目前十八頁\總數(shù)八十六頁\編于十四點(diǎn)確定環(huán)境信息基本準(zhǔn)則風(fēng)險(xiǎn)管理方法風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則影響準(zhǔn)則風(fēng)險(xiǎn)接受準(zhǔn)則范圍和邊界組織架構(gòu)風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則開發(fā)風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則應(yīng)考慮如下內(nèi)容：業(yè)務(wù)信息過程的戰(zhàn)略價(jià)值

相關(guān)信息資產(chǎn)的危險(xiǎn)程度

法律法規(guī)的要求和合同的義務(wù)

運(yùn)營(yíng)和業(yè)務(wù)可用性、保密性、完整性的重要程度

利益相關(guān)方的期望和認(rèn)知，以及對(duì)信譽(yù)和名聲的負(fù)面影響目前十九頁\總數(shù)八十六頁\編于十四點(diǎn)確定環(huán)境信息基本準(zhǔn)則風(fēng)險(xiǎn)管理方法風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則影響準(zhǔn)則風(fēng)險(xiǎn)接受準(zhǔn)則范圍和邊界組織架構(gòu)影響準(zhǔn)則開發(fā)影響準(zhǔn)則應(yīng)考慮如下內(nèi)容，并以信息安全事態(tài)造成的對(duì)組織損害程度或成本的方式來說明：受影響資產(chǎn)的分類級(jí)別

信息安全的違背（如保密性、完整性和可用性的喪失）

運(yùn)行的受損（內(nèi)部或第三方的）

業(yè)務(wù)或財(cái)務(wù)價(jià)值的損失對(duì)計(jì)劃和最后期限的破壞

聲譽(yù)的損失

對(duì)法律法規(guī)或合同要求的違背目前二十頁\總數(shù)八十六頁\編于十四點(diǎn)確定環(huán)境信息潛在后果/影響定義示例：后果/影響定義低如果預(yù)期保密性、完整性或可用性的缺失對(duì)組織運(yùn)營(yíng)、組織資產(chǎn)或個(gè)人會(huì)產(chǎn)生有限的負(fù)面影響，則潛在影響級(jí)別為低。有限的負(fù)面影響是指例如保密性、完整性或可用性的缺失可能會(huì)：(i)造成使命能力的降級(jí)，以致組織仍能執(zhí)行其主要職能，但職能的有效性明顯降低。(ii)對(duì)組織資產(chǎn)產(chǎn)生較小破壞;(iii)導(dǎo)致較輕的財(cái)務(wù)損失(iv)對(duì)個(gè)人造成輕微的損害。中如果預(yù)期保密性、完整性或可用性的缺失對(duì)組織運(yùn)營(yíng)、組織資產(chǎn)或個(gè)人會(huì)產(chǎn)生嚴(yán)重的負(fù)面影響，則潛在影響級(jí)別為中級(jí)。嚴(yán)重的負(fù)面影響是指例如保密性、完整性或可用性的缺失可能會(huì)：(i)造成使命能力的嚴(yán)重降級(jí)，以致組織仍能執(zhí)行其主要職能，但職能的有效性嚴(yán)重降低。(ii)對(duì)組織資產(chǎn)產(chǎn)生嚴(yán)重破壞;(iii)導(dǎo)致嚴(yán)重的財(cái)務(wù)損失(iv)對(duì)個(gè)人造成嚴(yán)重?fù)p害，但不至喪命或?qū)ιa(chǎn)生嚴(yán)重威脅。高如果預(yù)期保密性、完整性或可用性的缺失對(duì)組織運(yùn)營(yíng)、組織資產(chǎn)或個(gè)人會(huì)產(chǎn)生重大的或?yàn)?zāi)難性的負(fù)面影響，則潛在影響級(jí)別為高。重大的或?yàn)?zāi)難性的負(fù)面影響是指例如保密性、完整性或可用性的缺失可能會(huì)：(i)造成使命能力的重大降級(jí)，以致組織無法執(zhí)行其主要職能(ii)對(duì)組織資產(chǎn)產(chǎn)生重大破壞;(iii)導(dǎo)致重大財(cái)務(wù)損失(iv)對(duì)個(gè)人造成重大的或?yàn)?zāi)難性的損害，以至喪命或?qū)ιa(chǎn)生嚴(yán)重威脅。目前二十一頁\總數(shù)八十六頁\編于十四點(diǎn)確定環(huán)境信息基本準(zhǔn)則風(fēng)險(xiǎn)管理方法風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則影響準(zhǔn)則風(fēng)險(xiǎn)接受準(zhǔn)則范圍和邊界組織架構(gòu)風(fēng)險(xiǎn)接受準(zhǔn)則風(fēng)險(xiǎn)接受準(zhǔn)則的常常依賴于組織的方針、目的、目標(biāo)以及利益相關(guān)方的利益。目前二十二頁\總數(shù)八十六頁\編于十四點(diǎn)確定環(huán)境信息基本準(zhǔn)則風(fēng)險(xiǎn)管理方法風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則影響準(zhǔn)則風(fēng)險(xiǎn)接受準(zhǔn)則范圍和邊界組織架構(gòu)風(fēng)險(xiǎn)接受準(zhǔn)則開發(fā)風(fēng)險(xiǎn)可接受準(zhǔn)則時(shí)，應(yīng)該考慮以下方面：風(fēng)險(xiǎn)接受準(zhǔn)則可以包括帶有風(fēng)險(xiǎn)期望目標(biāo)級(jí)別的多個(gè)閾值，但在確定的情形下，提交給高層管理者接受的風(fēng)險(xiǎn)可能超出該級(jí)別

風(fēng)險(xiǎn)可接受準(zhǔn)則可以用估算收益（或業(yè)務(wù)收益）與估算風(fēng)險(xiǎn)的比值來描述

對(duì)不同類型的風(fēng)險(xiǎn)可以采用不同的風(fēng)險(xiǎn)接受準(zhǔn)則，例如，導(dǎo)致對(duì)法律法規(guī)不符合的風(fēng)險(xiǎn)可能是不可接受的，但可能允許接受導(dǎo)致違背合同要求的高風(fēng)險(xiǎn)

風(fēng)險(xiǎn)接受準(zhǔn)則可以包括下一步的補(bǔ)充處置要求，例如，如果認(rèn)可或承諾在確定的時(shí)間內(nèi)將采取行動(dòng)以將風(fēng)險(xiǎn)降到可接受級(jí)別，則風(fēng)險(xiǎn)可以被接受目前二十三頁\總數(shù)八十六頁\編于十四點(diǎn)確定環(huán)境信息基本準(zhǔn)則風(fēng)險(xiǎn)管理方法風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則影響準(zhǔn)則風(fēng)險(xiǎn)接受準(zhǔn)則范圍和邊界組織架構(gòu)風(fēng)險(xiǎn)接受準(zhǔn)則風(fēng)險(xiǎn)接受準(zhǔn)則可能因預(yù)計(jì)風(fēng)險(xiǎn)將多長(zhǎng)時(shí)間存在而不同，例如風(fēng)險(xiǎn)可能與一個(gè)臨時(shí)或短期活動(dòng)相關(guān)。設(shè)定風(fēng)險(xiǎn)接受準(zhǔn)則時(shí)，應(yīng)該考慮：業(yè)務(wù)準(zhǔn)則

法律法規(guī)方面

運(yùn)營(yíng)

技術(shù)

財(cái)務(wù)

社會(huì)和人為因素目前二十四頁\總數(shù)八十六頁\編于十四點(diǎn)確定環(huán)境信息基本準(zhǔn)則風(fēng)險(xiǎn)管理方法風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則影響準(zhǔn)則風(fēng)險(xiǎn)接受準(zhǔn)則范圍和邊界組織架構(gòu)范圍和邊界需要定義信息安全風(fēng)險(xiǎn)管理過程的范圍，以保證在風(fēng)險(xiǎn)評(píng)估過程中考慮到所有相關(guān)資產(chǎn)。對(duì)任何排除在范圍之外的，都應(yīng)該提供正當(dāng)?shù)睦碛?。風(fēng)險(xiǎn)管理范圍可能是一個(gè)IT應(yīng)用、IT基礎(chǔ)設(shè)施、一個(gè)業(yè)務(wù)過程或組織的某個(gè)界定部分。需要定義邊界以處理在邊界處呈現(xiàn)的風(fēng)險(xiǎn)。目前二十五頁\總數(shù)八十六頁\編于十四點(diǎn)確定環(huán)境信息基本準(zhǔn)則風(fēng)險(xiǎn)管理方法風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則影響準(zhǔn)則風(fēng)險(xiǎn)接受準(zhǔn)則范圍和邊界組織架構(gòu)范圍和邊界在定義范圍和邊界時(shí)，考慮以下信息：組織的戰(zhàn)略經(jīng)營(yíng)目標(biāo)、戰(zhàn)略和策略

業(yè)務(wù)過程

組織的職能和結(jié)構(gòu)

適用于組織的法律法規(guī)和合同義務(wù)的要求

組織的信息安全方針

組織風(fēng)險(xiǎn)管理的整體方法

信息資產(chǎn)

組織的位置及其地理特性

影響組織的約束條件

利益相關(guān)方的期望

社會(huì)文化環(huán)境

接口（與環(huán)境交換信息）目前二十六頁\總數(shù)八十六頁\編于十四點(diǎn)確定環(huán)境信息基本準(zhǔn)則風(fēng)險(xiǎn)管理方法風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則影響準(zhǔn)則風(fēng)險(xiǎn)接受準(zhǔn)則范圍和邊界組織架構(gòu)組織架構(gòu)設(shè)置和維持信息安全風(fēng)險(xiǎn)管理過程的組織架構(gòu)和職責(zé)，并由管理者批準(zhǔn)。下面是信息安全風(fēng)險(xiǎn)管理過程組織架構(gòu)的主要角色和職責(zé)：開發(fā)適合組織的信息安全風(fēng)險(xiǎn)管理過程

識(shí)別和分析利益相關(guān)方

定義組織內(nèi)、外部各方的角色和職責(zé)

在組織和相關(guān)利益方之間建立必要的聯(lián)系，如組織高風(fēng)險(xiǎn)管理職能的接口（如運(yùn)營(yíng)風(fēng)險(xiǎn)管理），以及與其它項(xiàng)目或活動(dòng)之間的接口

定義決策升級(jí)路徑

說明需要保存的記錄目前二十七頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)估基本準(zhǔn)則范圍和邊界組織架構(gòu)輸入已按優(yōu)先級(jí)排序的風(fēng)險(xiǎn)清單輸出識(shí)別風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)過程實(shí)施指南確定信息資產(chǎn)價(jià)值識(shí)別適用的威脅

識(shí)別存在或可能存在的脆弱點(diǎn)

識(shí)別現(xiàn)有控制措施及對(duì)已識(shí)別風(fēng)險(xiǎn)的影響確定潛在后果風(fēng)險(xiǎn)優(yōu)先級(jí)排序風(fēng)險(xiǎn)評(píng)估通常會(huì)進(jìn)行兩個(gè)或多個(gè)循環(huán)先進(jìn)行高級(jí)別風(fēng)險(xiǎn)評(píng)估識(shí)別潛在高風(fēng)險(xiǎn)后對(duì)潛在高風(fēng)險(xiǎn)做進(jìn)一步的詳細(xì)考慮目前二十八頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估識(shí)別風(fēng)險(xiǎn)源、影響區(qū)域、事件（包括環(huán)境變化）以及原因和潛在后果。目的是產(chǎn)生基于哪些可能產(chǎn)生、增強(qiáng)、阻礙、加快或推遲目標(biāo)實(shí)現(xiàn)的事件的風(fēng)險(xiǎn)的綜合表格。包括其風(fēng)險(xiǎn)源是否在組織控制下的風(fēng)險(xiǎn)，即使風(fēng)險(xiǎn)源或原因不明顯也要識(shí)別。包括考查特定后果的直接影響，包括聯(lián)鎖和累積影響。包括識(shí)別什么可能發(fā)生，什么后果可能出現(xiàn)的可能原因和場(chǎng)景。應(yīng)用適合的目標(biāo)、能力及所面臨風(fēng)險(xiǎn)的風(fēng)險(xiǎn)識(shí)別工具和技術(shù)。在識(shí)別風(fēng)險(xiǎn)時(shí)，最新的信息是重要的，包括可能的適當(dāng)背景信息。具有適當(dāng)知識(shí)的人員宜參與到識(shí)別風(fēng)險(xiǎn)中。信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)目前二十九頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)環(huán)境信息確定的范圍和邊界由所有者、位置和功能等構(gòu)成的清單輸入資產(chǎn)清單與資產(chǎn)相關(guān)的業(yè)務(wù)過程清單及相互關(guān)系輸出在范圍內(nèi)識(shí)別信息資產(chǎn)活動(dòng)實(shí)施指南資產(chǎn)是對(duì)組織有價(jià)值的任何東西每個(gè)資產(chǎn)要有資產(chǎn)所有者，并安排職責(zé)和責(zé)任資產(chǎn)所有者可能并不對(duì)資產(chǎn)擁有所有權(quán)，但對(duì)資產(chǎn)的產(chǎn)生、開發(fā)、維護(hù)、使用有適當(dāng)保護(hù)責(zé)任目前三十頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估信息資產(chǎn)分類舉例：基本資產(chǎn)

業(yè)務(wù)過程或活動(dòng)

信息

支持性資產(chǎn)（基本資產(chǎn)所依賴的范圍）

硬件

軟件

網(wǎng)絡(luò)

人員

場(chǎng)所

組織架構(gòu)信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)信息資產(chǎn)分類舉例目前三十一頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估業(yè)務(wù)與支持性資產(chǎn)之間的關(guān)系OBASHI方法論評(píng)估業(yè)務(wù)運(yùn)作的以下六個(gè)“層次”,前兩個(gè)層次研究業(yè)務(wù)運(yùn)作的方式，后四個(gè)層次研究支持這些運(yùn)作活動(dòng)的IT資產(chǎn)：Ownership（利益相關(guān)者）BusinessProcess（業(yè)務(wù)流程）Application（應(yīng)用程序）System（操作系統(tǒng)）Hardware（硬件）Infrastructure（基礎(chǔ)架構(gòu)）信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)所有權(quán)業(yè)務(wù)流程應(yīng)用程序系統(tǒng)硬件基礎(chǔ)架構(gòu)產(chǎn)品與價(jià)格創(chuàng)建訂單RoodManSafeSeller價(jià)格訂單表產(chǎn)品MicrosoftSQLServer2005客戶訂單處理銷售經(jīng)理WindowsXP服務(wù)器3GModem網(wǎng)絡(luò)安全訂單執(zhí)行發(fā)票生成IT經(jīng)理供應(yīng)總監(jiān)財(cái)務(wù)總監(jiān)軟防火墻ＳQLServerABCAccountsLinuxW2000WS2003硬防火墻服務(wù)器服務(wù)器新訂單發(fā)票生成交換機(jī)主干網(wǎng)DMZ交換機(jī)Modem目前三十二頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)Ownership（利益相關(guān)者）BusinessProcess（業(yè)務(wù)流程）Application（應(yīng)用程序）System（操作系統(tǒng)）Hardware（硬件）Infrastructure（基礎(chǔ)架構(gòu)）信息技術(shù)服務(wù)生命周期（規(guī)劃、建設(shè)、運(yùn)維）OBASHI模型目前三十三頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)服務(wù)服務(wù)業(yè)務(wù)應(yīng)用系統(tǒng)通用軟件硬件設(shè)備物理位置IT區(qū)域網(wǎng)絡(luò)設(shè)施生產(chǎn)災(zāi)備保險(xiǎn)類投資類核心類輔助類內(nèi)部管理類操作系統(tǒng)中間件數(shù)據(jù)庫存儲(chǔ)主機(jī)負(fù)載均衡總部分支機(jī)構(gòu)接入?yún)^(qū)核心區(qū)辦公區(qū)路由器交換機(jī)防火墻測(cè)試基礎(chǔ)設(shè)施電源空調(diào)客服類數(shù)據(jù)中心安防機(jī)房位置機(jī)房1機(jī)房3機(jī)房2目前三十四頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)事件評(píng)審的結(jié)果資產(chǎn)所有者、使用者外部提供的威脅清單其他來源輸入包含威脅類型和威脅來源的威脅清單輸出識(shí)別威脅和威脅來源活動(dòng)實(shí)施指南威脅是對(duì)信息、過程和系統(tǒng)等資產(chǎn)構(gòu)成的潛在損害，由此組織帶來的損害威脅可能是自然的或人為的，也可能是意外的或故意的，也可能是組織內(nèi)部的或外部的威脅類型可能是非授權(quán)行為、物理損壞和技術(shù)失效威脅是持續(xù)變化的，特別是當(dāng)業(yè)務(wù)環(huán)境或信息系統(tǒng)發(fā)生變化時(shí)目前三十五頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)威脅類型威脅威脅來源威脅類型威脅威脅來源威脅類型威脅威脅來源物理損壞火災(zāi)A,D,E輻射干擾電磁輻射A,D,E技術(shù)故障設(shè)備失效A水災(zāi)A,D,E熱輻射A,D,E設(shè)備故障A污染A,D,E電子脈沖A,D,E飽和的信息系統(tǒng)A,D重大事故A,D,E信息的損害截取損害干擾信號(hào)D軟件故障A設(shè)備或介質(zhì)損壞A,D,E遠(yuǎn)程間諜D信息可維護(hù)性的違背A,D灰塵、腐蝕、嚴(yán)寒A,D,E偷聽D未經(jīng)授權(quán)的活動(dòng)設(shè)備的未經(jīng)授權(quán)的使用D自然災(zāi)難氣候現(xiàn)象E偷取介質(zhì)或文件D非法的軟件拷貝D地震現(xiàn)象E偷取設(shè)備D使用盜版軟件A,D火山現(xiàn)象E信息的損害偷取設(shè)備D破壞數(shù)據(jù)D氣象現(xiàn)象E獲取循環(huán)利用或廢棄的介質(zhì)D非法處理數(shù)據(jù)D洪水E泄密A,D功能受損誤用A基礎(chǔ)服務(wù)失效空調(diào)或供水系統(tǒng)失效A,D來自非信任源的數(shù)據(jù)A,D濫用權(quán)限A,D電源失效A,D,E損壞硬件D盜用權(quán)限D(zhuǎn)通訊設(shè)備故障A,D損壞軟件A,D拒絕服務(wù)D

位置檢測(cè)D個(gè)人可用性的違背A,D,E注1：D故意的，A意外的，E環(huán)境的。注2：D是指所有針對(duì)信息資產(chǎn)的故意行為，A是指所有可能導(dǎo)致信息資產(chǎn)意外受損的人為活動(dòng)，E是指非人為的所有意外事件。目前三十六頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)威脅來源動(dòng)機(jī)可能后果舉例威脅來源動(dòng)機(jī)可能后果舉例計(jì)算機(jī)犯罪毀壞信息計(jì)算機(jī)犯罪如網(wǎng)上跟蹤黑客挑戰(zhàn)黑客攻擊

非法信息泄密欺詐行為如回放、偽裝、竊聽自負(fù)社會(huì)工程

獲取經(jīng)濟(jì)利益信息賄賂

逆反系統(tǒng)入侵

非法修改數(shù)據(jù)欺騙

身份未經(jīng)授權(quán)的系統(tǒng)訪問

系統(tǒng)入侵

金錢

恐怖活動(dòng)郵件勒索爆炸/其它恐怖手段

內(nèi)部人員

（缺乏培訓(xùn)、

泄憤、惡意、

疏忽、誠(chéng)實(shí)

或被解雇的員工好奇攻擊員工

破壞信息戰(zhàn)

自負(fù)敲詐勒索

擅自利用系統(tǒng)攻擊如拒絕服務(wù)情報(bào)瀏覽專有信息

報(bào)復(fù)系統(tǒng)滲透

經(jīng)濟(jì)利益計(jì)算機(jī)濫用

政治獲益系統(tǒng)篡改

報(bào)復(fù)欺騙和竊取

媒體報(bào)道

無意的行為和疏忽（數(shù)據(jù)出入錯(cuò)誤、編程錯(cuò)誤）信息賄賂

行業(yè)間諜

（情報(bào)公司、

外國(guó)政府、

其他政府利益）競(jìng)爭(zhēng)優(yōu)勢(shì)國(guó)防優(yōu)勢(shì)

輸入偽造或錯(cuò)誤數(shù)據(jù)

經(jīng)濟(jì)間諜活動(dòng)政治優(yōu)勢(shì)

竊聽

經(jīng)濟(jì)宣傳

惡意代碼如病毒、邏輯炸彈、木馬

竊取信息

銷售個(gè)人信息

個(gè)人隱私入侵

系統(tǒng)漏洞

社會(huì)工程

系統(tǒng)入侵

系統(tǒng)滲透

系統(tǒng)破壞

未經(jīng)授權(quán)的系統(tǒng)訪問訪問保密的、私有的和/或技術(shù)相關(guān)信息

未經(jīng)授權(quán)的系統(tǒng)訪問

目前三十七頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估威脅等級(jí)示例信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)威脅描述（a）結(jié)果（資產(chǎn)價(jià)值）（b=[1-5]）威脅發(fā)生的可能性（c=[1-5]）風(fēng)險(xiǎn)等級(jí)（d=[b×c]）威脅等級(jí)（e）ThreatA52103ThreatB2484ThreatC35152ThreatD1335ThreatE4145ThreatF2484目前三十八頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)控制措施文檔風(fēng)險(xiǎn)處置實(shí)施計(jì)劃輸入所有現(xiàn)有或計(jì)劃的控制措施清單控制措施實(shí)施和使用狀況輸出識(shí)別現(xiàn)有控制措施識(shí)別已計(jì)劃控制措施活動(dòng)實(shí)施指南識(shí)別現(xiàn)有控制措施時(shí)應(yīng)檢查其工作有效性控制措施沒有預(yù)期工作，會(huì)形成脆弱點(diǎn)估算控制措施效果的方法是，看它怎樣降低威脅發(fā)生的可能性、消除暴露的脆弱點(diǎn)或降低事件的影響按照風(fēng)險(xiǎn)處置計(jì)劃將要實(shí)施的控制措施應(yīng)該視同已經(jīng)實(shí)施的控制措施目前三十九頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)已知的威脅清單已知的資產(chǎn)清單現(xiàn)有的控制措施清單輸入與資產(chǎn)、威脅和控制措施相關(guān)的脆弱點(diǎn)清單待評(píng)審的與已識(shí)別威脅不相關(guān)的脆弱點(diǎn)清單輸出識(shí)別可被威脅利用的資產(chǎn)的脆弱點(diǎn)識(shí)別可對(duì)組織造成損害的脆弱點(diǎn)活動(dòng)實(shí)施指南脆弱點(diǎn)的存在本身不會(huì)形成損害，它需要被某個(gè)威脅利用如果脆弱點(diǎn)沒有對(duì)應(yīng)的威脅，則可不需要實(shí)施控制措施，但要監(jiān)視其變化控制措施錯(cuò)誤實(shí)施、失效或錯(cuò)誤使用本身也是一個(gè)脆弱點(diǎn)如果威脅沒有對(duì)應(yīng)的脆弱點(diǎn)，也不會(huì)導(dǎo)致風(fēng)險(xiǎn)發(fā)生需要考慮不同來源的脆弱點(diǎn)，內(nèi)在的或外來的目前四十頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)脆弱性類型脆弱性示例威脅示例脆弱性類型脆弱性示例威脅示例脆弱性類型脆弱性示例威脅示例硬件維護(hù)不善/存儲(chǔ)介質(zhì)的錯(cuò)誤維護(hù)違背信息系統(tǒng)的可維護(hù)性站點(diǎn)建筑物或房間的不合適或隨意的物理訪問控制設(shè)備或介質(zhì)的損壞組織缺乏正式的用戶注冊(cè)和注銷程序偽裝缺乏定期更換計(jì)劃設(shè)備或介質(zhì)地?fù)p壞位于易受洪水影響的區(qū)域洪水缺乏訪問權(quán)限評(píng)審過程（監(jiān)督）偽裝受潮濕、灰塵、污染的影響灰塵、腐蝕、嚴(yán)寒不穩(wěn)定的電網(wǎng)缺乏電力供應(yīng)與客戶和/或第三方直接的合同中缺乏（關(guān)于安全）的條款，或不充分權(quán)限的不正當(dāng)使用對(duì)電磁輻射的敏感電磁輻射缺乏建筑物、門、窗的物理防護(hù)竊取設(shè)備缺乏監(jiān)視信息處理設(shè)施的程序權(quán)限的不正當(dāng)使用缺乏有效的變更控制錯(cuò)誤的使用網(wǎng)絡(luò)缺乏如用戶認(rèn)證身份認(rèn)證機(jī)制偽裝缺乏定期審計(jì)（監(jiān)督）權(quán)限的不正當(dāng)使用受電壓波動(dòng)的影響電力供應(yīng)不善缺乏保護(hù)的密碼表偽裝缺乏風(fēng)險(xiǎn)識(shí)別和評(píng)估權(quán)限的不正當(dāng)使用受溫度變化影響氣象現(xiàn)象弱的密碼管理偽裝缺乏管理員和操作員日志中記錄的錯(cuò)誤報(bào)告權(quán)限的不正當(dāng)使用缺乏防護(hù)的存儲(chǔ)竊取介質(zhì)或文件啟用不必要的服務(wù)非法處理數(shù)據(jù)不充分的服務(wù)維護(hù)響應(yīng)違背信息系統(tǒng)可管理性對(duì)廢棄處置缺乏關(guān)注竊取介質(zhì)或文件不成熟或新的軟件軟件故障缺乏服務(wù)等級(jí)協(xié)議或不充分違背信息系統(tǒng)可管理性不受控的拷貝竊取介質(zhì)或文件開發(fā)規(guī)范不清晰或不完整軟件故障缺乏變更控制違背信息系統(tǒng)可管理性沒有或不受控權(quán)限的濫用缺乏有效的變更控制軟件故障缺乏ISMS文件控制程序數(shù)據(jù)損壞軟件眾所周知的軟件缺陷權(quán)限的濫用不受控的下載和使用軟件軟件纂改缺乏ISMS紀(jì)錄控制程序（監(jiān)督）數(shù)據(jù)損壞離開時(shí)，沒有登出終端權(quán)限的濫用缺乏備份軟件纂改缺乏公眾可用信息的認(rèn)可過程來自非信任源的數(shù)據(jù)存儲(chǔ)介質(zhì)的處置和再利用前沒有正確的清除數(shù)據(jù)權(quán)限的濫用缺乏建筑物、門、窗的物理保護(hù)竊取介質(zhì)或文件缺乏合適的信息安全職責(zé)分配拒絕行動(dòng)缺乏審計(jì)痕跡權(quán)限的濫用未形成管理報(bào)告設(shè)備未經(jīng)授的權(quán)使用缺乏連續(xù)性計(jì)劃設(shè)備失效錯(cuò)誤的分配權(quán)限權(quán)限的濫用缺乏證據(jù)的郵件發(fā)送和接收拒絕行動(dòng)缺乏e-mail使用方針誤用廣泛的分布式軟件數(shù)據(jù)損壞缺乏保護(hù)的通訊線路竊聽缺乏向操作系統(tǒng)導(dǎo)入軟件的程序誤用按時(shí)間點(diǎn)利用應(yīng)用程序時(shí)，導(dǎo)入錯(cuò)誤數(shù)據(jù)數(shù)據(jù)損壞不受保護(hù)的敏感信息的傳送竊聽缺乏管理員和操作員日志記錄誤用復(fù)雜的用戶界面誤用不良的接線通訊設(shè)備的失效缺乏保密信息處理程序誤用缺乏文件誤用單點(diǎn)失效通訊設(shè)備的失效在工作說明書中缺乏安全職責(zé)誤用錯(cuò)誤的參數(shù)設(shè)置誤用缺乏發(fā)送者和接受者的認(rèn)證偽裝與員工合同中缺乏（關(guān)于信息安全）條款或不足非法處理數(shù)據(jù)錯(cuò)誤的日期誤用不安全的網(wǎng)絡(luò)架構(gòu)遠(yuǎn)程間諜缺乏一旦發(fā)生信息安全事件時(shí)的記錄處理過程竊取設(shè)備人員人員缺乏人員可用性的違背明文傳輸密碼遠(yuǎn)程間諜缺乏正式的移動(dòng)計(jì)算機(jī)的方針竊取設(shè)備不合適的招聘程序設(shè)備或介質(zhì)的損壞錯(cuò)誤的網(wǎng)絡(luò)管理（路由的健壯性）信息系統(tǒng)的滲透缺乏組織場(chǎng)所外設(shè)備的控制竊取設(shè)備缺乏安全培訓(xùn)誤用不受保護(hù)的公共網(wǎng)絡(luò)連接未經(jīng)授權(quán)的設(shè)備使用缺乏“清空桌面和屏幕”方針竊取介質(zhì)或文件軟、硬件的不正確使用誤用

缺乏信息處理設(shè)施的授權(quán)竊取介質(zhì)或文件缺乏安全意識(shí)誤用

缺乏確定的信息安全違背監(jiān)視機(jī)制竊取介質(zhì)或文件缺乏監(jiān)視機(jī)制非法處理數(shù)據(jù)

缺乏定期評(píng)審未經(jīng)授權(quán)的使用設(shè)備缺乏對(duì)由外部或清潔工完成的工作的監(jiān)督非法處理數(shù)據(jù)

缺乏報(bào)告信息安全弱點(diǎn)的程序未經(jīng)授權(quán)的使用設(shè)備缺乏正確使用電子媒介和電子消息的方針未經(jīng)授權(quán)的設(shè)備使用

缺乏保證知識(shí)產(chǎn)權(quán)復(fù)合型的程序使用盜版軟件目前四十一頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估技術(shù)脆弱性評(píng)估方法（信息系統(tǒng)測(cè)試）漏洞自動(dòng)掃描工具用于針對(duì)已知的脆弱服務(wù)，掃描一組主機(jī)或網(wǎng)絡(luò)（如系統(tǒng)允許匿名的文件傳輸協(xié)議(FTP)，郵件轉(zhuǎn)發(fā)）。應(yīng)該注意，自動(dòng)識(shí)別的某些潛在脆弱點(diǎn)在系統(tǒng)環(huán)境背景下可能并不是真正的脆弱點(diǎn)。例如，某些掃描工具在對(duì)潛在脆弱點(diǎn)進(jìn)行定級(jí)時(shí)，并不考慮場(chǎng)所環(huán)境和要求。自動(dòng)掃描軟件標(biāo)識(shí)的某些脆弱點(diǎn)對(duì)于特定場(chǎng)所可能并不是脆弱點(diǎn)，而且因環(huán)境要求必須如此配置。因此，本測(cè)試方法可能報(bào)告虛假脆弱點(diǎn)。安全測(cè)試和評(píng)價(jià)（STE）是在風(fēng)險(xiǎn)評(píng)估過程中識(shí)別ICT系統(tǒng)脆弱點(diǎn)的另外一個(gè)方法。它包括開發(fā)和執(zhí)行一個(gè)測(cè)試計(jì)劃（如，測(cè)試腳本、測(cè)試過程和預(yù)期的測(cè)試結(jié)果）。系統(tǒng)安全測(cè)試的目的是測(cè)試已經(jīng)應(yīng)用到某個(gè)運(yùn)行環(huán)境中的ICT系統(tǒng)的安全控制措施的有效性。目標(biāo)是保證應(yīng)用的控制措施滿足已認(rèn)可的軟、硬件安全規(guī)范，滿足組織的安全方針或行業(yè)標(biāo)準(zhǔn)。

滲透測(cè)試用作安全控制措施評(píng)審的補(bǔ)充，以保證ICT系統(tǒng)的不同方面都是安全的。滲透測(cè)試可用于評(píng)估一個(gè)信息和通信技術(shù)系統(tǒng)防止企圖繞過系統(tǒng)安全措施的能力。目的是從威脅源的視點(diǎn)來測(cè)試ICT系統(tǒng)，以識(shí)別ICT系統(tǒng)保護(hù)方案的潛在失效點(diǎn)。

代碼評(píng)審最為徹底（也可能是最為昂貴）的漏洞評(píng)估方式。這些安全測(cè)試的結(jié)果將有助于識(shí)別系統(tǒng)的脆弱點(diǎn)。特別需要注意，滲透工具和技術(shù)可能提供虛假的結(jié)果，除非脆弱點(diǎn)被成功利用。為利用特定的脆弱點(diǎn)，需要知道被測(cè)試系統(tǒng)的系統(tǒng)、應(yīng)用、補(bǔ)丁的準(zhǔn)確設(shè)置。如果在進(jìn)行測(cè)試時(shí)，不知道這些數(shù)據(jù)，可能難以成功利用特定的脆弱點(diǎn)（例如，獲取遠(yuǎn)程逆轉(zhuǎn)界面）；然而，還是可能導(dǎo)致崩潰或重新啟動(dòng)進(jìn)程和系統(tǒng)。在這種情形，應(yīng)該認(rèn)為被測(cè)試對(duì)象是存在脆弱點(diǎn)的。方法包括以下活動(dòng)：

人員和用戶訪談

調(diào)查問卷

物理檢查

分析文件

信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)目前四十二頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)資產(chǎn)清單業(yè)務(wù)過程清單威脅和脆弱點(diǎn)清單資產(chǎn)相關(guān)關(guān)系輸入資產(chǎn)和業(yè)務(wù)過程相關(guān)的事件場(chǎng)景清單輸出識(shí)別資產(chǎn)喪失保密性、完整性和可用性的后果活動(dòng)實(shí)施指南后果可能是有效性的喪失、不利的運(yùn)行環(huán)境、業(yè)務(wù)的喪失、名譽(yù)的損失和損害等事件場(chǎng)景是對(duì)在信息安全事件中威脅利用某個(gè)特定的脆弱點(diǎn)或一組脆弱點(diǎn)的描述根據(jù)在確定環(huán)境信息活動(dòng)中所定義的影響準(zhǔn)則，確定事件場(chǎng)景的影響按資產(chǎn)的財(cái)務(wù)成本和資產(chǎn)破壞或損壞后帶來的業(yè)務(wù)影響對(duì)資產(chǎn)賦值目前四十三頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)分析包括考慮風(fēng)險(xiǎn)的原因和來源，以及所帶來的正面和負(fù)面的后果及這些后果發(fā)生的可能性?，F(xiàn)有的控制措施和其效果和效率也宜被考慮在內(nèi)?？紤]不同風(fēng)險(xiǎn)和其源的相互依賴關(guān)系。依據(jù)環(huán)境條件，風(fēng)險(xiǎn)分析可以定性的、半定量或定量的，也可以是組合的方式。后果和其可能性可以通過模擬一個(gè)或一系列事件的結(jié)果，或由實(shí)驗(yàn)研究或可用數(shù)據(jù)推斷確定。后果可基于有形和無形的影響表述。信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)目前四十四頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估定性風(fēng)險(xiǎn)分析：

定性風(fēng)險(xiǎn)采用級(jí)別分級(jí)屬性（如低、中、高）來描述潛在后果的嚴(yán)重性和潛在后果發(fā)生的可能性。定性風(fēng)險(xiǎn)分析的優(yōu)點(diǎn)是易于所有相關(guān)人員的理解，同時(shí)其弱點(diǎn)是級(jí)別選擇對(duì)主觀判斷的依賴?？梢詫?duì)級(jí)別進(jìn)行修訂或調(diào)整，以適應(yīng)環(huán)境，并為不同的風(fēng)險(xiǎn)采用不同的描述。定性風(fēng)險(xiǎn)分析可以用于：

作為最初的篩選活動(dòng)，以識(shí)別需要進(jìn)一步具體分析的風(fēng)險(xiǎn)

當(dāng)定性分析適合于決策時(shí)

當(dāng)量化數(shù)據(jù)不足以進(jìn)行定量估算時(shí)

定性分析應(yīng)該使用可用的真實(shí)的信息和數(shù)據(jù)。

定量風(fēng)險(xiǎn)分析：

定量風(fēng)險(xiǎn)分析通過不同來源的數(shù)據(jù)，使用數(shù)字化的級(jí)別來描述后果和可能性（而不是定性風(fēng)險(xiǎn)分析中所使用的描述性級(jí)別）。分析的質(zhì)量依賴于量化數(shù)字的準(zhǔn)確性和完整性，以及所使用模型的有效性。在很多情況下，定量風(fēng)險(xiǎn)分析使用歷史事件數(shù)據(jù)，優(yōu)勢(shì)是其直接與信息安全目標(biāo)和組織所關(guān)心的問題相關(guān)。不足是缺乏新的風(fēng)險(xiǎn)或信息安全弱點(diǎn)的數(shù)據(jù)。當(dāng)無法獲得真實(shí)和可審計(jì)數(shù)據(jù)時(shí)，將顯示定量方法的不足，因?yàn)檫@將導(dǎo)致風(fēng)險(xiǎn)評(píng)估準(zhǔn)確性和價(jià)值的假象。信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)目前四十五頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)已識(shí)別的事件場(chǎng)景，包括：識(shí)別的威脅、脆弱點(diǎn)、受影響的資產(chǎn)、對(duì)資產(chǎn)或業(yè)務(wù)過程的后果輸入用資產(chǎn)和影響準(zhǔn)則表示的事件場(chǎng)景評(píng)定后果的清單輸出考慮違背信息安全，喪失資產(chǎn)的（保密性、完整性、可用性）的基礎(chǔ)上），評(píng)估可能或?qū)嶋H導(dǎo)致的業(yè)務(wù)的影響活動(dòng)實(shí)施指南識(shí)別所有資產(chǎn)并評(píng)審后，在評(píng)估后果的同時(shí)給資產(chǎn)賦值通過以下兩種措施來確定資產(chǎn)價(jià)值：

資產(chǎn)的替代價(jià)值：恢復(fù)清理和替換信息所需的成本，以及

資產(chǎn)喪失或損壞的業(yè)務(wù)后果：如信息或其他信息資產(chǎn)的泄密、修改、不可用和/或破壞帶來的潛在業(yè)務(wù)負(fù)面影響和/或法律后果

可以從業(yè)務(wù)影響分析來確定賦值目前四十六頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)估潛在后果/影響定義示例：后果/影響定義低如果預(yù)期保密性、完整性或可用性的缺失對(duì)組織運(yùn)營(yíng)、組織資產(chǎn)或個(gè)人會(huì)產(chǎn)生有限的負(fù)面影響，則潛在影響級(jí)別為低。有限的負(fù)面影響是指例如保密性、完整性或可用性的缺失可能會(huì)：(i)造成使命能力的降級(jí)，以致組織仍能執(zhí)行其主要職能，但職能的有效性明顯降低。(ii)對(duì)組織資產(chǎn)產(chǎn)生較小破壞;(iii)導(dǎo)致較輕的財(cái)務(wù)損失(iv)對(duì)個(gè)人造成輕微的損害。中如果預(yù)期保密性、完整性或可用性的缺失對(duì)組織運(yùn)營(yíng)、組織資產(chǎn)或個(gè)人會(huì)產(chǎn)生嚴(yán)重的負(fù)面影響，則潛在影響級(jí)別為中級(jí)。嚴(yán)重的負(fù)面影響是指例如保密性、完整性或可用性的缺失可能會(huì)：(i)造成使命能力的嚴(yán)重降級(jí)，以致組織仍能執(zhí)行其主要職能，但職能的有效性嚴(yán)重降低。(ii)對(duì)組織資產(chǎn)產(chǎn)生嚴(yán)重破壞;(iii)導(dǎo)致嚴(yán)重的財(cái)務(wù)損失(iv)對(duì)個(gè)人造成嚴(yán)重?fù)p害，但不至喪命或?qū)ιa(chǎn)生嚴(yán)重威脅。高如果預(yù)期保密性、完整性或可用性的缺失對(duì)組織運(yùn)營(yíng)、組織資產(chǎn)或個(gè)人會(huì)產(chǎn)生重大的或?yàn)?zāi)難性的負(fù)面影響，則潛在影響級(jí)別為高。重大的或?yàn)?zāi)難性的負(fù)面影響是指例如保密性、完整性或可用性的缺失可能會(huì)：(i)造成使命能力的重大降級(jí)，以致組織無法執(zhí)行其主要職能(ii)對(duì)組織資產(chǎn)產(chǎn)生重大破壞;(iii)導(dǎo)致重大財(cái)務(wù)損失(iv)對(duì)個(gè)人造成重大的或?yàn)?zāi)難性的損害，以至喪命或?qū)ιa(chǎn)生嚴(yán)重威脅。目前四十七頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)已識(shí)別的事件場(chǎng)景，包括：識(shí)別的威脅、脆弱點(diǎn)、受影響的資產(chǎn)、對(duì)資產(chǎn)或業(yè)務(wù)過程的后果現(xiàn)有和計(jì)劃的控制措施清單，以及控制措施有效性、實(shí)施和使用狀態(tài)輸入事件場(chǎng)景的可能性（定性的或定量的）輸出評(píng)估事件場(chǎng)景的可能性活動(dòng)實(shí)施指南識(shí)別事件場(chǎng)景后，需要利用定性或定量分析技術(shù)對(duì)每一場(chǎng)景的可能性和產(chǎn)生的影響進(jìn)行評(píng)估考慮威脅發(fā)生經(jīng)常性和脆弱點(diǎn)被利用的容易度目前四十八頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估事件發(fā)生可能性示例信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)威脅可能性LowMediumHigh脆弱性級(jí)別LowMediumHighLowMediumHighLowMediumHigh事件場(chǎng)景的可能性值012123234目前四十九頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)事件場(chǎng)景清單產(chǎn)、對(duì)資產(chǎn)或業(yè)務(wù)過程的后果和可能性輸入分配有風(fēng)險(xiǎn)級(jí)別數(shù)值的風(fēng)險(xiǎn)清單輸出對(duì)事件場(chǎng)景確定風(fēng)險(xiǎn)級(jí)別活動(dòng)實(shí)施指南對(duì)風(fēng)險(xiǎn)的可能性和后果進(jìn)行賦值（定性或量）估計(jì)的風(fēng)險(xiǎn)是某個(gè)事件場(chǎng)景的可能性及其后果的組合目前五十頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)組合風(fēng)險(xiǎn)矩陣44565676783345456567223434545611232343450012123234資產(chǎn)價(jià)值風(fēng)險(xiǎn)級(jí)別利用的容易度

威脅發(fā)生的可能性LowMediumHighLowMediumHighLowMediumHighLowMediumHigh目前五十一頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)估定性風(fēng)險(xiǎn)矩陣VeryHigh45678High34567Medium23456Low12345VeryLow01234業(yè)務(wù)影響度風(fēng)險(xiǎn)級(jí)別

事件場(chǎng)景的可能性VeryLow（VeryUnlikely）Low（Unlikely）Medium（Possible）High（High）VeryHigh（Frequent）目前五十二頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)估定量風(fēng)險(xiǎn)矩陣445678334567223456112345001234可能性值風(fēng)險(xiǎn)值

資產(chǎn)價(jià)值01234目前五十三頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)價(jià)的目的是，基于風(fēng)險(xiǎn)分析的結(jié)果，幫助做出有關(guān)風(fēng)險(xiǎn)需要處理和處理實(shí)施優(yōu)先的決策。風(fēng)險(xiǎn)評(píng)價(jià)包括將分析過程中確定的風(fēng)險(xiǎn)程度與在明確環(huán)境時(shí)建立的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較。決策宜考慮更為寬泛風(fēng)險(xiǎn)含義，包括考慮風(fēng)險(xiǎn)獲益組織外的團(tuán)體對(duì)風(fēng)險(xiǎn)的容忍性。決策宜依據(jù)法律法規(guī)和其他要求做出。在某些情況下，風(fēng)險(xiǎn)評(píng)價(jià)可導(dǎo)致對(duì)決策的進(jìn)一步分析。風(fēng)險(xiǎn)評(píng)價(jià)也可導(dǎo)致，除了保持現(xiàn)存措施，不以任何方式處理風(fēng)險(xiǎn)的決策。信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)目前五十四頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估信息資產(chǎn)威脅控制措施脆弱性后果后果嚴(yán)重性發(fā)生可能性風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)優(yōu)先級(jí)分配有風(fēng)險(xiǎn)級(jí)別數(shù)值的風(fēng)險(xiǎn)清單風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則輸入將事件場(chǎng)景導(dǎo)致的風(fēng)險(xiǎn)按風(fēng)險(xiǎn)評(píng)價(jià)進(jìn)行優(yōu)先級(jí)排序的風(fēng)險(xiǎn)清單輸出風(fēng)險(xiǎn)級(jí)別與風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則和風(fēng)險(xiǎn)接受準(zhǔn)則進(jìn)行比較活動(dòng)實(shí)施指南用于制定決策的風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則應(yīng)該與已定義的內(nèi)外部風(fēng)險(xiǎn)管理環(huán)境信息相一致，并考慮組織的目標(biāo)和利益相關(guān)方的觀點(diǎn)。在風(fēng)險(xiǎn)評(píng)價(jià)活動(dòng)中采取的決策主要基于風(fēng)險(xiǎn)可接受級(jí)別。同時(shí)應(yīng)該考慮后果、可能性以及風(fēng)險(xiǎn)識(shí)別和分析的可信程度。多個(gè)低或中風(fēng)險(xiǎn)的組合，可能導(dǎo)致更高的綜合風(fēng)險(xiǎn)，并需要進(jìn)行相應(yīng)的處理。目前五十五頁\總數(shù)八十六頁\編于十四點(diǎn)信息安全風(fēng)險(xiǎn)管理確定環(huán)境信息1風(fēng)險(xiǎn)評(píng)估2風(fēng)險(xiǎn)處置3風(fēng)險(xiǎn)接受４溝通與磋商５監(jiān)視和評(píng)審６目前五十六頁\總數(shù)八十六頁\編于十四點(diǎn)信息安全風(fēng)險(xiǎn)管理過程風(fēng)險(xiǎn)評(píng)估環(huán)境建立風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)接受滿足？滿足？風(fēng)險(xiǎn)溝通和磋商風(fēng)險(xiǎn)監(jiān)視和評(píng)審風(fēng)險(xiǎn)決策點(diǎn)1評(píng)估滿足風(fēng)險(xiǎn)決策點(diǎn)2處置滿足NONOYESYES第一次結(jié)束或隨后重復(fù)信息安全風(fēng)險(xiǎn)管理過程目前五十七頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)處置已按風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則進(jìn)行風(fēng)險(xiǎn)優(yōu)先級(jí)排序的風(fēng)險(xiǎn)清單輸入風(fēng)險(xiǎn)處置計(jì)劃殘余風(fēng)險(xiǎn)報(bào)告輸出選擇風(fēng)險(xiǎn)處置選項(xiàng)制定風(fēng)險(xiǎn)處置計(jì)劃過程實(shí)施指南風(fēng)險(xiǎn)處置選項(xiàng)應(yīng)基于風(fēng)險(xiǎn)評(píng)估的結(jié)果和實(shí)施這些選項(xiàng)的預(yù)計(jì)成本及預(yù)期收益來選擇如果某一選項(xiàng)可以通過相對(duì)較低的花費(fèi)大幅度降低風(fēng)險(xiǎn)，則應(yīng)該實(shí)施該選項(xiàng)管理者應(yīng)該考慮罕見但嚴(yán)重的風(fēng)險(xiǎn)，在這種情形下，可能需要實(shí)施控制措施，而不會(huì)嚴(yán)格按經(jīng)濟(jì)性進(jìn)行判斷風(fēng)險(xiǎn)處置計(jì)劃應(yīng)該清晰定義所列出的單個(gè)需要實(shí)施的風(fēng)險(xiǎn)處置項(xiàng)的優(yōu)先級(jí)，以及實(shí)施的期限目前五十八頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)處置活動(dòng)風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)處置選項(xiàng)風(fēng)險(xiǎn)降低令人滿意的處置風(fēng)險(xiǎn)保持風(fēng)險(xiǎn)回避風(fēng)險(xiǎn)轉(zhuǎn)移殘余風(fēng)險(xiǎn)滿意的評(píng)估風(fēng)險(xiǎn)評(píng)估結(jié)果風(fēng)險(xiǎn)決策點(diǎn)1風(fēng)險(xiǎn)決策點(diǎn)2目前五十九頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)處理方案不必互相排斥或適宜所有情況。方案可以包括以下內(nèi)容:通過決定不開展或停止產(chǎn)生風(fēng)險(xiǎn)的活動(dòng)，來規(guī)避風(fēng)險(xiǎn)；為尋求機(jī)會(huì)，接受或提高風(fēng)險(xiǎn)；

消除風(fēng)險(xiǎn)源；改變可能性；改變后果；與另一方或多方共擔(dān)風(fēng)險(xiǎn)（包括合約和風(fēng)險(xiǎn)融資）；通過有事實(shí)依據(jù)的決策，保留風(fēng)險(xiǎn)。風(fēng)險(xiǎn)處理包括選擇一種或幾種修正風(fēng)險(xiǎn)的方案，以及實(shí)施那些方案。風(fēng)險(xiǎn)處理包括了一個(gè)循環(huán)過程：評(píng)價(jià)風(fēng)險(xiǎn)處理；確定殘留風(fēng)險(xiǎn)程度是否可容許；如果不可容許，產(chǎn)生新的風(fēng)險(xiǎn)處理；評(píng)價(jià)該處理的有效性。目前六十頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)保持：也叫接受風(fēng)險(xiǎn)，根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)，決定不采取進(jìn)一步的活動(dòng)而保持風(fēng)險(xiǎn)。接受準(zhǔn)則。風(fēng)險(xiǎn)降低：也叫控制風(fēng)險(xiǎn)，引進(jìn)、去除或修改控制措施，以至于殘余風(fēng)險(xiǎn)能被再評(píng)估，成為可接受的。措施選擇。風(fēng)險(xiǎn)回避：避免風(fēng)險(xiǎn)，是直接消極或去除某些風(fēng)險(xiǎn)，例如一個(gè)組織可以通過禁止網(wǎng)絡(luò)連接來避免遠(yuǎn)程攻擊；但是，不是所有的風(fēng)險(xiǎn)都是可以消極避免，例如，一個(gè)專業(yè)的電子商務(wù)網(wǎng)站就不能通過禁止網(wǎng)絡(luò)連接來消除遠(yuǎn)程攻擊的風(fēng)險(xiǎn)。成本分擔(dān)。風(fēng)險(xiǎn)轉(zhuǎn)移：也叫轉(zhuǎn)移風(fēng)險(xiǎn)，根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果，將風(fēng)險(xiǎn)轉(zhuǎn)移到能最有效的管理這個(gè)特定風(fēng)險(xiǎn)的其他方，例如，產(chǎn)品沒有出保質(zhì)期，這樣可用性面臨的風(fēng)險(xiǎn)就部分地轉(zhuǎn)移給供應(yīng)商。機(jī)會(huì)效率。風(fēng)險(xiǎn)處置選項(xiàng)目前六十一頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)控制減少降低威脅脆弱性可能性影響預(yù)防性控制措施補(bǔ)救性控制措施形成風(fēng)險(xiǎn)威脅、脆弱性和控制措施的關(guān)系示意圖目前六十二頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)處置什么是控制措施管理風(fēng)險(xiǎn)的方法。為達(dá)成組織目標(biāo)提供合理保證，并能預(yù)防、檢查和糾正風(fēng)險(xiǎn)。它們可以是行政、技術(shù)、管理、法律等方面的措施?？刂拼胧┑姆诸悾侯A(yù)防性控制措施檢查性控制措施糾正性控制措施控制措施威脅、脆弱性和控制措施的關(guān)系示意圖目前六十三頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)處置預(yù)防性控制措施：在問題發(fā)生前，并作出糾正僅雇傭勝任的人員職責(zé)分工使用訪問控制軟件，只允許授權(quán)用戶訪問敏感文件檢查性控制措施：檢查控制發(fā)生的錯(cuò)誤、疏漏或蓄意行為網(wǎng)絡(luò)通信過程中的Echo控制內(nèi)部審計(jì)糾正性控制措施：減少危害影響，修復(fù)檢查性控制發(fā)現(xiàn)的問題意外處理計(jì)劃備份流程恢復(fù)運(yùn)營(yíng)流程控制措施威脅、脆弱性和控制措施的關(guān)系示意圖目前六十四頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)處置控制措施威脅、脆弱性和控制措施的關(guān)系示意圖InformationSecurityIncident信息安全事件管理BCM業(yè)務(wù)連續(xù)性管理Human人員安全Physical物理安全I(xiàn)nformationSystem系統(tǒng)獲得/開發(fā)/維護(hù)Operation操作安全AccessControl訪問控制AccessControl訪問控制Asset資產(chǎn)管理Organization組織安全Policy方針目標(biāo)Compliance合規(guī)性Compliance合規(guī)性Compliance合規(guī)性Compliance合規(guī)性Communication通信安全Supplier供應(yīng)關(guān)系Cryptography密碼學(xué)目前六十五頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)處置控制措施制定思路決策層—控制策略管理層—控制程序執(zhí)行層—控制制度操作層—控制記錄控制措施威脅、脆弱性和控制措施的關(guān)系示意圖目前六十六頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)處置準(zhǔn)備和實(shí)施風(fēng)險(xiǎn)處置計(jì)劃選擇最合適的風(fēng)險(xiǎn)處理方案包括，針對(duì)以法律法規(guī)和諸如社會(huì)責(zé)任和自然環(huán)境保護(hù)的其他要求所獲得的利益，平衡成本和實(shí)施的工作量。決策也宜考慮可以批準(zhǔn)在經(jīng)濟(jì)層面上不合理的風(fēng)險(xiǎn)處理的風(fēng)險(xiǎn)，例如，嚴(yán)重的（高負(fù)面后果）但稀少（低可能性）的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)處理計(jì)劃的目的是將如何實(shí)施已選擇的處理措施形成文件。將要實(shí)施的風(fēng)險(xiǎn)處理方案。處理計(jì)劃中提供的信息宜包括：——選擇風(fēng)險(xiǎn)處理措施的原因，包括所期待獲得的效益；——負(fù)責(zé)改進(jìn)和實(shí)施計(jì)劃的人員；——建議的措施；——資源需求，包括緊急情況時(shí)；——績(jī)效測(cè)量和控制；——匯報(bào)及監(jiān)測(cè)要求；——時(shí)間和日程安排。處理計(jì)劃宜組織管理過程整合并與適當(dāng)?shù)睦嫦嚓P(guān)方討論。決策者和其他利益相關(guān)方宜意識(shí)到風(fēng)險(xiǎn)處理后殘留風(fēng)險(xiǎn)的性質(zhì)和程度。殘留風(fēng)險(xiǎn)宜形成文件并進(jìn)行監(jiān)測(cè)、評(píng)審，適當(dāng)時(shí)，進(jìn)一步處理。目前六十七頁\總數(shù)八十六頁\編于十四點(diǎn)信息安全風(fēng)險(xiǎn)管理確定環(huán)境信息1風(fēng)險(xiǎn)評(píng)估2風(fēng)險(xiǎn)處置3風(fēng)險(xiǎn)接受４溝通與磋商５監(jiān)視和評(píng)審６目前六十八頁\總數(shù)八十六頁\編于十四點(diǎn)信息安全風(fēng)險(xiǎn)管理過程風(fēng)險(xiǎn)評(píng)估環(huán)境建立風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)接受滿足？滿足？風(fēng)險(xiǎn)溝通和磋商風(fēng)險(xiǎn)監(jiān)視和評(píng)審風(fēng)險(xiǎn)決策點(diǎn)1評(píng)估滿足風(fēng)險(xiǎn)決策點(diǎn)2處置滿足NONOYESYES第一次結(jié)束或隨后重復(fù)信息安全風(fēng)險(xiǎn)管理過程目前六十九頁\總數(shù)八十六頁\編于十四點(diǎn)風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)處置計(jì)劃殘余風(fēng)險(xiǎn)報(bào)告輸入未能滿足正常風(fēng)險(xiǎn)接受準(zhǔn)則，但被接受的風(fēng)險(xiǎn)清單，并附帶接受的理由輸出風(fēng)險(xiǎn)接受決策記錄風(fēng)險(xiǎn)決策接受責(zé)任過程實(shí)施指南風(fēng)險(xiǎn)處置計(jì)劃應(yīng)該描述怎樣處置被評(píng)估的風(fēng)險(xiǎn)以滿足風(fēng)險(xiǎn)接受準(zhǔn)則。承擔(dān)責(zé)任的管理者對(duì)被提議的風(fēng)險(xiǎn)處置計(jì)劃和隨之而來的殘余風(fēng)險(xiǎn)的評(píng)審和批準(zhǔn)，并記錄與批準(zhǔn)相關(guān)的任何先決條件。在某些情形，殘余風(fēng)險(xiǎn)的級(jí)別可能不滿足風(fēng)險(xiǎn)接受準(zhǔn)則，因?yàn)槟壳斑m用的準(zhǔn)則，沒有考慮到當(dāng)前的情形，可能修訂風(fēng)險(xiǎn)接受準(zhǔn)則。目前七十頁\總數(shù)八十六頁\編于十四點(diǎn)信息安全風(fēng)險(xiǎn)管理確定環(huán)境信息1風(fēng)險(xiǎn)評(píng)估2風(fēng)險(xiǎn)處置3風(fēng)險(xiǎn)接受４溝通與磋商５監(jiān)視和評(píng)審６目前七十一頁\總數(shù)八十六頁\編于十四點(diǎn)信息安全風(fēng)險(xiǎn)管理過程風(fēng)險(xiǎn)評(píng)估環(huán)境建立風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)接受滿足？滿足？風(fēng)險(xiǎn)溝通和磋商風(fēng)險(xiǎn)監(jiān)視和評(píng)審風(fēng)險(xiǎn)決策點(diǎn)1評(píng)估滿足風(fēng)險(xiǎn)決策點(diǎn)2處置滿足NONOYESYES第一次結(jié)束或隨后重復(fù)信息安全風(fēng)險(xiǎn)管理過程目前七十二頁\總數(shù)八十六頁\編于十四點(diǎn)溝通與磋商溝通與磋商

與內(nèi)、外部利益相關(guān)方溝通和協(xié)商宜在風(fēng)險(xiǎn)管理過程所有階段進(jìn)行。因此，溝通和協(xié)商計(jì)劃宜在早期制定。該計(jì)劃宜針對(duì)與風(fēng)險(xiǎn)本身、風(fēng)險(xiǎn)成因、風(fēng)險(xiǎn)后果（如果掌握）以及處理風(fēng)險(xiǎn)措施相關(guān)的問題。為確保實(shí)施風(fēng)險(xiǎn)管理過程的職責(zé)明確，以及利益相關(guān)方理解決策的基礎(chǔ)和特定措施需求的原因，宜采取有效的外部和內(nèi)部溝通和協(xié)商。

協(xié)商團(tuán)隊(duì)方法可以：——適當(dāng)?shù)貛椭鞔_狀況；——確保利益相關(guān)方的利益被理解和考慮；——幫助確保風(fēng)險(xiǎn)充分地被識(shí)別；——將不同領(lǐng)域的專業(yè)知識(shí)一并用于分析風(fēng)險(xiǎn)；——確保在界定風(fēng)險(xiǎn)準(zhǔn)則和評(píng)定風(fēng)險(xiǎn)時(shí)，不同的觀點(diǎn)被恰當(dāng)?shù)乜紤]；——確保認(rèn)同和支持處理計(jì)劃；——加強(qiáng)在風(fēng)險(xiǎn)管理過程中的變更管理；——制定一個(gè)恰當(dāng)?shù)膬?nèi)部和外部溝通和協(xié)商計(jì)劃。

與利益相關(guān)方的溝通協(xié)商是重要的，由于他們基于對(duì)風(fēng)險(xiǎn)的感知，做出了對(duì)風(fēng)險(xiǎn)的判斷。這些感知可以由于利益相關(guān)方的價(jià)值觀、需求、臆斷、概念和關(guān)注點(diǎn)的不同而變化。由于利益相關(guān)方的觀點(diǎn)會(huì)對(duì)決策產(chǎn)生重大影響，因此他們的感知以被識(shí)別、記錄、以及在決策過程中考慮。

溝通和協(xié)商宜提供真實(shí)的、相關(guān)的、準(zhǔn)確的、便于理解的交流信息，同時(shí)宜考慮到保密和個(gè)人誠(chéng)實(shí)因素。目前七十三頁\總數(shù)八十六頁\編于十四點(diǎn)溝通與磋商風(fēng)險(xiǎn)管理活動(dòng)中獲得的所有風(fēng)險(xiǎn)信息輸入對(duì)組織信息安全風(fēng)險(xiǎn)管理過程和結(jié)果的持續(xù)理解輸出在決策者和其他利益方之間交換或共享有關(guān)風(fēng)險(xiǎn)的信息過程實(shí)施指南風(fēng)險(xiǎn)溝通是通過在決策者或其他相關(guān)利益方之間交換和/或共享風(fēng)險(xiǎn)信息就如何管理風(fēng)險(xiǎn)協(xié)商一致的活動(dòng)。這些信息包括但不限于，風(fēng)險(xiǎn)的存在方式、性質(zhì)、形式、可能性、嚴(yán)