HENsystemofficeroom【HEN16H-HENS2AHENS8Q8-HENH1688】風險識別與評價管理程序IIB通過風險評估，采取有效措施，降低威脅事件發(fā)生的可能性，或者減少威脅事件造成的影響，從而將風險消減到可接受的水平。適用于對信息安全管理體系信息安全風險的識別、評價、控制等管理。信息中心執(zhí)行信息安全風險的識別與評價；審核并批準重大信息安全風險，并負責編制協(xié)助信息中心的調(diào)查，參與討論重大信息安全風險的管理辦法。保密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。風險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量，而是由資產(chǎn)在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產(chǎn)具有不同的價值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產(chǎn)安全屬性的達成程度產(chǎn)生影響。為此，應(yīng)對組織中的資產(chǎn)進行識別。在一個組織中，資產(chǎn)有多種表現(xiàn)形式；同樣的兩個資產(chǎn)也因?qū)儆诓煌男畔⑾到y(tǒng)而重要性不同，而且對于提供多種業(yè)務(wù)的組織，其支持業(yè)務(wù)持續(xù)運行的系統(tǒng)數(shù)量可能更多。這時首先需要將信息系統(tǒng)及相關(guān)的資產(chǎn)進行恰當?shù)姆诸?，以此為基礎(chǔ)進行下一步的風險評估。在實際工作中，具體的資產(chǎn)分類方法可以根據(jù)具體的評估對象和要求，由評估者靈活把握。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員等類型。表1列出了一種資產(chǎn)分類方法。表1一種基于表現(xiàn)形式的資產(chǎn)分類方法數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)風險識別與評價管理程序IIBware交換機。硬件防火墻。程控交換機ent。ity員義：a)“國家秘密事項”：《中華人民共和國保守國家秘密法》中指定的秘密事；b)“企業(yè)秘密事項”：不可對外公開、若泄露或被篡改會對本公司的生產(chǎn)經(jīng)營造成損害，或者由于業(yè)務(wù)上的需要僅限有關(guān)人員知道的商業(yè)秘密事項；c)“敏感信息事項”：為了日常的業(yè)務(wù)能順利進行而向公司員工公司開、但不可向公司以外人員隨意公開的內(nèi)部控制事項；d涉及的事項；e)“公開事項”：其他可以完全公開的事項。信息分類不適用時，可不填寫。五、風險評估實施:根據(jù)資產(chǎn)在保密性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在保密性上應(yīng)達成的不同程度或者保密性缺失時對整個組織的影響。表2提供了一種保密性賦值的參考5，關(guān)系未來發(fā)展的前途命運，對組織根風險識別與評價管理程序IIB響，如果泄露會造成災(zāi)難性的損害4高其泄露會使組織的安全和利益遭受嚴重3會使組織的安全和利益受到損害2低在組織某一部門內(nèi)部公開的信息，向外擴散成輕微損害1用的信息處理設(shè)備和系統(tǒng)資源等根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在完整性上缺失時對整個組織的影響。表3提供了一種完整性賦值的參考。表3資產(chǎn)完整性賦值表5授權(quán)的修改或破壞會對組織造成重響，對業(yè)務(wù)沖擊重大，并可能造成嚴重的補4高的修改或破壞會對組織造成重大影3但可以彌補2低的修改或破壞會對組織造成輕微影1經(jīng)授權(quán)的修改或破壞對組織造成的務(wù)沖擊及小根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在可用性上應(yīng)達成的不同程度。表4提供了一種可用性賦值的參考。表4資產(chǎn)可用性賦值表5用者對信息及信息系統(tǒng)的可用度達4高者對信息及信息系統(tǒng)的可用度達到統(tǒng)允許中斷時間小于10min風險識別與評價管理程序IIB3者對信息及信息系統(tǒng)的可用度在正允許中斷時間小于30min2低者對信息及信息系統(tǒng)的可用度在正允許中斷時間小于60min1使用者對信息及信息系統(tǒng)的可用度25%根據(jù)資產(chǎn)在法律、法規(guī)、上級規(guī)定、合同協(xié)議符合性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在符合法律、法律、上級規(guī)定、合同協(xié)議的不同程度。表5資產(chǎn)合規(guī)性賦值表5休系要求，對組織造成無法接受的影，難以彌補。4高對組織造成重大影響，對業(yè)務(wù)3突，對組織造成影響，對業(yè)2低存在輕微的不符合，對組織1，但需持續(xù)改進，對組織造成的影資產(chǎn)價值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級，經(jīng)過綜合評定得出。綜合評定方法可以根據(jù)自身的特點，選擇對資產(chǎn)保密性、完整性和可用性最為重要的一個屬性的賦值等級作為資產(chǎn)的最終賦值結(jié)果；也可以根據(jù)資產(chǎn)保密性、完整性和可用性的不同等級對其賦值進行加權(quán)計算得到資產(chǎn)的最終賦值結(jié)果。加權(quán)方法可根據(jù)組織的業(yè)務(wù)特點確定。本標準中，為與上述安全屬性的賦值相對應(yīng)，根據(jù)最終賦值將資產(chǎn)劃分為五級，級別越高表示資產(chǎn)越重要，3級以及3級以上為重要資產(chǎn)，3級以下為非重要資產(chǎn)，并以此形成《信息資。表6中的資產(chǎn)等級劃分表明了不同等級的重要性的綜合描述。評估者可根據(jù)資產(chǎn)賦值結(jié)果，確定重要資產(chǎn)的范圍，并主要圍繞重要資產(chǎn)進行下一步的風險評估。AH風險識別與評價管理程序IIB表6資產(chǎn)等級及含義描述5可能對組織造成非常嚴重的損失4高后可能對組織造成比較嚴重的損失32低可能對組織造成較低的損失1織造成導(dǎo)很小的損失，甚至忽表資產(chǎn)價值等級劃分12345威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動機，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗的因素和其它物理因素。威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊，在保密性、完整性和可用性等方面造成損害；也可能是偶發(fā)的、或蓄意的事件。在對威脅進行分類前，應(yīng)考慮威脅的來源。表7提供了一種威脅來源的分類方法。7威脅來源列表、電磁干、意外事故等環(huán)境危害或自然、數(shù)據(jù)、通訊線路等方面的故障息系統(tǒng)進行惡意破壞篡用信息系統(tǒng)的脆弱性，對網(wǎng)性和可用性進行破壞，以獲足、不風險識別與評價管理程序IIB統(tǒng)故障或被攻擊對威脅進行分類的方式有多種，針對上表的威脅來源，可以根據(jù)其表現(xiàn)形式將威脅主要分為基于表現(xiàn)形式的威脅分類方法。表8一種基于表現(xiàn)形式的威脅分類表行產(chǎn)生影響的系數(shù)據(jù)庫軟故障等造成影響的物干擾、洪有序運行確、監(jiān)督務(wù)蠕蟲、陷越自己的權(quán)源，或壞信息用權(quán)限非正數(shù)據(jù)、濫用息等對信息系測、嗅探(帳號、口令、權(quán)限等)、用戶身份偽造和欺騙、破壞軟件、硬件、盜竊等的他人等性息不可用篡改系統(tǒng)配置信息別內(nèi)容風險識別與評價管理程序IIB和判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，評估者應(yīng)根據(jù)經(jīng)驗和(或)有關(guān)的統(tǒng)計數(shù)據(jù)來進行判斷。在評估中，需要綜合考慮以下三個方面，以形成在某種評估環(huán)境中各種威脅出現(xiàn)a)以往安全事件報告中出現(xiàn)過的威脅及其頻率的統(tǒng)計；b)實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計；近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計，以及發(fā)布的威脅現(xiàn)的頻率進行等級化處理，不同等級分別代表威脅出現(xiàn)的頻率的高低。等級數(shù)值越大，威脅出現(xiàn)的頻率越高。提供了威脅出現(xiàn)頻率的一種賦值方法。在實際的評估中，威脅頻率的判斷依據(jù)應(yīng)在評估準備階段根據(jù)歷史統(tǒng)計或行業(yè)判斷予以確定，并得到被評估方的認可。威脅賦值表5出現(xiàn)的頻率很高(或≥1次/周)；或在大多數(shù)情況下幾乎不可避免；或可以證實經(jīng)4高出現(xiàn)的頻率較高(或≥1次/月)；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實3出現(xiàn)的頻率中等(或>1次/半年)；或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)2低過1；僅可能在非常罕見和例外的情況下發(fā)生風險識別與評價管理程序IIB脆弱性是資產(chǎn)本身存在的，如果沒有被相應(yīng)的威脅利用，單純的脆弱性本身不會對資產(chǎn)造成損害。而且如果系統(tǒng)足夠強健，嚴重的威脅也不會導(dǎo)致安全事件發(fā)生，并造成損失。即，威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱性識別中最為困難的部分。不正確的、起不到應(yīng)有作用的或沒有正確實施的安全措施本身就可能是一個脆弱性。脆弱性識別是風險評估中最重要的一個環(huán)節(jié)。脆弱性識別可以以資產(chǎn)為核心，針對每一項需要保護的資產(chǎn),識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估；也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進行識別，然后與資產(chǎn)、威脅對應(yīng)起來。脆弱性識別的依據(jù)可以是國際或國家安全標準，也可以是行業(yè)規(guī)范、應(yīng)用流程的安全要求。對應(yīng)用在不同環(huán)境中的相同的弱點，其脆弱性嚴重程度是不同的，評估者應(yīng)從組織安全策略的角度考慮、判斷資產(chǎn)的脆弱性及其嚴重程度。信息系統(tǒng)所采用的協(xié)議、應(yīng)用流程的完備與否、與其他網(wǎng)絡(luò)的互聯(lián)等也應(yīng)考慮在內(nèi)。脆弱性識別時的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以域和軟硬件方面的專業(yè)人員等。脆弱性識別所采用的方法主要有：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。脆弱性識別主要從技術(shù)和管理兩個方面進行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的安全問題。管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面，前者與具體技術(shù)活動相關(guān)，后者與管理環(huán)境相關(guān)。表10脆弱性識別內(nèi)容表外部訪問控制策略、內(nèi)全配置等方面進行識別帳號、口令策略、資源問控制、新系統(tǒng)配置、注冊表加統(tǒng)管理等方面進行識別據(jù)完整性等方面進行識別控制策略、數(shù)據(jù)完整性作管理、訪問控制、系進行識別分類與控制、人員安全可以根據(jù)脆弱性對資產(chǎn)的暴露程度、技術(shù)實現(xiàn)的難易程度、流行程度等，采用等級方式對已識別的脆弱性的嚴重程度進行賦值。由于很多脆弱性反映的是同一方面的問題，或可能造成風險識別與評價管理程序IIB相似的后果，賦值時應(yīng)綜合考慮這些脆弱性，以確定這一方面脆弱性的嚴重程度。對某個資產(chǎn)，其技術(shù)脆弱性的嚴重程度還受到組織管理脆弱性的影響。因此，資產(chǎn)的脆弱性賦值還應(yīng)參考技術(shù)管理和組織管理脆弱性的嚴重程度。脆弱性嚴重程度可以進行等級化處理，不同的等級分別代表資產(chǎn)脆弱性嚴重程度的高低。等級數(shù)值越大，脆弱性嚴重程度越高。表11提供了脆弱性嚴重程表程度賦值表度的一種賦值方法。5成完全損害4高成重大損害3成一般損害2低成較小損害1成的損害可以忽略在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及已有安全措施確認后，將采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風險。以下是給出了風險計算原理，以下面的范式形式化加以說明：風險值=R(A，T，V)=R(L(T，V)，F(xiàn)(Ia，V))。其中，R表示安全風險計算函數(shù)；A表示資產(chǎn)；T表示威脅；VL表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；F表示安全事件發(fā)生后造成的損失。有以下三個關(guān)鍵計算環(huán)節(jié)：a)計算安全事件發(fā)生的可能性全事件發(fā)生的可能性，即：安全事件的可能性=L(威脅出現(xiàn)頻率，脆弱性)＝L(T，V)。在具體評估中，應(yīng)綜合攻擊者技術(shù)能力(專業(yè)技術(shù)程度、攻擊設(shè)備等)、脆弱性被利用的難易程度(可訪問時間、設(shè)計和操作知識公開程度等)、資產(chǎn)吸引力等因素來判斷安全事件發(fā)風險識別與評價管理程序IIBb)計算安全事件發(fā)生后造成的損失(即影響值)：安全事件造成的損失=F(資產(chǎn)價值，脆弱性嚴重程度)＝F(Ia，V)。部分安全事件的發(fā)生造成的損失不僅僅是針對該資產(chǎn)本身，還可能影響業(yè)務(wù)的連續(xù)性；不同安全事件的發(fā)生對組織的影響也是不一樣的。在計算某個安全事件的損失時，應(yīng)將對組織的慮在內(nèi)。部分安全事件造成的損失的判斷還應(yīng)參照安全事件發(fā)生可能性的結(jié)果，對發(fā)生可能性極小的安全事件，如處于非地震帶的地震威脅、在采取完備供電措施狀況下的電力故障威脅等，可c根據(jù)計算出的安全事件的可能性以及安全事件造成的損失，計算風險值，即：=R(安全事件的可能性，安全事件造成的損失)＝R(L(T，V)，F(xiàn)(Ia，V))。本公司規(guī)定采取相乘法進行風險值的計算。R=L*F=Ia*T*V為實現(xiàn)對風險的控制與管理，可以對風險評估的結(jié)果進行等級化處理。可將風險劃分為五級，等級越高，風險越高。風險等級達到四級為不可接受風險，四級以下為可接受風險，不可接受風險由風險評估小組制定風險處理計劃，并由各責任部門負責實施。表12風險等級劃分表5或社會影響，如組織信譽嚴正常經(jīng)營，經(jīng)濟損失重大、社會影4高會影響，在一定范圍內(nèi)給組3會或生產(chǎn)經(jīng)營影響，但影響是是風險識別與評價管理程序IIB2低一般僅限于組織內(nèi)部，通過1在，通過簡單的措施就能彌補