版權所有運行管理規(guī)程、計劃、報告、用戶手冊等應用軟件、系統(tǒng)軟件、開發(fā)工具和資源庫等計算機硬件、路由器、交換機、硬件防火墻、程控交換機、布線、備份存儲設備等網(wǎng)絡連接、網(wǎng)絡隔離保護、網(wǎng)絡管理、網(wǎng)絡安全保等紙質(zhì)的各種文件、傳真、電報、財務報告、發(fā)展計劃等各級雇員和雇主、合同方雇員等企業(yè)形象，客戶關系等5性影響，如果泄漏會造成災難性的影響4高是指包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴重損害3是指包含組織一般性秘密，其泄露會使組織的安全和利益受到損害2低指僅在組織內(nèi)部或在組織某一部門內(nèi)部公開,向外擴散有可能對組織的利益造成1對社會公開的信息，公用的信息處理設備和系統(tǒng)資源等信息資產(chǎn)5特別不愿接受的影響，對業(yè)務沖擊重大，并可能造成嚴重的業(yè)務中斷，難以彌補4高完整性價值較高，未經(jīng)授權的修改或破壞會對評估體造成重大影響，對業(yè)務沖擊嚴重，比較難以彌補32低對業(yè)務沖擊輕微，容易彌補1完整性價值非常低，未經(jīng)授權的修改或破壞會對評估體造成的影響可以忽略，對業(yè)務沖擊可以忽略5可用性價值非常高，合法使用者對信息系統(tǒng)及資源的可用度達到年度99.9%以上4高可用性價值較高，合法使用者對信息系統(tǒng)及資源的可用度達到每天99%以上32低1可用性價值可以忽略，法使用者對信息系統(tǒng)及資源的可用度在正常上班時間低于5資產(chǎn)的重要程度很高，其安全屬性破壞后可能導致系統(tǒng)受到非常嚴重的影響4高資產(chǎn)的重要程度較高，其安全屬性破壞后可能導致系統(tǒng)受到比較嚴重的影響3中資產(chǎn)的重要程度較高，其安全屬性破壞后可能導致系統(tǒng)受到中等程度的影響2低資產(chǎn)的重要程度較低，其安全屬性破壞后可能導致系統(tǒng)受到較低程度的影響1環(huán)境因素、意環(huán)境條件和自然災害；意外事故或由于軟件、硬件、數(shù)據(jù)、通訊線路方面的故障無惡意內(nèi)部人員作流程而導致故障或被攻擊；內(nèi)部人員由于缺乏培訓，專業(yè)技能不足,不具備崗位技能要求而導致信息系統(tǒng)故障或被攻擊式盜竊機密信息或進行篡改，獲取利益壞，以獲取利益或炫耀能力環(huán)境問題和自然災害信息系統(tǒng)正常有序運行通過采用一些措施，超越自己的權限訪問了嗅探、偽造和欺騙、拒絕服務攻擊等手段對信息系統(tǒng)進行攻擊和入侵物理接觸、物理破壞、盜竊機密泄漏，機密信息泄漏給他人非法修改信息，破壞信息的完整性不承認收到的信息和所作的操作和交易54高威脅發(fā)生的可能性較高，在大多數(shù)情況下很有可能會發(fā)生或者可以證實曾發(fā)生過3中威脅發(fā)生的可能性中等，在某種情況下可能會發(fā)生但未被證實發(fā)生過2低威脅發(fā)生的可能性較小，一般不太可能發(fā)生，也沒有被證實發(fā)生過1威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生物理設備的訪問控制，電力供應等基礎網(wǎng)絡架構，網(wǎng)絡傳輸加密，訪問控制，網(wǎng)絡設備安全漏洞，設備系統(tǒng)軟件安全漏洞，系統(tǒng)軟件配置安全等應用軟件安全漏洞，軟件安全功能，數(shù)據(jù)防護等通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務連續(xù)性、符合性脆弱性嚴重程度定義5存在一個或多個非常脆弱的技術或管理漏洞，被威脅利用成功的可能性很高4高存在一個或多個比較脆弱的技術或管理漏洞，被威脅利用成功的可能性較高3中存在一個或多個中等脆弱的技術或管理漏洞，被威脅利用成功的可能性中2低存在一個或多個較低脆弱程度的技術或管理漏洞，被威脅利用成功的可能性較低15風險很高，導致系統(tǒng)受到非常嚴重影響4高風險高，導致系統(tǒng)受到嚴重影響3中風險中，導致系統(tǒng)受到較重影響的2低風險低，導致系統(tǒng)受到一般影響1風險很低，導致系統(tǒng)受到較小影響—規(guī)劃和啟動獲取規(guī)劃中的信息系統(tǒng)的安險。用以提出并確定信息系統(tǒng)安全建設的或者建設初期的信括信息系統(tǒng)本身及此階段的人員、組相應的管密、完整、可用）的要求?！裣到y(tǒng)對機構業(yè)務戰(zhàn)略的重要性●資產(chǎn)類別劃分可以基本在第一是從比較宏觀的角度評估威脅●法律、法規(guī)對安全風險的影響此階段可以不考慮脆弱性評估求使用或擁有系統(tǒng)及信息的人應該參可委托第三方進行評估—設計開發(fā)或采購標識出風險，對設計說明中的安全性設計提供評據(jù)，對采購過程安全風險控制的提據(jù)。開設計規(guī)格說明書或者系統(tǒng)原段涉及的●與第一階段內(nèi)容相同的評估內(nèi)開發(fā)或采購的結(jié)果進行更具體●同樣與第一階段內(nèi)容相同的評●對設計或者原型中的技術實現(xiàn)技術保障手段對風險結(jié)果的影●在安全需求變更和設計變更后●該階段的評估不必要有復雜的施系統(tǒng)的技術專家和系統(tǒng)發(fā)起人應該參與評—集成實現(xiàn)通過風估，對系統(tǒng)安全要求信息系統(tǒng)前.如果信息系統(tǒng)在前兩個階段做過資產(chǎn)評估，此階段則不技術人員和管理人員均應該參與評實現(xiàn)效果和符合性進且是真實環(huán)境中的威脅分析●對系統(tǒng)進行實際環(huán)境中的脆弱●評估設計實施的安全控制是否策估—運行和維護了解和控制運行過程中的系統(tǒng)安全信息系統(tǒng)2．定期3．重大4．系統(tǒng)全面資產(chǎn)、威脅、脆弱性評估的技術人員和管理人員均應該參與評以委托第三方評估機—廢棄確保硬件和軟件等資產(chǎn)及殘留信息得到了適當?shù)膹U棄處置，并且要確保系統(tǒng)的更新?lián)Q代能以一個安全和系統(tǒng)化的方式信息系統(tǒng)●著重廢棄處理不當對資產(chǎn)的影●著重訪問控制方面的弱點維護工作的技術人員和管理人員均應該參以委托第三方評估機風險評估不同形式與各角色的關系對自身的信息系統(tǒng)進行安全風險的識別、評到必需的風險等級。有利于加強信息系統(tǒng)相關人員的安全意識。委托評估可以彌補這一缺點。由于檢查評估是由被評估方的主統(tǒng)的整體風險狀況做出完整的評評估達到要求并不表明系統(tǒng)的整體風險狀況已經(jīng)達到要求。信息安全風險評估服務機構信息安全風險評估服務機構信息系統(tǒng)承建者，或者信息系統(tǒng)的關聯(lián)機構信息系統(tǒng)承建者或者信息系統(tǒng)的關聯(lián)機構測評表格低中高低中高低中高低中高001 2 1232341313243524354635465744565676782234345456威脅分級法影響（資產(chǎn)）值威脅發(fā)生可能性(c)5222483351133541442483風險二值法012340TTTTN1TTTNN2TTNNN3TNNNN4NNNNN風險評估表對財產(chǎn)的影響職務風險調(diào)查表2——大的風險4——有限的風險威脅分析調(diào)查表M——影響可能性不大P——可能有影響D——絕對影響信息安全風險評估調(diào)查問卷息安全負責人，由他負責實現(xiàn)和維護有效的信息支持商業(yè)目標和組織的業(yè)務戰(zhàn)建立了信息保護作為企業(yè)整個管理實踐的完整組務器訪問授權制范的制訂與實時引起的授權變常見信息系統(tǒng)資產(chǎn)(1-5)531311服務器應用程序軟件1最終用戶應用程序軟件13331攜式硬盤、PC卡存儲設備、USB存儲設備等）133331其他環(huán)境控制系統(tǒng)3555555555533Extranet數(shù)據(jù)5Extranet數(shù)據(jù)5Extranet數(shù)據(jù)3Extranet數(shù)據(jù)合作伙伴協(xié)同應用程序3Extranet數(shù)據(jù)5Extranet數(shù)據(jù)3Extranet數(shù)據(jù)合作伙伴采購單數(shù)據(jù)3Extranet數(shù)據(jù)5Extranet數(shù)據(jù)5Extranet數(shù)據(jù)3Extranet數(shù)據(jù)供應商合作應用程序3Extranet數(shù)據(jù)5Extranet數(shù)據(jù)3Extranet數(shù)據(jù)35335333311MicrosoftActiveDirectory?33333333311示例威脅的高級描述具體示例火災洪水地震嚴重風暴恐怖分子襲擊平民騷亂/暴動山崩雪崩工業(yè)意外電力中斷硬件故障網(wǎng)絡中斷環(huán)境控制措施失效結(jié)構意外未獲通知的雇員未獲通知的用戶黑客、解密高手計算機犯罪行業(yè)間諜社會工程心存不滿的現(xiàn)雇員心存不滿的前雇員恐怖分子疏忽的雇員不誠實的雇員（受賄者或被勒索者）惡意移動代碼高級漏洞分類漏洞簡短說明具體示例（如果適用）未受保護的計算機