風(fēng)險(xiǎn)評(píng)估

管

理

程

序

文件修訂履歷表

修訂日期修改章節(jié)（內(nèi)容）現(xiàn)行版本狀態(tài)

初次發(fā)行

2023-7-1A/0

1目的

為了在考慮控制成本與風(fēng)險(xiǎn)平衡的前提下選擇合適的控制目標(biāo)和控制方式、策略，將大數(shù)據(jù)安全風(fēng)險(xiǎn)控制在

可接受的水平，并進(jìn)行體系策略及規(guī)劃。

2范圍

本程序適用大數(shù)據(jù)安全服務(wù)體系范圍內(nèi)安全風(fēng)險(xiǎn)評(píng)估、規(guī)劃和策略活動(dòng)的管理。

3職責(zé)

3.1管理者代表：

3.1.1負(fù)責(zé)組織成立大數(shù)據(jù)安全管理小組。

3.1.2負(fù)責(zé)編制大數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估計(jì)劃，確認(rèn)評(píng)估結(jié)果，形成風(fēng)險(xiǎn)評(píng)估報(bào)告及風(fēng)險(xiǎn)處理計(jì)劃。

各部門(mén)

負(fù)責(zé)本部門(mén)使用或管理的資產(chǎn)的識(shí)別和風(fēng)險(xiǎn)評(píng)估，并負(fù)責(zé)本部門(mén)所涉及的資產(chǎn)的具體安全控制工作。

4定義

4.1資產(chǎn)：指對(duì)組織大數(shù)據(jù)有價(jià)值的任何東西，無(wú)論線上或線下、云外或云中，包括：信息資產(chǎn)，軟件，物

理資產(chǎn)，任務(wù)，人員資格技能經(jīng)驗(yàn)，無(wú)形資產(chǎn)，基礎(chǔ)設(shè)施設(shè)備C」P,個(gè)人信息和隱私PII等。

4.2大數(shù)據(jù)：具有休量巨大，來(lái)源多樣、生成極快、且多變等特征并且難以用傳統(tǒng)數(shù)據(jù)體系結(jié)構(gòu)有效處理的

包含大量數(shù)據(jù)集的數(shù)據(jù)。

注：國(guó)際1二，大數(shù)據(jù)的4個(gè)特征普遍不加修飾地直接用volume、variety、velocity和variability予以表

述，并分別賦予了它們?cè)诖髷?shù)據(jù)語(yǔ)境下的定義：

a）體量volume：構(gòu)成大數(shù)據(jù)的數(shù)據(jù)集的規(guī)模。

b）多樣性variety：數(shù)據(jù)可能來(lái)自多個(gè)數(shù)據(jù)倉(cāng)庫(kù)，數(shù)據(jù)領(lǐng)域或多種數(shù)據(jù)類型。

c）速度velocity：?jiǎn)挝粫r(shí)間的數(shù)據(jù)流量。

d）多變性variability：大數(shù)據(jù)其他特征，即體量、速度和多樣性等特征都處于多變狀態(tài)。

5程序

5.1風(fēng)險(xiǎn)評(píng)估前準(zhǔn)備

①管理者代表牽頭成立大數(shù)據(jù)安全管理小組，委員會(huì)成員應(yīng)包含大數(shù)據(jù)安全重要責(zé)任部門(mén)的成員。

②大數(shù)據(jù)安全管理小組制定大數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估計(jì)劃，下發(fā)各部門(mén)。

③風(fēng)險(xiǎn)評(píng)估方法-定性綜合風(fēng)險(xiǎn)評(píng)估方法

5.1.1本項(xiàng)目采用定性的風(fēng)險(xiǎn)評(píng)估方法。定性風(fēng)險(xiǎn)評(píng)估并不強(qiáng)求對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素（特別是資產(chǎn)、大數(shù)

據(jù)）進(jìn)行精確的量化評(píng)價(jià)，它有賴于評(píng)估者的經(jīng)驗(yàn)判斷、業(yè)界慣例以及組織自身定義的標(biāo)準(zhǔn)，來(lái)對(duì)風(fēng)險(xiǎn)要素

進(jìn)行相對(duì)的等級(jí)分化，最終得出的風(fēng)險(xiǎn)大小，只需要通過(guò)等級(jí)差別來(lái)分出風(fēng)險(xiǎn)處理的優(yōu)先順序即可。

5.1.2綜合評(píng)估是先識(shí)別資產(chǎn)并對(duì)資產(chǎn)進(jìn)行賦值評(píng)估，得出重要資產(chǎn)，然后對(duì)重要資產(chǎn)進(jìn)行詳組的風(fēng)險(xiǎn)評(píng)估。

5.1.3可參考從網(wǎng)絡(luò)信息分享論壇及來(lái)源接收威脅、脆弱性、風(fēng)險(xiǎn)等安全信息。

5.2資產(chǎn)賦值

①各部門(mén)大數(shù)據(jù)安全管理小組成員對(duì)本部門(mén)資產(chǎn)進(jìn)行識(shí)別，并進(jìn)行資產(chǎn)賦值。

資產(chǎn)價(jià)值計(jì)算方法：資產(chǎn)價(jià)值;保密性賦值+完整性賦值+可用性賦值

②貨產(chǎn)賦值的過(guò)程是對(duì)資產(chǎn)在信息和數(shù)據(jù)分類、機(jī)密性、完整性、可用性進(jìn)行分析評(píng)估，并在比基礎(chǔ)上得出

綜合結(jié)果的過(guò)程。

③確定信息和數(shù)據(jù)類別

信息和數(shù)據(jù)分類按“5.9資產(chǎn)識(shí)另!參考（資產(chǎn)類別）”進(jìn)行，包括網(wǎng)絡(luò)資產(chǎn)、個(gè)人信息和數(shù)據(jù)和隱私PII,

信息和數(shù)據(jù)分類不適用時(shí)，可不填寫(xiě)。

市場(chǎng)部、財(cái)務(wù)中心與服務(wù)提供商、供應(yīng)商、分包商溝通、協(xié)助資產(chǎn)的價(jià)值、信息和數(shù)據(jù)、分類和標(biāo)識(shí)等。

④機(jī)密性（C）賦值

根據(jù)資產(chǎn)在機(jī)密性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在機(jī)密性上的應(yīng)達(dá)成的不同程度

或者機(jī)密性缺失時(shí)對(duì)整個(gè)組織的影響。

⑤完整性（I）賦值

根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在完整性上的達(dá)成的不同程度或

者完整性缺失時(shí)對(duì)整個(gè)組織的影響。

素-資產(chǎn)

數(shù)據(jù)存儲(chǔ)、傳

輸及處理設(shè)每次

施在一個(gè)工賦中斷斌使用頻使用頻允許離

賦值賦值賦值賦值

作日內(nèi)允許值允許值次要求次崗時(shí)間

中斷的次數(shù)時(shí)間

或時(shí)間比例

每年都每年都

16次以上或10個(gè)工

3天以要使用要使用

全部T作時(shí)1111作日及1

上至少1至少1

間中斷以上

次次

按資產(chǎn)每個(gè)季每個(gè)季

9T5次或

使用或1-3度都要度都要6-9工

可1/2工作時(shí)22222

允許中天使用至使用至作日

間中斷

斷的時(shí)少1次少1次

性

間次數(shù)每個(gè)月每個(gè)月

3-8次或1/412小

來(lái)評(píng)估都要使都要使3-5個(gè)

工作時(shí)間中3時(shí)一13333

用至少用至少1工作日

斷天

1次次

每周都每局都

1-2次或1/83小時(shí)

要使用要使用2個(gè)工

工作時(shí)間中4-124444

至少1至。1作日

斷小時(shí)

次次

每天都每天都

0-3要使用要使用1個(gè)工

不允許55555

小時(shí)至少1至少1作日

次次

5.3判定重要資產(chǎn)

①根據(jù)前面的資產(chǎn)機(jī)密性、完整性、可用性的賦值相加得到資產(chǎn)的價(jià)值，資產(chǎn)價(jià)值越高表示資比重要性程度

越高。

要素標(biāo)識(shí)相對(duì)價(jià)值范圍等級(jí)

很高15,14,134

高12,11,1()3

資產(chǎn)等級(jí)

??般9,8,7,62

低5,4,31

②按資產(chǎn)價(jià)值得出重要資產(chǎn)，資產(chǎn)價(jià)值為4,3的是重要資產(chǎn)，資產(chǎn)價(jià)值為2,1的是非重要資產(chǎn)。

③對(duì)個(gè)人信息和數(shù)據(jù)和隱私PII資產(chǎn)，法律法規(guī)和標(biāo)準(zhǔn)規(guī)定敏感信息和數(shù)據(jù)的，直接定為4級(jí)資產(chǎn)，非敏感

信息和數(shù)據(jù)的直接定為3級(jí)。

④大數(shù)據(jù)安全管理小組對(duì)各部門(mén)資產(chǎn)識(shí)別情況進(jìn)行審核，確保沒(méi)有遺漏重要資產(chǎn)，形成各部門(mén)的資產(chǎn)識(shí)別清

單。

⑤各部門(mén)的資產(chǎn)識(shí)別清單經(jīng)本部門(mén)負(fù)責(zé)人審核，報(bào)管理者代表確認(rèn)，并分發(fā)各部門(mén)存檔。

5.4重要資產(chǎn)風(fēng)險(xiǎn)評(píng)估

5.4.1應(yīng)對(duì)所有的重要資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，評(píng)估應(yīng)考慮威脅、脆弱性、威脅事件發(fā)生的可能性、威脅事件發(fā)

生后對(duì)資產(chǎn)造成的影響程度、風(fēng)險(xiǎn)的等級(jí)、風(fēng)險(xiǎn)是否在可接受范圍內(nèi)及已采取的措施等方面因素。

5.4.2識(shí)別威脅

①威脅是對(duì)組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素，造成威脅的因素可分為人為因素和環(huán)境因素。威脅作

用形式可以是對(duì)信息和數(shù)據(jù)系統(tǒng)直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在保密性、完整性

或可用性等方面造成損害；也可能是偶發(fā)的、或蓄意的事件。

②威脅可基于表現(xiàn)形式分類，基于表現(xiàn)形式的威脅分類標(biāo)準(zhǔn)可參考下表：

威脅分類表

種類描述威脅子類

設(shè)備硬件故障、傳輸設(shè)備故障、存儲(chǔ)媒體故障、

對(duì)業(yè)務(wù)實(shí)施或系統(tǒng)運(yùn)行產(chǎn)生影響的設(shè)備硬件故

軟硬件故障系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫(kù)軟件故

障、通iR鏈路中斷、系統(tǒng)本身或軟件缺陷等問(wèn)題

降、開(kāi)發(fā)環(huán)境故障等

物理環(huán)境影對(duì)信息系統(tǒng)正常運(yùn)行造成影響的物理環(huán)境問(wèn)題斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲(chóng)害、

響和自然災(zāi)害電磁干擾、洪災(zāi)、火災(zāi)、地震等

無(wú)作為或操應(yīng)該執(zhí)行而沒(méi)有執(zhí)行相應(yīng)的操作，或無(wú)意執(zhí)行了

維護(hù)錯(cuò)誤、操作失誤等

作失誤錯(cuò)誤的操作

安全管理無(wú)法落實(shí)或不到位，從而破壞信息系統(tǒng)管理制度和策略不完善、管理規(guī)程缺失、職責(zé)

管理不到位

正常有序運(yùn)行不明確、監(jiān)督控管機(jī)制不健全等

法毒、特洛伊木馬、端蟲(chóng)、陷門(mén)、間諜軟件、

惡意代碼故意在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的程序代碼

竊聽(tīng)軟件等

逋過(guò)米用一些措施，超越自己的權(quán)限訪問(wèn)/本來(lái)非授權(quán)訪問(wèn)網(wǎng)絡(luò)資源、非授權(quán)訪問(wèn)系統(tǒng)資源、

越權(quán)或?yàn)E用無(wú)權(quán)訪問(wèn)的資源，或者濫用自己的權(quán)限，做出破淺用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)

壞信息系統(tǒng)的行為限泄露秘密信息等

網(wǎng)絡(luò)探測(cè)和信息采集、漏洞探測(cè)、嗅探（帳號(hào)、

利用工具和技術(shù)通過(guò)網(wǎng)絡(luò)對(duì)信息系統(tǒng)進(jìn)行攻擊口令、權(quán)限等）、用戶身份偽造和欺騙、用戶

網(wǎng)絡(luò)攻擊

和入侵或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運(yùn)行的控制和

破壞等

物理攻擊通過(guò)物理的接觸造成對(duì)軟件、硬件、數(shù)據(jù)的破壞物理接觸、物理破壞、盜竊等

泄密信息泄露給不應(yīng)了解的他人內(nèi)部信息泄露、外部信息泄露等

筑改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改

非法修改信息，破壞信息的完整性使系統(tǒng)的安全

篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)

性降低或信息不可用

信息等

抵賴不承認(rèn)收到的信息和所作的操作和交易原發(fā)抵賴、接收抵賴、第三方抵賴等

③各部門(mén)根據(jù)資產(chǎn)本身所處的環(huán)境條件，識(shí)別每個(gè)資產(chǎn)所面臨的威脅。

④對(duì)個(gè)人資產(chǎn)威脅，主要圍繞身份問(wèn)題，由泄露或盜竊個(gè)人信息構(gòu)成。

1）如果一個(gè)人的在線身份被盜用或偽裝，會(huì)被剝奪使用關(guān)鍵服務(wù)和應(yīng)用程序的權(quán)利，嚴(yán)重的情況下，后果

可能從財(cái)務(wù)金融到國(guó)家層面的事件，未經(jīng)授權(quán)獲取個(gè)人的財(cái)務(wù)信息也有可能導(dǎo)致個(gè)人資金被盜和欺詐。

2）一個(gè)威脅是終端、個(gè)人電腦可能變成僵尸或機(jī)器人.

3）虛擬世界或在線游戲世界中的資產(chǎn)也會(huì)受到攻擊和利用。

4）虛擬盜竊和虛擬搶劫等攻擊

5）由于法規(guī)問(wèn)題，與虛擬資產(chǎn)有關(guān)的規(guī)則和條例幾乎無(wú)效，虛斗貨幣挖礦參與者必須格外小心謹(jǐn)慎，以確

保其虛擬資產(chǎn)得到適當(dāng)保護(hù)。

⑤組織資產(chǎn)威脅

1）組織的在線展示和在線業(yè)務(wù)往往是不法之徒的目標(biāo)，包括惡作劇。

2）如果攻擊成功，雇員、客戶、合作伙伴或提供者提供的個(gè)人常息可能被披露，可能導(dǎo)致對(duì)組織的司法和

行政制裁。

3）如果以未經(jīng)授權(quán)的方式披露組織結(jié)果，也可能違反金融、財(cái)務(wù)申報(bào)法規(guī)。

4）各國(guó)政府必須保護(hù)其基礎(chǔ)設(shè)施和信息免遭不當(dāng)獲取和利用，政府掌握著國(guó)家安全、戰(zhàn)略、軍事、情報(bào)等

許多與政府和國(guó)家有關(guān)的信息，但也掌握著關(guān)于個(gè)人、組織和整個(gè)社會(huì)的大量信息。

5）攻擊電子政府服務(wù)，可能會(huì)對(duì)一個(gè)國(guó)家、其政府及其社會(huì)構(gòu)成嚴(yán)重風(fēng)險(xiǎn)。

6）攻擊支持互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施以及數(shù)據(jù)，影響有助保障大數(shù)據(jù)安全的基礎(chǔ)設(shè)施的可靠性和可用性。

7）數(shù)據(jù)是恐怖主義猖獗的灰色地帶，原因是數(shù)據(jù)提供了方便的通訊，在界定邊界和邊界方面的很難對(duì)其使

用方式進(jìn)行規(guī)范和控制。

8）恐怖組織可以合法地購(gòu)買、促進(jìn)、保護(hù)其非法活動(dòng)的應(yīng)用程序、服務(wù)和資源，以避免被發(fā)現(xiàn)和追蹤，如

通過(guò)僵尸網(wǎng)絡(luò)。

⑥威脅因素，是在執(zhí)行或支持攻擊中扮演任何角色的個(gè)人或組織。

◎透徹了解威脅動(dòng)機(jī)（宗教、政治、經(jīng)濟(jì)等）、能力（知識(shí)、資金、規(guī)模等）和意圖（樂(lè)趣、犯罪、間諜等）

對(duì)于評(píng)估漏洞和風(fēng)險(xiǎn)以及開(kāi)發(fā)和部署控制措施至關(guān)重要。

◎意識(shí)到相關(guān)方的參與可能在整個(gè)數(shù)據(jù)，特別是其他相關(guān)方的信息系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)。

◎在數(shù)據(jù)，法律和監(jiān)管的界限變得難以區(qū)分，適用的要求有時(shí)是矛盾的。

5.4.3識(shí)別脆弱性

①脆弱性是對(duì)一個(gè)或多個(gè)資產(chǎn)弱點(diǎn)的總稱。脆弱性是資產(chǎn)本身存在的，如果沒(méi)有相應(yīng)的威脅發(fā)生，單純的脆

弱性本身不會(huì)對(duì)資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健，再嚴(yán)重的威脅也不會(huì)導(dǎo)致安全事件，并造成損失。

即，威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。

②資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱性識(shí)別中最為困難的

部分。需要注意的是，不正確的、起不到應(yīng)有作用的或沒(méi)有正確實(shí)施的安全措施本身就可能是一個(gè)脆弱性。

③脆弱性識(shí)別將針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，找出可能被威脅利用的脆弱性，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)

估。脆弱性識(shí)別時(shí)的數(shù)據(jù)應(yīng)來(lái)自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域的專家和軟硬件方面的專業(yè)人

員。

④脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層

面的安全問(wèn)題。管理脆弱性乂可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)

境相關(guān)。

常見(jiàn)脆弱性

序號(hào)類別薄弱點(diǎn)威脅

建筑物/門(mén)以及窗戶缺少物理保護(hù)例如，可能會(huì)被偷竊這一威脅所利用

環(huán)境和

對(duì)建筑物'歷問(wèn)物理進(jìn)入控制不充分，或松懈可能會(huì)被故意損宙這一威脅所利用

1.基礎(chǔ)設(shè)

電網(wǎng)不穩(wěn)定可能會(huì)被功率波動(dòng)這一威脅所利用

施

所處位置容易受到洪水襲擊可能會(huì)被洪水這一威脅所利用

2硬件缺少定期替換計(jì)劃可能會(huì)被存儲(chǔ)媒體退化這一威脅所利用

容易受到電壓不穩(wěn)定的侵?jǐn)_可能會(huì)被功率波動(dòng)這?威脅所利用

容易受到溫度變化的侵?jǐn)_可能會(huì)溫度的極端變化這一威脅所利用

容易受到濕度、灰塵和污染的侵?jǐn)_可能會(huì)被灰塵這一威脅所利用

對(duì)電磁輻射的敏感性可能會(huì)被電磁輻射這一威脅所利用

不充分的維護(hù)/存儲(chǔ)媒體的錯(cuò)誤安裝可能會(huì)被維護(hù)失誤這一威脅所利用

缺少有效的配置變化控制可能會(huì)被操作職員失誤這一威脅所利用

3.軟件開(kāi)發(fā)人員的說(shuō)明不清楚或不完整可能會(huì)被軟件故障這一威脅所利用

可能會(huì)被未經(jīng)授權(quán)許可的用戶使用軟件這一威脅所

沒(méi)有軟件測(cè)試或軟件測(cè)試不充分

利N

復(fù)雜的用戶界面可能會(huì)被操作職員失誤這一威脅所利用

缺少識(shí)別和鑒定機(jī)制，如：用戶鑒定可能會(huì)被冒充用戶身份這一威脅所利用

可能會(huì)被以未經(jīng)授權(quán)許可的方式使用軟件這一威脅

缺少審核跟蹤

所利用

可能會(huì)被軟件未經(jīng)許可的用戶使用軟件這一賊脅所

軟件中存在眾所周知的缺陷

利用

口令表沒(méi)有受到保護(hù)可能會(huì)被冒充用戶身份這一威脅所利用

口令管理較差（很容易被猜測(cè)，公開(kāi)地存儲(chǔ)口令，

可能會(huì)被冒充用戶身份這一威脅所利用

不經(jīng)常更改）

可能會(huì)被以未經(jīng)許可的方式使用軟件這一威脅所利

訪問(wèn)權(quán)的錯(cuò)誤分派

用

對(duì)下載和使用軟件不進(jìn)行控制可能會(huì)被惡意軟件這?威脅所利用

離開(kāi)工作站沒(méi)有注銷用戶可能會(huì)被未經(jīng)許可的用戶使用軟件這一威脅所利用

缺少有效的變化控制可能會(huì)被軟件故障這一威脅所利用

缺少文件編制可能會(huì)被操作職員的失誤這一威脅所利用

缺少備份可能會(huì)被惡意軟件或火災(zāi)這一威脅所利用

沒(méi)有適當(dāng)?shù)牟脸鴮?duì)存儲(chǔ)媒體進(jìn)行處理或重新

可能會(huì)被未經(jīng)許可的用戶使用軟件這一威脅所利用

使用

4.通訊通訊線路沒(méi)有保護(hù)可能會(huì)被偷聽(tīng)這一威脅所利用

電纜連接差可能會(huì)被通訊滲透這?威脅所利用

對(duì)發(fā)件人和收件人缺少識(shí)別和鑒定可能會(huì)被冒充用戶身份這一威脅所利用

公開(kāi)傳送口令可能會(huì)被未經(jīng)許可的用戶接入網(wǎng)絡(luò)這一威脅所利用

收發(fā)信息缺少驗(yàn)證可能會(huì)被否認(rèn)這一威脅所利用

撥號(hào)線路可能會(huì)被未經(jīng)許可的用戶接入網(wǎng)絡(luò)這一威脅所利用

對(duì)敏感性通信不進(jìn)行保護(hù)可能會(huì)被偷聽(tīng)這一?威脅所利用

網(wǎng)絡(luò)管理不充分（路由的彈性）可能會(huì)被通信量超載這一威脅所利用

公共網(wǎng)絡(luò)連接沒(méi)有保護(hù)可能會(huì)被未經(jīng)許可的用戶使用軟件這一威脅所利用

5.文件存儲(chǔ)沒(méi)有保護(hù)可能會(huì)被偷竊這一威脅所利用

進(jìn)行處理時(shí)缺少關(guān)注可能會(huì)被偷竊這?威脅所利用

對(duì)拷貝沒(méi)有進(jìn)行控制可能會(huì)被偷竊這一威脅所利用

6.人員人員缺席可能會(huì)被缺少員工這一威脅所利用

對(duì)外部人員和清理人員的工作不進(jìn)行監(jiān)督可能會(huì)被偷竊這一威脅所利用

不充分的安全培訓(xùn)可能會(huì)被操作職員的失誤這一威脅所利用

缺少安全意識(shí)可能會(huì)被用戶錯(cuò)誤這一威脅所利用

對(duì)軟件和硬件不正確的使用可能會(huì)被操作職員的失誤這一威脅所利用

可能會(huì)被以未經(jīng)許可的方式使用軟件這一威脅所利

缺少監(jiān)控機(jī)制

用

可能會(huì)被以未經(jīng)許可的方式使用網(wǎng)絡(luò)設(shè)施這?威脅

在正確使用通訊媒體和信息方面缺乏政策

所利用

增員程序不充分可能會(huì)被故意損害這一威脅所利用

一般適某一點(diǎn)上的故障可能會(huì)被通訊賬務(wù)故障這一威脅所利用

7.用薄弱

服務(wù)維護(hù)反應(yīng)不足可能會(huì)被硬件故障這一威脅所利用

環(huán)節(jié)

脆弱性識(shí)別內(nèi)容表

類型識(shí)別對(duì)象識(shí)別內(nèi)容

從機(jī)房場(chǎng)地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信

物理環(huán)境

線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識(shí)別

從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問(wèn)控制策略、內(nèi)部訪問(wèn)控制策略、網(wǎng)絡(luò)設(shè)備安全配

技術(shù)脆弱性網(wǎng)絡(luò)結(jié)構(gòu)

置等方面進(jìn)行識(shí)別

從補(bǔ)丁安裝、物理保護(hù)、用戶帳號(hào)、口令策略、資源共享、事件審計(jì)、訪問(wèn)控制、新系

系統(tǒng)軟件

統(tǒng)配置、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別

應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識(shí)別

從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問(wèn)控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方

應(yīng)用系統(tǒng)

面進(jìn)行識(shí)別

從物理和環(huán)境安全、通信與操作管理、訪問(wèn)控制、系統(tǒng)開(kāi)發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面

技術(shù)管理

管理脆弱性進(jìn)行識(shí)別

組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進(jìn)行識(shí)別

5.4.4威脅利用脆弱性發(fā)生風(fēng)險(xiǎn)之后的影響后果描述

5.4.5風(fēng)險(xiǎn)描述

5.4.6識(shí)別現(xiàn)有控制措施

5.4.7評(píng)估威脅發(fā)生的可能性

①分析威脅利用脆弱性給資產(chǎn)造成損害的可能性。

②確定各個(gè)威脅利用脆弱性造成損害的可能性。

③判斷每項(xiàng)重要資產(chǎn)所面臨威脅發(fā)生的可能性時(shí)應(yīng)注意:

＞威脅事件本身發(fā)生的可能性；

＞現(xiàn)有的安全控制措施；

＞現(xiàn)存的安全脆弱性。

要素標(biāo)識(shí)發(fā)生的頊率等級(jí)

出現(xiàn)的頻率很高（或與1次/周）：或在大多數(shù)情況下幾乎不可避免：或可以

很高5

證實(shí)經(jīng)常發(fā)生過(guò)

出現(xiàn)的頻率較高（或次/月）；或在大多數(shù)情況下很有可能會(huì)發(fā)生；或可

威脅利用弱點(diǎn)高4

以證實(shí)多次發(fā)生過(guò)

導(dǎo)致危害的可

出現(xiàn)的頻率中等（或〉1次/半年）；或在某種情況下可能會(huì)發(fā)生：或被證實(shí)

能性一般3

曾經(jīng)發(fā)生過(guò)

低出現(xiàn)的頻率較小：或一般不太可能發(fā)生；或沒(méi)有被證實(shí)發(fā)生過(guò)2

很低威脅幾乎不可能發(fā)生：僅可能在非常罕見(jiàn)和例外的情況下發(fā)生1

5.4.8影響程度分析

①影響程度指一旦威脅事件實(shí)際發(fā)生時(shí)，將給資產(chǎn)帶來(lái)多大程度的損失。

②在分析時(shí)，可以從影響相關(guān)方和影響業(yè)務(wù)連續(xù)性兩個(gè)不同維度方面來(lái)評(píng)估打分。

③如果改風(fēng)險(xiǎn)可能引起法律起訴，則影響程度值為最高5分。

要索標(biāo)識(shí)嚴(yán)重程度等級(jí)

很高如果被威脅利用，將對(duì)公司重要資產(chǎn)造成重大損害5

高如果被威脅利用，將對(duì)重要資產(chǎn)造成一般損害4

威脅被利用后

一般如果被威脅利用，將對(duì)一般資產(chǎn)造成重要損害3

的嚴(yán)市性

低如果被威脅利用，將對(duì)?般資產(chǎn)造成?般損害2

很低如果被威脅利用，將對(duì)資產(chǎn)造成的損害可以忽略1

5.4.9風(fēng)險(xiǎn)的等級(jí)

①風(fēng)險(xiǎn)值由威脅發(fā)生的可能性、影響程度和資產(chǎn)價(jià)值這三個(gè)因素共同決定。

②風(fēng)險(xiǎn)值計(jì)算方法：風(fēng)險(xiǎn)值二威脅發(fā)生可能性*（威脅發(fā)生對(duì)保密性的影響+威脅發(fā)生對(duì)完整性的影響+威脅發(fā)

生對(duì)可用性的影響）

③風(fēng)險(xiǎn)等級(jí)標(biāo)準(zhǔn)見(jiàn)下表：

要素標(biāo)識(shí)風(fēng)險(xiǎn)值范圍級(jí)別可接受準(zhǔn)則

高風(fēng)險(xiǎn)>204風(fēng)險(xiǎn)不可接受，必須立即采取有效的措施降低風(fēng)險(xiǎn)

風(fēng)險(xiǎn)

較高風(fēng)險(xiǎn)>15且W203風(fēng)險(xiǎn)可以接受，但需要采取進(jìn)一步措施降低風(fēng)險(xiǎn)

級(jí)別

一般風(fēng)險(xiǎn)〉10且三152風(fēng)險(xiǎn)可以接受

I|低風(fēng)險(xiǎn)IwioI1II

5.4.10建議控制措施

①安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致

安全事件發(fā)生的可能性，如入侵檢測(cè)系統(tǒng)；保護(hù)性安全措施可以減少因安全事件發(fā)生對(duì)信息和數(shù)據(jù)系統(tǒng)造成

的影響，如業(yè)務(wù)持續(xù)性計(jì)劃。

②建議控制措施的確認(rèn)與脆弱性識(shí)別存在一定的聯(lián)系。一般來(lái)說(shuō)，安全措施的使用將減少脆弱性，但安全措

施的確認(rèn)并不需要與脆弱性識(shí)別過(guò)程那樣具體到每個(gè)資產(chǎn)、組件的脆弱性，而是一類具體措施的集合。

不可接受風(fēng)險(xiǎn)的確定

①通過(guò)預(yù)制的風(fēng)險(xiǎn)的可接受準(zhǔn)則，進(jìn)行風(fēng)險(xiǎn)可接受性判定（是否高風(fēng)險(xiǎn)），并生成各部門(mén)的重要資產(chǎn)調(diào)查與

風(fēng)險(xiǎn)評(píng)估表表單。

②各部門(mén)的重要資產(chǎn)調(diào)查與風(fēng)險(xiǎn)評(píng)估表經(jīng)本部門(mén)負(fù)責(zé)人審核，報(bào)管理者代表批準(zhǔn)。

5.5風(fēng)險(xiǎn)處理

①對(duì)風(fēng)險(xiǎn)應(yīng)進(jìn)行處理。對(duì)可接受風(fēng)險(xiǎn)，可保持已有的安全措施；如果是不可接受風(fēng)險(xiǎn)（高風(fēng)險(xiǎn)），則需要采

取安全措施以降低、控制風(fēng)險(xiǎn)。

②對(duì)不可接受風(fēng)險(xiǎn)，應(yīng)采取新的風(fēng)險(xiǎn)處理的措施，規(guī)定風(fēng)險(xiǎn)處理方式、責(zé)任部門(mén)和時(shí)間進(jìn)度，高風(fēng)險(xiǎn)應(yīng)得到

優(yōu)先的考慮。

③大數(shù)據(jù)安全管理小組根據(jù)重要資產(chǎn)調(diào)查與風(fēng)險(xiǎn)評(píng)估表編制風(fēng)險(xiǎn)處置計(jì)劃。

④大數(shù)據(jù)安全管理小組根據(jù)重要資產(chǎn)調(diào)查與風(fēng)險(xiǎn)評(píng)估表編制風(fēng)險(xiǎn)評(píng)估報(bào)告，陳述大數(shù)據(jù)安全管理現(xiàn)狀，分析

存在的大數(shù)據(jù)安全風(fēng)險(xiǎn)，提出大數(shù)據(jù)安全管理（控制）的建議與措施。

⑤管理者代表考慮成本與風(fēng)險(xiǎn)的關(guān)系，對(duì)風(fēng)險(xiǎn)評(píng)估報(bào)告及風(fēng)險(xiǎn)處理計(jì)劃的相關(guān)內(nèi)容審核，對(duì)認(rèn)為不合適的控

制或風(fēng)險(xiǎn)處理方式等提出說(shuō)明，由大數(shù)據(jù)安全管理小組協(xié)同相關(guān)部門(mén)重新考慮管理者代表的意見(jiàn)，選擇其他

的控制或風(fēng)險(xiǎn)處理方式，并重新提交管理者代表審核批準(zhǔn)實(shí)施。

⑥各責(zé)任部門(mén)按照批準(zhǔn)后的風(fēng)險(xiǎn)處理計(jì)劃的要求采取有效安全控制措施，確保所采取的控制措施是有效的。

⑦如果降低風(fēng)險(xiǎn)所付出的成本大于風(fēng)險(xiǎn)所造成的損失，則選擇接受風(fēng)險(xiǎn)。

⑧報(bào)告和共享：在發(fā)布、共享有關(guān)風(fēng)險(xiǎn)、事件和威脅的報(bào)告時(shí)，可能需要包括組織外的利益相關(guān)方。

⑨風(fēng)險(xiǎn)評(píng)估：確定相關(guān)方者在數(shù)據(jù)的行動(dòng)和在多大程度上成為或促成了另一方的風(fēng)險(xiǎn)。

5.6剩余風(fēng)險(xiǎn)評(píng)估

①采取安仝措施處理后的風(fēng)險(xiǎn)，大數(shù)據(jù)安全管理小組進(jìn)行再評(píng)估，以判斷實(shí)施安全措施后的殘余風(fēng)險(xiǎn)是否已

經(jīng)降低到可接受的水平。

②某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)陌踩胧┖笕蕴幱诓豢山邮艿娘L(fēng)險(xiǎn)范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險(xiǎn)或進(jìn)?步

增加相應(yīng)的安全措施。

③剩余風(fēng)險(xiǎn)評(píng)估完成后，剩余風(fēng)險(xiǎn)報(bào)管理者代表審核、總經(jīng)理批準(zhǔn)。

④基于5.8的要求，對(duì)剩余風(fēng)險(xiǎn)評(píng)估應(yīng)進(jìn)行定期評(píng)估。

⑤通過(guò)組織在關(guān)鍵基礎(chǔ)設(shè)施的角色及行業(yè)特殊分析，向相關(guān)方傳達(dá)剩余風(fēng)險(xiǎn)容忍度的決定。

大數(shù)據(jù)安全風(fēng)險(xiǎn)的連續(xù)評(píng)估

①大數(shù)據(jù)安全管理小組每年應(yīng)組織對(duì)安全風(fēng)險(xiǎn)重新評(píng)估一次，以適應(yīng)資產(chǎn)的變化，確定是否存在新的威脅或

脆弱性，是否需要增加新的控制措施。

②當(dāng)企業(yè)發(fā)生以下情況時(shí)需及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：

>當(dāng)發(fā)生重大大數(shù)據(jù)安全事故時(shí)；

>當(dāng)信息網(wǎng)絡(luò)系統(tǒng)發(fā)生重大更改時(shí)，如法規(guī)、技術(shù)、業(yè)務(wù)目標(biāo)和過(guò)程、客戶用戶要求、社會(huì)環(huán)境等；

>大數(shù)據(jù)安全管理小組確定有必要時(shí)。

③各部門(mén)對(duì)新增加、轉(zhuǎn)移或授權(quán)銷毀等變更資產(chǎn)，應(yīng)及時(shí)在資產(chǎn)清單中予以添加或變更。

5.7資產(chǎn)識(shí)別、分類參考

類別資產(chǎn)名稱

人員資產(chǎn)總經(jīng)理/副總經(jīng)理

人員資產(chǎn)部門(mén)總經(jīng)理

人員資產(chǎn)工程師

人員資產(chǎn)項(xiàng)目經(jīng)理

人員資產(chǎn)網(wǎng)管

人員資產(chǎn)職員

軟件資產(chǎn)軟件操倫系統(tǒng)

軟件資產(chǎn)開(kāi)發(fā)軟件

軟件資產(chǎn)服務(wù)軟件

軟件資產(chǎn)財(cái)務(wù)軟件

軟件資產(chǎn)工具類軟件

軟件資產(chǎn)應(yīng)用軟件

軟件費(fèi)產(chǎn)應(yīng)用程序

文件資產(chǎn)合同

文件資產(chǎn)驗(yàn)收文檔資料

文件資產(chǎn)工程文件

文件資產(chǎn)財(cái)務(wù)報(bào)告

文件資產(chǎn)投標(biāo)書(shū)

文件