一、適用情形與觸發(fā)時(shí)機(jī)在信息技術(shù)安全領(lǐng)域，安全風(fēng)險(xiǎn)評(píng)估是識(shí)別、分析和控制風(fēng)險(xiǎn)的核心手段，適用于以下關(guān)鍵場(chǎng)景：新系統(tǒng)上線前：對(duì)新建業(yè)務(wù)系統(tǒng)（如電商平臺(tái)、OA系統(tǒng)）進(jìn)行全面安全評(píng)估，保證其滿足安全基線要求后再投入使用。合規(guī)性審計(jì)前：為滿足《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法規(guī)要求，或應(yīng)對(duì)第三方機(jī)構(gòu)（如監(jiān)管局、認(rèn)證中心）的合規(guī)檢查，需提前開展風(fēng)險(xiǎn)評(píng)估并形成報(bào)告。系統(tǒng)重大變更后：當(dāng)系統(tǒng)架構(gòu)升級(jí)（如云遷移）、功能模塊新增（如支付接口接入）或網(wǎng)絡(luò)環(huán)境調(diào)整（如分支機(jī)構(gòu)接入）時(shí)，需重新評(píng)估變更帶來(lái)的安全風(fēng)險(xiǎn)。安全事件發(fā)生后：發(fā)生數(shù)據(jù)泄露、系統(tǒng)入侵等安全事件后，需通過(guò)風(fēng)險(xiǎn)評(píng)估分析事件原因、影響范圍及暴露的薄弱環(huán)節(jié)，制定整改方案。定期復(fù)評(píng)周期：企業(yè)每年至少組織一次全面安全風(fēng)險(xiǎn)評(píng)估，或在組織架構(gòu)、業(yè)務(wù)模式發(fā)生重大變化時(shí)啟動(dòng)評(píng)估，保證風(fēng)險(xiǎn)管控持續(xù)有效。二、評(píng)估流程與操作步驟信息技術(shù)安全風(fēng)險(xiǎn)評(píng)估需遵循“準(zhǔn)備-識(shí)別-分析-評(píng)價(jià)-處理-報(bào)告”的標(biāo)準(zhǔn)流程，具體操作步驟步驟1：評(píng)估準(zhǔn)備——明確范圍與組建團(tuán)隊(duì)目的：保證評(píng)估工作目標(biāo)清晰、資源到位，為后續(xù)評(píng)估奠定基礎(chǔ)。操作內(nèi)容：確定評(píng)估范圍：明確本次評(píng)估的對(duì)象（如核心業(yè)務(wù)系統(tǒng)、服務(wù)器集群、辦公終端等）、邊界（如覆蓋的網(wǎng)絡(luò)區(qū)域、涉及的部門）及時(shí)間周期（如2024年Q3）。組建評(píng)估團(tuán)隊(duì)：成立跨職能小組，包括：評(píng)估負(fù)責(zé)人（如*經(jīng)理）：統(tǒng)籌協(xié)調(diào)，把控評(píng)估進(jìn)度；技術(shù)專家（如工程師、安全分析師）：負(fù)責(zé)技術(shù)層面的資產(chǎn)識(shí)別、漏洞掃描等；業(yè)務(wù)代表（如*主管）：提供業(yè)務(wù)流程信息，協(xié)助分析業(yè)務(wù)影響；合規(guī)專員（如*專員）：解讀相關(guān)法規(guī)要求，保證評(píng)估合規(guī)性。收集基礎(chǔ)資料：梳理系統(tǒng)架構(gòu)圖、網(wǎng)絡(luò)拓?fù)鋱D、業(yè)務(wù)流程文檔、現(xiàn)有安全策略（如訪問(wèn)控制策略、備份策略）、歷史安全事件記錄等。步驟2：資產(chǎn)識(shí)別與分類——梳理評(píng)估對(duì)象目的：全面識(shí)別組織內(nèi)與信息技術(shù)相關(guān)的信息資產(chǎn)，明確其價(jià)值及歸屬。操作內(nèi)容：資產(chǎn)范圍界定：資產(chǎn)包括但不限于：硬件資產(chǎn)：服務(wù)器、交換機(jī)、防火墻、終端設(shè)備等；軟件資產(chǎn)：操作系統(tǒng)、數(shù)據(jù)庫(kù)、業(yè)務(wù)應(yīng)用系統(tǒng)、中間件等；數(shù)據(jù)資產(chǎn)：客戶信息、財(cái)務(wù)數(shù)據(jù)、知識(shí)產(chǎn)權(quán)等（需按敏感度分級(jí)，如公開、內(nèi)部、敏感、高度敏感）；人員資產(chǎn)：系統(tǒng)管理員、開發(fā)人員、運(yùn)維人員等；服務(wù)資產(chǎn)：域名服務(wù)、郵件服務(wù)、云服務(wù)等。資產(chǎn)登記與分級(jí)：對(duì)識(shí)別出的資產(chǎn)進(jìn)行編號(hào)、命名，并依據(jù)《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984）劃分重要性等級(jí)（如1-5級(jí)，5級(jí)為核心資產(chǎn)），明確責(zé)任人。步驟3：威脅識(shí)別——分析潛在風(fēng)險(xiǎn)來(lái)源目的：識(shí)別可能對(duì)資產(chǎn)造成損害的威脅因素，分析其來(lái)源及觸發(fā)條件。操作內(nèi)容：威脅來(lái)源分類：人為威脅：內(nèi)部人員誤操作（如誤刪數(shù)據(jù)）、惡意攻擊（如勒索病毒、釣魚郵件）、第三方違規(guī)操作（如外包人員越權(quán)訪問(wèn)）；環(huán)境威脅：自然災(zāi)害（如火災(zāi)、洪水）、硬件故障（如服務(wù)器硬盤損壞）、電力中斷；技術(shù)威脅：系統(tǒng)漏洞（如高危CVE漏洞）、配置錯(cuò)誤（如默認(rèn)密碼未修改）、網(wǎng)絡(luò)攻擊（如DDoS、SQL注入）。威脅描述與可能性評(píng)估：對(duì)每個(gè)威脅來(lái)源進(jìn)行具體描述（如“內(nèi)部人員利用管理員權(quán)限非授權(quán)訪問(wèn)敏感數(shù)據(jù)”），并評(píng)估其發(fā)生可能性（高、中、低），參考依據(jù)包括歷史事件數(shù)據(jù)、威脅情報(bào)、行業(yè)案例等。步驟4：脆弱性識(shí)別——查找資產(chǎn)薄弱環(huán)節(jié)目的：識(shí)別資產(chǎn)自身存在的安全缺陷或防護(hù)不足之處，明確被威脅利用的可能性。操作內(nèi)容：脆弱性類型分類：技術(shù)脆弱性：系統(tǒng)補(bǔ)丁未更新、端口開放過(guò)多、加密算法強(qiáng)度不足、日志審計(jì)功能缺失等；管理脆弱性：安全策略未落地（如密碼策略未強(qiáng)制執(zhí)行）、人員安全意識(shí)薄弱（如未定期開展安全培訓(xùn)）、應(yīng)急響應(yīng)預(yù)案缺失等；物理脆弱性：機(jī)房門禁管控不嚴(yán)、設(shè)備未固定、消防設(shè)施不足等。脆弱性描述與嚴(yán)重程度評(píng)估：記錄每個(gè)脆弱點(diǎn)的具體位置（如“WindowsServer2019存在MS14-068漏洞”），并評(píng)估其嚴(yán)重程度（高、中、低），參考CVSS評(píng)分標(biāo)準(zhǔn)或組織內(nèi)部定級(jí)規(guī)則。步驟5：現(xiàn)有控制措施確認(rèn)——梳理已有防護(hù)手段目的：評(píng)估當(dāng)前已實(shí)施的安全控制措施（技術(shù)或管理）的有效性，明確其是否能降低威脅利用脆弱性的可能性。操作內(nèi)容：控制措施梳理：對(duì)照資產(chǎn)、威脅、脆弱性清單，列舉已實(shí)施的措施，例如：技術(shù)措施：防火墻訪問(wèn)控制、WAF防護(hù)、數(shù)據(jù)加密、備份恢復(fù)機(jī)制；管理措施：安全管理制度、崗位職責(zé)分離、定期安全巡檢、第三方安全審計(jì)。有效性評(píng)估：通過(guò)訪談、檢查配置、測(cè)試驗(yàn)證等方式，判斷控制措施是否按設(shè)計(jì)要求執(zhí)行，是否能有效降低風(fēng)險(xiǎn)（如“防火墻策略是否已阻斷高危端口訪問(wèn)”）。步驟6：風(fēng)險(xiǎn)分析與計(jì)算——量化風(fēng)險(xiǎn)等級(jí)目的：結(jié)合資產(chǎn)價(jià)值、威脅可能性、脆弱性嚴(yán)重程度及控制措施有效性，計(jì)算風(fēng)險(xiǎn)值并確定風(fēng)險(xiǎn)等級(jí)。操作內(nèi)容：風(fēng)險(xiǎn)計(jì)算模型：采用“風(fēng)險(xiǎn)值=資產(chǎn)重要性×威脅可能性×脆弱性嚴(yán)重程度”公式（注：具體權(quán)重可根據(jù)組織實(shí)際情況調(diào)整，需在評(píng)估前明確）。風(fēng)險(xiǎn)等級(jí)劃分：參考GB/T20984，將風(fēng)險(xiǎn)劃分為5級(jí)：5級(jí)（極高）：可能導(dǎo)致核心業(yè)務(wù)中斷、數(shù)據(jù)泄露等重大損失；4級(jí)（高）：嚴(yán)重影響業(yè)務(wù)運(yùn)行，造成較大經(jīng)濟(jì)損失；3級(jí)（中）：對(duì)業(yè)務(wù)造成一定影響，可接受但需監(jiān)控；2級(jí)（低）：影響有限，可接受；1級(jí)（極低）：幾乎無(wú)影響。步驟7：風(fēng)險(xiǎn)評(píng)價(jià)——判定風(fēng)險(xiǎn)可接受性目的：根據(jù)風(fēng)險(xiǎn)等級(jí)，判斷風(fēng)險(xiǎn)是否在組織可接受范圍內(nèi)，確定需優(yōu)先處理的風(fēng)險(xiǎn)項(xiàng)。操作內(nèi)容：制定風(fēng)險(xiǎn)接受準(zhǔn)則：明確各級(jí)風(fēng)險(xiǎn)的處理優(yōu)先級(jí)，例如：5級(jí)、4級(jí)風(fēng)險(xiǎn)：不可接受，需立即制定整改措施；3級(jí)風(fēng)險(xiǎn)：有條件接受，需制定監(jiān)控計(jì)劃，定期跟蹤；2級(jí)、1級(jí)風(fēng)險(xiǎn)：可接受，無(wú)需額外處理。風(fēng)險(xiǎn)排序：對(duì)不可接受的風(fēng)險(xiǎn)按風(fēng)險(xiǎn)值從高到低排序，形成風(fēng)險(xiǎn)優(yōu)先級(jí)清單。步驟8：風(fēng)險(xiǎn)處理——制定整改方案目的：針對(duì)不可接受的風(fēng)險(xiǎn)，制定并實(shí)施處理措施，降低風(fēng)險(xiǎn)至可接受水平。操作內(nèi)容：處理措施選擇：根據(jù)風(fēng)險(xiǎn)類型選擇合適策略：風(fēng)險(xiǎn)規(guī)避：停止可能導(dǎo)致風(fēng)險(xiǎn)的業(yè)務(wù)活動(dòng)（如關(guān)閉存在高危漏洞的測(cè)試系統(tǒng)）；風(fēng)險(xiǎn)降低：實(shí)施控制措施減少風(fēng)險(xiǎn)（如修補(bǔ)漏洞、加強(qiáng)訪問(wèn)控制）；風(fēng)險(xiǎn)轉(zhuǎn)移：通過(guò)外包、購(gòu)買保險(xiǎn)等方式轉(zhuǎn)移風(fēng)險(xiǎn)（如將云安全責(zé)任部分轉(zhuǎn)移給云服務(wù)商）；風(fēng)險(xiǎn)接受：在權(quán)衡成本后，暫時(shí)接受風(fēng)險(xiǎn)（如對(duì)低價(jià)值資產(chǎn)的中風(fēng)險(xiǎn)項(xiàng)加強(qiáng)監(jiān)控）。制定處理計(jì)劃：明確每個(gè)風(fēng)險(xiǎn)項(xiàng)的處理措施、責(zé)任部門/責(zé)任人（如*部門負(fù)責(zé)漏洞修補(bǔ)）、完成時(shí)限（如15個(gè)工作日內(nèi)）及驗(yàn)證方式（如復(fù)測(cè)漏洞）。步驟9：報(bào)告編制與審核——輸出評(píng)估結(jié)果目的：匯總評(píng)估過(guò)程、結(jié)果及處理建議，形成正式報(bào)告，為管理層決策提供依據(jù)。操作內(nèi)容：報(bào)告內(nèi)容框架：評(píng)估背景與范圍；評(píng)估團(tuán)隊(duì)與職責(zé)；資產(chǎn)識(shí)別清單及重要性分級(jí)；威脅與脆弱性分析結(jié)果；風(fēng)險(xiǎn)評(píng)估結(jié)果（含風(fēng)險(xiǎn)等級(jí)、風(fēng)險(xiǎn)值排序）；風(fēng)險(xiǎn)處理計(jì)劃與建議；附件（如掃描報(bào)告、訪談?dòng)涗?、資產(chǎn)清單表）。報(bào)告審核與發(fā)布：由評(píng)估負(fù)責(zé)人初審，技術(shù)專家、合規(guī)專員復(fù)核，最終報(bào)請(qǐng)*管理層審批后發(fā)布，并分發(fā)至相關(guān)部門落實(shí)。步驟10：結(jié)果應(yīng)用與持續(xù)改進(jìn)——閉環(huán)管理目的：保證評(píng)估結(jié)果落地，推動(dòng)安全管理體系持續(xù)優(yōu)化。操作內(nèi)容：整改措施跟蹤：責(zé)任部門按計(jì)劃落實(shí)處理措施，評(píng)估團(tuán)隊(duì)定期跟蹤進(jìn)度，完成后進(jìn)行驗(yàn)證（如漏洞修復(fù)后需再次掃描確認(rèn)）。納入日常管理：將風(fēng)險(xiǎn)處理計(jì)劃納入年度安全工作計(jì)劃，明確考核指標(biāo)；將評(píng)估中發(fā)覺(jué)的共性問(wèn)題（如人員安全意識(shí)薄弱）納入培訓(xùn)體系。定期復(fù)評(píng)：在完成整改后或下一個(gè)評(píng)估周期（如1年），重新開展風(fēng)險(xiǎn)評(píng)估，驗(yàn)證風(fēng)險(xiǎn)控制效果，形成“評(píng)估-整改-再評(píng)估”的閉環(huán)管理。三、核心工具表單表1：信息資產(chǎn)清單模板資產(chǎn)編號(hào)資產(chǎn)名稱資產(chǎn)類別（硬件/軟件/數(shù)據(jù)/人員/服務(wù)）所在系統(tǒng)/部門責(zé)任人重要性等級(jí)（1-5級(jí)）數(shù)據(jù)敏感度（公開/內(nèi)部/敏感/高度敏感）備注SERV-001核心數(shù)據(jù)庫(kù)服務(wù)器硬件電商平臺(tái)*工程師5高度敏感存儲(chǔ)用戶交易數(shù)據(jù)APP-002OA系統(tǒng)軟件行政部*主管3內(nèi)部處理內(nèi)部審批流程DATA-003客戶信息表數(shù)據(jù)市場(chǎng)部*經(jīng)理5高度敏感含姓名、證件號(hào)碼號(hào)、聯(lián)系方式表2：威脅識(shí)別與分析表威脅編號(hào)威脅來(lái)源（人為/環(huán)境/技術(shù)）威脅類型（如惡意攻擊/誤操作/硬件故障）威脅描述影響資產(chǎn)可能性等級(jí)（高/中/低）觸發(fā)條件（如未安裝殺毒軟件、弱口令）THR-001人為惡意攻擊黑客利用SQL注入漏洞竊取數(shù)據(jù)核心數(shù)據(jù)庫(kù)服務(wù)器中Web應(yīng)用存在未過(guò)濾的SQL輸入點(diǎn)THR-002環(huán)境自然災(zāi)害機(jī)房火災(zāi)導(dǎo)致服務(wù)器損壞所有物理設(shè)備低機(jī)房消防設(shè)施失效、未做異地備份THR-003技術(shù)系統(tǒng)漏洞WindowsServer遠(yuǎn)程代碼執(zhí)行漏洞域控服務(wù)器高未安裝MS22-040安全補(bǔ)丁表3：脆弱性識(shí)別與分析表脆弱性編號(hào)脆弱性類型（技術(shù)/管理/物理）脆弱性描述影響資產(chǎn)嚴(yán)重程度等級(jí)（高/中/低）控制措施現(xiàn)狀（如已實(shí)施/未實(shí)施）VUL-001技術(shù)OA系統(tǒng)存在未授權(quán)訪問(wèn)漏洞，可匿名登錄OA系統(tǒng)高防火墻未限制匿名訪問(wèn)端口VUL-002管理未定期開展員工安全意識(shí)培訓(xùn)全體員工中上次培訓(xùn)時(shí)間為2年前VUL-003物理機(jī)房門禁密碼未定期更換機(jī)房設(shè)備低密碼未變更超過(guò)6個(gè)月表4：風(fēng)險(xiǎn)分析計(jì)算表風(fēng)險(xiǎn)編號(hào)涉及資產(chǎn)威脅編號(hào)脆弱性編號(hào)資產(chǎn)重要性（1-5）威脅可能性（高=5/中=3/低=1）脆弱性嚴(yán)重程度（高=5/中=3/低=1）風(fēng)險(xiǎn)值（資產(chǎn)×可能性×嚴(yán)重程度）風(fēng)險(xiǎn)等級(jí)（1-5級(jí)）處理優(yōu)先級(jí)RSK-001核心數(shù)據(jù)庫(kù)服務(wù)器THR-001VUL-001535755（極高）立即處理RSK-002域控服務(wù)器THR-003VUL-003553755（極高）立即處理RSK-003OA系統(tǒng)THR-001VUL-002333273（中）計(jì)劃處理表5：風(fēng)險(xiǎn)處理計(jì)劃表風(fēng)險(xiǎn)編號(hào)風(fēng)險(xiǎn)描述處理策略（規(guī)避/降低/轉(zhuǎn)移/接受）具體處理措施責(zé)任部門/責(zé)任人計(jì)劃完成時(shí)限驗(yàn)證方式狀態(tài)（未處理/處理中/已完成）RSK-001OA系統(tǒng)匿名訪問(wèn)漏洞被利用導(dǎo)致數(shù)據(jù)泄露降低1.修復(fù)Web應(yīng)用漏洞，關(guān)閉匿名訪問(wèn)端口；2.配置WAF進(jìn)行流量過(guò)濾技術(shù)部/*工程師2024–復(fù)測(cè)漏洞、檢查防火墻策略處理中RSK-002域控服務(wù)器未打補(bǔ)丁，存在遠(yuǎn)程代碼執(zhí)行風(fēng)險(xiǎn)降低立即安裝MS22-040安全補(bǔ)丁，重啟服務(wù)器運(yùn)維部/*主管2024–漏洞掃描工具驗(yàn)證、檢查補(bǔ)丁日志已完成RSK-003員工安全意識(shí)不足導(dǎo)致釣魚郵件風(fēng)險(xiǎn)降低組織全員釣魚郵件演練及安全培訓(xùn)人力資源部/*專員2024–培訓(xùn)簽到表、演練結(jié)果分析未處理四、關(guān)鍵實(shí)施要點(diǎn)評(píng)估團(tuán)隊(duì)需專業(yè)協(xié)同：技術(shù)、業(yè)務(wù)、合規(guī)人員需全程參與，避免因單一視角導(dǎo)致風(fēng)險(xiǎn)遺漏（如業(yè)務(wù)人員可能忽略某流程中的敏感數(shù)據(jù)處理環(huán)節(jié)）。資產(chǎn)識(shí)別需全面覆蓋：不僅要識(shí)別技術(shù)資產(chǎn)，還需關(guān)注管理流程、人員意識(shí)等“軟資產(chǎn)”，保證無(wú)死角（如第三方運(yùn)維人員的權(quán)限管控）。風(fēng)險(xiǎn)等級(jí)標(biāo)準(zhǔn)需統(tǒng)一：在評(píng)估前明確資產(chǎn)重要