风险评估实施步骤

欢迎共阅
风险评估实施步骤
一风评准备
1. 确定风险评估的目标
2.确定风险评估的范围
3.组建适当的评估管理与实施团队
4.进行系统调研，采取问卷调查、现场询问等方式，至少包括以下内容：
•业务战略及管理制度
•主要的业务功能和要求
•
•系统边界
•主要的硬件、软件
•数据和信息
•系统和数据的敏感性
•支持和使用系统的人员
5.
•确定实施评估团队成员
•工作计划及时间进度安排
6.获得最高管理者对风险评估工作的支持
二资产识别
1.
2.
•对应资产在保密性上应达成的不同程度或者密保性缺失•对应资产在完整性上缺失时对整个组织的影响，划分为•对应资产在可用性上应达成的不同程度，划分为五个不3.
果，也可以根据资产机密性、完整性和可用性的不同重要程度对其赋值进行加权计算而得到资产的最终赋值。

加权方法可根据组织的业务特点确定。

三威胁识别
威胁是一种对组织及其资产构成潜在破坏的可能性因素，是客观存在的。

1.威胁的分类
根据威胁的来源，威胁可分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改、抵赖
2.威胁的赋值（五个等级：很低、低、中、高、很高）
判断威胁出现的频率是威胁识别的重要工作，评估者应根据经验和（或）有关的统计数据来进行判断。

在风
险评估过程中，还需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率：（1)以往安全事件报告中出现过的威胁及其频率的统计；
（2)实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；
（3)近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。

四脆弱性识别
脆弱性是对一个或多个资产弱点的总称。

脆弱性识别也称为弱点识别，弱点是资产本身存在的，如果没有相应的威胁发生，单纯的弱点本身不会对资产造成损害。

而且如果系统足够强健，再严重的威胁也不会导致安全事件，并造成损失。

即，威胁总是要利用资产的弱点才可能造成危害。

资产的脆弱性具有隐蔽性，有些弱点只有在一定条件和环境下才能显现，这是脆弱性识别中最为困难的部分。

需要注意的是，不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个弱点。

1.脆弱性识别
的安全问题。

2.
可以根据对资产损害程度、技术实现的难易程度、
度进行赋值。

严重程度。

对某个资产，
1.
如矩阵法或相乘法，通过构造经验函数，矩阵
运用相乘法可以将安全事件发生的可能性与安全事件的损失相乘得到风险值。

2.风险结果判定（五个等级：很低、低、中、高、很高）
组织应当综合考虑风险控制成本与风险造成的影响，提出一个可接受风险阈值，
七风险评估文件记录
1.风险评估文件记录的要求
记录风险评估过程的相关文件，应该符合以下要求（但不仅限于此）：
（1）确保文件发布前是得到批准的；
（2）确保文件的更改和现行修订状态是可识别的；
（3）确保在使用时可获得有关版本的适用文件；
（4）确保文件的分发得到适当的控制；
（5）防止作废文件的非预期使用，若因任何目的需保留作废文件时，应对这些文件进行适当的标识。

对于风险评估过程中形成的相关文件，还应规定其标识、储存、保护、检索、保存期限以及处置所需的控制。

相关文件是否需要以及详略程度由管理过程来决定。

2.风险评估文件
风险评估文件包括在整个风险评估过程中产生的评估过程文档和评估结果文档，包括（但不仅限于此）：（1）风险评估计划：阐述风险评估的目标、范围、团队、评估方法、评估结果的形式和实施进度等；
（2）风险评估程序：明确评估的目的、职责、过程、相关的文件要求，并且准备实施评估需要的文档；
（3）资产识别清单：根据组织在风险评估程序文件中所确定的资产分类方法进行资产识别，形成资产识别清单，清单中应明确各资产的责任人/部门；
（4）重要资产清单：根据资产识别和赋值的结果，形成重要资产列表，包括重要资产名称、描述、类型、重要程度、责任人/部门等；
（5）威胁列表：根据威胁识别和赋值的结果，形成威胁列表，包括威胁名称、种类、来源、动机及出现的频率等；
（6
程度等；
（7
措施名称、类型、功能描述及实施效果等；
（8
（9
（10
评估内容
等；查看安全的日志记录；通过漏洞扫描系
关键位置路由器是否有
交换机检查安全漏洞和补丁的升级情况，各VLAN间的访问控制策略；口令设置和管理，口令文件的安全存储形式；配置文件的备份。

风险评估流程
风险评估流程包括系统调研、资产识别、威胁识别、脆弱性识别（包括现有控制措施确认）、风险综合分析以及风险控制计划六个阶段。

信息至少包括：资产名称、资产类别、资产价值、资产用途、主机名、IP地址、硬件型号、操作系统类型及版本、数据库类型及版本、应用系统类型及版本等。

威胁识别是对系统中涉及的重要资产可能遇到的威胁进行识别，并对其等级进行评估，形成威胁识别表。

识别的过程主要包括威胁源分析、历史安全事件分析、实时入侵事件分析几个方面。

脆弱性识别是对系统中涉及的重要资产可能被对应威胁利用的脆弱性进行识别，并对其等级进行评估，形成脆弱性识别表。

脆弱性识别又具体分为物理安全、网络安全、主机系统安全、应用安全、数据安全、安全管理六个方面的内容。

风险综合分析是根据对系统资产识别，威胁分析，脆弱性评估的情况及收集的数据，定性和定量地评估系统安全现状及风险状况，评价现有保障措施的运行效能及对风险的抵御程度。

结合系统的IT战略和业务连续性目标，确定系统不可接受风险范围。

风险控制计划是针对风险评估中识别的安全风险，特别是不可接受风险，制定风险控制和处理。