信息安全风险评估的实施过程

一、风险评估的准备

风险评估的准备过程是整个风险评估过程有效的保证和基础。组织实施风险评估是一种战略性的考虑，其结果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。

二、资产价值

在一般的风险评估中，资产大多属于不同的信息系统，所以亿林风险评估专家组首先将信息系统及其中的信息资产进行分类，然后根据资产的机密性、完整性、可用性进行赋值。最终资产价值通过违反资产的机密性、完整性和可用性三个方面的程度综合确定，资产的赋值采用定性的相对等级的方式，资产价值等级分为五级，从1到5由低到高分别代表五个级别的资产相对价值，等级越大，资产越重要。

三、威胁识别

安全威胁是一种对组织及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统，安全威胁是一个客观存在的事物，它是风险评估的重要因素之一。

产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素又可区分为恶意和非恶意两种。环境因素包括自然界的不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害，也可能是偶发的、或蓄意的事件。一般来说，威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。安全事件及其后果是分析威胁的重要依据。但是有相当一部分威胁发生时，由于未能造成后果，或者没有意识到，而被安全管理人员忽略。这将导致对安全威胁的认识出现偏差。

四、脆弱性识别

脆弱性是对一个或多个资产弱点的总称。脆弱性识别也称为弱点识别，是风险评估中重要的内容。弱点是资产本身固有的缺陷，任何一种资产均具有脆弱性，并非“不合格”品，它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。亿林网络的脆弱性识别针对每项需要保护的信息资产，找出每种威胁所能利用的脆弱性，并对脆弱性的严重程度进行评估，最终为其赋相应等级值。

五、已有安全措施的确定

亿林风险评估专家组在识别资产脆弱性的同时，还会详细分析针对该资产的已有或已规划的安全措施，并评价这些安全措施的有效性。除此之外，还将对系统的技术措施及现有的管理制度进行整体分析。

亿林风险评估专家组对已采取的控制措施进行识别并对控制措施的有效性进行确认，将有效的安全控制措施继续保持，防止控制措施的重复实施，为客户避免不必要的费用支出。对于那些确认为不适当的控制将核查是否取消，或者用更合适的控制代替。

六、风险分析

亿林风险评估专家组在完成了资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响。然后明确不同威胁对资产所产生的风险的相对值，即要确定不同风险的优先次序或等级，风险级别高的资产优先分配资源进行保护。亿林风险评估专家组在对风险等级进行划分后，将对不可接受的风险选择适当的处理方式及控制措施，并形成风险处理计划。对于不可接受范围内的风险，在选择了适当的控制措施后，对残余风险进行评价，判定风险是否已经降低到可接受的水平，为风险管理提供输入。