風險評估方案

為了更好的了解資訊保安狀況，根據《資訊保安風險評估指南》和gb/t 20984-2007 《資訊保安技術資訊保安風險評估規範》要求，總體評估公司資訊化建設風險。

風險評估的實施流程見下圖所示

測評過程中所使用的工具見下表所示：

首先需要將資訊系統及相關的資產進行恰當的分類，以此為基礎進行下一步的風險評估。根據資產的表現形式，可將資產分為資料、軟體、硬體、文件、服務、人員等型別。

一種基於表現形式的資產分類方法

根據資產在保密性上的不同要求，將其分為五個不同的等級，分別對應資產在機密性上應達成的不同程度或者機密性缺失時對整個組織的影響。

資產機密性賦值表

根據資產在完整性上的不同要求，將其分為五個不同的等級，分別對應資產在完整性上缺失時對整個組織的影響。

資產完整性賦值表

根據資產在可用性上的不同要求，將其分為五個不同的等級，分別對應資產在可用性上應達成的不同程度。

資產可用性賦值表

資產價值應依據資產在保密性、完整性和可用性上的賦值等級，經過綜合評定得出。根據最終賦值將資產劃分為五級，級別越高表示資產越重要，確定重要資產的範圍，並主要圍繞重要資產進行下一步的風險評估。

資產等級及含義描述

對威脅進行分類的方式有多種，針對上表的威脅**，可以根據其表現形式將威脅分為以下幾類。

一種基於表現形式的威脅分類表

判斷威脅出現的頻率是威脅賦值的重要內容，根據有關的統計資料來進行判斷。對威脅出現的頻率進行等級化處理，不同等級分別代表威脅出現的頻率的高低。等級數值越大，威脅出現的頻率越高。

威脅賦值表

脆弱性識別是風險評估中最重要的乙個環節。脆弱性識別可以以資產為核心，針對每一項需要保護的資產,識別可能被威脅利用的弱點，並對脆弱性的嚴重程度進行評估；從物理、網路、系統、應用等層次進行識別，然後與資產、威脅對應起來。脆弱性識別所採用的方法主要有：

問卷調查、工具檢測、人工核查、文件查閱、滲透性測試等。

脆弱性識別內容表

可以根據對資產的損害程度、技術實現的難易程度、弱點的流行程度，採用等級方式對已識別的脆弱性的嚴重程度進行賦值。

脆弱性嚴重程度可以進行等級化處理，不同的等級分別代表資產脆弱性嚴重程度的高低。等級數值越大，脆弱性嚴重程度越高。

脆弱性嚴重程度賦值表

在識別脆弱性的同時，評估人員應對已採取的安全措施的有效性進行確認。安全措施的確認應評估其有效性，即是否真正地降低了系統的脆弱性，抵禦了威脅。對有效的安全措施繼續保持，以避免不必要的工作和費用，防止安全措施的重複實施。

對確認為不適當的安全措施應核實是否應被取消或對其進行修正，或用更合適的安全措施替代。

為實現對風險的控制與管理，可以對風險評估的結果進行等級化處理。可以將風險劃分為五級，等級越高，風險越高。

根據所採用的風險計算方法，計算每種資產面臨的風險值，根據風險值的分布狀況，為每個等級設定風險值範圍，並對所有風險計算結果進行等級處理。每個等級代表了相應風險的嚴重程度。

風險等級劃分表