风险评估管理程序(34页).doc

《风险评估管理程序(34页).doc》由会员分享，可在线阅读，更多相关《风险评估管理程序(34页).doc（34页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、-风险评估管理程序-第 34 页风险评估管理程序历史修订记录序号更改单号更改说明修订人生效日期现行版次目 录1 概述52 术语与定义52.1 风险管理52.1.1 风险评估52.2 其他63 风险评估框架及流程73.1 风险要素关系73.2 风险分析原理93.3 实施流程94 风险评估准备过程104.1 确定范围104.2 确定目标114.3 确定组织结构114.4 确定风险评估方法114.5 获得最高管理者批准115 风险评估实施过程115.1 资产赋值135.1.1 资产分类145.1.2 资产价值属性175.1.3 资产价值属性赋值标准195.2 威胁评估235.2.1 威胁分类235.

2、2.2 威胁赋值265.3 脆弱性评估275.4 确定现有控制305.5 风险评估305.5.1 风险值计算305.5.2 风险等级划分315.5.3 风险评估结果纪录316 风险管理过程326.1 安全控制的识别与选择336.2 降低风险346.3 接受风险356.4 风险管理要求357 相关文件361 概述目前信息安全管理的发展趋势是将风险管理与信息安全管理紧密结合在一起，将风险概念作为信息安全管理实践的对象和出发点，信息安全管理的控制点以风险出现的可能性作为对象而展开的。ISO27001标准对信息安全管理体系(ISMS)的要求即通过对信息资产的风险管理,确定重要信息资产清单以及风险等级,

3、从而采取相应的控制措施来实现信息资产的安全。信息安全管理是风险管理的过程，风险评估是风险管理的基础。风险管理是指导和控制组织风险的过程。风险管理遵循管理的一般循环模式计划 (Plan)、执行 (Do)、检查 (Check)、行动 (Action)的持续改进模式。ISO27001标准要求企业设计、实施、维护信息安全管理体系都要依据PDCA循环模式。2 术语与定义2.1 风险管理风险管理是以可接受成本识别、评估、控制、降低可能影响信息系统风险的过程，通过风险评估识别风险，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降低到一个可以被接受的水平，同时考虑控制费

4、用与风险之间的平衡。风险管理的核心是信息的保护。信息对于组织是一种具有重要价值的资产。建立信息安全管理体系(ISMS)的目的是在最大范围内保护信息资产，确保信息的机密性、完整性和可用性，将风险管理自始至终的贯穿于整个信息安全管理体系中，这种体系并不能完全消除信息安全的风险，只是尽量减少风险，尽量将攻击造成的损失降低到最低限度。2.1.1 风险评估风险评估指风险分析和风险评价的整个过程，其中风险分析是指系统化地识别风险来源和风险类型，风险评价是指按组织制定的风险标准估算风险水平，确定风险严重性。风险评估的出发点是对与风险有关的各因素的确认和分析，与信息安全风险有关的因素可以包括四大类：资产、威胁

5、、脆弱性、安全控制措施。风险评估是对信息和信息处理设施的威胁、脆弱性和风险的评估，它包含以下元素：风险是被特定威胁利用的资产的一种或一组脆弱性，导致资产丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。资产是对组织具有价值的信息资源，是安全控制措施保护的对象。威胁是可能对资产或组织造成损害的事故的潜在原因。脆弱性是资产或资产组中能被威胁利用的弱点。安全控制措施是降低风险的措施、程序或机制。2.2 其他1. 资产Asset：对组织具有价值的信息或资源，是安全策略保护的对象。2. 资产价值Asset Value：资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的

6、主要内容。3. 机密性confidentiality：数据所具有的特性，即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。4. 完整性integrity：保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。5. 可用性availability：数据或资源的特性，被授权实体按要求能访问和使用数据或资源。6. 数据完整性data integrity ：数据所具有的特性，即无论数据形式作何变化，数据的准确性和一致性均保持不变。7. 系统完整性system integrity ：在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下，信息

7、系统能履行其操作目的的品质。8. 信息安全风险information security risk：人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。9. 信息安全风险评估information security risk assessment：依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。10. 信息系统information system：由计算

8、机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。典型的信息系统由三部分组成：硬件系统（计算机硬件系统和网络硬件系统）；系统软件（计算机系统软件和网络系统软件）；应用软件（包括由其处理、存储的信息）。11. 检查评估inspection assessment：由被评估组织的上级主管机关或业务主管机关发起的，依据国家有关法规与标准，对信息系统及其管理进行的具有强制性的检查活动。12. 组织organization：由作用不同的个体为实施共同的业务目标而建立的结构。组织的特性在于为完成目标而分工、合作；一个单位是一个组织

9、，某个业务部门也可以是一个组织。13. 残余风险residual risk：采取了安全措施后，仍然可能存在的风险。14. 自评估self-assessment：由组织自身发起，参照国家有关法规与标准，对信息系统及其管理进行的风险评估活动。15. 安全事件security event ：指系统、服务或网络的一种可识别状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或未预知的不安全状况。16. 安全措施security measure：保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制的总称。17. 安全需求security requirem

10、ent：为保证组织业务战略的正常运作而在安全措施方面提出的要求。18. 威胁threat：可能导致对系统或组织危害的不希望事故潜在原因。19. 脆弱性vulnerability：可能被威胁所利用的资产或若干资产的弱点。3 风险评估框架及流程本章提出了风险评估的要素关系、分析原理及实施流程。3.1 风险要素关系资产所有者应对信息资产进行保护，通过分析信息资产的脆弱性来确定威胁可能利用哪些弱点来破坏其安全性。风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。风险评估中各要素的关系如图3-1所示：图3-1 风险要素关系图图3-1中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些

11、要素相关的属性。风险评估围绕着这些基本要素展开，在对这些要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。图3-1中的风险要素及属性之间存在着以下关系： 1. 业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；2. 资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；3. 资产价值越大，原则上则其面临的风险越大；4. 风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能导致安全事件；5. 弱点越多，威胁利用脆弱性导致安全事件的可能性越大；6. 脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产，从而形成

12、风险；7. 风险的存在及对风险的认识导出安全需求；8. 安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；9. 安全措施可抵御威胁，降低安全事件发生的可能性，并减少影响；10. 风险不可能也没有必要降为零，在实施了安全措施后还可能有残余风险。有些残余风险的原因可能是安全措施不当或无效,需要继续控制；而有些残余风险则是在综合考虑了安全成本与效益后未去控制的风险，是可以接受的；11. 残余风险应受到密切监视，它可能会在将来诱发新的安全事件。3.2 风险分析原理 风险分析原理如图3-2所示：图3-2 风险分析原理图风险分析中要涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性，资产的

13、属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为：1. 对资产进行识别，并对资产的价值进行赋值；2. 对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；3. 对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；4. 根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性；5. 根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失；6. 根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。3.3 实施流程图3-3给出风险评估的实施流程，第4章将围绕风险评估流

14、程阐述风险评估各具体实施步骤。图3-3 风险评估实施流程图4 风险评估准备过程风险评估的准备过程是运维中心进行风险评估的基础，是整个风险评估过程有效性的保证。运维中心对信息及信息系统进行风险评估是一种战略性的考虑，其结果将受到运维中心业务需求及战略目标、文化、业务流程、安全要求、规模和结构的影响。因此在风险评估实施前，应：1. 确定风险评估的范围；2. 确定风险评估的目标；3. 建立适当的组织结构；4. 建立系统化的风险评估方法；5. 获得最高管理者对风险评估策划的批准。4.1 确定范围进行风险评估是基于运维中心自身商业要求及战略目标的要求，国家法律法规和行业监管要求，根据上述要求确定风险评估

15、范围，每次评估范围可以是全公司的信息和信息系统，可以是单独的信息系统，可以是关键业务流程。此项工作需要在资产识别和分类工作基础上进行。4.2 确定目标运维中心的信息、信息系统、应用软件和网络是运维中心重要的资产，信息资产的机密性，完整性和可用性对于维持竞争优势，提高安全管理水平，符合法律法规要求和运维中心的形象是必要的。运维中心要面对来自四面八方日益增长的安全威胁，信息、信息系统、应用软件和网络可能是严重威胁的目标，同时由于运维中心信息化程度不断提高，对信息系统和技术的依赖日益增加，则可能出现更多的脆弱性。运维中心风险评估的目标来源于业务持续发展的需要、满足国家法律法规和行业监管的要求等方面。

16、4.3 确定组织结构在风险评估过程中，应建立适合的组织结构，以推进评估过程，成立由管理层、相关业务骨干、IT技术人员等组成的风险评估小组，以保证能够满足风险评估的范围、目标。4.4 确定风险评估方法风险评估方法应考虑评估的范围、目的、时间、效果、组织文化、人员素质以及具体开展的程度等因素来确定，使之能够与运维中心的环境和安全要求相适应。4.5 获得最高管理者批准上述所有内容应得到运维中心管理层批准，并对相关部门和员工进行传达，就风险评估相关内容进行培训，以明确各有关人员在风险评估中的任务。5 风险评估实施过程信息安全各组成因素：资产的价值、对资产的威胁和威胁发生的可能性、资产脆弱性、现有的安全

17、控制提供的保护，风险评估过程是综合以上因素而导出风险的过程，如图5-1所示：资产赋值脆弱性评估威胁评估确定现有控制风险评估图5-1风险评估的过程详细的风险评估方法描述详细的风险评估是对资产、威胁和脆弱点进行详细的识别和估价，评估结果被用于评估风险和安全控制的识别和选择。通过识别资产的风险并将风险降低到可接受水平，来证明管理者所采用的安全控制是适当的。详细的风险评估，需要仔细地制定被评估的信息系统范围内的业务环境、业务运营、信息和资产的边界，是一个需要管理者持续关注的方法，如下表：风险评估评估活动资产赋值识别和列出信息安全管理范围内被评估的业务环境、业务运营和信息相关的所有的资产，定义一个价值尺

18、度并为每一项资产分配价值（机密性、完整性和可用性的价值）。威胁评估识别与资产相关的所有威胁，并根据它们发生的可能性为它们赋值。脆弱性评估识别与资产相关的所有的脆弱点，并根据它们被威胁利用的程度和严重性来赋值。确定现有控制识别与记录所有与资产相关联的、现有的控制。风险评估利用上述对资产、威胁、脆弱点的评价结果，进行风险评估，风险为资产的相对价值、威胁发生的可能性与脆弱点被利用的可能性的函数，采用适当的风险测量工具进行风险计算。表5-1 详细风险评估内容详细风险评估方法将安全风险作为资产、威胁及脆弱点的函数来进行识别与评估，具体程序包括：1. 对资产（说明它们的价值、业务相关性）、威胁（说明它们发

19、生的可能性）和脆弱性（说明有关它们的弱点和敏感性的程度）进行测量与赋值。2. 使用预定义风险计算函数完成风险测量。5.1 资产赋值资产赋值就是要识别影响信息系统的信息资产（以下简称资产），并评估其价值，包括资产识别与资产赋值两部分。1. 资产识别 资产是影响信息系统运行而需要保护的有用资源，资产以多种形式存在。运维中心资产分为：硬件类、系统服务类、支撑服务类、信息类、人员、无形资产等，每类资产具有不同价值属性和存在特点，固有的弱点、面临的威胁、需要实施的保护和安全控制各不相同。 为了对资产进行有效的保护，组织需要在各个管理层对资产落实责任，进行恰当的管理。 在信息安全体系范围内识别资产并为资产

20、编制清单是一项重要工作，每项资产都应该清晰地定义，在组织中明确资产所有权关系，进行安全分类，并以文件方式详细记录在案。2. 资产赋值 为了明确对资产的保护，有必要对资产进行估价，其价值大小不仅仅是考虑其自身的价值，还要考虑其业务的相关性和一定条件下的潜在价值。资产价值常常是以安全事件发生时所产生的潜在业务影响来衡量，安全事件会导致资产机密性、完整性和可用性的损失，从而导致企业资金、市场份额、企业形象的损失。为了资产评估的一致性与准确性，组织应当建立一个资产的价值评估标准，对每一种资产和每一种可能的损失，例如机密性、完整性和可用性的损失，都可以赋予一个价值。但采用精确的方式给资产赋值是较困难的一

21、件事，一般采用定性的方式，按照事前建立的资产的价值评估标准将资产的价值划分为不同等级。经过资产的识别与估价后，组织应根据资产价值大小，进一步确定要保护的关键资产。 资产分别具有不同的安全属性，机密性、完整性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的数值。对信息资产进行估价赋值的目的是为了更好地反映资产的价值，以便于进一步考察资产相关的弱点、威胁和风险属性，并进行量化。 在评估过程，为了保证没有资产被忽略和遗漏，应该先确定信息安全管理体系(ISMS)范围，建立资产的评审边界。评估

22、资产最简单的方式是列出组织业务过程中、安全管理体系范围内所有具有价值的资产，然后对资产赋予一定的价值，这种价值应该反映资产对组织业务运营的重要性，并以对业务的潜在影响程度表现出来。例如，资产价值越大，由于泄露、修改、损害、不可用等安全事件对组织业务的潜在影响就越大。基于组织业务需要的资产的识别与估价，是建立信息安全体系，确定风险的重要一步。 资产的价值应当由资产的所有者和相关用户来确定，只有他们才最清楚资产对组织业务的重要性，才能较准确地评估出资产的实际价值。为确保资产赋值时的一致性和准确性，组织应建立一个资产价值评价尺度，以指导资产赋值。 在对资产赋予价值时，一方面要考虑资产购买成本及维护成

23、本，另一方面主要考虑当这种资产的机密性、完整性、可用性受到损害时，对业务运营的负面影响程度。在信息安全管理中，并不是直接采用资产的账面价值，在运维中心风险评估中采用以定性分级的方式建立资产的相对价值，以相对价值来作为确定重要资产的依据和为这种资产的保护投入多大资源的依据。5.1.1 资产分类 运维中心资产分类见下表：大类小类名称硬件类H010大型机H020小型机H030PC服务器H040PC台式机H050PC移动电脑H060业务终端H070通讯设施H080网络交换机H090网络路由器H100负载均衡器H110网络安全设备H120数据存储设备H130移动存储设备H140存储介质H150纸质文档H

24、160智能卡设备H170UPS设备H180发电机H190设备管理间H200电线电缆H210显示设备H220监控设备H230传真机/传真系统H240照明设施H250供电设施H260供水设施H270暖通空调H280消防设施H290门禁系统H300打印机H310复印机H320扫描仪H330投影机H340机架系统服务类S010核心业务应用系统S020辅助业务应用系统S030网络基础应用系统S040网络安全系统S050操作系统S060数据库S070中间件S080软件开发工具S090软件测试工具S100其他系统或服务信息类I010软件I020开发文档及源代码I030用户文档I040系统业务数据I050系统

25、支撑数据I060密码数据I070其他支撑服务类F010通讯服务F020系统运行F030系统维护F040软件开发F050软件维护F060安全保卫F070人力资源服务F080财务服务F090供电F100供暖F110消防F120照明F130空调F140咨询服务F150培训服务F160审计服务人员类R010管理层人员R020网络管理人员R030系统管理人员R040安全管理人员R050软件开发人员R060软件测试人员R070通讯管理人员R080文档管理人员R090系统用户R100企业客户R110签约供应商R120第三方人员R130临时人员无形资产类W010公信力 W020组织形象与声誉 W030商标W0

26、40产品名称W050知识产权表5-2 资产分类表5.1.2 资产价值属性除了机密性、完整性和可用性外，在运维中心风险评估中引入系统对业务的重要程度、资产对系统的重要程度，资产花费等资产价值属性，各价值属性图示如下：图5-2 资产价值属性1. 系统服务范围：说明当前业务系统应用或服务的范围，评估人员可以人工分析并选择系统服务范围值。2. 业务对系统的依赖程度：用于衡量部门业务对当前业务系统的依赖程度，评估人员可以人工分析并选择业务对系统的依赖程度值。3. 系统对业务的重要程度：用于衡量业务系统对业务的重要性，其值由系统服务范围和业务对系统的依赖程度确定。4. 信息保密性：说明信息资产本身或硬件、

27、系统服务类资产所包含信息的保密性价值，评估人员可以人工分析并选择信息保密性值。5. 信息完整性：说明信息资产本身或硬件、系统服务类资产所包含信息的完整性价值，评估人员可以人工分析并选择信息完整性值。6. 信息可用性：说明信息资产本身或硬件、系统服务类资产所包含信息的可用性价值，评估人员可以人工分析并选择信息可用性值。7. 资产信息重要性：用于衡量信息资产本身或硬件、系统服务类资产所包含信息的信息价值，其值由信息保密性、信息完整性和信息可用性确定。8. 资产对系统的重要程度：用于衡量硬件、系统服务类资产对业务系统的可用性价值，评估人员可以人工分析并选择对系统的重要程度值。9. 资产对业务的重要程

28、度：用于衡量硬件、系统服务类资产对业务的重要性，其值由系统对业务的重要程度和资产对系统的重要程度确定。10. 资产业务价值：用于衡量硬件、系统服务、人员及其它类资产对业务的价值，对于人员及无形类资产，其值由对业务的重要程度确定，对于硬件、系统服务类资产，其值由对业务的重要程度和资产信息重要性确定。11. 花费：用于衡量购买或恢复被破坏的资产所需要的花消，评估人员可以人工分析并选择花费值。12. 资产价值：用于表示资产的重要性，其值由资产业务价值和花费确定。不同类别资产赋值可能采用不同的价值属性。具体见下表：资产类别价值属性硬件类系统服务类信息类支撑服务人员无形资产系统服务范围业务对系统的依赖程

29、度系统对业务的重要程度保密性完整性可用性资产CIA重要性资产对系统的重要程度资产对业务的重要程度资产业务价值花费表5-3 不同资产采用的价值属性5.1.3 资产价值属性赋值标准运维中心风险评估使用的资产属性赋值标准见下表：l 系统服务范围赋值系统服务范围赋值描述1运维中心内部。2面向开发基地。3面向整个公司内部。4面向整个公司内部及客户、政府、组织等。表5-4 系统服务范围赋值表l 业务对系统的依赖程度赋值业务对系统依赖程度赋值描述1整个业务处理流程可以通过手工方式或其他方式完成，而且这些替代方式对组织业务的开展没有或极少影响。2整个业务处理流程可以通过手工方式或其他方式完成，但这些替代方式对

30、组织业务的开展有较大的影响。3业务处理流程的部分环节可以通过手工方式或其他方式替代完成, 这些替代方式对组织业务的开展有较大的影响。4业务处理流程完全依赖信息系统，手工方式无法完成。表5-5业务对系统的依赖程度赋值表l 系统对业务的重要程度计算系统重要程度权值（W）系统服务范围值+业务对系统依赖程度值系统重要程度值T1（W）T1是非线性函数，用于将计算出的权值W映射到5级，得到系统重要程度值，见下表：系统对业务重要程度赋值描述1W=2，32W=43W=54W=65W=7，8表5-6系统对业务的重要程度计算表l 信息保密性赋值信息保密性赋值描述1信息的未授权泄露对运维中心的业务以及利益基本不会受

31、到影响或损害极小。2信息的未授权泄露对运维中心的业务以及利益带来一定的损失或破坏。3信息的未授权泄露对运维中心的业务、利益以及整个公司利益带来严重的损失或破坏。4信息的未授权泄露对运维中心的业务、利益以及整个公司利益带来极其严重的损失或破坏。5信息的未授权泄露会对运维中心的业务、利益以及整个公司利益带来灾难性的损失或破坏。表5-7信息保密性赋值表l 信息完整性赋值信息完整性赋值描述1信息的未授权的修改或破坏对运维中心的业务以及利益基本不会受到影响或损害极小。2信息的未授权的修改或破坏对运维中心的业务以及利益带来一定的损失或破坏。3信息的未授权的修改或破坏对运维中心的业务、利益以及整个公司利益带

32、来严重的损失或破坏。4信息的未授权的修改或破坏会对运维中心的业务、利益以及整个公司利益带来极其严重的损失或破坏。5信息的未授权的修改或破坏会对运维中心的业务、利益以及整个公司利益带来灾难性的损失或破坏。表5-8信息完整性赋值表l 信息可用性赋值信息可用性赋值描述1可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于25%2可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上3可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上4可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上5可用性价值非常高，合法使用

33、者对信息及信息系统的可用度达到年度99.9%以上表5-9信息可用性赋值表l 资产CIA重要性计算资产CIA重要性值MAX（保密性值、完整性值、可用性值）l 资产对系统的重要程度赋值对系统的重要程度赋值描述1资产出现问题对整个业务系统的可用性影响极小或没有影响。2资产出现问题对整个业务系统的可用性有一定的影响。3资产出现问题对整个业务系统的可用性有较大的影响。4资产出现问题将导致整个业务系统丧失可用性。表5-10资产对系统的重要程度赋值表l 资产对业务的重要程度计算资产对业务的重要程度权重(W)系统对业务的重要程度值资产对系统的重要程度值资产对业务的重要程度值T2（W）T2是非线性函数，用于将计

34、算出的权值W映射到5级，得到资产对业务重要程度值，见下表：资产对业务重要程度赋值描述1W=1，22W=3，4，53W=6，8，94W=10，125W=15，16，20表5-11资产对业务的重要程度计算表l 资产业务价值计算资产业务价值MAX（资产对业务的重要程度值、资产CIA重要性值）l 花费赋值资产花费赋值描述1购买或恢复资产花费=0.1万元。20.1万元购买或恢复资产花费1万元。31万元购买或恢复资产花费10万元。410万元购买或恢复资产花费50万元。550万元 1 次/半年）；或在某种情况下可能会发生；或被证实曾经发生过。2低出现的频率较小；或一般不太可能发生；或没有被证实发生过。1很低

35、威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生。表5-15威胁赋值表5.3 脆弱性评估 脆弱性评估也称为漏洞评估，是风险评估中重要内容。脆弱性是信息资产自身存在的，它可以被威胁利用、引起资产或商业目标的损害。脆弱性包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的弱点。 值得注意的是，脆弱性虽然是信息资产本身固有的，但它本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失。所以如果没有相应的威胁发生，单纯的脆弱性并不会对资产造成损害。那些没有安全威胁的脆弱性可以不需要实施安全保护措施，但它们必须记录下来以确保当环境、条件有所变化时能随之加以改变

36、安全保护，需要注意的是不正确的、起不到应有作用的或没有正确实施的安全保护措施本身就可能是一个安全脆弱性环节。 脆弱性评估将针对每一项需要保护的信息资产，找出每一种威胁所能利用的脆弱性，并对脆弱性的严重程度进行评估，即对脆弱性被威胁利用的可能性进行评估，最终为其赋值。在进行脆弱性评估时，提供的数据应该来自于这些资产的拥有者或使用者，来自于相关业务领域的专家以及软硬件信息系统方面的专业人员。脆弱性评估所采用的方法主要为：问卷调查、访谈、工具扫描、手动检查、文档审查、渗透测试等。 在运维中心风险评估中采用问卷调查、小组访谈、工具扫描和人工检查等方法。 脆弱性的识别以资产为核心，即根据每个资产分别识别其存在的弱点，然后综合评价该资产的脆弱性。 脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关。脆弱性识别内容如下表述：类型识别对象识别内容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。服务器（含操作系统）从物理保护、用户帐号、口令策略、资源共享、事