SP800-30（风险评估）..doc

 目 录 计算机系统技术报告 1 致谢 1 第1章 介绍 2 1.1 法律依据 2 1.2 目的 2 1.3 目的 3 1.4 目标读者 3 1.5 相关参考 3 1.6 指南结构 3 第2章 风险管理概述 5 2.1 风险管理的重要性 5 2.2 风险管理在SDLC中的集成 5 2.3 关键角色 6 第3章 风险评估 8 3.1 步骤1：描述系统特征 9 3.1.1 系统相关信息 10 3.1.2 信息收集技术 10 3.2 步骤2：识别威胁 11 3.2.1 识别威胁源 11 3.2.2 动机和行为 12 3.3 步骤3：识别脆弱性 13 3.3.1 脆弱性源 14 3.3.2 系统安全测试 14 3.3.3 开发安全要求核对表 15 3.4 步骤4：分析安全控制 17 3.4.1 控制方法 17 3.4.2 控制类别 17 3.4.3 安全控制的分析技术 17 3.5 步骤5：分析可能性 17 3.6 步骤6：分析影响 18 3.7 步骤7：确定风险 19 3.7.1 风险级别矩阵 20 3.7.2 风险级别描述 20 3.8 步骤8：对安全控制提出建议 21 3.9 步骤9：记录评估结果 21 第4章 风险减缓 22 4.1 风险减缓选项 22 4.2 风险减缓策略 22 4.3 安全控制的实现方法 23 4.4 安全控制的类别 25 4.4.1 技术类安全控制 26 4.4.2 管理类安全控制 28 4.4.3 运行类安全控制 29 4.5 成本效益分析 29 4.6 残余风险 31 第5章 评价和评估 32 5.1 良好的安全实践措施 32 5.2 成功的关键 32 附录A 范例：面谈问题 33 附录B 范例：风险评估报告大纲 34 附录C 范例：安全措施的实现计划概要 35 附录D 缩略语 37 附录E 术语表 38 附录F 参考文献 40  计算机系统技术报告 NIST的信息技术实验室（ITL）通过为国家提供测量和标准基础设施来推动美国的经济发展和公共福利。ITL的开发内容包括测试技术、测试方法、参考数据、概念实施证据以及技术分析报告，从而促进信息技术的发展和成效。ITL的责任包括开发技术、物理、管理标准和指南，为联邦计算机系统中的敏感非涉密信息提供成本有效的安全和隐私保护。NIST的特别出版物800系列报告了ITL在计算机安全领域的研究、指导和外拓工作，及其与工业界、政府和学术机构的合作活动。 国家标准和技术研究所特别出版物800-30，55页， （2002年1月）CODEN: NSPUE2 致谢 本文的作者——来自NIST的Gary Stoneburner以及来自Booz Allen Hamilton的Alice Goguen和Alexis Feringa希望在此表达对上述两个机构中审阅了本文草案版的同事们的感谢。尤其是NIST的Timothy Grance、Marianne Swanson、Joan Hash以及Booz Allen的Debra L. Banning、Jeffrey Confer、Randall K. Ewell和Waseem Mamlouk为本文的技术内容提供了大量富有价值的真知灼见。此外，我们还特别感谢来自公共和私营部门的很多评论，他们的富有思想和建设性的评论提高了本篇特别出版物的质量和实用性。  第1章 介绍 每个机构都有一个使命（mission）。在这个数字化的时代里，当某个机构为了更好地支持其使命而使用自动化IT系统处理其信息时，风险管理就在保护该机构的信息资产及其业务，使其远离IT相关风险的过程中扮演着关键的角色。 有效的风险管理过程是一个成功的IT安全项目中的重要组成部分。一个机构的风险管理过程的首要目标应该是保护机构以及该机构完成其使命的能力，而不仅仅是其IT资产。因此，风险管理过程不应当被看作主要由运行和管理IT系统的专业人员所实施的技术功能，还应该视为机构的一项必不可少的管理功能。 1.1 法律依据 本文是NIST根据1987年《计算机安全法案》和1996年《IT管理改革法案》（尤其是美国法典（U.S.C.）第15编第278款g-3（a）（5））赋予的法定责任而开发的。本文与美国法典第15编第278款g-3（a）（3）中的指南概念有所不同。 NIST的这些指南供处理敏感信息的联邦机构所使用。他们与OMB（管理和预算办公室）A-130通告附录III中的要求相符。 本文也可在自愿的基础上供非政府机构使用。本文没有版权。 本文中的所有信息均不会与商务部据其法定权力向联邦机构颁布的强制性、约束性标准与指南相矛盾，也不应将这些指南解释为对商务部长、OMB主任以及其他联邦官员的既有