v2第5章__信息安全风险评估实施流程-副本解析.ppt

　　 5.7 风险评估文件记录5.7.1 风险评估文件记录的要求记录风险评估过程中的相关文件，应符合以下要求（但不仅限于此）：1. 确保文件发布前是得到批准的；2. 确保文件的更改和现行修订状态是可识别的；3. 确保文件的分发得到适当的控制，并确保在使用时可获得有关版本的使用文件；4. 防止作废文件的非预期使用，若因某种目的需保留作废文件时，应对这些文件进行适当的标识。 　　  对于风险评估过程中形成的相关文件，还应规定其标识、储存、保护、检索、保存期限以及处置所需的控制。 相关文件是否需要以及文件的详略程度与组织的管理者来决定。 　　 5.7.2 风险评估文件 是指在整个风险评估过程中产生的评估过程文档和评估结果文档，包括（但不仅限于此）；（1）风险评估方案 阐述风险评估的目标、范围、人员、评估方法、评估结果的形式和实施进度等。（2）风险评估程序 明确评估的目的、职责、过程、相关的文件要求，以及实施本次评估所需的各种资产、威胁、脆弱性识别和判断依据。 (3) 资产识别清单 根据组织在风险评估程序文件中所确定的资产分类方法进行资产识别，形成资产识别清单，明确资产是责任人/部门。 　　 （4）重要资产清单 根据资产识别和赋值的结果，形成重要资产列表，包括重要资产名称、描述、类型、重要程度、责任人/部门等。（5）威胁列表 根据威胁识别和赋值的结果，形成威胁列表，包括威胁名称、种类、来源、动机及出现的频率等（6）脆弱性列表 根据脆弱性识别和赋值的结果，形成脆弱性列表，包括具体弱点的名称、描述、类型及严重程度等。（7）已有安全措施的确认表 根据对已采取的安全措施确认的结果，形成已有安全措施确认表，包括已有安全措施名称、类型、功能描述及实施效果等。 　　 （8）风险评估报告 对整个风险评估过程和结果进行总结，详细说明被评估对象、风险评估方法、资产、威胁、脆弱性的识别结果、风险计划、风险统计和结论等内容。（9）风险处理计划 对评估结果中不可接受的风险制定风险处理计划，选择适当的控制目标及安全措施，明确责任、进度、资源，并通过对残余风险的评估以确定所选择安全措施的有效性。（10）风险评估记录 根据风险评估程序，要求风险评估过程中的各种现场记录可复现评估过程，并作为产生歧义后解决问题的依据。 作业6: 信息安全风险评估 调查表1.作业完成日期:3/23-4/6日 2.作业分值:15分3.要求:所调查的企业信息真实可靠,会打电话核对, 如果发现不符合,作业记0分.4. 不得雷同, 否则均记0分 作业7: 信息安全风险评估实践  (1)作业完成时间： 3/23 ---4/13 （2周）(2)作业不得雷同，否则均记0分。(3)本次作业计算平时30分，约占总分的20分，请认真对待要求所调查企业信息真实. 如果企业过大，可仅作一个部门或网络中心的信息安全评估。 表5- 7 一种基于表现形式的威胁分类表 种类 描 述 威 胁 子 类 泄密 信息泄露给不应该了解的人员 内部信息泄露、外部信息泄露 篡改 非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用 篡改网络配置信息、系统配置信息、安全配置信息、用户身份信息或业务数据信息 抵赖 不承认收到的信息和所作的操作和交易 原发抵赖、接收抵赖、第三方抵赖 　　5.3 威胁识别5.3.2 威胁赋值 威胁出现的频率是衡量威胁严重程度的重要要素，因此威胁识别后需要对威胁频率进行赋值，已带入最后的风险计算中。 评估者应根据经验和（或）有关的统计数据来对威胁频率进行赋值，威胁赋值中需要综合考虑以下三个方面因素。 　　5.3 威胁识别5.3.2 威胁赋值1） 以往安全事件报告中出现过的威胁及其频率的统计2） 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；3） 近年来国际组织发布的对与整个社会或特定的行业的威胁及其频率统计，以及发布的威胁预警。 可以对威胁出现的频率进行等级化处理，不同等级分别代表威胁出现的频率的高低。等级数值越大，威胁出现的频率越高。 表5- 8 威胁赋值表 等级 标识 定 义 5 很高 出现频率很高（或 =1 次 / 周）；或在大多数情况下几乎不可能避免；或可以证实经常发生过 4 高 出现频率较高（或 =1 次 / 月）；或在大多数情况下很有可