风险评估

什么是风险评估

从信息安全的角度来讲，风险评估是对信息资产（即某事件或事物所具有的信息集）所面对的威胁、存在的弱点、产生的影响，以及三者综合作用所导致风险的机会性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要渠道，属于组织信息安全管理体系策划的过程。风险评估任务

风险评估的首要任务包含：

识别组织面对的各种风险

评估风险几率和或许导致的负面影响

确定组织承受风险的能力

确定风险消减和控制的优先等级

推荐风险消减对策风险评估过程注意事项

在风险评估过程中，有几个核心的困难需要考虑。

首先，要确定保护的对象（或者资产）是什么？它的直接和间接价值如何？

其次，资产面对哪些潜在威胁？致使威胁的困难所在？威胁发生的机会性有多大？

第三，资产中存在哪里弱点或许会被威胁所利用？利用的容易程度又如何？

第四，一旦威胁事件发生，组织会遭受怎样的损失或者面对怎样的负面影响？

最后，组织应当采取怎样的安全措施才可将风险导致的损失减弱到最低程度？

处理以上困难的过程，就是风险评估的过程。

执行风险评估时，有几个对应关系务必考虑：

每项资产或许面对多种威胁

威胁源（威胁代理）或许不止一个

每种威胁或许利用一个或多个弱点风险评估的三种可行渠道

在风险管理的前期准备阶段，组织已经依据安全目标确定了自己的安全战略，其中就包含对风险评估战略的考虑。所谓风险评估战略，其实就是执行风险评估的渠道，也就是规定风险评估应当保持的操作过程和方式。

风险评估的操作规模可以是整个组织，也可以是组织中的某一部门，或者独立的信息系统、特定系统组件和服务。影响风险评估进度的某些原因，包含评估时间、强度、展开程度和深度，都应与组织的环境和安全要求吻合合。组织应当针对不同的情形来选择恰当的风险评估渠道。当前，事实工作中经常运用的风险评估渠道包含基线评估、详细评估和组合评估三种。

基线评估

假使组织的商业运转不是很复杂，而且组织对信息处理和网络的依靠程度不是很高，或者组织信息系统多采取广泛且标准化的模式，基线风险评估（Baseline Risk Assessment）就可以直接而简单地达到基本的安全水平，而且满足组织及其商业环境的所有要求。

采取基线风险评估，组织依据自己的事实情形（所在行业、业务环境与性质等），对信息系统执行安全基线检查（拿现有的安全措施与安全基线规定的措施执行比较，找出其中的差距），得出基本的安全需求，通过选择并实行标准的安全措施来消减和控制风险。所谓的安全基线，是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统高达适当的安全防护水平。组织可以依据下方资源来选择安全基线：

国际标准和国家标准，比如BS 7799-1、ISO 13335-4；

行业标准或推荐，比如德国联邦安全局IT 基线保护手册；

来自其余有相似商务目标和范围的组织的惯例。

诚然，假使环境和商务目标较为典型，组织也可以自行建立基线。

基线评估的优点是需要的资源少，周期短，操作简单，对于环境类似且安全需求相当的诸多组织，基线评估显然是最经济有效的风险评估渠道。诚然，基线评估也有其很难避免的缺点，比如基线水平的高低很难设定，假使过高，或许致使资源浪费和制约过分，假使过低，或许很难高达充分的安全，另外，在管理安全有关的改变方面，基线评估比较问题。

基线评估的目标是建立一套满足信息安全基本目标的最小的对策集合，它可以在全组织规模内实施，假使有特殊需要，应当在此基础上，对特定系统执行更详细的评估。

详细评估

详细风险评估要求对资产执行详细识别和评价，对或许引起风险的威胁和弱点水平执行评估，依据风险评估的结果来识别和选择安全措施。该种评估渠道集中体现了风险管理的思想，即识别资产的风险并将风险减弱到可接受的水准，以此证明管理者所采取的安全控制措施是恰当的。

详细评估的优点在于：

1、组织可以通过详细的风险评估而对信息安全风险有一个精确的认识，而且精准定义出组织当前的安全水平和安全需求；

2、详细评估的结果可用来管理安全改变。诚然，详细的风险评估或许是非常耗费资源的过程，包含时间、精力和技术，所以，组织应当仔细设定待评估的信息系统规模，清晰商务环境、操作和信息资产的边界。

组合评估

基线风险评估耗费资源少、周期短、操作简单，但不够精准，适合一般环境的评估；详细风险评估精准而细致，但耗费资源较多，适合严格限定边界的较小规模内的评估。基于次实践当中，组织多是采取二者结合的组合评估方式。

为了决定选择哪种风险评估渠道，组织首先对所有的系统执行一次初步的高级风险评估，着眼于信息系统的商务价值和或许面对的风险，识别出组织内具有高风险的或者对其商务运转极为核心的信息资产（或系统），这些资产或系统应当划入详细风险评估的规模，而其余系统则可以通过基线风险评估直接选择安全措施。

该种评估渠道将基线和详细风险评估的优势结合起来，既节省了评估所耗费的资源，又能保证得到一个全面系统的评估结果，而且，组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被预先关注。诚然，组合评估也有缺点：假使初步的高级风险评估不够精准，某些本来需要详细评估的系统也许会被忽视，最终致使结果失准。风险评估的常用方法

在风险评估过程中，可以采取多种操作方法，包含基于知识（Knowledge-based）的分析方法、基于模型（Model-based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，无论何种方法，共同的目标均为找出组织信息资产面对的风险及其影响，以及当前安全水平与组织安全需求之间的差距。

基于知识的分析方法

在基线风险评估时，组织可以采取基于知识的分析方法来找出当前的安全情况和基线安全标准之间的差距。

基于知识的分析方法又称作经验方法，它牵涉到对来自相似组织（包含范围、商务目标和市场等）的“最佳惯例”的重用，适合一般性的信息安全社团。采取基于知识的分析方法，组织不需要付出很多精力、时间和资源，只要通过多种渠道采集有关信息，识别组织的风险所在和目前的安全措施，与特定的标准或最佳惯例执行比较，从中找出不符合的地方，并依照标准或最佳惯例的推荐选择安全措施，最终高达消减和控制风险的目的。风险评估项目建议书格式

风险评估项目建议书

任务名称

建议单位及地址

联系人及

联系方式

建议评估模式* 非应急评估（ ） 应急评估 （ ） 风险来源和性质 风险名称

进入食物链方式

污染的食物种类

在食物中的含量

风险涉及规模

有关检验报告和结论

已经发生的健康影响

国内外已有的管理措施

其余相关信息和资料 （包含信息来源、得到时间、核实情形） *建议采取应急评估应该供应背景情形和理由。

建议单位：（签章） 日期：