第1章    风险评估

1.1      评估目标

风险评估服务是通过对信息资产的识别与赋值、威胁评估、系统脆弱点评估、现有安全措施评估、综合风险分析等若干环节，对信息系统的安全风险进行半定量分析，清晰的展现信息系统当前的安全现状，提供公正、客观、翔实的数据作为决策参考，为下一步控制和降低安全风险、改善安全状况、实施信息系统的风险管理提供依据。

等级保护是一项针对信息系统进行分等级防护的信息安全管理制度。等级测评的目的决不仅仅是检验信息系统安全保护措施与安全标准的符合性，更大程度上是希望通过各类调研手段和测评技术手段，判断信息系统的真实安全状况，从而为信息系统的安全建设、整改、运行、维护提供依据。通过信息安全风险评估对信息系统的安全等级保护情况进行评估，依据已确定等级的相关保护要求，对系统的保护效果、潜在风险进行评估，从风险管理的角度有针对性地提出抵御威胁的安全等级防护对策和整改措施，从而最大限度地减少经济损失和负面影响。

因此，等级测评工作在等保符合性测评的基础上，开展全面的信息系统安全风险评估，特别是对于检验发现的标准不符合项，更要充分评估对应的脆弱点和安全威胁，判断系统安全风险的影响和可能性，全面掌控信息系统的风险状况，从而提供安全决策支持。

作为信息系统的运营使用单位，在信息系统满足等级保护标准要求的前提下，需要综合考虑系统面向的安全风险和安全防护成本，做出消除风险、缓解风险、接受风险的不同决策，从而充分贯彻等级保护实施过程中的重点保护原则和动态调整原则。因此，风险评估是等级测评工作中的关键环节，风险评估的结果将作为等级测评最终结论的重要依据。

1.2      适用对象

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）中明确规定国家的电子政务网络、重点业务信息系统、基础信息库以及相关支撑体系等国家电子政务工程建设项目，应开展信息安全风险评估工作。

风险评估服务适用于有以下需求的单位及企业：

l  需要了解当前资产潜在风险的用户；

l  需要了解当前安全建设投入后实际效果的用户；

l  需要了解信息安全对业务系统影响程度的用户；

l  需要跟踪信息安全延续性建设并获取后续建设参考依据的用户；

l  需要了解当前资产实际脆弱性的用户；

l  需要了解当前信息资产价值优先级的用户等。

1.3      评估依据

l  GB/T 20984-2007《信息安全技术信息安全风险评估规范》

l  GB/T 18336《信息技术 安全技术 信息技术安全性评估准则》

l  GB 17859－1999《计算机信息系统安全保护等级划分准则》

l  GB/T 19716－2005《信息技术 信息安全管理适用规则》

l  GB/T220##-2008《信息技术安全技术信息安全管理体系要求》

l  GB/T220##-2008《信息技术安全技术信息安全管理实用规则》

l  GB/T 20274《信息系统安全保障评估框架》

1.4      评估内容

信息安全风险评估的主要内容包括：分析信息系统资产的重要程度，评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等。风险评估服务内容主要包括以下几个环节：

l  信息资产的识别和赋值

确定组织信息资产的范围，对信息资产进行识别、分组和分类，并根据其安全特性（机密性、完整性、可用性）进行赋值，建立信息资产列表。

l  威胁评估

对组织的资产引起不期望事件而造成的损害的潜在可能性进行分析。包括潜在威胁分析、威胁审计和日志分析，得到对组织信息系统的安全威胁综合分析报告。

l  脆弱性评估

通过技术检测，实验和审计等方式寻找用户的信息资产中可能存在的弱点，并对弱点的严重性进行估值。包括技术性弱点检测、网络架构和业务流程分析、策略与安全控制审计，得到对组织信息系统的安全弱点综合分析报告。

l  现有安全措施评估

对组织目前已经采取的用于控制风险的技术和管理手段效果的评估，在针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等方面进行评价，得到对组织信息系统的现有安全措施综合分析报告。

l  综合风险分析

依据前面的评估结果和国家工程中心根据国际、国内标准和工程经验建立的风险评估模型，对组织的信息系统的风险进行评价和评级，得到对组织信息系统的安全风险综合评估报告和信息安全现状报告。

1.5      评估流程

1.6      评估方法

l  访谈

访谈是指测评人员与被测评组织内的有关人员就测评所关注的问题进行有针对性的询问和交流的过程，该过程可以帮助评估者了解现状、澄清疑问或获得证据。

访谈深度（即访谈内容的详细程度）以及访谈的广度（即对被测评组织中员工角色类型以及每种类型中人数的覆盖程度）由测评人员依据不同的测评需要进行选择和判断。

l  核查

核查是指对测评对象（如规范、机制或行为）进行观察、调查、评审、分析的过程。与访谈类似，该过程可以帮助评估者了解现状、澄清疑问或获得证据。

比较典型的检查行为包括：对安全配置的核查、对安全策略的分析和评审、安全日志核查等。

l  测试

测试是指在特定环境中运行一个或多个评估对象（限于机制或行为）并将实际结果与预期结果进行比较的过程。测试的目标是判定对象是否符合预定的一组规格。测试过程可以帮助评估者获得证据。

1.7      评估成果

风险评估服务可帮助用户系统降低安全风险，具体将带来以下价值：

风险评估服务可以帮助用户系统明确资产的配置和分布、业务运行模式、网络体系结构、技术基础结构、资产环境（周边控制、安全措施）以及信息安全策略和制度等信息，准确了解企业的网络和系统现状。

风险评估服务将全面给出用户信息系统每个层面上的安全隐患和脆弱性报告，使用户对信息安全各个层次的安全性状况和整体安全状况有全面具体的了解。

风险评估从管理制度和安全控制措施等方面对用户信息系统的安全问题进行分析评估，为用户进行信息安全决策和管理提供依据，从而尽可能在安全事故爆发之前避免、减少或转移风险。

风险评估可以重点针对信息系统在符合性检验中所发现的标准不符合项，充分了解对应的脆弱点和安全威胁，判断真实安全风险的影响和可能性，结合安全防护成本提供系统安全决策支持，充分贯彻等级保护实施过程中的重点保护原则和动态调整原则。

输出成果：《风险评估报告》

第二篇：道路安全风险评估介绍