风险评估（Risk Assessment）的过程和注意事项

一、风险评估的用途

识别危害——>风险评估——>控制风险

二、风险评估的定义

风险是某个事物可能会导致人们的生活、生命、财产等造成影响和损失的的威胁，而风险评估指的是这种威胁可能发生的一个程度，一个可以量化的评价。

三、风险评估的重要性

对于一个企业而言，威胁可能来自方方面面（如：机房环境、网络硬件设备资产、电脑终端资产、软件资产、数据资产、人员资产、无形资产等等），这种威胁是无处不在的，所以对这种威胁的识别，并且根据评估出来的结果进行针对性、突破性的管理和改善可以更加有效的降低安全事件发生的概率，对于企业而言是十分必要的。

四、风险评估的任务：

    1、识别评估对象面临的各种风险
    2、评估风险概率和可能带来的负面影响
    3、确定组织承受风险的能力
    4、确定风险消减和控制的优先等级
    5、推荐风险消减对策

五、风险评估的全过程

    1、确定要保护的对象及对象的价值？
    2、该对象面临的威胁、原因、威胁发生的可能性大小？
    3、该对象存在的弱点、弱点可能被威胁利用的容易程度？
    4、一旦威胁事件发生，将面临的损失和影响？
    5、为避免以上威胁事件发生，应采取什么措施降低风险？

解决以上问题的过程，就是风险评估的过程。

案例：
XXIT公司进行信息安全风险识别的全过程：
1、保护的对象：XX公司的所有和信息安全相关的资产，如：硬件资产（机房环境、网络设备、主机设备、电脑终端）、软件资产（信息系统）、数据资产（任何数据）、人员资产、无形资产（专利、著作权）；
2、该对象面临的威胁：
（1）、硬件：自然灾害、自然损坏、人为破坏等；
（2）、软件：软件自身问题、网络攻击、社会工程学攻击等；
（3）、数据：网络攻击导致数据被盗取、利用、非法贩卖、泄露等；
（4）、人员：离职、跳槽泄露公司涉密资产、商机及公司战略等；
（5）、无形资产：专利、著作产品被他人非法使用；
3、该对象存在的弱点：
（1）、硬件：机房门禁无监控，电脑终端无防泄密策略；
（2）、软件：软件开发安全质量低，无安全开发意识和培训；
（3）、数据：数据库加密策略不完善、开发测试环境使用正式环境数据未脱敏；
（4）、人员：普通员工缺乏离职信息安全审计，中高层领导缺乏人才挽留策略，中高层人员离职率较高；
（5）、无形资产：暂无；
4、一旦危险发生，将会面临的影响：
（1）、硬件：系统瘫痪、网络崩溃、影响生产等
（2）、软件：系统瘫痪、数据被盗取、权限被盗取、非法操作等；
（3）、数据：网络攻击导致数据被盗取、利用、非法贩卖、泄露等；
（4）、人员：离职、跳槽泄露公司涉密资产、商机及公司战略等；
（5）、无形资产：专利、著作产品被他人非法使用；
5、为避免以上威胁事件发生，应采取什么措施：
（1）、硬件：加装机房门禁监控，电脑终端部署防泄密策略；
（2）、软件：进行安全开发培训，软件开发人员提升安全开发意识，需求阶段阶段具备安全设计、上线阶段具备安全检测等。
（3）、数据：完善数据库加密策略、开发测试环境使用正式环境数据需要脱敏；
（4）、人员：所有员工入职进行背景调查，离职进行信息安全审计，中高层领导制定人才挽留策略以及合同进行详细约束；
（5）、无形资产：暂无；
这个过程，就是风险评估的整个过程。

六、风险评估过程中注意事项

    1、每项资产可能面临多种威胁；
    2、威胁源（威胁代理）可能不止一个；
    3、每种威胁可能利用一个或多个弱点；

所以，在风险评估的过程当中，应当做到全面、完善、整体进行分析和评估。

七、风险评估的战略

在风险评估的初期，组织就需要对安全目标制定一个符合自己实际情况的安全策略。其中就包括对风险评估战略的考虑（也就是风险评估的开展方式和过程）。

八、风险评估的范围

可以是企业、部门或者其他独立的、特定的组件和服务。

九、影响风险评估进展的部分因素

    1、时间
    2、开展深度
    3、开展范围

十、风险评估的途径

    1、基线评估：组织的商业运作不是很复杂，并且组织对信息处理和网络的依赖程度不是很高，或者组织信息系统多采用普遍且标准化的模式；
    2、详细评估：详细风险评估要求对资产进行详细识别和评价，对可能引起风险的威胁和弱点水平进行评估，根据风险评估的结果来识别和选择安全措施。；
    3、组合评估：基线风险评估耗费资源少、周期短、操作简单，但不够准确，适合一般环境的评估；详细风险评估准确而细致，但耗费资源较多，适合严格限定边界的较小范围内的评估。基于在实践当中，组织多是采用二者结合的组合评估方式。

为了决定选择哪种风险评估途径，组织首先对所有的系统进行一次初步的高级风险评估，着眼于信息系统的商务价值和可能面临的风险，识别出组织内具有高风险的或者对其商务运作极为关键的信息资产（或系统），这些资产或系统应该划入详细风险评估的范围，而其他系统则可以通过基线风险评估直接选择安全措施。。

十一、风险评估的方法

    1、风险因素分析法
    对可能导致风险发生的因素进行评价分析，确定风险发生概率。思路：调查风险源→识别风险转化条件→确定转化条件是否具备→估计风险发生的后果→风险评价。
    2、模糊综合评价法
    3、内部控制评价法
    通过对被审计单位内部控制结构的评价而确定审计风险的一种方法。由于内部控制结构与控制风险直接相关，因而这种方法主要在控制风险的评估中使用。
    4、分析性复核法
    5、定性风险评价法
    6、风险率风险评价法
    风险率风险评价法是定量风险评价法中的一种。思路：计算出风险率，然后把风险率与风险安全指标相比较，若风险率大于风险安全指标，则系统处于风险状态，两数据相差越大，风险越大。