2.8　风险管理

信息安全风险评估是指根据相关的信息安全技术和管理标准，对信息系统和由其处理、传输及存储的信息的保密性、完整性、可用性等安全属性进行评估的过程。它要评估资产面临的威胁，以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值判断安全事件发生对组织造成的影响。

风险管理需要确认的有风险评估框架及流程、风险评估实施、信息系统生命周期各阶段的风险评估及风险评估的工作形式。在风险评估框架和流程中需要确认的有风险要素关系、风险分析原理、实施流程；在风险评估实施过程中需要执行风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施的确认、风险分析及风险评估文档记录；在信息系统生命周期各阶段的风险评估中包含信息系统生命周期概述、规划阶段、设计阶段、实施阶段、运行维护阶段及废弃阶段的风险评估。风险评估有自评估和检查评估两种工作形式。

在风险评估实施前需要确定风险评估的目标和范围、组建合适的评估管理和实施团队、进行系统调研、确定评估的依据和方法。

资产识别、威胁识别、脆弱性识别是风险评估中的重要步骤。资产评估阶段是风险评估中的重要因素，包含计算机硬件、通信设施、建筑物、数据库、文档信息和软件；资产赋值分为保密性赋值、完整性赋值、可用性赋值。安全威胁是导致安全事故和信息资产损失的活动、可能对资产或组织造成意外事件的潜在原因。通过威胁评估手段，一方面可以了解组织信息安全的环境，另一方面也能对安全威胁进行半定量赋值。脆弱性识别是以资产为核心，主要从技术和管理两个方面进行，技术脆弱性和物理层、网络层、系统层、应用层有关；管理的脆弱性需要分为技术管理脆弱性和组织管理脆弱性两个方面。

在完成资产识别、威胁识别、脆弱性识别后，需要以恰当的方法确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响。计算环节包括计算安全事件发生的可能性、安全事件发生后的损失及风险值。根据风险计算的方法，计算每种资产面临的风险值，根据风险值的分布情况，给每个等级设定风险值范围，并对风险计算结果进行登记处理。

针对信息系统生命周期各阶段的风险评估，以自评为主，自评估和检查评估相互结合，互为补充。