1．概述

風險管理是辨別出本公司潛在的風險，對其進行評估，并采取措施將其降低到可以接受的水平的過程， 而風險評估是其中最重要的環節。

2．目的

本規定旨在為本公司信息安全人員執行周期性的信息安全風險評估提供標準，幫助其正確判斷出漏洞區域，并采取適當的補救措施。

3．范圍

本規定適用于本公司信息安全人員對本公司信息系統(包括應用程序，服務器，網絡及任何管理和維護這些系統的流程)所做的一切風險評估。

4．規定

4.1. 一般規定

  4.1.1. 每6個月對本公司重要的信息系統進行一次風險評估；

  4.1.2. 對重要的現在系統作了重大更改后或重要的新系統上線時必須進行風險評估；

  4.1.3. 被評估系統的開發人員和維護人員必須跟本公司信息安全人員密切合作，以準確評估該系統的漏洞，威脅，控制措施，開發出有效的補救措施；

  4.1.4. 風險評估結果必須以書面形式提交相關部門主管；

4.2. 風險評估流程

  4.2.1. 弄清系統情況

4.2.1.1.  收集系統信息的方法：

* 問卷：分發問卷給被評估系統的開發和維護人員；

* 面談：跟被評估系統的開發和維護人員面談；

* 查閱文檔：查閱被評估系統的系統方面和安全方面的文檔；

4.2.1.2. 需要收集的系統信息：

* 主要信息：硬件，軟件，系統接口，數據和信息，支持人員和用戶，系統的功能，系統和數據的關鍵性和敏感性；

* 額外信息：功能要求，用戶，安全制度，安全架構，網絡結構，信息存儲保護，信息流，技術控制，管理控制，操作控制，物理安全環境，

環境安全；

4.2.2. 找出系統面臨的威脅

4.2.2.1.  通過實地查看可以找出自然的和環境的威脅；

4.2.2.2.  通過查閱被評估系統的系統安全事故記錄，安全違反報告，意外事件報告，及跟系統維護人員和系統用戶面談可以收集到人為的威脅；

4.2.2.3.  找出系統面臨的自然的，人為的和環境的威脅，并整理出一個威脅陳述列表；

   4.2.3. 找出系統漏洞

4.2.3.1    通過查閱網上的漏洞列表，安全建議，廠商建議以了解當前流行的漏洞；

4.2.3.2    通過查閱被評估系統以前的風險評估報告，審計報告，系統異常報告及對其進行安全測試以收集被評估系統的漏洞；

4.2.3.3    整理出一個系統漏洞列表；

   4.2.4. 分析系統現有的控制措施

4.2.4.1    通過跟被評估系統的開發和維護人員面談，及登錄系統實地查看系統安全配置以收集系統的安全控制措施；

4.2.4.2    判斷現有的控制措施是否充分，如不充分，應該增加哪些補救措施；

4.2.4.3    將當前的控制措施和計劃增加的補救措施整理為一個控制措施列表；

   4.2.5. 判斷發生安全事故的可能性

4.2.5.1    安全事故可能性定義：

              * 高：威脅源很有能力而且決心很大，而控制措施卻不夠充分；

              * 中：威脅源有能力而且決心大，但控制措施能夠阻止對漏洞的成功利用；

              * 低：威脅源缺乏能力或決心，而控制措施卻很充分；

4.2.5.2    綜合考慮威脅源的動機和能力，漏洞的特征，現存控制措施的有效性，判斷出發生安全事故的可能性（高，中，低）

    4.2.6. 分析安全事故的影響

4.2.6.1    通過綜合分析被評估系統的任務，其本身及其數據的關鍵性和敏感性，判斷其發生安全事故對本公司的影響程度（高，中，低）

     4.2.7. 判斷風險大小

           4.2.7.1. 風險級別矩陣

                      風險等級: 高 ( >50 to 100); 中 ( >10 to 50);低 (1 to 10)

            4.2.7.2. 綜合考慮威脅發生可能性和影響程度判斷出風險等級(高，中，低) 

      4.2.8. 推薦補救措施

4.2.8.1.  考慮如下因素：

                   * 推薦措施的有效性；

                   * 是否符合本公司的系統和安全制度；

                   * 對系統運作的影響；

                   * 安全和可靠性；

      4.2.9. 書寫評估報告

4.2.9.1.  評估報告的內容應：

                   * 描述威脅和漏洞；

                   * 衡量風險；

                   * 提供推薦的補救措施；

     更多ISO27001認證信息請關注潛龍咨詢。