风险评估管理程序 (I附录A14.1.2) QAECX/SGAI40—201 总则 根据国家标准GB/T 20984—2007《信息安全技术 信息安全风险评估规范》和有关法律、法规的规定制订本程序，本程序规定了评估公司信息资产所面临的风险并对风险实施有效控制的要求，确保风险被降低或消除。 本程序适用于本公司技术中心信息资产的风险评估和风险控制。 职责 业务部项目及流程管理部负责制定信息资产评估准则，确定风险评估方法，经总经理副总裁批准后实施。 相关部门负责人是本部门各类信息资产的主要责任人，负责组织建立并维护本部门资产台账，包括：识别并列出跟本部门业务有关的资产、对本部门资产进行风险评估并制定相关风险处理计划。 项目及流程管理部业务部负责对各部门风险评估过程及结果进行评审，并总结形成风险评估报告，由公司总经理技术中心副总裁对风险评估报告进行审批。 项目及流程管理部业务部负责监督风险处理计划的实施。 风险评估 风险评估框架及流程 （一）风险要素关系 风险评估中各要素的关系如图1所示： 图1 风险评估要素关系图 图1中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。图1中的风险要素及属性之间存在着以下关系： 业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小； 资产是有价值的，公司的业务战略对资产的依赖程度越高，资产价值就越大； 风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件； 资产的脆弱性可能暴露资产的价值，资产具有的脆弱性越多则风险越大； 脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产； 风险的存在及对风险的认识导出安全需求； 安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本； 安全措施可抵御威胁，降低风险； 残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后不去控制的风险； 残余风险应受到密切监视，它可能会在将来诱发新的安全事件。 （二）风险分析原理 风险分析原理如图2所示： 图2 风险分析原理图 风险分析中涉及资产、威胁、脆弱性三个基本要素。风险分析的主要内容为： 对资产进行识别，并对资产的价值进行赋值； 对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值； 对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值； 根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性； 根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失； 根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。 （三）实施流程 风险评估的实施流程如图3所示： 图3 风险评估实施流程图 风险评估实施流程的详细说明如下： 1、风险评估准备 风险评估准备是整个风险评估过程有效性的保证。具体内容包括： 确定风险评估的目标：根据满足公司技术中心业务持续发展在安全方面的需要、法律法规的规定等内容，识别现有信息系统及管理上的不足，以及可能造成的风险大?? 确定风险评估的范围：包括公司技术中心全部的信息及与信息处理相关的各类资产、管理机构，或某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。 确定评估管理与实施团队：由项目及流程管理部业务部、相关部门相关业务骨干、IT技术等人员组成风险评估小组。 进行系统调研：是确定被评估对象的过程，风险评估小组应进行充分的系统调研，为风险评估依据和方法的选择、评估内容的实施奠定基?? 确定评估依据和方法：根据系统调研结果，确定评估依据和评估方法，评估依据包括（但不仅限于）：现有国际、国家、行业的标准，系统安全保护等级要求，系统本身的实时性或性能要求等。根据评估依据来选择具体的风险计算方法，使之能够与公司技术中心环境和安全要求相适应。 制定风险评估方案：目的是为后面的风险评估实施活动提供一个总体计划，用于指导实施方开展后续工作。包括：团队组织、工作计划、时间进度安排等内容。 获得支持：在形成完整的风险评估实施方案后，经总经理副总裁批准，对相关人员进行传达，并进行必要的培训，以明确有关人员在风险评估中的任务。 2、资产识别 （1）资产分类 保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施