1．概述

风险管理是辨别出本公司潜在的风险，对其进行评估，并采取措施将其降低到可以接受的水平的过程， 而风险评估是其中最重要的环节。

2．目的

本规定旨在为本公司信息安全人员执行周期性的信息安全风险评估提供标准，帮助其正确判断出漏洞区域，并采取适当的补救措施。

3．范围

本规定适用于本公司信息安全人员对本公司信息系统(包括应用程序，服务器，网络及任何管理和维护这些系统的流程)所做的一切风险评估。

4．规定

4.1. 一般规定

  4.1.1. 每6个月对本公司重要的信息系统进行一次风险评估；

  4.1.2. 对重要的现在系统作了重大更改后或重要的新系统上线时必须进行风险评估；

  4.1.3. 被评估系统的开发人员和维护人员必须跟本公司信息安全人员密切合作，以准确评估该系统的漏洞，威胁，控制措施，开发出有效的补救措施；

  4.1.4. 风险评估结果必须以书面形式提交相关部门主管；

4.2. 风险评估流程

  4.2.1. 弄清系统情况

4.2.1.1.  收集系统信息的方法：

* 问卷：分发问卷给被评估系统的开发和维护人员；

* 面谈：跟被评估系统的开发和维护人员面谈；

* 查阅文档：查阅被评估系统的系统方面和安全方面的文档；

4.2.1.2. 需要收集的系统信息：

* 主要信息：硬件，软件，系统接口，数据和信息，支持人员和用户，系统的功能，系统和数据的关键性和敏感性；

* 额外信息：功能要求，用户，安全制度，安全架构，网络结构，信息存储保护，信息流，技术控制，管理控制，操作控制，物理安全环境，

环境安全；

4.2.2. 找出系统面临的威胁

4.2.2.1.  通过实地查看可以找出自然的和环境的威胁；

4.2.2.2.  通过查阅被评估系统的系统安全事故记录，安全违反报告，意外事件报告，及跟系统维护人员和系统用户面谈可以收集到人为的威胁；

4.2.2.3.  找出系统面临的自然的，人为的和环境的威胁，并整理出一个威胁陈述列表；

   4.2.3. 找出系统漏洞

4.2.3.1    通过查阅网上的漏洞列表，安全建议，厂商建议以了解当前流行的漏洞；

4.2.3.2    通过查阅被评估系统以前的风险评估报告，审计报告，系统异常报告及对其进行安全测试以收集被评估系统的漏洞；

4.2.3.3    整理出一个系统漏洞列表；

   4.2.4. 分析系统现有的控制措施

4.2.4.1    通过跟被评估系统的开发和维护人员面谈，及登录系统实地查看系统安全配置以收集系统的安全控制措施；

4.2.4.2    判断现有的控制措施是否充分，如不充分，应该增加哪些补救措施；

4.2.4.3    将当前的控制措施和计划增加的补救措施整理为一个控制措施列表；

   4.2.5. 判断发生安全事故的可能性

4.2.5.1    安全事故可能性定义：

              * 高：威胁源很有能力而且决心很大，而控制措施却不够充分；

              * 中：威胁源有能力而且决心大，但控制措施能够阻止对漏洞的成功利用；

              * 低：威胁源缺乏能力或决心，而控制措施却很充分；

4.2.5.2    综合考虑威胁源的动机和能力，漏洞的特征，现存控制措施的有效性，判断出发生安全事故的可能性（高，中，低）

    4.2.6. 分析安全事故的影响

4.2.6.1    通过综合分析被评估系统的任务，其本身及其数据的关键性和敏感性，判断其发生安全事故对本公司的影响程度（高，中，低）

     4.2.7. 判断风险大小

           4.2.7.1. 风险级别矩阵

                      风险等级: 高 ( >50 to 100); 中 ( >10 to 50);低 (1 to 10)

            4.2.7.2. 综合考虑威胁发生可能性和影响程度判断出风险等级(高，中，低) 

      4.2.8. 推荐补救措施

4.2.8.1.  考虑如下因素：

                   * 推荐措施的有效性；

                   * 是否符合本公司的系统和安全制度；

                   * 对系统运作的影响；

                   * 安全和可靠性；

      4.2.9. 书写评估报告

4.2.9.1.  评估报告的内容应：

                   * 描述威胁和漏洞；

                   * 衡量风险；

                   * 提供推荐的补救措施；

     更多ISO27001认证信息请关注潜龙咨询。