【信息安全风险评估】

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档

---

前言

通过信息安全风险评估，可以预先了解被评估资产的安全状况以及存在的风险，从而进一步选择合适的安全措施，降低被评估系统的安全风险。

一、什么是信息安全风险评估

信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。

二、信息安全风险评估依据

GB/T20984-2022《信息安全技术 信息安全风险评估方法》

三、风险要素间的关系

1、风险要素的核心是资产，而资产存在脆弱性；
2、安全措施的实施通过降低资产脆弱性被利用难易程度，抵御外部威胁，以实现对资产的保护；
3、威胁通过利用资产存在的脆弱性导致风险；
4、风险转化成安全事件后，会对资产的运行状态产生影响。
风险分析时，应综合考虑资产、脆弱性、威胁和安全措施等基本因素。

四、风险分析原理

a）根据威胁的来源、种类、动机等，并结合威胁相关安全事件、日志等历史数据统计，确定威胁的能力和频率；
b）根据脆弱性访问路径、触发要求等，以及已实施的安全措施及其有效性确定脆弱性被利用难易程度；
c）确定脆弱性被威胁利用导致安全事件发生后对资产所造成的影响程度；
d）根据威胁的能力和频率，结合脆弱性被利用难易程度，确定安全事件发生的可能性；
e）根据资产在发展规划中所处的地位和资产的属性，确定资产价值；
f）根据影响程度和资产价值，确定安全事件发生后对评估对象造成的损失；
g）根据安全事件发生的可能性以及安全事件造成的损失，确定评估对象的风险值；
h）依据风险评价准则，确定风险等级，用于风险决策。
风险分析原理是信息安全风险评估工作的核心

五、风险评估服务流程

1、准备阶段工作内容：
a）确定风险评估的目标；
b）确定风险评估的对象、范围和边界；
c）组件评估团队；
d）开展前期调研；
e）确定评估依据；
f）建立风险评价准则；
g）制定评估方案。
2、识别阶段工作内容：
a）资产识别；
b）威胁识别；
c）已有安全措施识别；
d）脆弱性识别。
识别阶段是我们风险评估现场工作的核心
3、分析阶段工作内容：
依据识别到的结果计算风险值。
风险评估计算方法包括两种：矩阵法和相乘法
4、风险评价阶段工作内容：
依据风险评价准则，确定风险等级。
5、沟通与协商和评估过程文档管理：
贯穿于整个风险评估过程。（风险评估工作是持续性的活动，当评估对象的政策环境、外部威胁环境、业务目标、安全目标等发生变化时，应重新开展风险评估。）

总结

以上就是今天要讲的内容，本文仅仅介绍了信息安全风险评估的基本概念和实施流程，分析阶段涉及到的两种计算方法会单独在后续文章中进行讲解。
参考依据：GB/T20984-2022《信息安全技术 信息安全风险评估方法》