风险评估的基本要素

这些要素之间存在着以下关系。业务战略依赖于资产去完成；资产拥有价值，单位的业务战略越重要，对资产的依赖度越高，资产的价值则就越大；资产的价值越大则风险越大；风险是由威胁发起的，威胁越大则风险越大，并可能演变成安全事件；威胁都要利用脆弱性，脆弱性越大则风险越大；脆弱性使资产暴露，是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险；资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足，且是有成本的；安全措施可以抗击威胁，降低风险，减弱安全事件的影响；风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险——一部分残余风险来自于安全措施可能不当或无效，在以后需要继续控制这部分风险，另一部分残余风险则是在综合考虑了安全的成本与资产价值后，有意未去控制的风险，这部分风险是可以被接受的；残余风险应受到密切监视，因为它可能会在将来诱发新的安全事件。

风险因素识别阶段的工作流程和内容如下：

1）识别需要保护的资产。依据对象确立输出的三个报告，即《信息系统的描述报告》、《信息系统的分析报告》和《信息系统的安全要求报告》，识别对机构使命具有关键和重要作用的需要保护的资产，形成《需要保护的资产清单》。

2）识别面临的威胁。依据对象确立输出的三个报告，参照威胁库，识别机构的信息资产面临的威胁，形成《面临的威胁列表》。威胁库是有关威胁的外部共享数据和内部历史数据的汇集。

3）识别存在的脆弱性。依据对象确立输出的三个报告，参照漏洞库，识别机构的信息资产存在的脆弱性，形成《存在的脆弱性列表》。漏洞库是有关脆弱性/漏洞的外部共享数据和内部历史数据的汇集。风险因素的识别方式包括文档审查、人员访谈、现场考察、辅助工具等多种形式，可以根据实际情况灵活采用和结合使用。风险程度分析阶段的工作流程和内容如下：

1）确认已有的安全措施。依据对象确立输出的三个报告，即《信息系统的描述报告》、《信息系统的分析报告》和《信息系统的安全要求报告》，确认已有的安全措施，包括技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）的安全功能、组织层面（即结构、岗位和人员）的安全控制和管理层面（即策略、规章和制度）的安全对策，形成《已有安全措施分析报告》。2）分析威胁源的动机。依据对象确立输出的三个报告和《面临的威胁列表》，从利益、复仇、好奇和自负等驱使因素，分析威胁源动机的强弱，形成《威胁源分析报告》。

3）分析威胁行为的能力。依据对象确立输出的三个报告和《面临的威胁列表》，从攻击的强度、广度、速度和深度等方面，分析威胁行为能力的高低，形成《威胁行为分析报告》。

4）分析脆弱性的被利用性。依据对象确立输出的三个报告、《面临的威胁列表》和《存在的脆弱性列表》，按威胁/脆弱性对，分析脆弱性被威胁利用的难以程度，形成《脆弱性分析报告》。

5）分析资产的价值。依据对象确立输出的三个报告和《需要保护的资产清单》，从敏感性、关键性和昂贵性等方面，分析资产价值的大小，形成《资产价值分析报告》。

6）分析影响的程度。依据对象确立输出的三个报告和《需要保护的资产清单》，从资产损失、使命妨碍和人员伤亡等方面，分析影响程度的深浅，形成《影响程度分析报告》。风险等级评价阶段的工作流程和内容如下：

1）评价威胁源动机的等级。依据《威胁源分析报告》，给出威胁源动机的等级，形成《威胁源等级列表》。2）评价威胁行为能力的等级。依据《威胁行为分析报告》，给出威胁行为能力的等级，形成《威胁行为等级列表》。