信息安全风险管理简述（下）：如何进行风险评估

信息安全风险管理是信息安全保障工作中的一项重要基础性工作，其核心思想是对管理对象面临的信息安全风险进行管控，已经在政府、金融、交通、教育等各个领域广泛实施。信息安全风险评估以及风险管理的国家标准也于2022年4月和2023年5月进行修订，标志着企业信息安全管理工作进入了新的阶段。网宿安全团队结合新标准的发布，以及行业多年的实践经验，对信息安全风险管理工作进行了深入的分析与解读。

全文内容较长，分上下两篇论述。上篇介绍信息安全风险管理的实施框架、实施步骤；下篇具体展开解读信息安全风险管理过程中如何进行风险评估。

信息安全风险评估

信息安全风险评估是信息安全保障工作的基础性工作和重要环节，要贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段，是信息安全等级保护制度建设的重要科学方法之一。风险要素的核心是资产，而资产的脆弱性/漏洞/弱点是必然存在的，为了获取资产权限，威胁源是客观存在的，安全措施可能有也可能没有，需要综合分析整体的风险情况。

风险要素及其关系如下：

风险评估实施流程如下：

1 风险评估要素-资产

1.1 资产识别

业务识别是实现组织发展规划的具体活动，业务识别是风险评估的关键环节。业务识别内容包括业务的属性、定位、完整性和关联性识别。业务识别内容如下：

业务涉及的资产识别是风险评估的核心环节，资产按照层次可以划分为业务资产、系统资产、系统组件和单元资产。资产层次划分如下：

1.2 资产赋值

业务重要性赋值：应根据业务的重要程度进行等级划分，并对其重要性进行赋值。

系统资产赋值：应依据资产的保密性、完整性和可用性赋值，结合业务承载性、业务重要性、进行综合计算，并设定相应的评级方法进行价值等级划分，等级越高表示资产越重要。

系统组件和单元资产赋值：应依据其保密性、完整性和可用性赋值进行综合计算，并设定相应的评级方法进行价值等级划分，等级越高表示资产越重要。

2 风险评估要素-威胁

2.1 威胁识别

威胁识别的内容包括威胁的来源、主体、种类、动机、时机和频率。威胁行为、种类、来源对应表如下：

2.2 威胁赋值

威胁赋值应基于威胁行为，依据威胁的行为能力和频率，结合威胁发生的时机，进行综合计算，并设定相应的评级方法进行等级划分，等级越高表示威胁利用脆弱性的可能性越大。

3 风险评估要素-已有安全措施

安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，保护性安全措施可以减少安全事件发生后对组织或系统造成的影响。在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认。

4 风险评估要素-脆弱性

4.1 脆弱性识别

脆弱性可从技术和管理两个方面进行审视。技术脆弱性涉及IT环境的物理层、网络层、系统层、应用层等各个层面的安全问题或隐患。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面，前者与具体技术活动相关，后者与管理环境相关。脆弱性识别内容表如下：

4.2 脆弱性赋值

脆弱性被利用难易程度赋值需要综合考虑已有安全措施的作用。一般来说，安全措施的使用将降低系统技术或管理上脆弱性被利用难易程度，但安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的脆弱性，而是一类具体措施的集合。

影响程度赋值是指脆弱性被威胁利用导致安全时间发生后对资产价值所造成影响的轻重程度分析并赋值的过程。识别和分析资产可能受到的影响时，需要考虑受影响的层面，可从业务层、系统层、系统组件和单元三个层面锦绣分析。

5 风险评估要素-风险

5.1 风险分析

在完成了资产、威胁、已有安全措施、脆弱性等内容识别和赋值后，结合风险计算公式，应开展事件损失和事件发生可能性的评估，最终综合计算风险值。

计算示例：

在识别业务B并对其重要性赋值、识别系统资产A及其业务承载连续性后对资产价值Va赋值、识别系统组件和单元资产C后对其资产价值Vc赋值、识别威胁的能力和频率并对其威胁值T赋值，识别安全措施和脆弱性后并对脆弱性被利用难易程度Av和影响程度Di赋值，采用适当的计算方法与工具确定安全事件发生的可能性和损失，并进行风险计算。

1. 计算安全事件发生的可能性
   根据威胁赋值及脆弱性被利用难易程度，计算威胁利用脆弱性导致安全事件发生的可能性，即：
   安全事件发生的可能性=L[威胁赋值，脆弱性被利用难易程度]=L(T,Av)。
2. 计算安全事件发生后的损失
   根据资产价值及安全事件影响程度，计算安全事件一旦发生后的损失，即：
   安全事件造成的损失=F[资产价值，影响程度]=F(Vc,Di)。
3. 计算系统资产风险值
   根据计算出的安全事件发生的可能性以及安全事件造成的损失，计算系统资产风险值，即：
   风险值=R[安全事件发生的可能性，安全事件造成的损失]=R(L(T,Av),F(Vc,Di))。
4. 计算业务风险值

应根据业务所涵盖的系统资产风险综合计算得出业务风险值，即：

业务风险值=Rb[系统资产风险值，系统资产风险值，…,系统资产风险值]=Rb(RA1,RA2,…,RAn)。

其中，Rb表示业务风险计算函数；RA1,RA2,…,RAn表示业务所涵盖系统资产的风险值。

5.2 风险评价

系统资产风险评价：根据风险评价准则对系统资产风险计算结果进行等级处理。系统资产风险等级划分表：

业务风险评价：根据风险评价准则对业务风险计算结果进行等级处理，在进行业务风险评价时，可从社会影响和组织影响两个层面进行分析。业务风险等级划分表：

语境建立、风险评估、风险处置和批准留存是信息安全风险管理的4个基本步骤。完成风险评估后，下一步就需依据风险评估的结果，选择并执行合适的安全措施来降低风险的过程，而后由机构的决策层做出是否认可风险管理活动的决定，并将结果留存。

信息安全风险管理的价值在于确保组织的敏感信息和资产受到保护，同时减少数据泄露、系统瘫痪和其他安全事件可能带来的负面影响。通过风险评估标识资产对于组织的价值，识别脆弱性和威胁，量化潜在威胁的可能性及其对业务的影响，在威胁的影响和对策的成本之间达到预算的平衡。通过有效的风险管理，组织可以降低安全事件发生的概率，提高安全性，遵守法律法规，保护声誉和客户信任，同时降低潜在的财务损失。此外，信息安全风险管理还可以提高组织的运营效率，提升员工的安全意识和技能，加强对供应链安全的管理，从而为组织的可持续发展和业务增长提供保障。因此，信息安全风险管理对于任何规模和类型的组织都具有重要的价值。

与此同时，网宿安全也始终秉承着以“风险管理”为核心的理念，为用户提供产品加服务一体化的解决方案，帮助客户更好的完善信息安全保障体系的建设和管理。