5.6 風險分析

5.6.1 風險計算原理

在完成了資產識別、威脅識別、脆弱性識別，以及已有安全措施確認后，將采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性。綜合安全事件所作用的資產價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風險。本標準給出了風險計算原理，以下面的范式形式化加以說明：
風險值=R（A，T，V）= R(L(T，V)，F(Ia，Va ))。
其中，R表示安全風險計算函數；A表示資產；T表示威脅；V表示脆弱性； Ia表示安全事件所作用的資產價值；Va表示脆弱性嚴重程度；L表示威脅利用資產的脆弱性導致安全事件的可能性；F表示安全事件發生后造成的損失。有以下三個關鍵計算環節：
a）計算安全事件發生的可能性
根據威脅出現頻率及脆弱性的狀況，計算威脅利用脆弱性導致安全事件發生的可能性，即：
安全事件的可能性=L(威脅出現頻率，脆弱性)＝L(T，V )。
在具體評估中，應綜合攻擊者技術能力（專業技術程度、攻擊設備等）、脆弱性被利用的難易程度（可訪問時間、設計和操作知識公開程度等）、資產吸引力等因素來判斷安全事件發生的可能性。　
b）計算安全事件發生后造成的損失
根據資產價值及脆弱性嚴重程度，計算安全事件一旦發生后造成的損失，即：
安全事件造成的損失=F(資產價值，脆弱性嚴重程度)＝F(Ia，Va )。
部分安全事件的發生造成的損失不僅僅是針對該資產本身，還可能影響業務的連續性；不同安全事件的發生對組織的影響也是不一樣的。在計算某個安全事件的損失時，應將對組織的影響也考慮在內。
部分安全事件造成的損失的判斷還應參照安全事件發生可能性的結果，對發生可能性極小的安全事件，如處于非地震帶的地震威脅、在采取完備供電措施狀況下的電力故障威脅等，可以不計算其損失。
c）計算風險值
根據計算出的安全事件的可能性以及安全事件造成的損失，計算風險值，即：
風險值=R(安全事件的可能性，安全事件造成的損失)＝R(L(T，V)，F(Ia，Va ))。
評估者可根據自身情況選擇相應的風險計算方法計算風險值，如矩陣法或相乘法。矩陣法通過構造一個二維矩陣，形成安全事件的可能性與安全事件造成的損失之間的二維關系；相乘法通過構造經驗函數，將安全事件的可能性與安全事件造成的損失進行運算得到風險值。

5.6.2 風險結果判定

為實現對風險的控制與管理，可以對風險評估的結果進行等級化處理。可將風險劃分為五級，等級越高，風險越高。
評估者應根據所采用的風險計算方法，計算每種資產面臨的風險值，根據風險值的分布狀況，為每個等級設定風險值范圍，并對所有風險計算結果進行等級處理。每個等級代表了相應風險的嚴重程度。
表11提供了一種風險等級劃分方法。

風險等級處理的目的是為風險管理過程中對不同風險的直觀比較，以確定組織安全策略。組織應當綜合考慮風險控制成本與風險造成的影響，提出一個可接受的風險范圍。對某些資產的風險，如果風險計算值在可接受的范圍內，則該風險是可接受的，應保持已有的安全措施；如果風險評估值在可接受的范圍外，即風險計算值高于可接受范圍的上限值，則該風險是不可接受的，需要采取安全措施以降低、控制風險。另一種確定不可接受的風險的辦法是根據等級化處理的結果，不設定可接受風險值的基準，對達到相應等級的風險都進行處理。

5.6.3 風險處理計劃

對不可接受的風險應根據導致該風險的脆弱性制定風險處理計劃。風險處理計劃中應明確采取的彌補脆弱性的安全措施、預期效果、實施條件、進度安排、責任部門等。安全措施的選擇應從管理與技術兩個方面考慮。安全措施的選擇與實施應參照信息安全的相關標準進行。

5.6.４ 殘余風險評估

在對于不可接受的風險選擇適當安全措施后，為確保安全措施的有效性，可進行再評估，以判斷實施安全措施后的殘余風險是否已經降低到可接受的水平。殘余風險的評估可以依據本標準提出的風險評估流程實施，也可做適當裁減。一般來說，安全措施的實施是以減少脆弱性或降低安全事件發生可能性為目標的，因此，殘余風險的評估可以從脆弱性評估開始，在對照安全措施實施前后的脆弱性狀況后，再次計算風險值的大小。