6.2 風險評估過程

風險評估的過程包括風險評估準備、風險要素識別、風險分析和風險結果判定四個階段。在信息安全風險管理過程中，接受背景建立的輸出，為風險處理提供輸入，監控審查和溝通咨詢貫穿其四個階段，如圖8所示。

6.2.1 風險評估準備

1、過程

2、說明

1）制定風險評估計劃。依據背景建立輸出的文檔，制定風險評估的實施計劃，包括風險評估的目的、意義、范圍、目標、組織結構、經費預算和進度安排等，形成風險評估計劃書。風險評估計劃書需要得到信息系統和信息安全風險管理決策層的認可和批準。

2）制定風險評估方案。依據背景建立輸出的文檔，確定風險評估的實施方案，包括風險評估的工作過程、輸入數據和輸出結果等，形成風險評估方案。

3）選擇風險評估方法和工具。依據背景建立輸出的文檔以及風險評估計劃和風險評估方案，從現有風險評估方法和工具庫中選擇合適的風險評估方法和工具，形成入選風險評估方法和工具列表。

6.2.2　風險要素識別

1、過程

2、說明

1）識別需要保護的資產并賦值。依據背景建立輸出的文檔，選擇適當的資產識別方法，識別對機構使命具有關鍵和重要作用的需要保護的資產，并確定資產的重要性級別，形成需要保護的資產清單。

2）識別面臨的威脅并賦值。依據背景建立輸出的文檔，參照威脅庫，選擇適當的威脅識別方法，識別機構的信息資產面臨的威脅，并確定威脅的屬性等級，可參考的威脅屬性包括威脅發生頻度、威脅能力程度等，形成面臨的威脅列表。威脅庫是有關威脅的外部共享數據和內部歷史數據的匯集。

3）識別存在的脆弱性并賦值。依據背景建立輸出的文檔，參照漏洞庫，選擇適當的脆弱性識別方法，識別機構的信息資產存在的脆弱性，并確定脆弱性的屬性等級，可參考的脆弱性屬性包括脆弱性被利用程度、脆弱性嚴重程度等，形成存在的脆弱性列表。漏洞庫是有關脆弱性/漏洞的外部共享數據和內部歷史數據的匯集。

4）確認已有的安全措施。依據背景建立輸出的文檔，即信息系統的描述報告、信息系統的分析報告和信息系統的安全要求報告，確認已有的安全措施，包括技術層面（即物理平臺、系統平臺、網絡平臺和應用平臺）的安全功能、組織層面（即結構、崗位和人員）的安全控制和管理層面（即策略、規章和制度）的安全對策，形成已有安全措施列表。

風險要素的識別方式包括文檔審查、人員訪談、現場考察、輔助工具等多種形式，可以根據實際情況靈活采用和結合使用。

6.2.3　風險分析

1、過程

2、說明

1）分析安全事件發生的可能性。依據面臨的威脅列表和存在的脆弱性列表，根據威脅屬性（威脅發生頻率、威脅能力程度等）及脆弱性屬性（脆弱性被利用程度等），計算威脅利用脆弱性導致安全事件發生的可能性。
2）分析安全事件造成的損失。依據存在的脆弱性列表和需要保護的資產列表，根據資產屬性（資產重要性程度等）及脆弱性屬性（脆弱性嚴重程度等），計算安全事件一旦發生后造成的損失。
3）實施風險計算。根據計算出的安全事件的可能性以及安全事件造成的損失，評估者可根據自身情況選擇相應的風險計算方法實施風險計算，形成風險計算報告。風險評估算法庫是各種風險評估算法的匯集，包括公認算法和自創算法。

6.2.4　風險結果判定

1、過程

2、說明
如圖12所示，風險結果判定階段的工作過程和內容如下：
1）評價風險的等級。依據風險計算報告，根據風險值的分布狀況，為每個等級設定風險值范圍，并對所有風險計算結果進行等級處理，形成風險程度等級列表。
2）綜合評價風險狀況。匯總各項輸出文檔和風險程度等級列表，綜合評價風險狀況，形成風險評估報告。
評價等級級數可以根據評價對象的特性和實際評估的需要而定，如〈高、中、低〉三級，〈很高、較高、中等、較低、很低〉五級等。