信息安全風險評估的基本過程包括哪些階段

信息安全風險評估的基本過程包括：

預備階段

確定評估目標和評估范圍，成立評估小組。主要工作包括準備資料、調查表、評估工具和設備，制定詳細的實施計劃。

資產的評估

采用資產調查的方式進行信息資產統計，并對資產按照（業務系統、部門）歸類。在評估范圍內的資產，要對其進行保密性要求、完整性要求、可用性要求的調查與分析。

這一步通常采用問卷調查和對資產管理人員與使用人員的訪談來完成。對數據進行整理與分析后可得到相應資產的半定量化的價值。

威脅評估

對信息安全方面的潛在威脅和可能入侵給出全面的分析。潛在威脅主要是根據每項資產的安全弱點而引發的安全威脅。通過對威脅發生的可能性和造成后果的嚴重性來對威脅進行高、中、低這三個等級的賦值。

這一步主要通過威脅調查（采用技術與統計手段）建立一個可能的威脅列表，并通過統計數據分析和調查訪談的方式來確定威脅的等級。

漏洞評估

對每項信息資產具有的安全脆弱點、隱患和漏洞進行分析，對脆弱點被利用的難易程度賦值。脆弱點的獲取可以有多種方式，例如，掃描工具掃描（Scanning）、滲透測試、制度文件審核、人員訪談等。可以根據具體的評估對象、評估目的選擇具體的弱點獲取方式。

現有安全措施評估

對現有的安全技術措施和相關的安全策略文檔進行評估，確定現有措施所起的作用，以及其面臨的威脅和存在的漏洞。

現有安全措施的評估主要通過技術審查和策略文件完整性審查的方式。這一步往往同漏洞和威脅的評估結合在一起。

風險分析

根據以上基礎數據，參照風險關系模型，對資產、威脅、漏洞、風險，及其相互之間的關系進行統計、分析。包括資產分類和分級、威脅分析、漏洞分析、風險計算以及風險分析（風險分布、風險因素比較分析、風險等級分析、整體安全風險評價）等。

對于風險分析的數據和結果建議建立風險數據庫，以便于對風險進行統計、跟蹤和 管理。

提交的文檔

安全評估過程中應該形成一個評估文檔體系，主要包括但不限于如下關鍵文檔。

1）預備階段

產生的文檔為《風險評估建議》和《風險評估實施方案》，主要內容為針對企業情況提出風險評估采用的方式，以及在這種方式下的評估實施方案。

2）資產分類和分級

產生的文檔為《資產列表》，主要內容為資產名稱、資產編號、資產的所有人以及資產的價值等。

3）威脅分類、分布和威脅的可能性、后果分析

產生的文檔為《威脅列表》，主要內容為威脅列表、威脅對應的資產、威脅嚴重性、威脅發生的可能性以及對應威脅的防范辦法等主要內容。

4）漏洞統計和分析

產生的文檔為《漏洞列表》，主要內容為漏洞列表、漏洞對應的資產、漏洞的嚴重性、漏洞被利用的可能性以及對應漏洞的解決與處理辦法等主要內容。

5）風險計算與分析

產生的文檔為《風險評估報告》，主要內容包括總體及分系統的風險分布、系統中各風險因素比較分析、風險等級分析、整體安全風險評價等。

6）安全建議

《信息安全建議》是在風險分析完成后，根據風險分析內容和結果，針對具體安全情況和企業需求提出的初步的信息安全解決方案。主要內容包括需求提取、需求論證和解決方案。另外在實施過程中還會有一些申請報告、相關的會議記錄以及工作備忘錄等文檔。

回答所涉及的環境：聯想天逸510S、Windows 10。