信息資產的風險評估范文

本站小編為你精心準備了信息資產的風險評估參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

《信息技術與標準化雜志》2014年第六期

1基于信息資產的風險評估方法

1.1風險評估的關鍵要素本文所述的風險評估以信息資產為核心，評估信息資產的價值及其所具有的脆弱性和所面臨的威脅，并得出信息資產的風險。基于信息資產的風險評估的關鍵要素主要包括信息資產、資產價值、資產脆弱性(即資產弱點)及威脅。風險評估關鍵要素間的關系如圖1所示。

1.2風險評估流程風險評估流程如圖2所示。

1.2.1識別并評價信息資產(1)識別信息資產識別信息資產就是要對所有的信息資產進行梳理與識別，編制資產清單。資產清單主要包括以下要素：資產基本信息：資產編號、資產名稱、資產功能和用途簡述等；資產類別：資產歸類是將信息資產在特定條件下歸并為一組，以便于進行風險識別、評估及管理工作；資產所有者：確定信息資產所有人員或單位；資產保管者：確定信息資產管理權責人員；資產使用者：確定信息資產的使用人；資產保密性：確定信息資產在保密性方面的等級；資產完整性：確定信息資產在完整性方面的等級；資產可用性：確定信息資產在可用性方面的等級；資產價值：根據信息資產保密性、完整性、可用性的等級，取最大值作為資產價值。經過筆者實際評估后認為，識別信息資產的關鍵在于資產的分類，合理的資產分類將大大降低風險評估的工作量。資產大類可以分為信息系統類、人員類、物理環境類、外部服務類、數據類、無形資產類。以信息系統類為例，信息系統下可以繼續分為主機型、終端型、軟件型三個二級分類。在主機下還可以繼續劃分為12個三級分類。(2)評價信息資產對信息資產的評分需考慮信息資產三個要素：保密性、完整性和可用性。依據特定資產評價標準對資產進行評分，并取保密性、完整性與可用性分數的最大值，作為該項信息資產的最終價值。為資產價值設定一個標準值，超過標準值的資產才能進行下一步風險評估。

1.2.2識別并評估威脅(1)威脅分類根據威脅的來源，將威脅分為人員威脅、技術威脅、環境威脅三大威脅，并據此羅列出細化分類的常見威脅。(2)威脅與弱點匹配根據列舉的安全威脅，對企業面臨的信息安全弱點進行劃分，評估出每項威脅可能面臨的弱點。(3)評價威脅與弱點針對識別的威脅、弱點依次評估其發生機率及事件影響程度，計算出風險值，并在評分的過程中考慮現有控制措施。a.威脅可能性評分標準根據威脅在一定時期內發生的頻率，設定威脅發生的可能性。b.影響程度評分標準信息資產的弱點被威脅利用，影響程度的評分標準見表1。

1.2.3風險值計算及風險分級(1)風險值計算風險值的最終確定需綜合考慮三個方面，包括資產價值、風險發生的可能性以及風險發生的影響程度。通過識別和評估資產價值，并評估風險發生的可能性和風險發生的影響程度，綜合計算出風險值，風險計算公式如下：風險值=信息資產價值×風險發生可能性×風險影響程度評估后將形成如下的風險矩陣，見圖3。(2)風險分級依據風險評估結果撰寫信息安全風險評估報告，提出可接受的風險等級建議，提交領導層審核并決定可接受的風險等級。

1.2.4風險評價在風險值確定后，依據風險值大小進行風險處置優先級排序。應制定風險接受水平，等于及高于風險接受水平的風險為高風險。制定風險接受水平時，企業應考慮當年風險處置資源投入成本。對于以下風險，應納入高風險進行處理：可能導致企業違反國家法律法規、行業規章制度及其他合規標準；可能導致企業品牌、聲譽和社會責任的損害；管理層評估為高風險的其他風險項。應以風險評分結果為基礎，通過多個角度對企業面臨的風險狀況進行分析：重要信息資產的分布情況；高風險主要分布的信息資產類別；高風險主要面臨的威脅和弱點。從多角度分析目前企業面臨的風險現狀，有利于企業把握風險管控的重點，為風險處置做出指引。

1.2.5風險處置風險評估完成后，需要制定風險處置計劃，執行風險處置，最后要對處置后的情況進行風險再評估。(1)風險處置計劃在企業管理層確定企業的風險接受水平后即可對等于、高于風險接受水平的高風險制定處置計劃，確定處置方式。風險項的處置方式包括：依據企業管理層確定的風險接受水平，有意識地接受該接受水平之下的較低風險，暫不采取處置措施；采用適宜的控制措施減緩風險，盡可能合理減緩風險至企業的風險接受水平之下；廢棄導致風險的信息資產而避免風險；將風險轉嫁給第三方，如保險公司或供應商。計劃的控制措施應考慮國家的法律法規要求、企業的運營目標、行業監管要求以及風險控制的成本與效益。(2)風險處置執行企業應組織風險的相關責任單位落實風險控制措施，在規定期限內完成風險處置項。(3)風險處置再評估在風險控制措施完成后，企業應對風險項(不包括風險接受水平以下的較低風險)進行二次評估。經過二次評估仍評價為高風險的風險項，應作為殘余風險。對于屬于以下情況的殘余風險應提交管理層批準接受：該風險目前不在企業控制范圍內；該風險在目前技術手段下無法有效控制；該風險處置的資源投入高于風險所造成的影響損失。

2風險評估方法的工具實現

風險評估是一項涉及環節眾多的復雜工作，需要投入較多的專業人員開展具體工作。為了減輕工作量，提高工作效率，筆者所在單位專門設計開發了一套風險評估的工具平臺，并在企業內部得到了應用。

2.1功能模塊工具平臺設計了以下功能模塊,截圖見圖5。風險計劃控制：對風險評估的時間計劃進行控制，以便在規定的計劃內完成風險評估。信息資產管理：對信息資產進行識別和評價。威脅弱點管理：對信息資產所面臨的威脅和弱點進行識別管理。風險評估：根據資產價值、威脅、弱點等進行風險評估。風險處置：根據風險評估結果生成風險處置計劃，并落實責任單位與責任人，跟蹤風險處置情況。風險報告：根據歷年來的風險評估的情況，形成統計報告，跟蹤風險發生的趨勢和控制措施的改進情況。權限管理：對訪問該風險評估工具的用戶權限進行配置。

2.2系統架構該工具實現基于B/S方式，用戶可以通過瀏覽器訪問該工具平臺。在實現架構上，與傳統WEB應用類似，分為三層：WEB服務層：采用ApacheHttpServer實現，用于展示靜態頁面，并將動態請求轉發至后臺應用處理；核心應用層：采用Tomcat應用服務器實現，用于處理增刪改等動態請求；數據庫層：采用Mysql數據庫實現，用于存儲信息資產清單、威脅庫、弱點庫以及風險評估結果等。

2.3實際應用效果該風險評估工具平臺上線后，在筆者所在企業內部的多個單位得到了應用。各單位風險評估人員通過登錄該平臺，錄入相關資產，對資產進行評價，并對其風險進行評估，一定程度上提升了工作效率。通過運用該工具平臺，可以有效保存企業歷年的風險評估情況，查看風險趨勢的變化，有利于企業對未來風險趨勢進行研判。另外一方面，通過常態化的信息安全風險評估，能夠更加有效地發掘潛在的安全風險，為確定企業的安全規劃和信息安全資源投入提供了更加客觀的依據。

作者：陳芳趙海黃鎮單位：中國銀聯企業股份有限公司公安部第三研究所