风险评估

风险评估是指，在风险事件发生之前或之后（但还没有结束），该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。

信息安全风险评估

信息安全风险管理依据等级保护的思想和适度安全的原则，平衡成本与效益，合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基础设施，确定合适的安全措施，从而确保机构具有完成其使命的信息安全保障能力。

信息安全风险评估，腾创实验室依据《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》（国信办[2006]5号）、GB/T 20984-2022《信息安全技术 信息安全风险评估方法》等标准规范，进行信息系统安全保障能力级的符合性测评。风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。

GB/T 20984-2022《信息安全技术 信息安全风险评估方法》

风险评估准备

组织实施风险评估是一种战略性的考虑,其结果将受到组织规划、业务、业务流程、安全需求、系统规模和结构等方面的影响。因此,在风险评估实施前应准备以下工作。

a)在考虑风险评估的工作形式、在生命周期中所处阶段和被评估单位的安全评估需求的基础上，确定风险评估目标。

附录 A 给出了评估对象生命周期各阶段的风险评估内容,附录 B 给出了风险评估的工作形式描述。

b)确定风险评估的对象、范围和边界

c)组建评估团队、明确评估工具。附录 C给出了风险评估的工具。

d)开展前期调研。

e)确定评估依据。

f)建立风险评价准则:组织应在考虑国家法律法规要求及行业背景和特点的基础上,建立风险评价准则，以实现对风险的控制与管理。

风险识别

风险识别，此阶段应包括：

1）资产识别；

2）威胁识别；

3）已有安全措施识别；

4）脆弱性识别。

风险分析

组织应在风险识别基础上开展风险分析,风险分析应:

a) 根据威胁的能力和频率,以及脆弱性被利用难易程度,计算安全事件发生的可能性;

b)根据安全事件造成的影响程度和资产价值,计算安全事件发生后对评估对象造成的损失;

c)根据安全事件发生的可能性以及安全事件发生后造成的损失，计算系统资产面临的风险值;

d)根据业务所涵盖的系统资产风险值综合计算得出业务风险值。

风险评价

风险评价，此阶段应包括

1）系统资产风险评价；

根据风险评价准则对系统资产风险计算结果进行等级处理。表 11 给出了一种系统资产风险等级划分方法。

2）业务风险评价。

根据风险评价准则对业务风险计算结果进行等级处理,在进行业务风险评价时,可从社会影响和组织影响两个层面进行分析。社会影响涵盖国家安全,社会秩序,公共利益,公民、法人和其他组织的合法权益等方面;组织影响涵盖职能履行、业务开展、触犯国家法律法规、财产损失等方面。表 12 给出了一种基于后果的业务风险等级划分方法。