信息资产的风险评估范文

《信息技术与标准化杂志》2014年第六期

1基于信息资产的风险评估方法

1.1风险评估的关键要素本文所述的风险评估以信息资产为核心，评估信息资产的价值及其所具有的脆弱性和所面临的威胁，并得出信息资产的风险。基于信息资产的风险评估的关键要素主要包括信息资产、资产价值、资产脆弱性(即资产弱点)及威胁。风险评估关键要素间的关系如图1所示。

1.2风险评估流程风险评估流程如图2所示。

1.2.1识别并评价信息资产(1)识别信息资产识别信息资产就是要对所有的信息资产进行梳理与识别，编制资产清单。资产清单主要包括以下要素：资产基本信息：资产编号、资产名称、资产功能和用途简述等；资产类别：资产归类是将信息资产在特定条件下归并为一组，以便于进行风险识别、评估及管理工作；资产所有者：确定信息资产所有人员或单位；资产保管者：确定信息资产管理权责人员；资产使用者：确定信息资产的使用人；资产保密性：确定信息资产在保密性方面的等级；资产完整性：确定信息资产在完整性方面的等级；资产可用性：确定信息资产在可用性方面的等级；资产价值：根据信息资产保密性、完整性、可用性的等级，取最大值作为资产价值。经过笔者实际评估后认为，识别信息资产的关键在于资产的分类，合理的资产分类将大大降低风险评估的工作量。资产大类可以分为信息系统类、人员类、物理环境类、外部服务类、数据类、无形资产类。以信息系统类为例，信息系统下可以继续分为主机型、终端型、软件型三个二级分类。在主机下还可以继续划分为12个三级分类。(2)评价信息资产对信息资产的评分需考虑信息资产三个要素：保密性、完整性和可用性。依据特定资产评价标准对资产进行评分，并取保密性、完整性与可用性分数的最大值，作为该项信息资产的最终价值。为资产价值设定一个标准值，超过标准值的资产才能进行下一步风险评估。

1.2.2识别并评估威胁(1)威胁分类根据威胁的来源，将威胁分为人员威胁、技术威胁、环境威胁三大威胁，并据此罗列出细化分类的常见威胁。(2)威胁与弱点匹配根据列举的安全威胁，对企业面临的信息安全弱点进行划分，评估出每项威胁可能面临的弱点。(3)评价威胁与弱点针对识别的威胁、弱点依次评估其发生机率及事件影响程度，计算出风险值，并在评分的过程中考虑现有控制措施。a.威胁可能性评分标准根据威胁在一定时期内发生的频率，设定威胁发生的可能性。b.影响程度评分标准信息资产的弱点被威胁利用，影响程度的评分标准见表1。

1.2.3风险值计算及风险分级(1)风险值计算风险值的最终确定需综合考虑三个方面，包括资产价值、风险发生的可能性以及风险发生的影响程度。通过识别和评估资产价值，并评估风险发生的可能性和风险发生的影响程度，综合计算出风险值，风险计算公式如下：风险值=信息资产价值×风险发生可能性×风险影响程度评估后将形成如下的风险矩阵，见图3。(2)风险分级依据风险评估结果撰写信息安全风险评估报告，提出可接受的风险等级建议，提交领导层审核并决定可接受的风险等级。

1.2.4风险评价在风险值确定后，依据风险值大小进行风险处置优先级排序。应制定风险接受水平，等于及高于风险接受水平的风险为高风险。制定风险接受水平时，企业应考虑当年风险处置资源投入成本。对于以下风险，应纳入高风险进行处理：可能导致企业违反国家法律法规、行业规章制度及其他合规标准；可能导致企业品牌、声誉和社会责任的损害；管理层评估为高风险的其他风险项。应以风险评分结果为基础，通过多个角度对企业面临的风险状况进行分析：重要信息资产的分布情况；高风险主要分布的信息资产类别；高风险主要面临的威胁和弱点。从多角度分析目前企业面临的风险现状，有利于企业把握风险管控的重点，为风险处置做出指引。

1.2.5风险处置风险评估完成后，需要制定风险处置计划，执行风险处置，最后要对处置后的情况进行风险再评估。(1)风险处置计划在企业管理层确定企业的风险接受水平后即可对等于、高于风险接受水平的高风险制定处置计划，确定处置方式。风险项的处置方式包括：依据企业管理层确定的风险接受水平，有意识地接受该接受水平之下的较低风险，暂不采取处置措施；采用适宜的控制措施减缓风险，尽可能合理减缓风险至企业的风险接受水平之下；废弃导致风险的信息资产而避免风险；将风险转嫁给第三方，如保险公司或供应商。计划的控制措施应考虑国家的法律法规要求、企业的运营目标、行业监管要求以及风险控制的成本与效益。(2)风险处置执行企业应组织风险的相关责任单位落实风险控制措施，在规定期限内完成风险处置项。(3)风险处置再评估在风险控制措施完成后，企业应对风险项(不包括风险接受水平以下的较低风险)进行二次评估。经过二次评估仍评价为高风险的风险项，应作为残余风险。对于属于以下情况的残余风险应提交管理层批准接受：该风险目前不在企业控制范围内；该风险在目前技术手段下无法有效控制；该风险处置的资源投入高于风险所造成的影响损失。

2风险评估方法的工具实现

风险评估是一项涉及环节众多的复杂工作，需要投入较多的专业人员开展具体工作。为了减轻工作量，提高工作效率，笔者所在单位专门设计开发了一套风险评估的工具平台，并在企业内部得到了应用。

2.1功能模块工具平台设计了以下功能模块,截图见图5。风险计划控制：对风险评估的时间计划进行控制，以便在规定的计划内完成风险评估。信息资产管理：对信息资产进行识别和评价。威胁弱点管理：对信息资产所面临的威胁和弱点进行识别管理。风险评估：根据资产价值、威胁、弱点等进行风险评估。风险处置：根据风险评估结果生成风险处置计划，并落实责任单位与责任人，跟踪风险处置情况。风险报告：根据历年来的风险评估的情况，形成统计报告，跟踪风险发生的趋势和控制措施的改进情况。权限管理：对访问该风险评估工具的用户权限进行配置。

2.2系统架构该工具实现基于B/S方式，用户可以通过浏览器访问该工具平台。在实现架构上，与传统WEB应用类似，分为三层：WEB服务层：采用ApacheHttpServer实现，用于展示静态页面，并将动态请求转发至后台应用处理；核心应用层：采用Tomcat应用服务器实现，用于处理增删改等动态请求；数据库层：采用Mysql数据库实现，用于存储信息资产清单、威胁库、弱点库以及风险评估结果等。

2.3实际应用效果该风险评估工具平台上线后，在笔者所在企业内部的多个单位得到了应用。各单位风险评估人员通过登录该平台，录入相关资产，对资产进行评价，并对其风险进行评估，一定程度上提升了工作效率。通过运用该工具平台，可以有效保存企业历年的风险评估情况，查看风险趋势的变化，有利于企业对未来风险趋势进行研判。另外一方面，通过常态化的信息安全风险评估，能够更加有效地发掘潜在的安全风险，为确定企业的安全规划和信息安全资源投入提供了更加客观的依据。

作者：陈芳赵海黄镇单位：中国银联企业股份有限公司公安部第三研究所