信息安全风险管理依据等级保护的思想和适度安全的原则，平衡成本与效益，合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基础设施，确定合适的安全措施，从而确保机构具有完成其使命的信息安全保障能力。

　　为什么需要信息安全风险评估？

　　政策依据：

　　1.《关于进一步加家电子政务工程建设项目管理工作的通知》（发改高[2008]2544号）

　　2.《关于加家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)

　　3.《国家电子政务工程建设项目管理暂行办法》（国家发展和改革委员会令[2007]第55号）

　　4.《广东省电子政务信息安全管理暂行办法的通知》（粤府〔2003〕52号）

　　5.2019年工业和信息化部公开征求对《关于促进网络安全产业发展的指导意见（征求意见稿）》的意见，主要任务 （二）指出支持机构和企业开展网络安全规划咨询、威胁情报、风险评估、检测认证、安全集成、应急响应等安全服务，规范漏洞扫描、披露等活动。

　　信息安全风险评估，（简称“腾创实验室”）依据《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》（国信办[2006]5号）、GB/T 20984-2022《信息安全技术 信息安全风险评估方法》等标准规范，进行信息系统安全保障能力级的符合性测评。风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。

　　信息安全风险评估-如何让风险看得见？

　　风险评估要素：

　　信息资产价值：软件、硬件、数据、服务、人员等。

　　威胁可能性：任何可能发生的、为组织或某种特定资产带来所不希望的或不想要结果的事情。

　　弱点/脆弱性：资产中的弱点或防护措施/对策的缺乏被称为脆弱性。

　　安全措施：能消除脆弱性或对付一种或多种特定威胁的任何方法。

　　现场评估实施结束后，评估小组根据测评指导书各个评估项的结果记录进行评估分析，汇总评估结果，并进行整体评估分析，从而形成合理、可信任的评估结论，完成评估报告的编制及建议。

　　想象一下，如果企业没有进行信息安全风险评估，那么当攻击、数据泄露等安全事件发生时，企业可能会措手不及，造成巨大的经济损失和声誉损害。而有了信息安全风险评估的指引，企业就能提前发现潜在的安全隐患，并采取相应的措施进行防范和应对，从而确保企业的信息安全。

　　如何让风险“显形”？

　　根据GB/T 20984-2022《信息安全技术 信息安全风险评估方法》，风险评估基本要素包括资产、威胁、脆弱性和安全措施并基于以上要素开展风险评估。

　　1.资产识别

　　资产识别是风险评估的核心环节。资产按照层次可划分为业务资产、系统资产、系统组件和单元资产。因此资产识别应从三个层次进行识别。

　　2.威胁识别

　　威胁识别的内容包括威胁的来源、主体、种类、动机、时机和频率

　　3.脆弱性识别

　　如果脆弱性没有对应的威胁,则无需实施控制措施，但应注意并监视他们是否发生变化。相反，如果威胁没有对应的脆弱性,也不会导致风险。应注意,控制措施的不合理实施、控制措施故障或控制措施的误用本身也是脆弱性。控制措施因其运行的环境,可能有效或无效。脆弱性可从技术和管理两个方面进行审视。技术脆弱性涉及 IT 环境的物理层、网络层、系统层应用层等各个层面的安全问题或隐患。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面,前者与具体技术活动相关,后者与管理环境相关。

　　4.风险分析

　　组织应在风险识别基础上开展风险分析,风险分析应:a)根据威胁的能力和频率,以及脆弱性被利用难易程度,计算安全事件发生的可能性；b)根据安全事件造成的影响程度和资产价值，计算安全事件发生后对评估对象造成的损失；c)根据安全事件发生的可能性以及安全事件发生后造成的损失,计算系统资产面临的风险值；d)根据业务所涵盖的系统资产风险值综合计算得出业务风险值。

信息安全风险评估：让风险看得见的方法 1. 风险评估的重要性 信息安全风险评估是识别、评估和分析信息系统面临的各种风险的过程。它对于保护组织的信息资产、确保业务的连续性和合规性至关重要。 2. 风险评估的步骤 - 资产识别与赋值：确定组织的信息资产，并评估其价值。 - 威胁评估：识别可能对信息资产造成威胁的因素。 - 弱点评估：评估信息系统的弱点和漏洞。 - 风险分析：综合考虑威胁和弱点，计算风险值。 - 风险处置：制定风险降低和控制措施。 3. 风险评估的工具和技术 - 漏洞扫描：自动检测系统中的漏洞。 - 渗透测试：模拟黑客攻击，评估系统的安全性。 - 安全审计：监控和分析系统的安全事件。 - 风险评估框架：如 NIST CSF、ISO 27005 等。 4. 人员培训与意识提升 组织内的员工需要了解信息安全风险评估的重要性，并具备相应的安全意识和技能。培训应包括风险识别、防范措施和应急响应等方面。 5. 持续监测与改进 风险评估是一个持续的过程，组织应定期进行风险评估，及时发现新的威胁和弱点，并采取相应的措施进行改进。 6. 法规合规要求 许多行业都有特定的法规和标准，组织需要确保其信息系统符合这些要求，以避免法律风险和业务中断。 7. 合作与共享 信息安全风险评估不仅仅是组织内部的工作，还需要与供应商、合作伙伴和相关方进行合作，共同应对共同的风险。 结论： 通过有效的信息安全风险评估，组织可以更好地了解自身面临的风险，采取适当的措施进行防范和控制，确保信息资产的安全，保护业务的持续发展。