新寡妇村传奇,盛世嫡妃凤轻小说,手机推荐排行榜

隨著信息技術(shù)的飛速發(fā)展及廣泛應(yīng)用，政府部門(mén)、金融機(jī)構(gòu)、企事業(yè)單位和商業(yè)組織對(duì)網(wǎng)絡(luò)信息系統(tǒng)的依賴程度日益加深，由此也帶來(lái)了信息安全隱患，使得網(wǎng)絡(luò)信息系統(tǒng)面臨著無(wú)時(shí)不在的信息安全威脅和風(fēng)險(xiǎn)，信息安全風(fēng)險(xiǎn)評(píng)估作為信息安全保障工作的基礎(chǔ)性工作和有效手段受到了普遍重視。信息安全風(fēng)險(xiǎn)評(píng)估從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的分析方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)信息系統(tǒng)所面臨的威脅及脆弱性，評(píng)估安全事件一旦發(fā)生對(duì)組織所造成的危害程度，有針對(duì)性地提出抵御威脅的安全防護(hù)對(duì)策和整改措施，從而能夠最大限度地減少經(jīng)濟(jì)損失和負(fù)面影響。

多年來(lái)，在我國(guó)政府的工作部署和相關(guān)要求下，政府、教育、醫(yī)療、金融、能源和電力等行業(yè)的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)紛紛開(kāi)展了信息安全風(fēng)險(xiǎn)評(píng)估工作，隨之也催生出一批對(duì)外提供專業(yè)信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的安全技術(shù)服務(wù)組織。但就整個(gè)信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)市場(chǎng)來(lái)說(shuō)，如何科學(xué)、規(guī)范地開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)，保證信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)成果的質(zhì)量，依然是目前普遍存在的問(wèn)題。

中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心經(jīng)過(guò)不斷研究和實(shí)踐，于2018年6月1日發(fā)布了CCRC-ISV-C01：2018《信息安全服務(wù)規(guī)范》，其中對(duì)信息安全服務(wù)提供者在提供信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)時(shí)應(yīng)具備的專業(yè)服務(wù)能力要求進(jìn)行了明確規(guī)定，旨在規(guī)范相關(guān)服務(wù)提供組織的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)過(guò)程，提升其信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力，同時(shí)也為相關(guān)服務(wù)需方組織提供了有效選擇和評(píng)價(jià)風(fēng)險(xiǎn)評(píng)估服務(wù)提供組織的評(píng)判依據(jù)。本文針對(duì)信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)認(rèn)證過(guò)程中發(fā)現(xiàn)的常見(jiàn)問(wèn)題，結(jié)合信息安全風(fēng)險(xiǎn)評(píng)估工作實(shí)踐，對(duì)CCRC-ISV-C01：2018《信息安全服務(wù)規(guī)范》中風(fēng)險(xiǎn)評(píng)估三級(jí)專業(yè)評(píng)價(jià)要求進(jìn)行了解讀，以期為提供信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的安全技術(shù)服務(wù)組織提供一些幫助和參考。

規(guī)范解讀

CCRC-ISV-C01：2018《信息安全服務(wù)規(guī)范》“5.1風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)專業(yè)評(píng)價(jià)要求”部分按照三級(jí)、二級(jí)、一級(jí)三個(gè)認(rèn)證級(jí)別（從低往高），分別從評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析以及風(fēng)險(xiǎn)處置4個(gè)過(guò)程對(duì)信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)提供者在提供風(fēng)險(xiǎn)評(píng)估服務(wù)時(shí)應(yīng)具備的專業(yè)服務(wù)能力要求進(jìn)行了明確規(guī)定。本文主要針對(duì)最低認(rèn)證級(jí)別（三級(jí)）信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)專業(yè)評(píng)價(jià)條款內(nèi)容和要求進(jìn)行闡釋。

評(píng)估準(zhǔn)備

風(fēng)險(xiǎn)評(píng)估準(zhǔn)備是整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程有效性的保證。因此，在風(fēng)險(xiǎn)評(píng)估實(shí)施前，應(yīng)綜合考慮組織的戰(zhàn)略、業(yè)務(wù)目標(biāo)、業(yè)務(wù)功能、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的因素，確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)和范圍，組建評(píng)估管理與實(shí)施團(tuán)隊(duì)，召開(kāi)風(fēng)險(xiǎn)評(píng)估工作啟動(dòng)會(huì)議，做好評(píng)估現(xiàn)場(chǎng)所需的表格、文檔、檢測(cè)工具等各項(xiàng)準(zhǔn)備工作，進(jìn)行風(fēng)險(xiǎn)評(píng)估技術(shù)培訓(xùn)和保密安全教育，對(duì)被評(píng)估系統(tǒng)進(jìn)行前期調(diào)研，確定風(fēng)險(xiǎn)評(píng)估的對(duì)象和內(nèi)容、評(píng)估依據(jù)和風(fēng)險(xiǎn)計(jì)算方法，制定風(fēng)險(xiǎn)評(píng)估實(shí)施方案，并在后期的項(xiàng)目實(shí)施過(guò)程中按照方案和文檔模板實(shí)施，保留好相關(guān)過(guò)程記錄。其中，風(fēng)險(xiǎn)評(píng)估實(shí)施方案中應(yīng)至少包括評(píng)估目標(biāo)、評(píng)估范圍、評(píng)估依據(jù)、評(píng)估對(duì)象和內(nèi)容、評(píng)估方法、評(píng)估小組成員角色及職責(zé)、評(píng)估工作計(jì)劃、時(shí)間進(jìn)度安排、評(píng)估工具描述、風(fēng)險(xiǎn)計(jì)算方法、風(fēng)險(xiǎn)評(píng)價(jià)原則和風(fēng)險(xiǎn)規(guī)避措施等內(nèi)容。風(fēng)險(xiǎn)評(píng)估實(shí)施方案應(yīng)得到被評(píng)估組織的確認(rèn)和認(rèn)可。

在認(rèn)證審核過(guò)程中，常見(jiàn)的問(wèn)題一般有：未按照風(fēng)險(xiǎn)評(píng)估實(shí)施方案模板制定具體項(xiàng)目的風(fēng)險(xiǎn)評(píng)估實(shí)施方案、已完成項(xiàng)目風(fēng)險(xiǎn)評(píng)估實(shí)施方案中缺少風(fēng)險(xiǎn)評(píng)價(jià)原則并將風(fēng)險(xiǎn)評(píng)估原則等同為風(fēng)險(xiǎn)評(píng)價(jià)原則、已完成項(xiàng)目風(fēng)險(xiǎn)評(píng)估實(shí)施方案中對(duì)風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)成員角色及職責(zé)未進(jìn)行描述、已完成項(xiàng)目風(fēng)險(xiǎn)評(píng)估實(shí)施方案中關(guān)于評(píng)估工具的介紹缺少功能描述、實(shí)施風(fēng)險(xiǎn)評(píng)估前未對(duì)風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)開(kāi)展安全教育培訓(xùn)、實(shí)施風(fēng)險(xiǎn)評(píng)估前對(duì)評(píng)估團(tuán)隊(duì)進(jìn)行技術(shù)培訓(xùn)時(shí)未結(jié)合具體項(xiàng)目開(kāi)展等。

風(fēng)險(xiǎn)識(shí)別

資產(chǎn)識(shí)別

資產(chǎn)識(shí)別是風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)環(huán)節(jié)，應(yīng)參照已發(fā)布的國(guó)家或國(guó)際標(biāo)準(zhǔn)明確資產(chǎn)分類方法，形成資產(chǎn)分類列表，如可參照GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中基于資產(chǎn)表現(xiàn)形式的資產(chǎn)分類方法，將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員等類型。根據(jù)所確定的資產(chǎn)分類方法進(jìn)行資產(chǎn)識(shí)別，形成資產(chǎn)識(shí)別清單，明確資產(chǎn)的責(zé)任人或部門(mén)。

保密性、完整性和可用性是評(píng)價(jià)資產(chǎn)的3個(gè)基本安全屬性。根據(jù)資產(chǎn)在保密性、完整性和可用性這3個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度確定保密性、完整性和可用性等級(jí)賦值標(biāo)準(zhǔn)，并按照確定的等級(jí)賦值標(biāo)準(zhǔn)來(lái)確定資產(chǎn)的保密性、完整性和可用性等級(jí)化賦值。

業(yè)務(wù)識(shí)別是資產(chǎn)識(shí)別的關(guān)鍵環(huán)節(jié)。業(yè)務(wù)是組織發(fā)展的核心，具有價(jià)值屬性。組織的業(yè)務(wù)重要程度越高，對(duì)資產(chǎn)的依賴程度就越高，資產(chǎn)價(jià)值就越大。業(yè)務(wù)識(shí)別的內(nèi)容一般包括業(yè)務(wù)功能、業(yè)務(wù)對(duì)象、業(yè)務(wù)流程、業(yè)務(wù)關(guān)聯(lián)性等。根據(jù)業(yè)務(wù)在組織發(fā)展戰(zhàn)略及目標(biāo)中的重要程度確定業(yè)務(wù)重要性等級(jí)賦值標(biāo)準(zhǔn)并對(duì)其進(jìn)行等級(jí)化賦值。

最后，綜合考慮資產(chǎn)保密性、完整性、可用性以及業(yè)務(wù)重要性等4個(gè)因素確定資產(chǎn)價(jià)值的綜合評(píng)定方法。綜合評(píng)定方法可根據(jù)組織的業(yè)務(wù)特點(diǎn)確定，如可采用最大值法或加權(quán)計(jì)算法，根據(jù)確定的綜合評(píng)定方法得出資產(chǎn)價(jià)值的最終賦值結(jié)果。根據(jù)資產(chǎn)識(shí)別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、功能描述、資產(chǎn)類型、重要程度、責(zé)任人/部門(mén)、保密性賦值、完整性賦值、可用性賦值、業(yè)務(wù)重要性賦值、資產(chǎn)價(jià)值最終賦值等。

在認(rèn)證審核過(guò)程中，常見(jiàn)的問(wèn)題一般有：未參照已發(fā)布的國(guó)家或國(guó)際標(biāo)準(zhǔn)形成資產(chǎn)分類列表、資產(chǎn)識(shí)別清單中未按照確定的資產(chǎn)分類進(jìn)行全面的資產(chǎn)識(shí)別、已完成項(xiàng)目重要資產(chǎn)列表中具體資產(chǎn)的識(shí)別信息不完善、已完成項(xiàng)目重要資產(chǎn)列表中未明確資產(chǎn)最終賦值的綜合評(píng)定方法、資產(chǎn)最終賦值的綜合評(píng)定方法中未考慮業(yè)務(wù)的重要性和關(guān)聯(lián)性等。

脆弱性識(shí)別

脆弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估的核心環(huán)節(jié)，脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行，因此包含了技術(shù)脆弱性和管理脆弱性。技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問(wèn)題或隱患。管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)。脆弱性識(shí)別所采用的方法主要有：?jiǎn)柧碚{(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透測(cè)試等。

脆弱性識(shí)別可以以資產(chǎn)為核心，針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，識(shí)別可能被威脅利用的弱點(diǎn)，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估；也可以從物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等層面進(jìn)行識(shí)別。在脆弱性識(shí)別過(guò)程中，應(yīng)結(jié)合被評(píng)估組織的重要資產(chǎn)，確定物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層或管理層等各個(gè)層面的脆弱性檢查列表以供現(xiàn)場(chǎng)人工核查發(fā)現(xiàn)安全問(wèn)題或隱患。同時(shí)應(yīng)通過(guò)可靠的信息安全專業(yè)檢測(cè)工具、滲透測(cè)試等工具手段重點(diǎn)挖掘被評(píng)估系統(tǒng)網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層的安全問(wèn)題或隱患。針對(duì)不同的資產(chǎn)對(duì)象，其脆弱性識(shí)別的具體要求應(yīng)參照國(guó)內(nèi)發(fā)布的相應(yīng)技術(shù)或管理標(biāo)準(zhǔn)實(shí)施。

根據(jù)脆弱性對(duì)資產(chǎn)和業(yè)務(wù)的暴露程度、技術(shù)實(shí)現(xiàn)的難易程度、流行程度、已有安全措施和脆弱性關(guān)聯(lián)性等，確定脆弱性等級(jí)賦值標(biāo)準(zhǔn)，并按照確定的等級(jí)賦值標(biāo)準(zhǔn)對(duì)已識(shí)別脆弱性的嚴(yán)重程度進(jìn)行賦值。根據(jù)脆弱性識(shí)別和賦值的結(jié)果，形成脆弱性列表，包括具體脆弱性的名稱、內(nèi)容描述、類型、對(duì)應(yīng)資產(chǎn)、脆弱性賦值等。

對(duì)某個(gè)資產(chǎn)，其技術(shù)脆弱性的嚴(yán)重程度還受到組織管理脆弱性的影響，因此，資產(chǎn)的脆弱性賦值還應(yīng)參考技術(shù)管理和組織管理脆弱性的嚴(yán)重程度。

在認(rèn)證審核過(guò)程中，常見(jiàn)的問(wèn)題一般有：脆弱性列表中脆弱性識(shí)別范圍未覆蓋所有重要資產(chǎn)、脆弱性識(shí)別方法僅使用了單一的人工核查或工具檢測(cè)方法、脆弱性列表中關(guān)于脆弱性的內(nèi)容描述不準(zhǔn)確或不詳細(xì)、脆弱性列表中所識(shí)別出的脆弱性未對(duì)應(yīng)到具體資產(chǎn)、脆弱性賦值未和已有安全措施有效性評(píng)價(jià)結(jié)果相關(guān)聯(lián)等。

威脅識(shí)別

在威脅識(shí)別過(guò)程中，應(yīng)參考已發(fā)布的國(guó)家或國(guó)際標(biāo)準(zhǔn)對(duì)威脅進(jìn)行分類，形成威脅分類清單。如可參照GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中的威脅分類方法，考慮環(huán)境因素和人為因素兩大威脅來(lái)源，根據(jù)威脅表現(xiàn)形式將威脅主要分為軟硬件故障、物理環(huán)境影響、無(wú)作為或操作失誤、管理不到位、惡意代碼、越權(quán)或?yàn)E用、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改、抵賴等11類。

考慮威脅出現(xiàn)的來(lái)源、動(dòng)機(jī)和頻率等因素確定威脅等級(jí)賦值標(biāo)準(zhǔn)。根據(jù)經(jīng)驗(yàn)和（或）相關(guān)統(tǒng)計(jì)數(shù)據(jù)判斷威脅出現(xiàn)的來(lái)源、動(dòng)機(jī)和頻率，按照確定的等級(jí)賦值標(biāo)準(zhǔn)對(duì)威脅進(jìn)行賦值，形成威脅識(shí)別清單，包括威脅名稱、種類、來(lái)源、動(dòng)機(jī)、出現(xiàn)的頻率、影響層面、威脅賦值等。

在認(rèn)證審核過(guò)程中，常見(jiàn)的問(wèn)題一般有：威脅分類未參考國(guó)家或國(guó)際標(biāo)準(zhǔn)因而導(dǎo)致分類類別不全、已完成項(xiàng)目威脅識(shí)別清單中列出的威脅類別與威脅分類清單中的威脅類別不一致等。

已有安全措施確認(rèn)

以威脅為核心識(shí)別組織已有安全措施，在威脅識(shí)別的同時(shí)，一般從物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)、管理等層面對(duì)已采取的安全措施進(jìn)行識(shí)別。在識(shí)別脆弱性的同時(shí)，應(yīng)對(duì)已有安全措施的有效性進(jìn)行評(píng)估和確認(rèn)，即是否真正地抵御了威脅，降低了系統(tǒng)的脆弱性。根據(jù)對(duì)已采取的安全措施進(jìn)行確認(rèn)后的結(jié)果，形成已有安全措施確認(rèn)表，包括已有安全措施名稱、所屬層面、功能描述及實(shí)施效果評(píng)價(jià)等。

在認(rèn)證審核過(guò)程中，常見(jiàn)的問(wèn)題一般有：未識(shí)別已有安全措施或識(shí)別層面覆蓋范圍不全、未對(duì)已有安全措施的有效性進(jìn)行評(píng)估和確認(rèn)等。

風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析模型建立

在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別以及已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，同時(shí)綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn)。通常，參照GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中給出的風(fēng)險(xiǎn)計(jì)算原理，將資產(chǎn)、威脅、脆弱性3個(gè)基本要素及每個(gè)要素各自的屬性進(jìn)行關(guān)聯(lián)后構(gòu)建風(fēng)險(xiǎn)分析模型并在項(xiàng)目風(fēng)險(xiǎn)評(píng)估報(bào)告中進(jìn)行描述：

風(fēng)險(xiǎn)值=R（A，T，V）= R（L（T，V），F(xiàn)（Ia，Va ））

其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)價(jià)值；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；F表示安全事件發(fā)生后造成的損失。

在認(rèn)證審核過(guò)程中，常見(jiàn)的問(wèn)題一般有：已完成項(xiàng)目風(fēng)險(xiǎn)評(píng)估報(bào)告中缺少風(fēng)險(xiǎn)分析模型的描述、已完成項(xiàng)目風(fēng)險(xiǎn)評(píng)估報(bào)告中給出的風(fēng)險(xiǎn)分析模型缺少科學(xué)性和可行性、已建立風(fēng)險(xiǎn)分析模型中未考慮威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性、已建立風(fēng)險(xiǎn)分析模型中未考慮威脅利用脆弱性導(dǎo)致安全事件發(fā)生對(duì)組織造成的損失等。

風(fēng)險(xiǎn)計(jì)算方法確定

根據(jù)風(fēng)險(xiǎn)分析模型選擇和確定相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算風(fēng)險(xiǎn)值，如矩陣法或相乘法。矩陣法通過(guò)構(gòu)造一個(gè)二維矩陣，形成安全事件的可能性與安全事件造成的損失之間的二維關(guān)系；相乘法通過(guò)構(gòu)造經(jīng)驗(yàn)函數(shù)，將安全事件的可能性與安全事件造成的損失進(jìn)行運(yùn)算得到風(fēng)險(xiǎn)值。具體風(fēng)險(xiǎn)計(jì)算方法可參照GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》附錄A（資料性附錄）風(fēng)險(xiǎn)的計(jì)算方法部分。

在認(rèn)證審核過(guò)程中，常見(jiàn)的問(wèn)題一般有：未根據(jù)風(fēng)險(xiǎn)分析模型選擇和確定相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法、已完成項(xiàng)目風(fēng)險(xiǎn)評(píng)估報(bào)告中未描述確定的風(fēng)險(xiǎn)計(jì)算方法并將風(fēng)險(xiǎn)計(jì)算原理等同為風(fēng)險(xiǎn)計(jì)算方法、已完成項(xiàng)目風(fēng)險(xiǎn)評(píng)估報(bào)告中未體現(xiàn)計(jì)算得出風(fēng)險(xiǎn)值的過(guò)程等。

風(fēng)險(xiǎn)評(píng)價(jià)

為實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制與管理，宜對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行等級(jí)化處理。根據(jù)所采用的風(fēng)險(xiǎn)計(jì)算方法，計(jì)算每種資產(chǎn)面臨的風(fēng)險(xiǎn)值，根據(jù)風(fēng)險(xiǎn)值的分布狀況，為每個(gè)等級(jí)設(shè)定風(fēng)險(xiǎn)值范圍，形成風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則，并按照確定的風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則對(duì)所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)處理。

綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響，提出一個(gè)可接受的風(fēng)險(xiǎn)范圍。對(duì)某些資產(chǎn)的風(fēng)險(xiǎn)，如果風(fēng)險(xiǎn)計(jì)算值在可接受的范圍內(nèi)，則該風(fēng)險(xiǎn)是可接受的，應(yīng)保持已有的安全措施；如果風(fēng)險(xiǎn)評(píng)估值在可接受的范圍外，即風(fēng)險(xiǎn)計(jì)算值高于可接受范圍的上限值，則該風(fēng)險(xiǎn)是不可接受的，需要采取安全措施以降低、控制風(fēng)險(xiǎn)。

在認(rèn)證審核過(guò)程中，常見(jiàn)的問(wèn)題一般有：已完成項(xiàng)目風(fēng)險(xiǎn)評(píng)估報(bào)告中缺少風(fēng)險(xiǎn)評(píng)價(jià)原則的描述、已完成項(xiàng)目風(fēng)險(xiǎn)評(píng)估報(bào)告中給出的風(fēng)險(xiǎn)評(píng)價(jià)原則明顯不合理、在理解風(fēng)險(xiǎn)評(píng)價(jià)原則時(shí)直接將其等同于風(fēng)險(xiǎn)評(píng)估準(zhǔn)則等。

風(fēng)險(xiǎn)評(píng)估報(bào)告

按照風(fēng)險(xiǎn)評(píng)估報(bào)告模板編制風(fēng)險(xiǎn)評(píng)估報(bào)告，對(duì)整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程和結(jié)果進(jìn)行總結(jié)，說(shuō)明被評(píng)估對(duì)象、風(fēng)險(xiǎn)評(píng)估方法、資產(chǎn)識(shí)別分析結(jié)果、威脅識(shí)別分析結(jié)果、脆弱性識(shí)別分析結(jié)果、已有安全措施確認(rèn)分析結(jié)果、風(fēng)險(xiǎn)分析原理、風(fēng)險(xiǎn)計(jì)算方法、風(fēng)險(xiǎn)評(píng)價(jià)原則、風(fēng)險(xiǎn)統(tǒng)計(jì)和結(jié)論、風(fēng)險(xiǎn)處置建議等內(nèi)容。

在認(rèn)證審核過(guò)程中，常見(jiàn)的問(wèn)題一般有：未按照風(fēng)險(xiǎn)評(píng)估報(bào)告模板編制具體項(xiàng)目的風(fēng)險(xiǎn)評(píng)估報(bào)告、已完成項(xiàng)目風(fēng)險(xiǎn)評(píng)估報(bào)告中評(píng)估過(guò)程和結(jié)果不完整、已完成項(xiàng)目風(fēng)險(xiǎn)評(píng)估報(bào)告中關(guān)于脆弱性或風(fēng)險(xiǎn)內(nèi)容描述不詳細(xì)、已完成項(xiàng)目風(fēng)險(xiǎn)評(píng)估報(bào)告中缺少風(fēng)險(xiǎn)處置建議、已完成項(xiàng)目風(fēng)險(xiǎn)評(píng)估報(bào)告中評(píng)估過(guò)程和內(nèi)容與項(xiàng)目風(fēng)險(xiǎn)評(píng)估方案中的不一致等。

認(rèn)證實(shí)施建議

信息安全風(fēng)險(xiǎn)評(píng)估在信息安全保障體系建設(shè)中具有不可替代的地位和重要作用，它是實(shí)施安全集成、安全運(yùn)維、軟件安全開(kāi)發(fā)、等級(jí)保護(hù)等多項(xiàng)服務(wù)或工作的基本前提，又是組織檢查、衡量網(wǎng)絡(luò)信息系統(tǒng)安全狀況的基礎(chǔ)工作。信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的終極目標(biāo)是保護(hù)組織的業(yè)務(wù)安全，建議相關(guān)組織能夠熟練掌握風(fēng)險(xiǎn)評(píng)估的科學(xué)涵義和方法論，嚴(yán)格、規(guī)范地按照風(fēng)險(xiǎn)評(píng)估的實(shí)施流程和評(píng)估方法開(kāi)展風(fēng)險(xiǎn)評(píng)估服務(wù)，不斷提升組織的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力和技術(shù)水平，最終為客戶提供有價(jià)值、能落地的風(fēng)險(xiǎn)評(píng)估結(jié)果和風(fēng)險(xiǎn)處置建議，為國(guó)內(nèi)的信息安全事業(yè)發(fā)展發(fā)揮積極的作用。

信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)專業(yè)評(píng)價(jià)規(guī)范條款理解與實(shí)施