??? 隨著社會信息化和組織機構信息化程度的不斷提高，計算機網絡和信息系統己經成為社會經濟發展和日常生活中不可或缺的工具。信息安全問題所導致的損失也在成倍地增長。風險評估過程能夠識別組織機構的信息安全需求，從而為信息安全建設提供必要的依據。因此，只有在風險評估中正確、全面地了解和梳理信息系統的安全風險，才能在信息安全措施的選擇、信息安全保障體系的建設、剩余風險的處置和接受等問題中做出合理的決策。

??? GB/T 22080-2008即《信息技術/安全技術一信息安全管理體系要求》等同于ISO/IEC27001：2005。它規定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求，規范適用所有類型的組織（例如，商業企業、政府機構、非贏利組織。標準采用PDCA“規劃-實施-檢查-處置”（PDCA過程模式來建立ISMS的所有過程，PDCA模型為安全設計和實施、安全管理和再評估方面實施準則提供了強健的模型。

??? 信息安全風險評估分類

??? 信息安全風險評估包括規劃和實施兩個階段，風險評估在GB/T 22080-2008的ISMS建設中具有非常重要的地位。風險評估方法的引導作用：在建立ISMS過程中，需要按照業務需求來確定風險評估方法，正確的風險評估方法能更準確的識別風險，對制訂安全策略和實施安全措施起到指導作用，是ISMS成功實施的關鍵。風險評估的方法有很多種，概括起來可分為三大類：定量的風險評估方法、定性的風險評估方法、定性與定量相結合的評估方法。為了使評估結果既全面深刻又客觀嚴謹，在信息安全體系建立過程的信息風險評估中一般采用半定量評估方法。

??? 信息安全風險評估的過程說明：在資產識別階段，劃入風險評估范圍和邊界的每項資產都被識別和評價，并清楚識別每項資產的擁有者、保管者和使用者。以業務活動為主線，所有為業務活動開展提供支持的設備、資源為其分支來對所有資產進行賦值。定性分析時，關注資產對組織的重要性或其敏感程度，并同時考慮保密性、完整性和可用性三方面受損可能引發的后果。

??? 在威脅識別階段，關鍵在于確認引發威脅的人或物，即威脅源。威脅通常包括人員威脅、系統威脅、環境威脅、自然威脅。對威脅的評估，主要考慮其發生的可能性。評估威脅可能性時主要考慮威脅源的動機和能力等因素。

??? 在脆弱性識別階段，針對每一項需要保護的資產，找到其現實存在的弱點，包括技術性弱點、操作性弱點和管理性弱點。

??? 在風險計算階段，要確定風險的等級，有三個關鍵因素要考慮（定性風險評估：威脅對信息資產造成的影響（后果，也就是資產的價值體現；威脅發生的可能性；弱點的嚴重性，也就是一旦威脅發生，對資產造成的沖擊。

??? 風險定級分四類：1，2，3，4分為低風險；6，8，9分為中風險；12，18分為高風險；27分是超高風險。*終通過風險評估矩陣或者直接的簡單運算得出風險水平。

??? 信息安全風險評估過程示例

??? 風險場景：一個個人經濟上存在問題的公司職員有權獨立訪問某類高敏感度的信息，他可能竊取這些信息并賣給公司的競爭對手。

??? 評估風險：套用風險分析矩陣，該風險被定為高風險（18

??? 應對風險：采取適當的安全措施并評估殘余風險，判斷是否接受殘余風險。

??? 按以上示例評估所有風險因素，識別出風險后與標準比對進行差距分析，我們從以下幾個角度進行了差距分析：管理上，從標準條款要求和安全控制域角度進行了分析；技術上，從網絡架構、主機安全、終端安全進行了評估。

??? *后可以得到風險評估后差距分析的*終結果，計算出總評分后，針對以上差距分析中的發現點，再提出改進建議，制定切實的風險處置計劃，實施風險管理。

??? 通過使用GB/T 22080-2008理論體系結合信息風險評估方法，以定性風險分析和定量分析相結合，評估過程和結果可通過分值的方式進行呈現，便于對資產價值、弱點、威脅進行定位和處置，滿足組織機構對風險評估的持續關注和改進要求，將是一套行之有效的信息安全風險評估方法。
?