信息安全技术信息安全风险评估规范（34页）.pdf

目 次
前言 ................................................................................. II
引言 ................................................................................ III
1 范围 ................................................................................ 1
2 规范性引用文件 ...................................................................... 1
3 术语和定义 .......................................................................... 1
4 风险评估框架及流程 .................................................................. 3
4.1 风险要素关系 ...................................................................... 3
4.2 风险分析原理 ...................................................................... 4
4.3 实施流程 .......................................................................... 4
5 风险评估实施 ........................................................................ 5
5.1 风险评估准备 ...................................................................... 5
5.2 资产识别 .......................................................................... 7
5.3 威胁识别 .......................................................................... 9
5.4 脆弱性识别 ....................................................................... 11
5.5 已有安全措施确认 ................................................................. 12
5.6 风险分析 ......................................................................... 12
5.7 风险评估文档记录 ................................................................. 14
6 信息系统生命周期各阶段的风险评估 ................................................... 15
6.1 信息系统生命周期概述 ............................................................. 15
6.2 规划阶段的风险评估 ............................................................... 15
6.3 设计阶段的风险评估 ............................................................... 15
6.4 实施阶段的风险评估 ............................................................... 16
6.5 运行维护阶段的风险评估 ........................................................... 16
6.6 废弃阶段的风险评估 ............................................................... 17
7 风险评估的工作形式 ................................................................. 17
7.1 概述 ............................................................................. 17
7.2 自评估 ........................................................................... 17
7.3 检查评估 ......................................................................... 17
附录A （资料性附录）风险的计算方法 ................................................... 19
A.1 使用矩阵法计算风险 ............................................................... 19
A.2 使用相乘法计算风险 ............................................................... 22
附录B （资料性附录）风险评估的工具 ................................................... 26
B.1 风险评估与管理工具 ............................................................... 26
B.2 系统基础平台风险评估工具 ......................................................... 27
B.3 风险评估辅助工具 ................................................................. 27
参 考 文 献 .......................................................................... 28