【SDL实践指南】安全风险评估实施

基本介绍

信息安全风险评估是信息安全保障工作的重要内容之一，它与信息系统等级保护、信息安全检查、信息安全建设等工作紧密相关并通过风险发现、分析、评价为上述相关工作提供支持

术语概念

• 识别(Identify)对某一评估要素进行标识与辨别的过程
• 实施(Implementation)将一系列活动付诸实践的过程
• 评估目标(Assessment Target)评估活动所要达到的最终目的
• 评估要素(Assessment Factor)风险评估活动中必须要识别、分析的一系列基本因素
• 系统调研(System investigation)对信息系统相关的实际情况进行调查了解与分析研究的活动
• 赋值(Assignment)对识别出的评估要素根据已定的量化模型给予定量数值的过程
• 核查(Checkin)将信息系统中的检查信息与制定的检查项进行核对检查的活动
• 关键控制点(The key point)在项目实施活动中具有能够影响到项目整体进度决定性作用的实施活动
• 分析模型(Analysis model)依据一定的分析原理，构造的一种模拟分析方法,用于对评估要素的分析
• 评价模型(Evaluation Model)依据一定的评价体系，构造若干评价指标，能够对相应的活动进行较为完善的评价
• 风险处理(Risk treatment)对风险进行处理的一系列活动,如接受风险、规避风险、转移风险、降低风险等
• 信息系统生命周期(Information System Lifecycle)信息系统的各个生命阶段，包括规划阶段、设计阶段、实施阶段、运行维护阶段和废弃阶段
• 验收(Acceptance)风险评估活动中用于结束项目实施的一种方法，主要由被评估方组织对评估活动进行逐项检验以是否达到评估目标为接受标准

实施原则

标准性原则

信息系统的安全风险评估应按照GB/T 20984一2007中规定的评估流程进行实施，包括各阶段性的评估工作

可控性原则

在风险评估项目实施过程中应严格按照标准的项目管理方法对服务过程、人员和工具等进行控制，以保证风险评估实施过程的可控和安全

• 服务可控性：评估方应事先在评估工作沟通会议中向用户介绍评估服务流程明确需要得到被评估组织协作的工作内容，确保安全评估服务工作的顺利进行
• 人员与信息可控性：所有参与评估的人员应签署保密协议，以保证项目信息的安全:应对工作过程数据和结果数据严格管理，未经授权不得泄露给任何单位和个人
• 过程可控性：应按照项目管理要求,成立项目实施团队,项目组长负责制，达到项目过程的可控
• 工具可控性：安全评估人员所使用的评估工具应该事先通告用户,并在项目实施前获得用户的许可,包括产品本身、测试策略等

关键业务原则

信息安全风险评估应以被评估组织的关键业务作为评估工作的核心，把涉及这些业务的相关网络与系统包括基础网络、业务网络、应用基础平台、业务应用平台等作为评估的重点

最小影响原则

对于在线业务系统的风险评估应采用最小影响原则，即首要保障业务系统的稳定运行，而对于需要进行攻击性测试的工作内容需与用户沟通并进行应急备份,同时选择避开业务的高峰时间进行

实施流程

GB/T 20984-2007规定了风险评估的实施流程根据流程中的各项工作内容一般将风险评估实施划分为以下四个阶段：

• 评估准备阶段：对评估实施有效性的保证，是评估工作的开始
• 风险要素识别：对评估活动中的各类关键要素资产、威胁、脆弱性、安全措施进行识别与赋值
• 风险分析阶段：对识别阶段中获得的各类信息进行关联分析并计算风险值
• 风险处理建议：工作主要针对评估出的风险提出相应的处置建议以及按照处置建议实施安全加固后进行残余风险处理等内容

工作形式

GB/T20984-2007明确了风险评估的基本工作形式是自评估与检查评估，信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充

• 自评估是信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估，可由发起方实施或委托信息安全服务组织支持实施，实施自评估的组织可根据组织自身的实际需求进行评估目标的设立，采用完整或剪裁的评估活动
• 检查评估是信息系统上级管理部门或国家有关职能部门依法开展的风险评估，检查评估也可委托信息安全服务组织支持实施，检查评估除可对被检查组织的关键环节或重点内容实施抽样评估外还可实施完整的风险评估

生命周期

信息系统生命周期一般包括信息系统的规划、设计、实施、运维和废弃五个阶段，风险评估活动应贯穿于信息系统生命周期的上述各个阶段，信息系统生命周期各个阶段的风险评估由于各阶段的评估对象、安全需求不同，评估的目的一般也不同

• 规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等
• 设计阶段风险评估的目的是评估安全设计方案是否满足信息系统安全功能的需求
• 实施阶段的评估目的是对系统开发、实施过程进行风险识别，对建成后的系统安全功能进行验证
• 运行维护阶段的评估目的是了解和控制系统运行过程中的安全风险
• 废弃阶段的评估目的是对废弃资产对组织的影响进行分析

当信息系统的业务目标和需求或技术和管理环境发生变化时需要再次进入上述五个阶段的风险评估，使得信息系统的安全适应自身和环境的变化

准备阶段

基本概述

风险评估准备是整个风险评估过程有效性的保证，由于风险评估受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响，因此在风险i评估实施前应充分做好评估前的各项准备工作。信息安全风险评估涉及组织内部有关重要信息被评估组织应慎重选择评估单位、评估人员的资质和资格并遵从国家或行业相关管理要求

确定评估目标

风险评估应贯穿于信息系统生命周期的各阶段中，由于信息系统生命周期阶段中风险评估实施需求均不同，因此被评估组织应首先根据当前信息系统的实际情来确定在信息系的内容、对象、安全统生命周期中所处的阶段并以此来明确风险评估目标，一般而言组织确定的各阶段的评估目标应符合以下原则：

a) 规划阶段风险评估的目标是识别系统的业务战略，以支撑系统安全需求及安全战略等。规划阶段的评估应能够描述信息系统建成后对现有业务模式的作用，包括技术、管理等方面，并根据其作用确定系统建设应达到的安全日标。

b) 设计阶段风险评估的目标是根据规划阶段所明确的系统运行环境、资产重要性提出安全功能需求，设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断，作为采购过程风险控制的依据

c) 实施阶段风险评估的目标是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别并对系统建成后的安全功能进行验证，根据设计阶段分析的威胁和制定的安全措施，在实施及验收时进行质量控制。

d) 运行维护阶段风险评估的目标是了解和控制运行过程中的安全风险。评估内容包括信息系统的资产、面临威胁、自身脆弱性以及已有安全措施等各方面

e) 废弃阶段风险评估的目标是确保废弃资产及残留信息得到了适当的处置并对废弃资产对组织的影响进行分析以确定是否会增加或引入新的风险

确定评估范围

在确定风险评估所处的阶段及相应目标之后，应进一步明确风险评估的评估范围，例如:组织全部信息及与信息处理相关的各类资产、管理机构，也可以是某个独立信息系统、关键业务流程等。在确定评估范围时应结合已确定的评估目标和组织的实际信息系统建设情况合理定义评估对象和评估范围边界,可以参考以下依据来作为评估范围边界的划分原则：

a) 业务系统的业务逻辑边界;

b) 网络及设备载体边界;

c) 物理环境边界

d) 组织管理权限边界

e) 其他

组建评估团队

风险评估实施团队应由被评估组织、评估机构等共同组建风险评估小组，由被评估组织领导、相关部门负责人以及评估机构相关人员成立风险评估领导小组并聘请相关专业的技术专家和技术骨干组成专家组 风险评估组应完成评估前的表格、文档、检测具等各项准备工作，进行风险评估技术培训和保密教育、制定风险评估过程管理相关规定、编制应急预案双方应签署保密协议、适情签署个人保密协议。

角色与职责划分

同时为确保风险评估工作的顺利有效进行，应采用合理的项目管理机制，主要相关成员角色与职责说明如下表所示：

风险评估领导小组

风险评估工作领导小组主要负责决策风险评估工作的目的、目标，参与并指导风险评估准备阶段的启动会议、协调评估实施过程中的各项资源、组织评估项目验收会议、推进并监督风险处理工作等。风险评估工作领导小组一般由被评估组织主管信息化或信息安全工作的领导负责，成员一般包括被评估组织信息技术部门领导、相关业务部门领导等，评估机构相关人员参与

风险评估专家小组

对于大型复杂的风险评估项目应考虑在项目期间聘请相关领域的专家对风险评估项目的关键阶段进行工作指导，具体包括：

a) 帮助被评估组织和实施方规划风险评估项目的总体工作思路和方向

b) 对出现的关键性难点问题进行决策

c) 对风险评估结论进行确定

评估启动会议

为保障风险评估工作的顺利开展、确立工作目标、统思想协调各方资源，应召开风险评估工作启动会议，启动会一般由风险评估领导小组负责人组织召开，参与人员应该包括评估小组全体人员，相关业务部门主要负责人如有必要可邀请相关专家组成员参加

启动会主要内容主要包括：被评估组织领导宣布此次评估工作的意义、自的、目标以及评估工作中的责任分工，被评估组织项目组长说明本次评估工作的计划和各阶段工作任务以及需配合的具体事项，评估机构项自组长介绍评估工作一般性方法和工作内容等，通过启会可对被评估组织参与评估人员以及其他相关人员进行评估方法和技术培训，使全体人员了解和理解评估工作的重要性以及各工作阶段所需配合的工作内容

系统调研环节

系统调研是了解和熟悉被评估对象的过程，风险评估小组应进行充分的系统调研以确定风险评估的依据和方法调研内容应包包括：

• 数据和信息
• 主要的硬件\软件
• 系统安全保护等级
• 信息安全管理制度
• 系统和数据的敏感性
• 支持和使用系统的人员
• 主要的业务功能和要求
• 网络结构与网络环境，包括内部连接和外部连接
• 系统边界，包括业务逻辑边界、网络及设备载体边界、物理环境边界、组织管理权限边界等
• 信息安全管理组织建设和人员配备情况
• 法律法规及服务合同
• 其他

确定评估依据

根据风险评估目标以及系统调研结果确定评估依据和评估方法，评估依据应包括：

• 适用的法律、法规
• 被评估组织的安全要求
• 系统自身的实时性或性能要求等
• 现有国际标准、国家标准、行业标准
• 行业主管机关的业务系统的要求和制度
• 与信息系统安全保护等级相应的基本要求

确定评估工具

根据评估对象和评估内容合理选择相应的评估工具，评估工具的选择和使用应遵循以下原则：

• 评估工具的选择和使用必须符合国家有关规定
• 评估工具的检测规则库应具备更新功能，能够及时更新
• 评估工具使用的检测策略和检测方式不应对信息系统造成不正常影响
• 系统脆弱性评估工具，应具备全面的已知系统脆弱性核查与检测能力
• 可采用多种评估工具对同一测试对象进行检测，如果出现检测结果不一致的情况应进一步采用必要的人工检测和关联分析并给出与实际情况最为相符的结果判定

制定评估方案

风险评估方案是评估工作实施活动总体计划用于管理评估工作的开展，使评估各阶段工作可控并作为评估项目验收的主要依据之一，风险评估方案应得到被评估组织的确以和认可，风险评估方案的内容应包括：

• 风险评估工作框架：包括评估目标、评估范围、评估依据等
• 风险评估团队组织：包括评估小组成员、组织结构、角色、责任，如有必要还应包括风险评估领导小组和专家组组建介绍等
• 风险评估工作计划：包括各阶段工作内、工作成果等
• 风险规避：包括保密协议、评估工作环境要求、工具选择、应急预案等
• 时间进度安排：评估工作实施的时间进度安排:
• 项目验收方式：包括验收方式 、验收依据、验收结论定

风评工作保障

组织协调

为了确保风险评估工作的顺利开展，风险评估方案应得到被评估组织最高管理者的支持、批准，同时须对管理层和技术人员进行传达，在组织范围内就风险评估相关内容进行培训，以明确有关人员在评估工作中的任务

文档管理

确保文档资料的完整性、准确性和安全性，应遵循以下原则：

a) 指派专人负责管理和维护项目进程中产生的各类文档，确保文档的完整性和准确性

b)文档的存储应进行合理的分类和编目，确保文档结构清晰可控

c)所有文档都应注明项目名称、文档名称、版本号、审批人、编制日期、分发范围等信息

e)不得泄露给与本项目无关的人员或组织,除非预先征得被评估组织项目负责人的同意

风险规避

风险评估工作自身也存在风险，一是评估结果是否准确有效，能够达到预先目标存在风险，二是评估中的某些测试操作可能给被评估组织或信息系统引入新的风险，应通过以下工作消除或降低评估工作中可能存在的风险，

风险评估工作应实行质量控制以保证评估结果的准确有效，风险评估工作应明确划分各个阶段，在各个阶段中一个是要根据相应的管理规范开展评估工作;其次是保证数据采集的准确性和有效性，再者是充分了解被评估组织的行业背景及安全特性要求以及对被评估信息系统所承担的业务和自身流程的理解

在进行脆弱性识别前,应做好应急准备，评估机构应对测试工具进行核查，内容包括：测试工具是否安装了必要的系统补丁、是否存有与本次评估工作无关的残余信息、病毒木马、漏洞库或检测规则库升级情况及工具运行情况，核查人员应填写测试工具核查记录，评估人员事先应将测试方法与被评估组织相关人员进行充分沟通;测试过程中，评估人员应在被评估组织相关人员配合下进行测试操作

识别阶段

基本概述

识别阶段是风险评估工作的重要工作阶段，通过对组织和信息系统中资产、威胁、脆弱性等要素的识别是进行信息系统安全风险分析的前提

资产识别

简易概述

资产是对组织具有价值的信息或资源，是安全策略保护的对象。在风险评估工作中,风险的重要因素都以资产为中心，威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身脆弱性使得安全事件的发生成为可能，从而形成了安全风险。这些安全事件一旦发生对具体资产甚至是整个信息系统都将造成一定影响，从而对组织的利益造成影响。因此资产是风险评估的重要对象，不同价值的资产受到同等程度破坏时对组织造成的影响程度不同。资产价值是资产重要程度或敏感程度的表征，识别资产并评估资产价值是风险评估的一项重要内容。

资产分类

在一个组织中资产的存在形式多种多样，不同类别资产具有的资产价值、面临的威胁、拥有的脆弱性、可采取的安全措施都不同，对资产进行分类既有助于提高资产识别的效率，又有利于整体的风险评估，在风险评估实施中可按照GB/T 20984-2007中资产分类方法把资产分为硬件、软件、数据、服务、人员以及其他六大类

资产调查

资产调查是识别组织和信息系统中资产的重要途径，资产调查一方面应识别出有哪些资产，另一方面要识别出每项资产自身的关键属性。

业务是组织存在的必要前提，信息系统承载业务，信息系统的正常运行保证业务的正常开展，关乎组织的利益，通过资产调查应确定评估对象中包含哪些信息系统，每个信息系统处理哪些种类业务，每种业务包括哪些具体业务功能，以及相关业务处理的流程，分析并清楚理解各种业务功能和流程有利于分析系统中的数据流向及其安全保证要求

在信息系统中业务处理表现为数据处理和服务提供，数据和服务都是组织的信息资产。在识别各种业务后应进行数据处理和服务的识别，确定各种数据和服务对组织的重要性，以及数据和服务的保密性、完整性、可用性抗抵赖性等安全属性，从而确定哪些是关键资产

信息系统依赖于数据和服务等信息资产，而信息资产又依赖于支撑和保障信息系统运行的硬件和软件资源，即系统平台，包括物理环境、网络、主机和应用系统等，其基础设施如服务器、交换机、防火墙等称之为系统单元，在系统单元上运行的操作系统、数据库、应用软件等称之为系统组件，在数据和服务等信息资产识别的基础上，根据业务处理流程可识别出支撑业务系统运行所需的系统平台并且识别出这些软硬件资源在重要性、保密性、完整性、可用性、抗抵赖性等安全属性，为保证风险评估工作的进度要求和质量要求，有时不可能对所有资产做全面分析，应选取其中关键资产进行分析，资产识别的一般步骤如下图所示：

• 根据评估目标和范围，确定风险评估对象中包含的信息系统
• 识别信息系统处理的业务功能以及处理业务所需的业务流程，特别应识别出关键业务功能和关键业务流程
• 根据业务特点和业务流程识别业务需要处理的数据和提供的服务，特别应识别出关键数据和关键服务
• 识别处理数据和提供服务所需的系统单元和系统组件，特别应识别出关键系统单元和关键系统组件

系统单元、系统组件均可作为安全技术脆弱性测试的测试对象，所有资产均可作为安全管理脆弱性测试的测试对象。

资产调查的方法包括阅读文档、访谈相关人员、查看相关资产等，一般情况下可通过查阅信息系统需求说明书、可行性研究报告、设计方案、实施方案、安装手册、用户使用手册、测试报告、运行报告、安全策略文件、安全管理制度文件、操作流程文件、制度落实的记录文件、资产清单、网络拓扑图等识别组织和信息系统的资产

如文档记录信息之间存在互相矛盾或存在不清楚的地方以及文档记录信息与实际情况有出入，资产识别须就关键资产和关键问题与被评估组织相关人员进行核实并选择在组织和信息系统管理中

担任不同角色的人员进行访谈，包括主管领导、业务人员、开发人员、实施人员、运维人员、监督管理人员等，通常情况下经过阅读文档和现场访谈相关人员基本可清晰识别组织和信息系统资产，对关键资产应进行现场实际查看

资产赋值

在资产调查基础上需分析资产的保密性、完整性和可用性等安全属性的等级，安全属性等级包括很高、高、中等、低、很低5种级别，某种安全属性级别越高表示资产该安全属性越重要，保密性、完整性、可用性的5个赋值的含义可见GB/T 20984一2007。

资产保密性、完整性和可用性等安全属性的量化过程易带有主观性，可以参考如下因素利用加权等方法综合得出资产保密性、完整性和可用性赋值等级：

• 资产所承载信息系统的重要性
• 资产所承载信息系统的安全等级
• 资产对所承载信息安全正常运行的重要程度
• 资产保密性、完整性、可用性等安全属性对信息系统以及相关业务的重要程度

资产价值应依据资产保密性、完整性和可用性的赋值等级,经综合评定确定，资产价值等级包括很高、高、中等、低、很低5种等级，每种等级含义可见GB/T 20984一2007

综合评定的法可根据信息系统所承载的业务对不同安全属性的依赖程度，选择资产保密性、完整的最终贼值结果也可以根据资)性和可用性最为重要的一属性的赋值等级作为保密性、完整性等级对其赋值进行加权计算得到资产的最终赋值结果，加权和可用性的不后方法根据组织的业务特确定关键资产范围并围绕关键资产进行后续的风险评估工作

资产赋值报告

经过资产识别和资产分析，确定组织和信系统中的资产，明确了资产价值以及相应的保密性、完整性、可用性等安全属性情况，了解资产之间的相互关系和影响，识别出重要资产，此基础上可形成资产列表和资产试值报告，资产赋值报告是进行威胁识别和脆弱性识别的重要依据

资产赋值报告中应包括如下内容：

各项资产，特别是关键资产的资产名称、类别、保密性赋值、完整性赋值可用性赋值、资产价值

a)以及资产所承载的的信息系统;

b)通过资产保密性、完整性、可用性计算资产价值的方法

c)关键资产说明等

威胁识别

基本概述

威胁是指可能导致危害系统或组织的不希望事故的潜在起因，威胁是一个客观存在的，无论对于多么安全的信息系统它都存在，威胁的存在，组织和信息系统才会存在风险。因此风险评估工作中需全面、准确地了解组织和信息系统所面临的各种威胁

威胁分类

威胁有多种分类方法，例如：按照GB/T 20984一2007的威胁分类方法可将威胁分为软硬件故障、物理环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖11类

• 根据威胁产生的起因、表现和后果不同，威胁也可分为有害程序。有害程序是指插入到信息系统中的一段程序,危害系统中数据、应用程序或操作系统的完整性或可用性或影响信息系统的正常运行，危害程序包括:计算机病毒、蠕虫、特洛伊木马、僵尸网络、混合攻击程序、网页内嵌恶意代码和其他有害程序
• 网络攻击。网络攻击是指通过网络或其他手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击并造成信息系统异常或对信息系统当前运行造成潜在危害。网络攻击包括:拒绝服务攻击、后门攻击、洞攻击、网络扫描窃听、网络钓鱼、干扰和其他网络攻击
• 信息破坏。信息破坏是指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄露、窃取等。信息破坏包括:信息篡改、信息假冒、信息泄露、信息窃取、信息丢失及其他信息破坏;
• 信息内容攻击。信息内容攻击指利用信息网络发布、传播危害国家安全、社会稳定和公共利益、企业和个人益的内容的攻击
• 设备设施故障。设备设施故障是指由于信息系统自身故障或外围保障设施故障造成信息系统异常或对信息系统当前运行造成潜在危害。设备设施故障包括:软硬件自身故障、外围保障设施故为破坏和其他设备设施故障;
• 灾害性破坏。灾害性破坏指由于不可抗力对信息系统造成物理破坏灾害性破坏包括:水灾台、雷击、坍塌、火灾、恐怖袭击、战争等地震其威胁
• 其他威胁

威胁调查

基本概述

威胁是客观存在的，任何个组织租信息系统都面临威胁，但在不同组织开和信息系统中，威胁发生的可能性和造成的影响可能不同。不仅如此，同组织或信息系统中不同资所面临的威胁发生的可能性和造成的影响也可能不同，威胁调查就是要识别组织和信息系统中可能发生造成影响的威胁进而分析哪些发生可能性较大、可能造成重大影响的威胁威胁调查工作包括：威胁源动机及其能力、威胁途径、威胁可能性及其影响

威胁源动机

威胁源是产生威胁的主体，在进行威胁调查时首要应识别存在哪些威胁源，同时分析这些威胁源的动机和能力，根据威胁源的不同可以将威胁分为非人为的和人为的

对信息系统非人为的安全威胁主要是自然灾难，典型的自然灾难包括：水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等，自然灾难可能会对信息系统造成毁灭性的破坏，另外由于技术的局限性造成系统不稳定、不可靠等情况也会引发安全事件，这也是非人为的安全威胁

人为的安全威胁是指某些个人和组织对信息系统造成的安全威胁，人为的安全威胁主体可以来自组织内部，也可以来自组织外部，从威胁动机来看人为的安全威胁又可细分为非恶意行为和恶意攻击行为，非恶意行为主要包括粗心或未受到良好培训的管理员和用户，由于特殊原因而导致的无意行为造成对信息系统的破坏，恶意攻击是指出于各种目的而对信息系统实施的攻击，恶意攻击具有明显的目的性，一般经过精心策略和准备并可能是有组织的并投入一定的资源和时间

不同的危险源具有不同的攻击能力，攻击者的能力越强攻击成功的可能性就越大，衡量攻击能力主要包括：施展攻击的知识、技能、经验和必要的资金、人力和技术资源等

• 恶意员工具有的知识和技能一般非常有限且攻击能力较弱，但恶意员工可能掌握关于系统的大量信息并具有一定的权限，而且比外部的攻击者有更多的攻击机会，攻击的成功率高，属于比较严重的安全威胁
• 独立黑客是个体攻击者，可利用资源有限，主要采用外部攻击方式，通常发动零散的、无目的的攻击，攻击能力有限
• 国内外竞争者、犯罪团伙和恐怖组织是有组织攻击者，具有一定的资源保障，具有较强的协作能力和计算能力，攻击目的性强，可进行长期深入的攻击准备并能够采取外部攻击、内部攻击和邻近攻击相结合的攻击方式，甚至进行简单的分发攻击方式，攻击能力很强

来自国家行为的攻击是能力最强的攻击，国家攻击行为不仅组织严密，具有充足资金、人力和技术资源，而且可能在必要时实施高隐蔽性和高破坏性的分发攻击，窃取组织核心机密或使网络和信息系统全面瘫痪，下表分析了典型的攻击者类型、动机和特点

在识别威胁源时一方面要调查存在哪些威胁源，特别要了解组织的客户、伙伴或竞争对手以及系统用户等情况，另一方面要调查不同威胁源的动机、特点、发动威胁的能力等，通过威胁源的分析识别出威胁源名称、类型(包括自然环境、系统缺陷、政府、组织、职业个人等)、动机(非人为、人为非故意、人为故意等)

威胁途径是指威胁源对组织或信息系统造成破坏的手段和路径，非人为的威胁途径表现为发生自然灾难、出现恶劣的物理环境、出现软硬件故障或性能降低等，人为的威胁手段包括：主动攻击、被动攻击、邻近攻击、分发攻击、误操作等，其中人为的威胁主要表现为：

• 主动攻击：攻击者主动对信息系统实施攻击导致信息或系统功能改变。常见的主动攻击包括：利用缓冲区溢出(BOF)漏洞执行代码、协议、软件、系统故障和后门，插入和利用恶意代码(如:特洛依木马、后门、病毒等)，伪装、盗取合法建立的会话、非授权访问、越权访问、重放所截获的数据、修改数据、插入数据、拒绝服务攻击等
• 被动攻击：不会导致对系统信息的篡改，而且系统操作与状态不会改变，被动攻击一般不易被发现，常见的被动攻击包括：侦察,嗅探,监听,流量分析,口令截获等
• 邻近攻击：是指攻击者在地理位置上尽可能接近被攻击的网络、系统和设备，目的是修改、收集信息或者破坏系统。这种接近可以是公开的或隐秘的，也可能是两种都有，常见的包括：偷取磁盘后又还回、偷窥屏幕信息、收集作废的打印纸，房间窃听、毁坏通信线路
• 分发攻击：在软件和硬件的开发、生产、运输和安装阶段攻击者恶意修改设计、配置等行为，常见的包括：利用制造商在设备上设置隐藏功能在产品分发、安装时修改软硬件配置，在设备和系统维护升级过程中修改软硬件配置等，直接通过互联网进行远程升级维护具有较大的安全风险
• 误操作类：是指由于合法用户的无意行为造成了对系统的攻击，误操作并非故意要破坏信息和系统，但由于误操作、经验不足、培训不足而导致一些特殊的行为发生，从而对系统造成了无意的破坏，常见的误操作包括：由于疏忽破坏了设备或数据、删除文件或数据、破坏线路、配置和操作错误、无意中使用了破坏系统命令等

威胁源对威胁客体造成破坏，有时候并不是直接的，而是通过中间若干媒介的传递，形成一条威胁路径，在风险评估工作中调查威胁路径有利于分析各个环节威胁发生的可能性和造成的破坏，威胁路径调查要明确威胁发生的起点、威胁发生的中间点以及威胁发生的终点并明确威胁在不同环节的特点

威胁可能性

威胁是客观存在的，但对于不同的组织和信息系统，威胁发生的可能性不尽相同。威胁产生的影响与脆弱性是密切相关的，脆弱性越多、越严重，威胁产生影响的可能性越大，例如：在雨水较多的地区，出现洪灾的可能性较大，因此对于存在严重漏洞的系统被威胁攻击的成功性可能较大。

威胁客体是威胁发生时受到影响的对象，威胁影响跟威胁客体密切相关。当一个威胁发生时会影响到多个对象，这些威胁客体有层次之分，通常威胁直接影响的对象是资产，间接影响到信息系统和组织，在识别威胁客体时首先识别那些直接受影响的客体，再逐层分析间接受影响的客体

威胁客体的价值越重要，威胁发生的影响越大，威胁破坏的客体范围越广泛，威胁发生的影响越大分析并确认威胁发生时受影响客体的范围和客体的价值，有利于分析组织和信息系统存在风险的大小，遭到威胁破坏的客体，有的可以补救且补救代价可以接受，有的不能补救或补救代价难以接受，受影响客体可补救性也是威胁影响的一个重要方面

威胁调查方法

不同组织和信息系统由于所处自然环境、业务类型等不尽相同面临的威胁也具有不同的特点，例如：处于自然环境恶劣的信息系统发生自然灾难的可能性较大，业务价值高或敏感的系统遭遇攻击的可能性较大，威胁调查的方法多种多样，可以根据组织和信息系统自身的特点，发生的历史安全事件记录，面临威胁分析等方法进行调查

• 运行过一段时间的信息系统可根据以往发生的安全事件记录，分析信息系统面临的威胁，例如：系统受到病毒攻击频率、系统不可用频率、系统遭遇黑客攻击频率等
• 在实际环境中通过检测工具以及各种日志可分析信息系统面临的威胁
• 对信息系统而言可参考组织内其他信息系统面临的威胁来分析本系统所面临威胁
• 对组织而言可参考其他类似组织或其他组织类似信息系统面临威胁分析本组织和本系统面临威胁
• 一些第三方组织发布的安全态势方面的数据

威胁分析

通过威胁调查可识别存在的威胁源名称、类型、攻击能力和攻击动机，威胁路径，威胁发生可能性，威胁影响的客体的价值、覆盖范围、破坏严重程度和可补救性，在威胁调查基础上可作如下威胁分析：

• 通过分析威胁路径结合威胁自身属性、资产存在的脆弱性以及所采取的安全措施识别出威胁发生的可能性，也就是威胁发生的概率
• 通过分析威胁客体的价值和威胁覆盖范围、破坏严重程度和可补救性等,识别威胁影响
• 分析并确定由威胁源攻击能力、攻击动机，威胁发生概率、影响程度计算威胁值的方法
• 威胁赋值

综合分析上述因素对威胁的可能性进行赋值，威胁赋值分为很高、高、中等、低、很低 5个级别，级别越高表示发生的可能性越高，各级别含义可见GB/T0984--2007

威胁分析报告

通过威胁调查和威胁分析，可确定组织或信息系统面临的威胁源、威胁方式以及在此基础上可形成威胁分析报告，威胁分析报告是进行脆弱性识别的重要依据，在脆弱性识别时对那些可能被严重威胁利用的脆弱性要进行重点识别

威胁分析报告应包括如下内容：

• 威胁赋值
• 严重威胁说明等
• 威胁名称、威胁类型,威胁源攻击能力,攻击动机、威胁发生概率、影响程度以及威胁发生的可能性

脆弱性识别

基本概述

脆弱性是资产自身存在的，如没有被威胁利用，脆弱性本身不会对资产造成损害。如信息系统足够健壮，威胁难以导致安全事件的发生。也就是说威胁是通过利用资产的脆弱性才可能造成危害，因此组织一般通过尽可能消减资产的脆弱性来阻止或消减威胁造成的影响，所以脆弱性识别是风险评估中最重要的一个环节

脆弱性可从技术和管理两个方面进行识别，在技术方面可从物理环境、网络、主机系统、应用系统数据等方面识别资产的脆弱性，在管理方面可从技术管理脆弱性和组织管理脆弱性两方面识别资产的脆弱性，技术管理脆弱性与具体技术活动相关，组织管理脆弱性与管理环境相关

脆弱性识别包括：脆弱性的基本特征，时间特征和环境特征的识别

a) 脆弱性的基本特征包括：

• 访问路径：该特征反映了脆弱性被利用的路径，包括本地访问、邻近网络访问、远程网络访问
• 访问复杂性：该特征反映了攻击者能访问目标系统时利用脆弱性的难易程度,可用高、2中、低 3个值进行度量
• 鉴别：该特征反映了攻击者为了利用脆弱性需要通过目标系统鉴别的次数，可用多次、1 次、0 次3个值进行度量
• 保密性影响：该特征反映了脆弱性被成功利用时对保密性的影响,可用完全泄密、部分泄密、不泄密 3 个值进行度量
• 完整性影响：该特征反映了脆弱性被成功利用时对完整性的影响,可用完全修改、部分修改、不能修改 3 个值进行度量。
• 可用性影响：该特征反映了脆弱性被成功利用时对可用性的影响,可用完全不可用、部分可用、可用性不受影响3个值进行度量

b) 脆弱性的时间特征包括:

• 可利用性：该特征反映了脆弱性可利用技术的状态或脆弱性可利用代码的可获得性，可用未证明、概念证明、可操作、易操作、不确定5个值进行度量
• 补救级别：该特征反映了脆弱性可补救的级别，可用官方正式补救方案官方临时补救方案、非官方补救方案、无补救方案、不确定5个值进行度量
• 报告可信性：该特征反映了脆弱性存在的可信度以及脆弱性技术细节的可信度，可用未证实、需进一步证实、已证实、不确定4个值进行度量

c) 脆弱性的环境特征包括：

破坏潜力：该特征反映了通过破坏或财产和设备造成物理资产和生命损失的潜在可能性，可用无、低、中等偏低、中高、高、不确定6值进行度量

目标分布：该特征反映存在特定脆弱性的系统的比例，可用无、低、中、高、不确定5个直进行度量

安全要求：该特征反映了组织和信息系统对IT资产的保密性、完整性和可用性的安全要求，可以用低、中高、不确定4个值进行度量

在识别脆弱性同时评估人员应对已采取的安全措施及其有效性进行确认安企措施的确认应分析其有效性，即是否能够抵御威胁的攻击，对有效的安全措施继续保持以避免不必要的工作和费用，对确认为不适当的安全措施应核实是否需要取消或对其进行修正或用更合防止安全措施的重复!适的安全措施替代

脆弱性识别所采用的方法主要有：文档查阅、问卷调查、人工核查、工具检测、渗透性测试等

安全技术脆弱性

基本概述

安全技术脆弱性核查包括检查组织和信息系统自身在技术方面存在的脆弱性以及核查所采取的安全措施有效程度

物理环境

物理环境安全脆弱性是指机房和办公建筑物及其配套设施、设备、线路以及用电在安全方面存在的脆弱性，包括建筑物、设备或线路遭到破坏或出现故障、遭到非法访问、设备被盗窃、出现信息泄露、出现用电中断等

核查物理环境所采取的安全措施及其有效性,包括:机房选址、建筑物的物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。

物理环境安全技术脆弱性核查的方法包括：现场查看、询问物理环境现状、验证安全措施的有效性

网络安全

网络安全脆弱性是指网络通信设备及网络安全设备、网络通信线路、网络通信服务在安全方面存在的脆弱性，包括：非法使用网络资源、非法访问或控制网络通信设备及网络安全设备、非法占用网络通信信道、网络通信服务带宽和质量不能保证网络线路泄密、传播非法信息等

核查网络安全所采取的安全措施及其有效性，包括：网络拓扑图VLAN划分、网络访控制网络设备防护、安全审计、边界完整性检查、入侵防范、恶意代码防范等

网络安全脆弱性核查应该进行结构分析、功能分析、安全功能分析和性能分析;可采取白盒测试、黑盒测试、灰盒测试等方法。

网络安全脆弱性核查方法包括：查看网络拓扑图、网络安全设备的安全策略、配置等相关文档，询问相关人员，查看网络设备的硬件配置情况，手工或自动查看或检测网络设备的软件安装和配置情况，查看和验证身份鉴别、访问控制、安全审计等安全功能,检查分析网络和安全设备日志记录，利用工具探测网络拓扑结构，扫描网络安全设备存在的漏洞，探测网络非法接入或外联情况，测试网络流量、网络设备负荷承载能力以及网络带宽，手工或自动查看和检测安全措施的使用情况并验证其有效性等

主机系统

主机系统安全脆弱性是指主机硬件设备、操作系统、数据库系统以及其他相关软件在安全方面存在的脆弱性,包括:非法访问或控制操作系统、数据库系统以及其他相关软件系统，非法占用网络或系统资源等

核查主机系统所采取的安全措施及其有效性，包括身份鉴别、访问控制、安全审计、剩余信息保护入侵防范、恶意代码防范、资源控制等

主机系统安全脆弱性核查应该进行结构、功能、安全功能和性能分析;可采取白盒测试、黑盒测试灰盒测试等方法

主机系统安全脆弱性核查方法包括手工或自动查看或检测主机硬件设备的配置情况以及软件系统的安装配置情况，查看软件系统的自启动和运行情况，查看和验证身份鉴别、访问控制、安全审计等安全功能，查看并分析主机系统运行产生的历史数据(如鉴别信息、上网痕迹)，检查并分析软件系统日志记录，利用工具扫描主机系统存在的漏洞，测试主机系统的性能，手工或自动查看或检测安全措施的使用情况并验证其有效性等

应用系统

应用系统安全脆弱性是指应用系统在安全方面存在的脆弱性，包括非法访问或控制业务应用系统，非法占用业务应用系统资源等

核查应用系统所采取的安全措施及其有效性，包括:身份鉴别、访问控制、安全审计、剩余信息保护通信完整性、通信保密性、抗抵赖、软件容错、资源控制等

应用系统安全脆弱性核查应进行结构、功能、安全功能和性能分析：可采取白盒测试、黑盒测试、灰盒测试等方法

应用系统安全脆弱性核查方法包括：可查阅应用系统的需求、设计、测试、运行报告等相关文档，检查应用系统在架构设计方面的安全性(包括应用系统各功能模块的容错保障各功能模块在交互过程中的安全机制、以及多个应用系统之间数据交互接口的安全机制等)，审查应用系统源代码，手工或自动看或检测应用系统的安装配置情况，查看和验证身份鉴别、访问控制、安全审计等安全功能，查看并分析主机系统运行产生的历史数据(如用户登录、操作记录)，检查并分析应该系统日志记录，利用扫描工具检测应用系统存在的漏洞，测试应用系统的性能，手工或自动查看或检测安全措施的使用情况并验证其有效性等

数据安全

数据安全脆弱性是指数据存储和传播在安全方面存在的脆弱性，包括数据泄露、数据篡改和破坏、数据不可用等

核查数据安全所采取的安全措施及其有效性，包括数据完整性保护措施、数据保密性保护措施、备份和恢复等

数据安全核查的方法包括：通信协议分析、数据破解数据完整性校验等

安全管理

基本概述

根据被评估组织安全管理要求应对负责信息系统管理和运行维护部门进行安全管理核查，安全管理核查主要通过查阅文档、抽样调查和询问等方法并核查信息安全规章制度的合理性、完整性、适用性等

安全管理组织

安全管理组织脆弱性是指组织在安全管理机构设置、职能部门设置、岗位设置、人员配置等是否合理，分工是否明确，职责是否清晰，工作是否落实等

安全管理组织脆弱性核查方法包括:查看安全管理机构设置、职能部门设置、岗位设置、人员配置等相关文件，以及安全管理组织相关活动记录等文件。

安全管理策略

安全管理策略为组织实施安全管理提供指导，安全管理策略核查主要核查安全管理策略的全面性和合理性

安全管理策略脆弱性核查方法包括:查看是否存在明确的安全管理策略文件,并就安全策略有关内容询问相关人员，分析策略的有效性,识别安全管理策略存在的脆弱性。

安全管理制度

安全管理制度脆弱性是指安全管理制度体系的完备程度，制度落实等方面存在的脆弱性以及安全管理制度制定与发布评审与修订、废弃等管理存在的问题

安全管理制度脆弱性核查方法包括：审查相关制度文件完备情况，查看制度落实的记录，就制度有关内容询问相关人员了解制度的执行情况，综合识别安全管理制度存在的脆弱性

人员安全管理

人员安全管理包括人员录用、教育与培训、考核、离岗等，以及外部人员访问控制安全管理

人员安全管理脆弱性核查方法包括查阅相关制度文件以及相关记录,或要求相关人员现场执行某些任务，或以外来人员身份访问等方式进行人员安全管理脆弱性的识别。

系统运维管理

系统运维管理是保障系统正常运行的重要环节，涉及系统正常运行和组织正常运转，包括：物理环境、资产、设备、介质、网络、系统、密码的安全管理以及恶意代码防范、安全监控和监管、变更、备份与恢复、安全事件、应急预案管理等

系统运维管理脆弱性核查方法包括：审阅系统运维的相关制度文件、操作手册、运维记录等，现场查看运维情况，访谈运维人员,让运维人员演示相关操作等方式进行系统运维管理脆弱性的识别

分析报告

脆弱性严重程度分为很高、高、中等、低、很低5个级别，级别越高表示脆弱性越严重，各级别含义可见GB/T20984-2007

脆弱性分析报告中应当包括如下内容:

• 资产存在的各种脆弱性
• 脆弱性的特征及其赋值，包括基本特征(如访问路径、访问复杂性、鉴别、保密性影响、完整性影b)响、可用性影响)、时间特征(如可利用性、补救水平、报告可性)、环境特征(如破坏潜力、目标分布,安全要求)
• 计算脆弱性严重程度的方法
• 严重脆弱性说明
• 脆弱性之间的关联分析，不同的脆弱性可能反映同一方面的问题，或可能造成相似的后果，这些脆弱性可以合并，某些脆弱性的严重程度互相影响，特别对于某个资产其技术脆弱性的还受到组织管理脆弱性的影响，因而这些脆弱性的严重程度可能需要修正

识别阶段工作保障

组织协调

评估小组应根据调研结果进行资产识别和威胁识别并与被评估组织沟通确认在对被评估组织进行脆弱性识别前，评估小组应明确被评估组织提供的资源，确定被评估组织配合人员，在脆弱性识别过程中被评估组织应安排已确定的配合员并提供相关资源

角色职责

风险识别阶段的主要角色与工作职责划分如下表所示：

关键控制点

风险评估识别]阶段主要包括四个关键控制点：

• 资产识别的完整和有效资产识别是风险评估的基础工作，应按照指定的评估范围，全面和有效的识别相关资源，并确定重要的资产情况
• 确定组织或信息系统的严重威胁，确定组织或信息系统面临的威胁并分析其中的严重威胁对后续安全风险分析至关重要，并对相关脆弱性的加固整改方法提供关键依据
• 确认组织或信息系统的严重脆弱性，全面了解组织或信息系统自身安全状况，发现并验证其存在的严重脆弱性对后续安全分析至关重要，也是组织重点投入资源进行加固整改的对象
• 现场评估工作小结会议，在现场评估工作结束前应根据现场识别情况召开现场评估工作小结，会议由被评估组织项目组长组织召开，参与人员包括评估小组全体人员，必要时结会议，风险评估领导小组成员及专家组成员可一并参加，会议主要内容是评估机构项目组长汇报现场工作情况以及各项识别工作基本结果，并将现场发现的重要或紧急安全问题与被评估组织进行沟通，被评估组织应进行及时安全加固整改以防安全事件发生，现场评估工作小结会议应对识别阶段工作情况和结果进行确认

评估文档管理

在识别阶段应完成如下文档的提交：

• 资产赋值报告
• 威胁分析报告
• 脆弱性分析报告
• 现场重要问题汇总报告

风险分析

基本概述

风险评估是以围绕被评估组织核心业务开展为原则的评估业务所面临的安全风险，风险分析的主要方法是对业务相关的资产、威胁、脆弱性及其各项属性的关联分析，综合进行风险分析和计算

分析模型

依据GB/T 20984一2007所确定的风险分析方法所述，一般构建风险分析模型是将资产、威胁、脆弱性三个基本要素及每个要素相关属性进行关联并建立各要素之间的相互作用机制关系

首先通过威胁与脆弱性进行关联，哪些威胁可以利用哪些脆弱性，可引发安全事件有哪些，分析安全事件发生的可能性，其次通过资产与脆弱性进行关联，哪些资产存在脆弱性，一旦安全事件发生，那么造成的损失有多大

信息安全风险各识别要素的关系R=F(A,T,V)，其中R表示安全风险计算函数，A表示资产，T表示威胁，V表示脆弱性

风险计算

组织或信息系统安全风险需要通过具体的计算方法实现风险值的计算，风险计算方法一般分为定性计算方法和定量计算方法两大类：

• 定性计算方法是将风险的各要素资产、威胁、脆弱性等的相关属性进行量化(或等级化)赋值，然后选用具体的计算方法(如相乘法或矩阵法)进行风险计算
• 定最计算方法是通过将资产价值和风险等量化为财务价值的方式来进行计算的一种方法，由于定量计算法需要等量化财务价值，在实际操作中往往难以实现

由于定量计算方法在实际工作中可操作性较差，一般风险计算多采用定性计算方法，风险的定性计算方法实质反应的是组织或信息系统面临风险大小的准确排序，确定风险的性质(无关紧要、可接受待观察、不可接受等)，而不是风险计算值本身的准确性，具体风险计算方法可参考GB/T 20984-2007中的附录A(资料性附录)风险的计算方法

风险分析

通过风险计算应对风险情况进行综合分析与评价，风险分析是基于计算出的风险值确定风险等级，风险评价则是对组织或信息系统总体信息安全风险的评价

风险分析，首先对风险计算值进行等级化处理，风险等级化处理目的是对风险的识别直观化，便于对风险进行评价，等级化处理的方法是按照风险值的高低进行等级划分，风险值越高，那么风险等级越高，风险等级一般可划分为5级：很高、高、中等、低、很低，也可根据项目实际情况确定风险的等级数如划分为高、中、低3级

风险评价方法是根据组织或信息系统面临的各种风险等级，通过对不同等级的安全风险进行统计分析并依据各等级风险所占全部风险的百分比确定总体风险状况，具体风险评价如下表所示：

评估报告

风险评估报告是风险分析阶段的输出文档，是对风险分析阶段工作的总结，风险评估报告中需要对建立的风险分析模型进行说明并阐明采用的风险计算方法及风险评价方法

报告中应对计算分析出的风险给予详细说明，主要包括：风险对组织、业务及系统的影响范围、影响程度、依据的法规和证据、风险评价结论。

风险评估报告是风险评估工作的重要内容，是风险处理阶段的关键依据，同时风险评估报告可作为组织从事其他信息安全管理工作的重要参考内容，例如:信息安全检查、信息系统等级保护测评、信息安全建设等

分析保障

组织协调

风险分析阶段的工作主要由评估机构完成，被评估组织参与配合做好资料信息的补充、更正或确认等工作，评估机构参与分析阶段工作的技术人员应对被评估组织的行业背景、政策要求、业务服务清晰明确，保证分析结果的客观准确

角色责任

风险分析阶段工作的角色与责任划分如下表所示：

控制点类

风险分析阶的关键控制点主要有以下两点：

• 建立险分析模型及确定风险计算方法，应能正确反应组织的行业安全特点，核心业务系统所处的内、外部环境安全状况
• 需被评估组织确认的评估信息、数据及相关文档资料应及时得到准确反馈

文档管理

风险分析阶段产生的文主要是《风险评估报告》，《风险评估报告》是风险评估工作中产生的最重要文档，项目质量管控员应其实施控制管理，包括版本变更控和分发控制

风险处理

风险处理原则

风险处理依据风险评估结果针对风险分析阶段输出的风险评估报告进行风险处理，风险处理的基本原则是适度接受风险，根据组织可接受的处置成本将残余安全风险控制在可以接受的范围内

依据国家、行业主管部门发布的信息安全建设要求进行的风险处理，应严格执行相关规定，如依据等级保护相关要求实施的安全风险加固工作应满足等级保护相应等级的安全技术和管理要求，对于因不能够满足该等级安全要求产生的风险则不能够适用适度接受风险的原则，对于有着行业主管部门特殊安全要求的风险处理工作，同样不适用该原则

安全整改建议

风险处理方式一般包括接受、消减、转移、规避等。安全整改是风险处理中常用的风险消减方法风险评估需提出安全整改建议，安全整改建议需根据安全风险的严重程度、加固措施实施的难易程度、降低风险的时间紧迫程度所投入的人员力量及资金成本等因素综合考虑

• 对于非常严重、需立即降低且加固措施易于实施的安全风险，建议被评估组织立即采取安全整改措施
• 对于非常严重、需立即降低,但加固措施不便于实施的安全风险，建议被评估组织立即制定安全整改实施方案，尽快实施安全整改，整改前应对相关安全隐患进行严密监控，并作好应急预案
• 对于比较严重、需降低且加固措施不易于实施的安全风险，建议被评估组织制定限期实施的整改方案，整改前应对相关安全隐患进行监控

组织评审会议

基本概述

组织召开评审会是评估活动结束的重要标志，评审会应由被评估组织组织,评估机构协助，评审会参与人员一般包括:被评估组织、评估机构及专家等

• 被评估组织包括：单位信息安全主管领导、相关业务部门主管人员、信息技术部门主管人员、参与评估活动的主要人员等
• 评估机构包括：项目组长、主要评估人员
• 专家包括：被评估组织行业信息安全专家、信息安全专业领域专家等

评审文档

评审会由被评估组织人员主持，提供有关文档供评审人员进行核查，项目组长及相关人员需对评估技术路线、工作计划、实施情况、达标情况等内容进并解答评审人员的置疑表列出信息安全风险估项目验收时提交的验收评审文档

评审意见

评审会中需有专门记录人员负责对各位专家发表意见进行记录，评审会成果是会议评审意见，评审意见包括：针对评估项目的实施流程、风险分析的模型与计算方法、评估的结论及评估活动产生的各类文档等内容提出意见，评审意见对于被评估组织是否接受评估结果具有重要的参考意义，依据评审意见评估机构应对相关报告进行完善、补充和修改并将最终修订材料一并提交被评估组织，做为评估项目结束的移交文档

残余风险处理

残余风险处理是风险评估活动的延续，是被评估组织按照风安全整改建议全部或部分实施整改工作后对仍然存在的安全风险进行识别、控制和管理的活动，对于已完成安全加固措施的信息系统，为确保安全措施的有效性，可进行残余风险评估，评估流程及内容可做有针对性的剪裁

残余风险评估的目的是对信息系统仍存在的残余风险进行识别、控制和管理，如某些风险在完成了适当的安全措施后，残余风险的结果仍处于不可接受的风险范围内，应考虑进一步增强相应的安全措施

风险处理保障

组织协调

风险处理建议工作由评估机构与被评估组织共同完成，评估机构主要工作是根据《风险评估报告》，编制《安全整改建议》被评估组织主要工作是审核评估机构提交的《安全整改建议》可行性

角色责任

风险处理建议工作的角色和责任划分如下表所示：

关键控制点

风险处理建议工作的关键控制点主要有以下两点：

• 《安全整改建议》编制工作应由评估机构和被评估组织共同完成，《安全整改建议》所提出的技术、管理整改方法应符合被评估组织的实际要求，以及尽可能满足其成本承受能力
• 专家评审会的召集与组织需要评估实施双方共同参与

文档管理

风险处理建议工作产生的文档主要是《安全整改建议》，而对《安全整改建议》编制过程中产生的所有文件、交流意见、会议记录应纳人文档管理,并作好版本变更管理，安全整改建议经评审定稿后正式装订成册，由项目质最管控员进行控制管理，评审会的最终评审意见应纳入文档管理，项目结束后评估机构应向被评估组织一次性移交所有报告以及评估工作中产生的临时性文件文档移交后，在没有得到被评估组织允许情况下评估机构不得保留和使用这些信息