信息安全讲座ISM03信息安全等级保护与风险评估课件.ppt

    第三章  信息安全等级保护与风险评估主要内容1.1.重点和难点重点和难点信息系统安全等级确定信息系统安全等级确定；；信息系统安全风险评估信息系统安全风险评估2.2.知识点知识点•信息安全等级保护制度信息安全等级保护制度•信息系统安全等级保护实施信息系统安全等级保护实施•信息系统安全等级确定信息系统安全等级确定 •信息系统安全等级保护要求信息系统安全等级保护要求•信息系统安全风险评估信息系统安全风险评估 2024/9/151信息安全讲座ISM03信息安全等级保护与风险评估1.1.1.1.信息安全等级保护信息安全等级保护信息安全等级保护信息安全等级保护定义定义定义定义 信息安全等级保护信息安全等级保护，是指对国家秘密信息、法人和其他组，是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息的信息系统信息系统分等级实行安全保护，对信息系统中使用的分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安信息安全产品实行按等级管理，对信息系统中发生的信息安全事件按照等级进行响应和处置等。

全事件按照等级进行响应和处置等3.1 信息安全等级保护制度信息安全等级保护制度2024/9/152信息安全讲座ISM03信息安全等级保护与风险评估2.2.2.2.国家关于国家关于国家关于国家关于信息安全等级保护管理信息安全等级保护管理信息安全等级保护管理信息安全等级保护管理的举措的举措的举措的举措Ø 1994年国务院发布的《计算机信息系统安全保护条例》年国务院发布的《计算机信息系统安全保护条例》第第9条规定：条规定：“计算机信息系统实行安全等级保护安全等级计算机信息系统实行安全等级保护安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定部门制定Ø 1999年，公安部正式发布信息系统安全等级保护的国家年，公安部正式发布信息系统安全等级保护的国家标准标准GB 17859 — 1999，将计算机信息系统的安全级别明确，将计算机信息系统的安全级别明确划分为五级并且提出了具体要求划分为五级并且提出了具体要求3.1 信息安全等级保护制度信息安全等级保护制度2024/9/153信息安全讲座ISM03信息安全等级保护与风险评估Ø 2003年中央办公厅、国务院办公厅转发的《国家信息化年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕〕27号）中明确指出：号）中明确指出：“要重点保护基础信息网络和关系要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。

理办法和技术指南Ø 2004年公安部等四部委《关于信息安全等级保护工作的年公安部等四部委《关于信息安全等级保护工作的实施意见》（公通字〔实施意见》（公通字〔2004〕〕66号）也指出，信息安全等级号）也指出，信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度共利益，保障和促进信息化建设健康发展的一项基本制度3.1 信息安全等级保护制度信息安全等级保护制度2024/9/154信息安全讲座ISM03信息安全等级保护与风险评估Ø 2007年年6 月月公安部、国家保密局、国家密码管理局公安部、国家保密局、国家密码管理局和国务院信息工作办公室联合制定并下发了和国务院信息工作办公室联合制定并下发了《《信息信息安全等级保护管理办法安全等级保护管理办法》》 （公通字〔（公通字〔2007〕〕43号号），），以期以期加快推进信息安全等级保护，规范信息安全等加快推进信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息国家安全、社会稳定和公共利益，保障和促进信息化建设化建设 。

3.1 信息安全等级保护制度信息安全等级保护制度2024/9/155信息安全讲座ISM03信息安全等级保护与风险评估3.3.3.3.信息系统安全等级划分信息系统安全等级划分信息系统安全等级划分信息系统安全等级划分 根据根据《信息系统安全等级保护实施指南》《信息系统安全等级保护实施指南》的规定，信息系的规定，信息系统可以分为五个安全等级，国家对不同级别的信息和信息系统可以分为五个安全等级，国家对不同级别的信息和信息系统实行不同强度的监管政策统实行不同强度的监管政策Ø 第一级第一级：：自主保护级自主保护级 其主要对象为一般的信息系统，其主要对象为一般的信息系统，该该信息系统受到破坏后，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益国家安全、社会秩序和公共利益 本级系统依照国家管理规本级系统依照国家管理规范和技术标准进行自主保护范和技术标准进行自主保护3.1 信息安全等级保护制度信息安全等级保护制度2024/9/156信息安全讲座ISM03信息安全等级保护与风险评估Ø第二级：指导保护级第二级：指导保护级其主要对象为一般的信息系统，该其主要对象为一般的信息系统，该信息系统受到破坏后，会信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

社会秩序和公共利益造成损害，但不损害国家安全本级系本级系统依照国家管理规范和技术标准进行自主保护，必要时信息统依照国家管理规范和技术标准进行自主保护，必要时信息安全监管职能部门对其进行指导安全监管职能部门对其进行指导Ø第三级第三级：：监督保护级监督保护级 其主要对象为涉及国家安全、社会秩序和公共利益的重要其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，信息系统，该该信息系统受到破坏后，会对社会秩序和公共利信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害益造成严重损害，或者对国家安全造成损害 本级系统依照本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查部门对其进行监督、检查3.1 信息安全等级保护制度信息安全等级保护制度2024/9/157信息安全讲座ISM03信息安全等级保护与风险评估Ø第四级第四级：：强制保护级强制保护级 其主要对象为涉及国家安全、社会秩序和公共利益的重要其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，信息系统，该该信息系统受到破坏后，会对社会秩序和公共利信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

益造成特别严重损害，或者对国家安全造成严重损害 本级本级系统依照国家管理规范和技术标准进行自主保护，信息安全系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查监管职能部门对其进行强制监督、检查Ø 第五级第五级：：专控保护级专控保护级 其主要对象为涉及国家安全、社会秩序和公共利益的重要其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，信息系统的核心子系统，该该信息系统受到破坏后，会对国家信息系统受到破坏后，会对国家安全造成特别严重损害安全造成特别严重损害 本级系统依照国家管理规范和技术本级系统依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门标准进行自主保护，国家指定专门部门、专门机构进行专门监督、检查监督、检查3.1 信息安全等级保护制度信息安全等级保护制度2024/9/158信息安全讲座ISM03信息安全等级保护与风险评估4.4.4.4.信息系统安全等级保护相关标准信息系统安全等级保护相关标准信息系统安全等级保护相关标准信息系统安全等级保护相关标准 到目前为止，我国正式颁布的信息系统安全等级保护的强到目前为止，我国正式颁布的信息系统安全等级保护的强制性国家标准是制性国家标准是GB 17859 — 1999《计算机信息系统安全保《计算机信息系统安全保护等级划分准则》，该准则于护等级划分准则》，该准则于1999年年9月月13日经国家质量技术日经国家质量技术监督局发布，监督局发布，2001年年1月月1日起实施。

随后围绕日起实施随后围绕GB 17859 — 1999编写和制定了一系列与信息系统安全等级保护有关的标编写和制定了一系列与信息系统安全等级保护有关的标准和指南，旨在规范和指导信息系统安全等级保护实施过程准和指南，旨在规范和指导信息系统安全等级保护实施过程中的活动目前，这一系列的标准和指南包括：中的活动目前，这一系列的标准和指南包括：3.1 信息安全等级保护制度信息安全等级保护制度2024/9/159信息安全讲座ISM03信息安全等级保护与风险评估ü GB 17859 - 1999《计算机信息系统安全保护等级划分准则》《计算机信息系统安全保护等级划分准则》ü GA/T 390 - 2002《计算机信息系统安全等级保护通用技术要求》《计算机信息系统安全等级保护通用技术要求》ü GA/T 388 -2002《计算机信息系统安全等级保护操作系统技术要求《计算机信息系统安全等级保护操作系统技术要求》》ü GA/T 389 - 2002《计算机信息系统安全等级保护数据库管理系统《计算机信息系统安全等级保护数据库管理系统技术要求》技术要求》ü GA/T 387 - 2002《计算机信息系统安全等级保护网络技术要求》《计算机信息系统安全等级保护网络技术要求》ü GA/T 391 - 2002《计算机信息系统安全等级保护管理要求》《计算机信息系统安全等级保护管理要求》ü 《信息安全技术《信息安全技术——信息系统安全等级保护实施指南》信息系统安全等级保护实施指南》ü 《信息系统安全保护等级定级指南》《信息系统安全保护等级定级指南》ü 《信息安全技术《信息安全技术——信息系统安全等级保护基本要求》信息系统安全等级保护基本要求》ü 《信息系统安全等级保护测评准则》《信息系统安全等级保护测评准则》3.1 信息安全等级保护制度信息安全等级保护制度2024/9/1510信息安全讲座ISM03信息安全等级保护与风险评估1.1.1.1.基本原则基本原则基本原则基本原则 等级保护的核心是对信息系统分等级、按标准进行建设、等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。

管理和监督等级保护在实施过程中应遵循的基本原则：等级保护在实施过程中应遵循的基本原则：Ø 自主保护原则自主保护原则 由各主管部门和运营、使用单位按照国家相关法规和标准，由各主管部门和运营、使用单位按照国家相关法规和标准，自主确定信息系统的安全等级，自行组织实施安全保护自主确定信息系统的安全等级，自行组织实施安全保护Ø 同步建设原则同步建设原则 信息系统在新建、改建、扩建时应当同步规划和设计安信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应安全与信息化建设相适应3.2 信息系统安全等级保护实施信息系统安全等级保护实施2024/9/1511信息安全讲座ISM03信息安全等级保护与风险评估Ø 重点保护原则重点保护原则 根据信息系统的重要程度、业务特点，通过划分不同的安根据信息系统的重要程度、业务特点，通过划分不同的安全等级，实现不同强度的安全保护，集中资源优先保护涉及全等级，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。

核心业务或关键信息资产的信息系统Ø 适当调整原则适当调整原则 要跟踪信息系统的变化情况，调整安全保护措施因为信要跟踪信息系统的变化情况，调整安全保护措施因为信息系统的应用类型、范围等条件的变化及其他原因，安全等息系统的应用类型、范围等条件的变化及其他原因，安全等级需要变更的，应当根据等级保护的管理规范和技术标准的级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全等级，根据信息系统安全等要求，重新确定信息系统的安全等级，根据信息系统安全等级的调整情况，重新实施安全保护级的调整情况，重新实施安全保护 3.2 信息系统安全等级保护实施信息系统安全等级保护实施2024/9/1512信息安全讲座ISM03信息安全等级保护与风险评估2.2.2.2.参与角色参与角色参与角色参与角色Ø 信息系统主管部门信息系统主管部门 Ø 信息系统运营、使用单位信息系统运营、使用单位Ø 信息系统安全服务商信息系统安全服务商Ø 信息安全监管机构信息安全监管机构Ø 安全测评机构安全测评机构Ø 安全产品供应商安全产品供应商 3.2 信息系统安全等级保护实施信息系统安全等级保护实施2024/9/1513信息安全讲座ISM03信息安全等级保护与风险评估3.3.3.3.实施过程实施过程实施过程实施过程 对信息系统实施等级保护的过程划分为五个阶段，具体如对信息系统实施等级保护的过程划分为五个阶段，具体如下图：下图：                                                                                                                             3.2 信息系统安全等级保护实施信息系统安全等级保护实施2024/9/1514信息安全讲座ISM03信息安全等级保护与风险评估4.4.4.4.安全等级保护与信息系统生命周期的关系安全等级保护与信息系统生命周期的关系安全等级保护与信息系统生命周期的关系安全等级保护与信息系统生命周期的关系 信息系统生命周期包括五个阶段：信息系统生命周期包括五个阶段：启动准备阶段启动准备阶段、、设计设计/开发阶段开发阶段、、实施实施/实现阶段实现阶段、、运行维护阶段运行维护阶段和和系统终止阶段系统终止阶段。

安全等级保护工作将贯安全等级保护工作将贯穿信息系统生命周期的各个阶段穿信息系统生命周期的各个阶段3.2 信息系统安全等级保护实施信息系统安全等级保护实施2024/9/1515信息安全讲座ISM03信息安全等级保护与风险评估1. 信息系统安全保护等级的信息系统安全保护等级的定级因素定级因素 信息系统的安全保护等级应当根据信息系统在国家安全、信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度决定从另一个角度看，经济建设、社会生活中的重要程度决定从另一个角度看，信息系统重要程度越高，其遭到破坏后对国家安全、经济建信息系统重要程度越高，其遭到破坏后对国家安全、经济建设、社会秩序、公共利益以及公民、法人和其他组织的合法设、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度也越高权益的危害程度也越高 信息系统安全保护等级的定级要素：信息系统安全保护等级的定级要素：Ø等级保护对象受到破坏时所侵害的客体等级保护对象受到破坏时所侵害的客体Ø对客体造成侵害的程度对客体造成侵害的程度 3.3 信息系统安全信息系统安全保护等级确定保护等级确定2024/9/1516信息安全讲座ISM03信息安全等级保护与风险评估(1) 受侵害的客体受侵害的客体Ø公民、法人和其他组织的合法权益公民、法人和其他组织的合法权益Ø社会秩序、公共利益社会秩序、公共利益Ø国家安全国家安全(2)对客体的侵害程度对客体的侵害程度 Ø造成一般损害造成一般损害 Ø造成严重损害造成严重损害 Ø造成特别严重损害造成特别严重损害 3.3 信息系统安全信息系统安全保护保护等级确定等级确定2024/9/1517信息安全讲座ISM03信息安全等级保护与风险评估 3.3 信息系统安全信息系统安全保护保护等级确定等级确定受侵害的客体受侵害的客体对客体的侵害程度对客体的侵害程度一般一般损害害严重重损害害特特别严重重损害害公民、法人和其他组织的合公民、法人和其他组织的合法权益法权益第一第一级第二第二级第二第二级社会秩序、公共利益社会秩序、公共利益第二第二级第三第三级第四第四级国家安全国家安全第三第三级第四第四级第五第五级表表3-1 定级要素与安全保护等级的关系表定级要素与安全保护等级的关系表 2024/9/1518信息安全讲座ISM03信息安全等级保护与风险评估2.定级一般流程定级一般流程 3.3 信息系统安全信息系统安全保护保护等级确定等级确定3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全等级4、业务信息安全等级8、定级对象的安全保护等级依据表3－2依据表3－31、确定定级对象2024/9/1519信息安全讲座ISM03信息安全等级保护与风险评估3.3 信息系统安全信息系统安全保护保护等级确定等级确定3.确定定级对象确定定级对象 一个单位内运行的信息系统可能比较庞大，为了体现重一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设成本，优化信息要部分重点保护，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，可将较大的信息系统划分安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。

为若干个较小的、可能具有不同安全保护等级的定级对象 作为定级对象的信息系统应具有如下基本特征：作为定级对象的信息系统应具有如下基本特征：Ø具有唯一确定的安全责任单位具有唯一确定的安全责任单位 Ø具有信息系统的基本要素具有信息系统的基本要素 Ø承载单一或相对独立的业务应用承载单一或相对独立的业务应用 2024/9/1520信息安全讲座ISM03信息安全等级保护与风险评估4.确定确定受侵害的客体受侵害的客体(1)侵害国家安全的事项侵害国家安全的事项Ø影响国家政权稳固和国防实力影响国家政权稳固和国防实力Ø影响国家统一、民族团结和社会安定影响国家统一、民族团结和社会安定Ø影响国家对外活动中的政治、经济利益影响国家对外活动中的政治、经济利益Ø影响国家重要的安全保卫工作影响国家重要的安全保卫工作Ø影响国家经济竞争力和科技实力影响国家经济竞争力和科技实力Ø其他影响国家安全的事项其他影响国家安全的事项 3.3 信息系统安全信息系统安全保护保护等级确定等级确定2024/9/1521信息安全讲座ISM03信息安全等级保护与风险评估(2)(2)(2)(2)侵害社会秩序的事项侵害社会秩序的事项侵害社会秩序的事项侵害社会秩序的事项 ØØ影响国家机关社会管理和公共服务的工作秩序影响国家机关社会管理和公共服务的工作秩序影响国家机关社会管理和公共服务的工作秩序影响国家机关社会管理和公共服务的工作秩序 ØØ影响各种类型的经济活动秩序影响各种类型的经济活动秩序影响各种类型的经济活动秩序影响各种类型的经济活动秩序 ØØ影响各行业的科研、生产秩序影响各行业的科研、生产秩序影响各行业的科研、生产秩序影响各行业的科研、生产秩序 ØØ影响公众在法律约束和道德规范下的正常生活秩序等影响公众在法律约束和道德规范下的正常生活秩序等影响公众在法律约束和道德规范下的正常生活秩序等影响公众在法律约束和道德规范下的正常生活秩序等 ØØ其他影响社会秩序的事项其他影响社会秩序的事项其他影响社会秩序的事项其他影响社会秩序的事项 (3)(3)(3)(3)影响公共利益的事项影响公共利益的事项影响公共利益的事项影响公共利益的事项 ØØ影响社会成员使用公共设施影响社会成员使用公共设施影响社会成员使用公共设施影响社会成员使用公共设施 ØØ影响社会成员获取公开信息资源影响社会成员获取公开信息资源影响社会成员获取公开信息资源影响社会成员获取公开信息资源 ØØ影响社会成员接受公共服务等方面影响社会成员接受公共服务等方面影响社会成员接受公共服务等方面影响社会成员接受公共服务等方面 ØØ其他影响公共利益的事项其他影响公共利益的事项其他影响公共利益的事项其他影响公共利益的事项 3.3 信息系统安全信息系统安全保护保护等级确定等级确定2024/9/1522信息安全讲座ISM03信息安全等级保护与风险评估(4)(4)影响公民、法人和其他组织的合法权益是指由法律确认的影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益权利和利益 确确定定作作为为定定级级对对象象的的信信息息系系统统受受到到破破坏坏后后所所侵侵害害的的客客体体时时，，应应首首先先判判断断是是否否侵侵害害国国家家安安全全，，然然后后判判断断是是否否侵侵害害社社会会秩秩序序或或公公众众利利益益，，最最后后判判断断是是否否侵侵害害公公民民、、法法人人和和其其他他组组织织的的合合法法权权益益。

各各行行业业可可根根据据本本行行业业业业务务特特点点，，分分析析各各类类信信息息和和各各类类信信息息系系统统与与国国家家安安全全、、社社会会秩秩序序、、公公共共利利益益以以及及公公民民、、法法人人和和其其他他组组织织的的合合法法权权益益的的关关系系，，从从而而确确定定本本行行业业各各类类信信息息和各类信息系统受到破坏时所侵害的客体和各类信息系统受到破坏时所侵害的客体3.3 信息系统安全信息系统安全保护保护等级确定等级确定2024/9/1523信息安全讲座ISM03信息安全等级保护与风险评估 5.5.确定对客体的侵害程度确定对客体的侵害程度 (1)侵害的客观方面侵害的客观方面判断标准判断标准Ø影响行使工作职能影响行使工作职能 Ø导致业务能力下降导致业务能力下降 Ø引起法律纠纷引起法律纠纷 Ø导致财产损失导致财产损失 Ø造成社会不良影响造成社会不良影响 Ø对其他组织和个人造成损失对其他组织和个人造成损失 Ø其他影响其他影响 3.3 信息系统安全信息系统安全保护保护等级确定等级确定2024/9/1524信息安全讲座ISM03信息安全等级保护与风险评估(2)(2)综合判定侵害程度综合判定侵害程度综合判定侵害程度综合判定侵害程度ØØ如果受侵害客体是公民、法人或其他组织的合法权益，则如果受侵害客体是公民、法人或其他组织的合法权益，则如果受侵害客体是公民、法人或其他组织的合法权益，则如果受侵害客体是公民、法人或其他组织的合法权益，则以本人或本单位的总体利益作为判断侵害程度的基准以本人或本单位的总体利益作为判断侵害程度的基准以本人或本单位的总体利益作为判断侵害程度的基准以本人或本单位的总体利益作为判断侵害程度的基准 ØØ如果受侵害客体是社会秩序、公共利益或国家安全，则应如果受侵害客体是社会秩序、公共利益或国家安全，则应如果受侵害客体是社会秩序、公共利益或国家安全，则应如果受侵害客体是社会秩序、公共利益或国家安全，则应以整个行业或国家的总体利益作为判断侵害程度的基准以整个行业或国家的总体利益作为判断侵害程度的基准以整个行业或国家的总体利益作为判断侵害程度的基准以整个行业或国家的总体利益作为判断侵害程度的基准 3.3 信息系统安全信息系统安全保护保护等级确定等级确定2024/9/1525信息安全讲座ISM03信息安全等级保护与风险评估一一一一般般般般损损损损害害害害：：：：工工工工作作作作职职职职能能能能受受受受到到到到局局局局部部部部影影影影响响响响，，，，业业业业务务务务能能能能力力力力有有有有所所所所降降降降低低低低但但但但不不不不影影影影响响响响主主主主要要要要功功功功能能能能的的的的执执执执行行行行，，，，出出出出现现现现较较较较轻轻轻轻的的的的法法法法律律律律问问问问题题题题，，，，较较较较低低低低的的的的财财财财产产产产损损损损失，有限的社会不良影响，对其他组织和个人造成较低损害。

失，有限的社会不良影响，对其他组织和个人造成较低损害失，有限的社会不良影响，对其他组织和个人造成较低损害失，有限的社会不良影响，对其他组织和个人造成较低损害严严严严重重重重损损损损害害害害：：：：工工工工作作作作职职职职能能能能受受受受到到到到严严严严重重重重影影影影响响响响，，，，业业业业务务务务能能能能力力力力显显显显著著著著下下下下降降降降且且且且严严严严重重重重影影影影响响响响主主主主要要要要功功功功能能能能执执执执行行行行，，，，出出出出现现现现较较较较严严严严重重重重的的的的法法法法律律律律问问问问题题题题，，，，较较较较高高高高的的的的财财财财产产产产损损损损失失失失，，，，较较较较大大大大范范范范围围围围的的的的社社社社会会会会不不不不良良良良影影影影响响响响，，，，对对对对其其其其他他他他组组组组织织织织和和和和个个个个人人人人造造造造成成成成较较较较严重损害严重损害严重损害严重损害特特特特别别别别严严严严重重重重损损损损害害害害：：：：工工工工作作作作职职职职能能能能受受受受到到到到特特特特别别别别严严严严重重重重影影影影响响响响或或或或丧丧丧丧失失失失行行行行使使使使能能能能力力力力，，，，业业业业务务务务能能能能力力力力严严严严重重重重下下下下降降降降且且且且或或或或功功功功能能能能无无无无法法法法执执执执行行行行，，，，出出出出现现现现极极极极其其其其严严严严重重重重的的的的法法法法律律律律问问问问题题题题，，，，极极极极高高高高的的的的财财财财产产产产损损损损失失失失，，，，大大大大范范范范围围围围的的的的社社社社会会会会不不不不良良良良影影影影响响响响，，，，对对对对其其其其他他他他组组组组织和个人造成非常严重损害。

织和个人造成非常严重损害织和个人造成非常严重损害织和个人造成非常严重损害 3.3 信息系统安全信息系统安全保护保护等级确定等级确定2024/9/1526信息安全讲座ISM03信息安全等级保护与风险评估5.5.5.5.确定定级对象的安全保护等级确定定级对象的安全保护等级确定定级对象的安全保护等级确定定级对象的安全保护等级 (1)(1)业务信息安全保护等级业务信息安全保护等级业务信息安全保护等级业务信息安全保护等级 3.3 信息系统安全信息系统安全保护保护等级确定等级确定表3-2 业务信息安全保护等级矩阵表  业业务务信信息息安安全全被被破破坏坏时时所所侵侵害害的的客体客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重损害严重损害特别严重损害特别严重损害公公民民、、法法人人和和其其他他组组织织的的合合法法权权益益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级2024/9/1527信息安全讲座ISM03信息安全等级保护与风险评估(2)(2)系统服务安全保护等级系统服务安全保护等级系统服务安全保护等级系统服务安全保护等级 3.3 信息系统安全信息系统安全保护保护等级确定等级确定表3-3 系统服务安全保护等级矩阵表   系系统统服服务务安安全全被被破破坏坏时时所所侵侵害害的的客体客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重损害严重损害特别严重损害特别严重损害公公民民、、法法人人和和其其他他组组织织的的合合法法权权益益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级(3)(3)(3)(3)信息系统安全信息系统安全保护等级保护等级 = = = =Max(Max(Max(Max(业务信息安全保护等级业务信息安全保护等级业务信息安全保护等级业务信息安全保护等级, , , ,系统服务安全保护等级系统服务安全保护等级系统服务安全保护等级系统服务安全保护等级 ) )2024/9/1528信息安全讲座ISM03信息安全等级保护与风险评估6. 6.等级变更等级变更等级变更等级变更 在信息系统的运行过程中，安全保护等级应随着信息系在信息系统的运行过程中，安全保护等级应随着信息系在信息系统的运行过程中，安全保护等级应随着信息系在信息系统的运行过程中，安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更，尤其是统所处理的信息和业务状态的变化进行适当的变更，尤其是统所处理的信息和业务状态的变化进行适当的变更，尤其是统所处理的信息和业务状态的变化进行适当的变更，尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的当状态变化可能导致业务信息安全或系统服务受到破坏后的当状态变化可能导致业务信息安全或系统服务受到破坏后的当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化，可能影响到受侵害客体和对客体的侵害程度有较大的变化，可能影响到受侵害客体和对客体的侵害程度有较大的变化，可能影响到受侵害客体和对客体的侵害程度有较大的变化，可能影响到系统的安全保护等级时，应根据本标准给出的定级方法重新系统的安全保护等级时，应根据本标准给出的定级方法重新系统的安全保护等级时，应根据本标准给出的定级方法重新系统的安全保护等级时，应根据本标准给出的定级方法重新定级。

定级 3.3 信息系统安全信息系统安全保护保护等级确定等级确定2024/9/1529信息安全讲座ISM03信息安全等级保护与风险评估 信息系统安全等级保护系列标准中的《信息安全技术信息系统安全等级保护系列标准中的《信息安全技术——信息系统安全等级保护基本要求》对已经确定了安全保护等信息系统安全等级保护基本要求》对已经确定了安全保护等级的信息系统，提出了保护的具体要求属于特定安全保护级的信息系统，提出了保护的具体要求属于特定安全保护等级的信息系统，必须在技术要求和管理要求两方面同时满等级的信息系统，必须在技术要求和管理要求两方面同时满足该标准的规定和要求，才能够确保实现该安全保护等级的足该标准的规定和要求，才能够确保实现该安全保护等级的安全目标安全目标 3.4 信息系统安全等级保护要求信息系统安全等级保护要求2024/9/1530信息安全讲座ISM03信息安全等级保护与风险评估1.1.1.1.不同等级的不同等级的不同等级的不同等级的保护能力保护能力第第一一级级安安全全保保护护能能力力：：应应能能够够防防护护系系统统免免受受来来自自个个人人的的、、拥拥有有很很少少资资源源的的威威胁胁源源发发起起的的恶恶意意攻攻击击、、一一般般的的自自然然灾灾难难、、以以及及其其他他相相当当危危害害程程度度的的威威胁胁所所造造成成的的关关键键资资源源损损害害，，在在系系统统遭到遭到损害损害后，能够恢复部分功能。

后，能够恢复部分功能 第第二二级级安安全全保保护护能能力力：：应应能能够够防防护护系系统统免免受受来来自自外外部部小小型型组组织织的的、、拥拥有有少少量量资资源源的的威威胁胁源源发发起起的的恶恶意意攻攻击击、、一一般般的的自自然然灾灾难难、、以以及及其其他他相相当当危危害害程程度度的的威威胁胁所所造造成成的的重重要要资资源源损损害害，，能能够够发发现现重重要要的的安安全全漏漏洞洞和和安安全全事事件件，，在在系系统统遭遭到到损损害害后后，，能够在一段时间内恢复部分功能能够在一段时间内恢复部分功能 3.4 信息系统安全等级保护要求信息系统安全等级保护要求2024/9/1531信息安全讲座ISM03信息安全等级保护与风险评估第第三三级级安安全全保保护护能能力力：：应应能能够够在在统统一一安安全全策策略略下下防防护护系系统统免免受受来来自自外外部部有有组组织织的的团团体体、、拥拥有有较较为为丰丰富富资资源源的的威威胁胁源源发发起起的的恶恶意意攻攻击击、、较较为为严严重重的的自自然然灾灾难难、、以以及及其其他他相相当当危危害害程程度度的的威威胁胁所所造造成成的的主主要要资资源源损损害害，，能能够够发发现现安安全全漏漏洞洞和和安安全全事事件，在系统遭到损害后，能够较快恢复绝大部分功能。

件，在系统遭到损害后，能够较快恢复绝大部分功能第第四四级级安安全全保保护护能能力力：：应应能能够够在在统统一一安安全全策策略略下下防防护护系系统统免免受受来来自自国国家家级级别别的的、、敌敌对对组组织织的的、、拥拥有有丰丰富富资资源源的的威威胁胁源源发发起起的的恶恶意意攻攻击击、、严严重重的的自自然然灾灾难难、、以以及及其其他他相相当当危危害害程程度度的的威威胁胁所所造造成成的的资资源源损损害害，，能能够够发发现现安安全全漏漏洞洞和和安安全全事事件件，，在在系统遭到损害后，能够迅速恢复所有功能系统遭到损害后，能够迅速恢复所有功能 3.4 信息系统安全等级保护要求信息系统安全等级保护要求2024/9/1532信息安全讲座ISM03信息安全等级保护与风险评估2.2.基本要求基本要求(1)(1)(1)(1)基本安全基本安全基本安全基本安全要求要求要求要求 基本安全要求是针对不同安全保护等级信息系统应该具基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求，根据实现方式的不有的基本安全保护能力提出的安全要求，根据实现方式的不同，基本安全要求分为基本技术要求和基本管理要求两大类。

同，基本安全要求分为基本技术要求和基本管理要求两大类技术类安全要求与信息系统提供的技术安全机制有关，主要技术类安全要求与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确的配置其安全功能来实通过在信息系统中部署软硬件并正确的配置其安全功能来实现；管理类安全要求与信息系统中各种角色参与的活动有关，现；管理类安全要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现以及记录等方面做出规定来实现 3.4 信息系统安全等级保护要求信息系统安全等级保护要求2024/9/1533信息安全讲座ISM03信息安全等级保护与风险评估( ( ( (2 2 2 2) ) ) )基本技术基本技术基本技术基本技术要求要求要求要求 基本技术要求从物理安全、网络安全、主机安全、应用安基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出全和数据安全几个层面提出(3)(3)(3)(3)基本管理要求基本管理要求基本管理要求基本管理要求 基本管理要求从安全管理制度、安全管理机构、人员安全基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出管理、系统建设管理和系统运维管理几个方面提出 3.4 信息系统安全等级保护要求信息系统安全等级保护要求2024/9/1534信息安全讲座ISM03信息安全等级保护与风险评估3.3.3.3.基本技术要求的三种类型基本技术要求的三种类型基本技术要求的三种类型基本技术要求的三种类型(1) 业务信息安全类业务信息安全类（（S类）类） 安全要求关注的是保护数据在存储、传输、处理过程中不安全要求关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改被泄漏、破坏和免受未授权的修改(2)业务服务保证类业务服务保证类（（A类）类） 安全要求关注的是保护系统连续正常的运行，免受对系统安全要求关注的是保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用；的未授权修改、破坏而导致系统不可用；(3)通用安全保护类通用安全保护类（（G类）类） 安全要求没有明显的侧重，既关注保护业务信息的安全安全要求没有明显的侧重，既关注保护业务信息的安全性，同时也关注保护系统的连续可用性。

性，同时也关注保护系统的连续可用性3.4 信息系统安全等级保护要求信息系统安全等级保护要求2024/9/1535信息安全讲座ISM03信息安全等级保护与风险评估4.4.4.4.基本安全要求基本安全要求基本安全要求基本安全要求(1)第一级基本要求第一级基本要求(2)第二级基本要求第二级基本要求(3)第三级基本要求第三级基本要求(4)第四级基本要求第四级基本要求(5)第五级基本要求第五级基本要求3.4 信息系统安全等级保护要求信息系统安全等级保护要求《信息系统安全等级保护基本要求 》2024/9/1536信息安全讲座ISM03信息安全等级保护与风险评估1.风险评估概念风险评估概念 (1)(1)(1)(1)风险评估风险评估风险评估风险评估定义定义定义定义 风风险险评评估估（（Risk Assessment））是是组组织织确确定定信信息息安安全全需需求求的一的一条重要途径，属于组织信息安全管理体系策划的过程条重要途径，属于组织信息安全管理体系策划的过程2 2））））风险评估的主要任务风险评估的主要任务风险评估的主要任务风险评估的主要任务Ø识别组织面临的各种风险识别组织面临的各种风险 Ø评估风险概率和可能带来的负面影响评估风险概率和可能带来的负面影响 Ø确定组织承受风险的能力确定组织承受风险的能力 Ø确定风险消减和控制的优先等级确定风险消减和控制的优先等级 Ø推荐风险消减对策推荐风险消减对策3.5 信息系统安全信息系统安全风险评估风险评估2024/9/1537信息安全讲座ISM03信息安全等级保护与风险评估(3)(3) 与信息系统风险评估有关的要素与信息系统风险评估有关的要素与信息系统风险评估有关的要素与信息系统风险评估有关的要素Ø 资产资产 资产是企业、机构直接赋予了价值、因而需要保护的东西。

资产是企业、机构直接赋予了价值、因而需要保护的东西它可能是以多种形式存在，有无形的、有形的，有硬件、软它可能是以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、企业形象等件，有文档、代码，也有服务、企业形象等Ø 威胁威胁 安全威胁是一种对机构及其资产构成存在潜在破坏的可能安全威胁是一种对机构及其资产构成存在潜在破坏的可能性因素或者事件无论对于多么安全的信息系统，安全威胁性因素或者事件无论对于多么安全的信息系统，安全威胁都是一个客观存在的事物，它是风险评估的重要因素之一都是一个客观存在的事物，它是风险评估的重要因素之一3.5 信息系统安全信息系统安全风险评估风险评估2024/9/1538信息安全讲座ISM03信息安全等级保护与风险评估Ø 脆弱性脆弱性 脆弱性评估也称为弱点评估脆弱性评估也称为弱点评估Ø 风险风险 风险是由于系统存在的脆弱性，人为或自然的威胁导致安全风险是由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响它由安全事件发生的可能事件发生的可能性及其造成的影响它由安全事件发生的可能性及其造成的影响这两项指标来衡量。

性及其造成的影响这两项指标来衡量Ø 可能性可能性 可能性用于衡量安全威胁转化为安全事件的可能性或者概率可能性用于衡量安全威胁转化为安全事件的可能性或者概率情况3.5 信息系统安全信息系统安全风险评估风险评估2024/9/1539信息安全讲座ISM03信息安全等级保护与风险评估Ø 影响影响 影响是特定的安全事件或者事故，给信息系统所造成的直影响是特定的安全事件或者事故，给信息系统所造成的直接和间接的破坏和不良后果以及损失情况接和间接的破坏和不良后果以及损失情况Ø 安全措施安全措施 安全措施是各类用于安全保护目的的具体技术措施和管理安全措施是各类用于安全保护目的的具体技术措施和管理措施的总称安全措施可以对风险起到重要的缓解和降低作措施的总称安全措施可以对风险起到重要的缓解和降低作用Ø残余风险残余风险 安全风险不可能被彻底清除，各类安全措施虽然能缓解风安全风险不可能被彻底清除，各类安全措施虽然能缓解风险，但是必然有一部分风险是安全措施所无法消除的，这部险，但是必然有一部分风险是安全措施所无法消除的，这部分风险被称为残余风险分风险被称为残余风险3.5 信息系统安全信息系统安全风险评估风险评估2024/9/1540信息安全讲座ISM03信息安全等级保护与风险评估Ø可接受风险可接受风险 可接受风险是信息系统的所有者所能够承担的风险水平。

可接受风险是信息系统的所有者所能够承担的风险水平如果不能承担风险，必须采取适当的控制措施予以缓解，最如果不能承担风险，必须采取适当的控制措施予以缓解，最终风险管理的目的在于将信息系统的残余风险控制在可接受终风险管理的目的在于将信息系统的残余风险控制在可接受风险的水平之下风险的水平之下3.5 信息系统安全信息系统安全风险评估风险评估2024/9/1541信息安全讲座ISM03信息安全等级保护与风险评估2. 风险评估模型风险评估模型(1)(1)风险评估要素关系模型风险评估要素关系模型风险评估要素关系模型风险评估要素关系模型3.5 信息系统安全信息系统安全风险评估风险评估2024/9/1542信息安全讲座ISM03信息安全等级保护与风险评估（（（（2 2）安全风险计算模型）安全风险计算模型）安全风险计算模型）安全风险计算模型3.5 信息系统安全信息系统安全风险评估风险评估2024/9/1543信息安全讲座ISM03信息安全等级保护与风险评估风险计算的过程风险计算的过程风险计算的过程风险计算的过程ØØ对信息资产进行识别，并对资产赋值；对信息资产进行识别，并对资产赋值；对信息资产进行识别，并对资产赋值；对信息资产进行识别，并对资产赋值；ØØ对威胁进行分析，并对威胁发生的可能性赋值；对威胁进行分析，并对威胁发生的可能性赋值；对威胁进行分析，并对威胁发生的可能性赋值；对威胁进行分析，并对威胁发生的可能性赋值；ØØ识别信息资产的脆弱性，并对脆弱性的严重程度赋值；识别信息资产的脆弱性，并对脆弱性的严重程度赋值；识别信息资产的脆弱性，并对脆弱性的严重程度赋值；识别信息资产的脆弱性，并对脆弱性的严重程度赋值；ØØ根据威胁和脆弱性计算安全事件发生的可能性；根据威胁和脆弱性计算安全事件发生的可能性；根据威胁和脆弱性计算安全事件发生的可能性；根据威胁和脆弱性计算安全事件发生的可能性；ØØ结合信息资产的重要性和该资产发生安全事件的可能性计结合信息资产的重要性和该资产发生安全事件的可能性计结合信息资产的重要性和该资产发生安全事件的可能性计结合信息资产的重要性和该资产发生安全事件的可能性计算信息资产的风险值。

算信息资产的风险值算信息资产的风险值算信息资产的风险值 3.5 信息系统安全信息系统安全风险评估风险评估2024/9/1544信息安全讲座ISM03信息安全等级保护与风险评估3. 风险评估方法风险评估方法（（（（1 1）自评估与他评估）自评估与他评估）自评估与他评估）自评估与他评估 根据评估实施者的不同，将风险评估形式分为自评估和根据评估实施者的不同，将风险评估形式分为自评估和他评估两大类他评估两大类 自评估自评估是由被评估信息系统的拥有者依靠自身的力量，对是由被评估信息系统的拥有者依靠自身的力量，对其自身的信息系统进行的风险评估活动其自身的信息系统进行的风险评估活动 他评估他评估则通常是由被评估信息系统的拥有者的上级主管机则通常是由被评估信息系统的拥有者的上级主管机关或业务主管机关发起的、旨在依据已经颁布的法规或标准关或业务主管机关发起的、旨在依据已经颁布的法规或标准进行的、具有强制意味的检查活动，是通过行政手段加强信进行的、具有强制意味的检查活动，是通过行政手段加强信息安全的重要措施息安全的重要措施3.5 信息系统安全信息系统安全风险评估风险评估2024/9/1545信息安全讲座ISM03信息安全等级保护与风险评估（（（（2 2）基线评估与详细评估）基线评估与详细评估）基线评估与详细评估）基线评估与详细评估 基线（基线（Baseline）是预先建立好的一组最低安全控制措）是预先建立好的一组最低安全控制措施的集合，可以满足基本的安全需求，使系统达到一定的安施的集合，可以满足基本的安全需求，使系统达到一定的安全防护水平。

全防护水平 基线评估基线评估是对信息系统进行基线检查（比较现有控制措是对信息系统进行基线检查（比较现有控制措施与基线要求的控制措施之间的差异），并且采取基线中的施与基线要求的控制措施之间的差异），并且采取基线中的标准控制措施来降低和控制风险水平标准控制措施来降低和控制风险水平 详细评估详细评估是采用规范化的流程，从资产评估开始，历经是采用规范化的流程，从资产评估开始，历经威胁评估、脆弱性评估、风险评估等步骤，并根据结果选择威胁评估、脆弱性评估、风险评估等步骤，并根据结果选择控制措施，以将风险缓解和控制在可接受范围之内详细评控制措施，以将风险缓解和控制在可接受范围之内详细评估的准确性和针对性较高，然而需要较多的资源支持，适用估的准确性和针对性较高，然而需要较多的资源支持，适用于范围明确界定的小范围评估于范围明确界定的小范围评估 3.5 信息系统安全信息系统安全风险评估风险评估2024/9/1546信息安全讲座ISM03信息安全等级保护与风险评估（（（（3 3）定量评估与定性评估）定量评估与定性评估）定量评估与定性评估）定量评估与定性评估 定量评估定量评估是将安全风险的评估完全量化，产生明确的数是将安全风险的评估完全量化，产生明确的数值估计，定量评估关注以下元素：值估计，定量评估关注以下元素：ü资产价值资产价值AV：信息资产的估价；：信息资产的估价；ü暴露因子暴露因子EF：造成资产损失的程度；：造成资产损失的程度；ü单一损失期望单一损失期望SLE：单次资产损失的总值；：单次资产损失的总值；ü年度发生率年度发生率ARO：全年发生的频率；：全年发生的频率；ü年度损失期望年度损失期望ALE：全年资产损失的总值。

全年资产损失的总值其中：其中：SLE=AV×EF，，ALE=SLE×ARO3.5 信息系统安全信息系统安全风险评估风险评估2024/9/1547信息安全讲座ISM03信息安全等级保护与风险评估 定性评估定性评估：：根据评估人员的主观经验和直觉以及评估标准和根据评估人员的主观经验和直觉以及评估标准和惯例，为安全风险要素（包括资产价值、安全威胁、脆弱性惯例，为安全风险要素（包括资产价值、安全威胁、脆弱性等）划分定性级别，如高等）划分定性级别，如高/中中/定性评估易操作，具有较高的定性评估易操作，具有较高的准确性，但较为依赖评估人员的主观经验在实际中，定性准确性，但较为依赖评估人员的主观经验在实际中，定性评估被广泛采用评估被广泛采用3.5 信息系统安全信息系统安全风险评估风险评估2024/9/1548信息安全讲座ISM03信息安全等级保护与风险评估4.风险评估流程风险评估流程（（（（1 1）资产识别）资产识别）资产识别）资产识别Ø 资产分类资产分类 在一般的评估体中，资产大多属于不同的信息系统在一般的评估体中，资产大多属于不同的信息系统这时，这时，首先需要将信息系统及其中的信息资产进行恰当的分类，才首先需要将信息系统及其中的信息资产进行恰当的分类，才能在此基础上进行下一步的风险评估工作。

在实际项目中，能在此基础上进行下一步的风险评估工作在实际项目中，具体的资产分类方法可以根据具体环境，由评估者来灵活把具体的资产分类方法可以根据具体环境，由评估者来灵活把握下面为一个资产分类示例：握下面为一个资产分类示例：3.5 信息系统安全信息系统安全风险评估风险评估2024/9/1549信息安全讲座ISM03信息安全等级保护与风险评估 3.5 信息系统安全信息系统安全风险评估风险评估分分 类类示示 例例数数 据据存在电子媒介中的各种数据资料，包括源代码、数据库数据，各种存在电子媒介中的各种数据资料，包括源代码、数据库数据，各种数据资料、系统文档、运行管理规程、计划、报告、用户手册等数据资料、系统文档、运行管理规程、计划、报告、用户手册等软软 件件应用软件、系统软件、开发工具和资源库等应用软件、系统软件、开发工具和资源库等硬硬 件件计算机硬件、路由器、交换机、硬件防火墙、程控交换机、布线、计算机硬件、路由器、交换机、硬件防火墙、程控交换机、布线、备份存储设备等备份存储设备等服服 务务操作系统、操作系统、、、POP3POP3、、、、DNSDNS、、呼叫中心、内部文件服务、网络连接、呼叫中心、内部文件服务、网络连接、网络隔离保护、网络管理、网络安全保障、入侵监控及各种业务生网络隔离保护、网络管理、网络安全保障、入侵监控及各种业务生产应用等产应用等文文 档档纸质的各种文件、、电报、财务报告、发展计划等纸质的各种文件、、电报、财务报告、发展计划等设设 备备电源、空调、保险柜、文件柜、门禁、消防设施等电源、空调、保险柜、文件柜、门禁、消防设施等人人 员员各级雇员和雇主、合同方雇员等各级雇员和雇主、合同方雇员等其其 他他企业形象、客户关系等企业形象、客户关系等2024/9/1550信息安全讲座ISM03信息安全等级保护与风险评估Ø 资产赋值资产赋值ü 保密性赋值。

根据资产保密性属性的不同，将它分为保密性赋值根据资产保密性属性的不同，将它分为5个个不同的等级，分别对应资产在保密性方面的价值或者在保密不同的等级，分别对应资产在保密性方面的价值或者在保密性方面受到损失时对整个评估的影响性方面受到损失时对整个评估的影响3.5 信息系统安全信息系统安全风险评估风险评估赋值赋值标识标识定定 义义5 5极高极高组织最重要的机密，关系组织未来发展的前途命运，对组织根本组织最重要的机密，关系组织未来发展的前途命运，对组织根本利益有着决定性影响，如果泄漏会造成灾难性的影响利益有着决定性影响，如果泄漏会造成灾难性的影响4 4高高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害害3 3中等中等包含组织一般性秘密，其泄露会使组织的安全和利益受到损害包含组织一般性秘密，其泄露会使组织的安全和利益受到损害2 2低低仅在组织内部或在组织某一部门内部公开仅在组织内部或在组织某一部门内部公开, ,向外扩散有可能对组向外扩散有可能对组织的利益造成损害织的利益造成损害1 1可忽略可忽略对社会公开的信息，公用的信息处理设备和系统资源等信息资产对社会公开的信息，公用的信息处理设备和系统资源等信息资产2024/9/1551信息安全讲座ISM03信息安全等级保护与风险评估ü完整性赋值。

根据资产完整性属性的不同，将它分为完整性赋值根据资产完整性属性的不同，将它分为5个不个不同的等级，分别对应资产在完整性方面的价值或者在完整性同的等级，分别对应资产在完整性方面的价值或者在完整性方面受到损失时对整个评估的影响方面受到损失时对整个评估的影响3.5 信息系统安全信息系统安全风险评估风险评估赋值赋值标识标识定定 义义5 5极高极高完整性价值非常关键，未经授权的修改或破坏会对评估体造成完整性价值非常关键，未经授权的修改或破坏会对评估体造成重大的或无法接受的、特别不愿接受的影响，对业务冲击重大，重大的或无法接受的、特别不愿接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补并可能造成严重的业务中断，难以弥补4 4高高完整性价值较高，未经授权的修改或破坏会对评估体造成重大完整性价值较高，未经授权的修改或破坏会对评估体造成重大影响，对业务冲击严重，比较难以弥补影响，对业务冲击严重，比较难以弥补3 3中等中等完整性价值中等，未经授权的修改或破坏会对评估体造成影响，完整性价值中等，未经授权的修改或破坏会对评估体造成影响，对业务冲击明显，但可以弥补对业务冲击明显，但可以弥补2 2低低完整性价值较低，未经授权的修改或破坏会对评估体造成轻微完整性价值较低，未经授权的修改或破坏会对评估体造成轻微影响，可以忍受，对业务冲击轻微，容易弥补影响，可以忍受，对业务冲击轻微，容易弥补1 1可忽略可忽略完整性价值非常低，未经授权的修改或破坏对评估体造成的影完整性价值非常低，未经授权的修改或破坏对评估体造成的影响可以忽略，对业务冲击可以忽略响可以忽略，对业务冲击可以忽略2024/9/1552信息安全讲座ISM03信息安全等级保护与风险评估ü可用性赋值。

根据资产可用性属性的不同，将它分为可用性赋值根据资产可用性属性的不同，将它分为5个不个不同的等级，分别对应资产在可用性方面的价值或者在可用性同的等级，分别对应资产在可用性方面的价值或者在可用性方面受到损失时对整个评估的影响方面受到损失时对整个评估的影响3.5 信息系统安全信息系统安全风险评估风险评估赋值赋值标识标识定定 义义5 5极高极高可用性价值非常高，合法使用者对信息系统及资源的可用度达到可用性价值非常高，合法使用者对信息系统及资源的可用度达到年度年度99.9%99.9%以上以上4 4高高可用性价值较高，合法使用者对信息系统及资源的可用度达到每可用性价值较高，合法使用者对信息系统及资源的可用度达到每天天99%99%以上以上3 3中等中等可用性价值中等，合法使用者对信息系统及资源的可用度在正常可用性价值中等，合法使用者对信息系统及资源的可用度在正常上班时间达到上班时间达到90%90%以上以上2 2低低可用性价值较低，合法使用者对信息系统及资源的可用度在正常可用性价值较低，合法使用者对信息系统及资源的可用度在正常上班时间达到上班时间达到25%25%以上以上1 1可忽略可忽略可用性价值可以忽略，合法使用者对信息系统及资源的可用度在可用性价值可以忽略，合法使用者对信息系统及资源的可用度在正常上班时间低于正常上班时间低于25%25%2024/9/1553信息安全讲座ISM03信息安全等级保护与风险评估 最终资产价值可以通过违反资产的保密性、完整性和可用最终资产价值可以通过违反资产的保密性、完整性和可用性三个方面的程度综合确定，资产的赋值采用定性的相对等性三个方面的程度综合确定，资产的赋值采用定性的相对等级的方式。

与以上安全属性的等级相对应，资产价值的等级级的方式与以上安全属性的等级相对应，资产价值的等级可分为五级，从可分为五级，从1到到5由低到高分别代表五个级别的资产相对由低到高分别代表五个级别的资产相对价值，等级越大，资产越重要具体每一级别的资产价值定价值，等级越大，资产越重要具体每一级别的资产价值定义参见下表义参见下表3.5 信息系统安全信息系统安全风险评估风险评估2024/9/1554信息安全讲座ISM03信息安全等级保护与风险评估3.5 信息系统安全信息系统安全风险评估风险评估等级等级标识标识定定 义义5 5很高很高资产的重要程度很高，其安全属性破坏后可能导致系统受到非常资产的重要程度很高，其安全属性破坏后可能导致系统受到非常严重的影响严重的影响4 4高高资产的重要程度较高，其安全属性破坏后可能导致系统受到比较资产的重要程度较高，其安全属性破坏后可能导致系统受到比较严重的影响严重的影响3 3中中资产的重要程度中等，其安全属性破坏后可能导致系统受到中等资产的重要程度中等，其安全属性破坏后可能导致系统受到中等程度的影响程度的影响2 2低低资产的重要程度较低，其安全属性破坏后可能导致系统受到较低资产的重要程度较低，其安全属性破坏后可能导致系统受到较低程度的影响程度的影响1 1很低很低资产的重要程度很低，其安全属性破坏后可能导致系统受到很低资产的重要程度很低，其安全属性破坏后可能导致系统受到很低程度的影响，甚至可以忽略不计程度的影响，甚至可以忽略不计2024/9/1555信息安全讲座ISM03信息安全等级保护与风险评估（（（（2 2）威胁识别）威胁识别）威胁识别）威胁识别 产生安全威胁的主要因素可以分为人为因素和环境因素。

产生安全威胁的主要因素可以分为人为因素和环境因素 人为因素人为因素又可区分为有意和无意两种又可区分为有意和无意两种 环境因素环境因素包括自然界的不可抗力的因素和其他物理因素包括自然界的不可抗力的因素和其他物理因素 在威胁评估过程中，首先就要对组织需要保护的每一项关在威胁评估过程中，首先就要对组织需要保护的每一项关键资产进行威胁识别在威胁识别过程中，应根据资产所处键资产进行威胁识别在威胁识别过程中，应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断的环境条件和资产以前遭受威胁损害的情况来判断Ø威胁分类威胁分类 分析存在哪些威胁种类，首先要考虑威胁的来源，信息系分析存在哪些威胁种类，首先要考虑威胁的来源，信息系统的安全威胁来源可参考下表统的安全威胁来源可参考下表3.5 信息系统安全信息系统安全风险评估风险评估2024/9/1556信息安全讲座ISM03信息安全等级保护与风险评估3.5 信息系统安全信息系统安全风险评估风险评估威胁来源威胁来源威胁来源描述威胁来源描述环境因素、环境因素、意外事故或意外事故或故障故障断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害；意外事故或软件、硬件、数据、灾、地震等环境条件和自然灾害；意外事故或软件、硬件、数据、通讯线路等方面的故障通讯线路等方面的故障无恶意内部无恶意内部人员人员内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致故障或被攻击；内部人员由于缺乏培循规章制度和操作流程而导致故障或被攻击；内部人员由于缺乏培训，专业技能不足训，专业技能不足, ,不具备岗位技能要求而导致信息系统故障或被不具备岗位技能要求而导致信息系统故障或被攻击攻击恶意内部人恶意内部人员员不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主的不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主的或内外勾结的方式盗窃机密信息或进行篡改，获取利益或内外勾结的方式盗窃机密信息或进行篡改，获取利益第三方第三方第三方合作伙伴和供应商，包括电信、移动、证券、税务等业务合第三方合作伙伴和供应商，包括电信、移动、证券、税务等业务合作伙伴以及软件开发合作伙伴、系统集成商、服务商和产品供应商；作伙伴以及软件开发合作伙伴、系统集成商、服务商和产品供应商；包括第三方恶意的和无恶意的行为包括第三方恶意的和无恶意的行为外部人员攻外部人员攻击击外部人员利用信息系统的脆弱性，对网络和系统的保密性、完整性外部人员利用信息系统的脆弱性，对网络和系统的保密性、完整性和可用性进行破坏，以获取利益或炫耀能力和可用性进行破坏，以获取利益或炫耀能力2024/9/1557信息安全讲座ISM03信息安全等级保护与风险评估3.5 信息系统安全信息系统安全风险评估风险评估威胁种类威胁种类威胁描述威胁描述软硬件故障软硬件故障由于设备硬件故障、通讯链路中断、系统本身或软件由于设备硬件故障、通讯链路中断、系统本身或软件BugBug导致对业务高效、稳定运行导致对业务高效、稳定运行的影响的影响物理环境威胁物理环境威胁断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害条件和自然灾害无作为或操作失无作为或操作失误误由于应该执行而没有执行相应的操作，或无意地执行了错误的操作，对系统造成影由于应该执行而没有执行相应的操作，或无意地执行了错误的操作，对系统造成影响响管理不到位管理不到位安全管理无法落实，不到位，造成安全管理不规范，或者管理混乱，从而破坏信息安全管理无法落实，不到位，造成安全管理不规范，或者管理混乱，从而破坏信息系统正常有序运行系统正常有序运行恶意代码和病毒恶意代码和病毒具有自我复制、自我传播能力，对信息系统构成破坏的程序代码具有自我复制、自我传播能力，对信息系统构成破坏的程序代码越权或滥用越权或滥用通过采用一些措施，超越自己的权限访问了本来无权访问的资源；或者滥用自己的通过采用一些措施，超越自己的权限访问了本来无权访问的资源；或者滥用自己的职权，作出破坏信息系统的行为职权，作出破坏信息系统的行为黑客攻击技术黑客攻击技术利用黑客工具和技术，如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、利用黑客工具和技术，如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵物理攻击物理攻击物理接触、物理破坏、盗窃物理接触、物理破坏、盗窃泄密泄密机密信息泄漏给他人机密信息泄漏给他人篡改篡改非法修改信息，破坏信息的完整性非法修改信息，破坏信息的完整性抵赖抵赖不承认收到的信息和所作的操作和交易不承认收到的信息和所作的操作和交易2024/9/1558信息安全讲座ISM03信息安全等级保护与风险评估Ø威胁赋值威胁赋值 3.5 信息系统安全信息系统安全风险评估风险评估等级等级标识标识威胁可能性定义威胁可能性定义5 5很高很高威胁发生的可能性很高，在大多数情况下，几乎不可避免或者威胁发生的可能性很高，在大多数情况下，几乎不可避免或者可以证实发生过的频率较高可以证实发生过的频率较高4 4高高威胁发生的可能性较高，在大多数情况下，很有可能会发生或威胁发生的可能性较高，在大多数情况下，很有可能会发生或者可以证实曾发生过者可以证实曾发生过3 3中中威胁发生的可能性中等，在某种情况下，可能会发生但未被证威胁发生的可能性中等，在某种情况下，可能会发生但未被证实发生过实发生过2 2低低威胁发生的可能性较小，一般不太可能发生，也没有被证实发威胁发生的可能性较小，一般不太可能发生，也没有被证实发生过生过1 1很低很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生2024/9/1559信息安全讲座ISM03信息安全等级保护与风险评估（（（（3 3 3 3）脆弱性识别）脆弱性识别）脆弱性识别）脆弱性识别 脆弱性评估将针对每一项需要保护的信息资产，找出每脆弱性评估将针对每一项需要保护的信息资产，找出每一种威胁所能利用的脆弱性，并对脆弱性的严重程度进行评一种威胁所能利用的脆弱性，并对脆弱性的严重程度进行评估，即对脆弱性被威胁利用的可能性进行评估，最终赋予其估，即对脆弱性被威胁利用的可能性进行评估，最终赋予其相对等级值。

相对等级值 Ø 脆弱性分类脆弱性分类3.5 信息系统安全信息系统安全风险评估风险评估2024/9/1560信息安全讲座ISM03信息安全等级保护与风险评估3.5 信息系统安全信息系统安全风险评估风险评估脆弱性分类脆弱性分类名称名称包含内容包含内容技术脆弱性技术脆弱性物理安全物理安全物理设备的访问控制、电力供应等物理设备的访问控制、电力供应等网络安全网络安全基础网络架构、网络传输加密、访问控制、网络设备基础网络架构、网络传输加密、访问控制、网络设备安全漏洞、设备配置安全等安全漏洞、设备配置安全等系统安全系统安全系统软件安全漏洞、系统软件配置安全等系统软件安全漏洞、系统软件配置安全等应用安全应用安全应用软件安全漏洞、软件安全功能、数据防护等应用软件安全漏洞、软件安全功能、数据防护等管理脆弱性管理脆弱性安全管理安全管理安全策略、组织安全、资产分类与控制、人员安全、安全策略、组织安全、资产分类与控制、人员安全、物理与环境安全、通信与操作管理、访问控制、系统物理与环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性、符合性开发与维护、业务连续性、符合性2024/9/1561信息安全讲座ISM03信息安全等级保护与风险评估Ø 脆弱性赋值脆弱性赋值 最终脆弱性的赋值采用定性的相对等级的方式。

脆弱性最终脆弱性的赋值采用定性的相对等级的方式脆弱性的等级建议划分为五级，从的等级建议划分为五级，从1到到5分别代表五个级别的某种资分别代表五个级别的某种资产脆弱性程度等级越大，脆弱性程度越高具体每一级别产脆弱性程度等级越大，脆弱性程度越高具体每一级别的脆弱性严重程度定义参见下表的脆弱性严重程度定义参见下表3.5 信息系统安全信息系统安全风险评估风险评估2024/9/1562信息安全讲座ISM03信息安全等级保护与风险评估3.5 信息系统安全信息系统安全风险评估风险评估等级等级标识标识脆弱性严重程度定义脆弱性严重程度定义5 5很高很高存在一个或多个非常脆弱的技术或管理漏洞，被威胁利用成功的存在一个或多个非常脆弱的技术或管理漏洞，被威胁利用成功的可能性很高可能性很高4 4高高存在一个或多个比较脆弱的技术或管理漏洞，被威胁利用成功的存在一个或多个比较脆弱的技术或管理漏洞，被威胁利用成功的可能性较高可能性较高3 3中中存在一个或多个中等脆弱的技术或管理漏洞，被威胁利用成功的存在一个或多个中等脆弱的技术或管理漏洞，被威胁利用成功的可能性中等可能性中等2 2低低存在一个或多个较低脆弱程度的技术或管理漏洞，被威胁利用成存在一个或多个较低脆弱程度的技术或管理漏洞，被威胁利用成功的可能性较低功的可能性较低1 1很低很低存在一个或多个很低脆弱程度的技术或管理漏洞，被威胁利用成存在一个或多个很低脆弱程度的技术或管理漏洞，被威胁利用成功的可能性很低，几乎不可能成功功的可能性很低，几乎不可能成功2024/9/1563信息安全讲座ISM03信息安全等级保护与风险评估 （（（（4 4 4 4）安全措施识别）安全措施识别）安全措施识别）安全措施识别 机构应对已采取的控制措施进行识别，并对控制措施的有机构应对已采取的控制措施进行识别，并对控制措施的有效性进行确认，将有效的安全控制措施继续保持，以避免不效性进行确认，将有效的安全控制措施继续保持，以避免不必要的工作和费用，防止控制措施的重复实施。

对于那些确必要的工作和费用，防止控制措施的重复实施对于那些确认为不适当的控制措施应核查是否应被取消，或者用更合适认为不适当的控制措施应核查是否应被取消，或者用更合适的控制措施代替安全控制措施可以分为的控制措施代替安全控制措施可以分为预防性控制措施预防性控制措施和和保护性控制措施保护性控制措施（如业务持续性计划、商业保险等）两种，（如业务持续性计划、商业保险等）两种，预防性控制措施可以降低威胁发生的可能性和减少安全脆弱预防性控制措施可以降低威胁发生的可能性和减少安全脆弱性，而保护性控制措施可以减少因威胁发生所造成的影响性，而保护性控制措施可以减少因威胁发生所造成的影响3.5 信息系统安全信息系统安全风险评估风险评估2024/9/1564信息安全讲座ISM03信息安全等级保护与风险评估（（（（5 5 5 5）风险识别）风险识别）风险识别）风险识别Ø 风险计算方法风险计算方法 信息安全等级保护系列标准中的《信息安全风险评估指信息安全等级保护系列标准中的《信息安全风险评估指南》中规定了安全风险计算方法南》中规定了安全风险计算方法 R=f(A,V,T)=f(Ia,L(Va,T))其中，其中，R表示风险，表示风险，A表示资产，表示资产，V表示脆弱性，表示脆弱性，T表示威胁，表示威胁，Ia表示资产发生安全事件后对组织业务的影响表示资产发生安全事件后对组织业务的影响(也称为资产的也称为资产的重要程度重要程度)，，Va表示某一资产本身的脆弱性，表示某一资产本身的脆弱性，L表示威胁利用表示威胁利用资产的脆弱性造成安全事件发生的可能性。

资产的脆弱性造成安全事件发生的可能性3.5 信息系统安全信息系统安全风险评估风险评估2024/9/1565信息安全讲座ISM03信息安全等级保护与风险评估ü 对资产的重要性进行识别；对资产的重要性进行识别；ü 对资产的脆弱性进行识别；对资产的脆弱性进行识别；ü 针对每一个脆弱性，识别可能利用此脆弱性造成安全事件针对每一个脆弱性，识别可能利用此脆弱性造成安全事件 的威胁；的威胁；ü 分析威胁利用资产脆弱性发生安全事件的可能性，即安全分析威胁利用资产脆弱性发生安全事件的可能性，即安全事事 件发生的可能性件发生的可能性=L(资产脆弱性，威胁资产脆弱性，威胁)；；ü 根据资产的重要程度以及安全事件发生的可能性计算风险根据资产的重要程度以及安全事件发生的可能性计算风险值，即风险值值，即风险值=R(资产重要程度，安全事件发生的可能性资产重要程度，安全事件发生的可能性)3.5 信息系统安全信息系统安全风险评估风险评估2024/9/1566信息安全讲座ISM03信息安全等级保护与风险评估Ø风险等级划分风险等级划分 《信息安全风险评估指南》建议将风险等级从《信息安全风险评估指南》建议将风险等级从1到到5划分为划分为五级。

等级越大，风险越高评估者也可以根据被评估系统五级等级越大，风险越高评估者也可以根据被评估系统的实际情况自定义风险的等级的实际情况自定义风险的等级3.5 信息系统安全信息系统安全风险评估风险评估等级等级标识标识风险定义风险定义5 5很高很高风险很高，导致系统受到非常严重的影响风险很高，导致系统受到非常严重的影响4 4高高风险高，导致系统受到严重影响风险高，导致系统受到严重影响3 3中中风险中，导致系统受到较重影响风险中，导致系统受到较重影响2 2低低风险低，导致系统受到一般影响风险低，导致系统受到一般影响1 1很低很低风险很低，导致系统受到较小影响风险很低，导致系统受到较小影响2024/9/1567信息安全讲座ISM03信息安全等级保护与风险评估Ø风险级别确定风险级别确定 通常采用预先定义好的通常采用预先定义好的风险评级矩阵风险评级矩阵，根据资产重要程度、，根据资产重要程度、安全威胁级别、安全脆弱性级别等要素最终确定安全风险的安全威胁级别、安全脆弱性级别等要素最终确定安全风险的级别3.5 信息系统安全信息系统安全风险评估风险评估威胁级别威胁级别低低中中高高脆弱性级别脆弱性级别低低中中高高低低中中高高低低中中高高资资产产值值0 00 01 12 21 12 23 32 23 34 41 11 12 23 32 23 34 43 34 45 52 22 23 34 43 34 45 54 45 56 63 33 34 45 54 45 56 65 56 67 74 44 45 56 65 56 67 76 67 78 82024/9/1568信息安全讲座ISM03信息安全等级保护与风险评估5.风险评估工具风险评估工具 目前，存在的信息安全评估工具大体可以分成以下几类：目前，存在的信息安全评估工具大体可以分成以下几类：（（（（1 1 1 1）安全管理评价系统）安全管理评价系统）安全管理评价系统）安全管理评价系统 常用的评估工具有：常用的评估工具有：CRAMM(CCTA Risk Analysis Arid Management Method)、、COBRA（（Consultative,Objective and Bi-functional Risk Analysis）、）、ASSET、、RISK等。

等2 2 2 2）信息基础设施风险评估工具）信息基础设施风险评估工具）信息基础设施风险评估工具）信息基础设施风险评估工具 常用的扫描工具有：常用的扫描工具有：ISS Internet Scanner、、Nessus、、SAINT等3.5 信息系统安全信息系统安全风险评估风险评估2024/9/1569信息安全讲座ISM03信息安全等级保护与风险评估（（（（3 3）风险评估辅助工具）风险评估辅助工具）风险评估辅助工具）风险评估辅助工具 风险评估辅助工具在风险评估过程中不可缺少，它用来收风险评估辅助工具在风险评估过程中不可缺少，它用来收集评估所需要的数据和资料，帮助完成现状分析和趋势分析集评估所需要的数据和资料，帮助完成现状分析和趋势分析例如，例如，入侵监测系统入侵监测系统，帮助检测各种攻击试探和误操作，它，帮助检测各种攻击试探和误操作，它可以作为一个警报器，提醒管理员发生的安全状况同时，可以作为一个警报器，提醒管理员发生的安全状况同时，安全审计工具安全审计工具、、安全漏洞库安全漏洞库、、知识库知识库都是风险评估不可或缺都是风险评估不可或缺的支持手段的支持手段3.5 信息系统安全信息系统安全风险评估风险评估2024/9/1570信息安全讲座ISM03信息安全等级保护与风险评估。