基于数据安全的风险评估（三）：风险分析与评估

王峰。曾就职于北京拓尔思，任山东区技术总监，山东米迦勒联合创始人，现就职于中安威士。拥有多年数据治理、数据安全相关工作经验。

免责声明：本公众号发布的文章均转载自互联网或经作者投稿授权的原创，文末已注明出处，其内容和图片版权归原网站或作者本人所有，并不代表安全+的观点，若有无意侵权或转载不当之处请联系我们处理，谢谢合作！

欢迎各位添加微信号：qinchang_198231

加入安全+ 交流群 和大佬们一起交流安全技术

完成了资产识别、脆弱性识别及威胁识别后（链接请见文章末尾处），我们可以采用适当的方法和工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件作用资产价值及脆弱性的严重程度，判断事件造成的损失及对组织的影响，即安全风险。

风险分析原理

本篇将从风险计算、风险结果判定、风险处置、风险评估四个方面进行介绍。

● 风险分析与评估

一

风险计算形式及关键环节

风险计算原理其范式形式如下：

风险值=R（A,T,V）=R（L（T,V）,F（Ia,Va））；

其中：R标识安全风险计算函数。A表示资产；T表示威胁；V表示脆弱；Ia表示资产价值；Va表示脆弱性的严重程度。L表示威胁利用资产的脆弱性导致安全事件发生的可能性。F表示安全事件发生后的损失。

风险计算三个关键环节：

• 安全事件发生的可能性=L（威胁频率，资产脆弱性）=L（T,V）；
• 安全事件发生后的损失=F（资产价值，脆弱性严重程度）=F（Ia,Va）；
• 风险值=R（安全事件发生的可能性，安全事件发生后的损失）=R（L（T,V）,F（Ia,Va））
• 目前业界风险计算通过二维矩阵或相乘法两种方式对风险进行计算，本文对计算方式不过多介绍。

二

风险结果判定

为了方便对风险控制和管理，可将风险划分多个等级（如：5级或3级），等级越高，风险也就越高。如下示例表：

风险等级划分示例表

等级划分目的是为了风险管理过程中对不同风险的直观比较，应根据自身的业务特点和安全现状有针对性的划分风险等级，既要与自身业务“贴身”，又要符合外部合规性要求。

三

风险处置

对不可接受的风险，应根据该风险的脆弱性制定风险处置计划。风险处置计划要明确采取的弥补弱点的措施、预期效果、实施条件、进度安排、责任部门、协调部门等。安全措施应从管理和技术两个维度进行，管理可作为技术措施的补充。

风险处置目的是以减少脆弱性或降低安全事件发生的可能性。

四

风险评估

风险处置完毕后应进行风险再评估，以判断实施安全措施后的残余风险是否已经降到了可接受水平。

一般风险评估方式分为自评估和检查评估两类。

自评估：由组织发起，以发现系统现有弱点，实施安全管理为目的。适用于对自身进行安全风险识别和评价，并选择合适的风险处置措施，降低评估资产的安全风险，定期性的评估可纳入数据安全管理规范及管理办法中。由于自评估受限于组织内部人员，可能缺乏评估专业技能，导致不够深入和准确，同时缺乏一定的客观性，所以一般是委托风险评估服务技术支持单位进行实施评估。

检查评估：由被评估组织的上级主管机关或业务机关发起，通过行政手段加强安全的重要措施，一般是定期、抽样进行评估模式，旨在检查关键领域或关键点安全风险是否在可接受范围内。检查评估主要包括：

1. 自评估方法的检查；
2. 自评估过程记录检查；
3. 自评估结果跟踪检查；
4. 现有数据安全措施检查；
5. 数据生命周期内数据控制检查；
6. 突发事件应对措施检查；
7. 数据完整性、可用性、机密性检查；
8. 数据生命周期内数据审计、脱敏检查；

五

总结

数据安全风险评估与信息系统的风险评估应是子与父的关系，数据安全风险评估可融合其中也可独立与已有风险评估体系之外运转。风评实施前准备工作与信息系统风险评估一致，可从6个方面进行并形成闭环。

风险评估流程示例图

基于数据安全的风险评估分四个部分已全部介绍完毕，写该系列文章其意义是发现业界没有针对数据层面进行风险评估体系化文章，所以利用自身数据安全经验，查阅了相关标准完成了以数据为中心的风险识别框架（如文中数据安全层面的脆弱性、威胁性等部分还待补充完善。），文中如有遗漏或者问题地方还请告知，以便我及时完善。