信息安全风险评估的基本过程包括哪些阶段

信息安全风险评估的基本过程包括：

预备阶段

确定评估目标和评估范围，成立评估小组。主要工作包括准备资料、调查表、评估工具和设备，制定详细的实施计划。

资产的评估

采用资产调查的方式进行信息资产统计，并对资产按照（业务系统、部门）归类。在评估范围内的资产，要对其进行保密性要求、完整性要求、可用性要求的调查与分析。

这一步通常采用问卷调查和对资产管理人员与使用人员的访谈来完成。对数据进行整理与分析后可得到相应资产的半定量化的价值。

威胁评估

对信息安全方面的潜在威胁和可能入侵给出全面的分析。潜在威胁主要是根据每项资产的安全弱点而引发的安全威胁。通过对威胁发生的可能性和造成后果的严重性来对威胁进行高、中、低这三个等级的赋值。

这一步主要通过威胁调查（采用技术与统计手段）建立一个可能的威胁列表，并通过统计数据分析和调查访谈的方式来确定威胁的等级。

漏洞评估

对每项信息资产具有的安全脆弱点、隐患和漏洞进行分析，对脆弱点被利用的难易程度赋值。脆弱点的获取可以有多种方式，例如，扫描工具扫描（Scanning）、渗透测试、制度文件审核、人员访谈等。可以根据具体的评估对象、评估目的选择具体的弱点获取方式。

现有安全措施评估

对现有的安全技术措施和相关的安全策略文档进行评估，确定现有措施所起的作用，以及其面临的威胁和存在的漏洞。

现有安全措施的评估主要通过技术审查和策略文件完整性审查的方式。这一步往往同漏洞和威胁的评估结合在一起。

风险分析

根据以上基础数据，参照风险关系模型，对资产、威胁、漏洞、风险，及其相互之间的关系进行统计、分析。包括资产分类和分级、威胁分析、漏洞分析、风险计算以及风险分析（风险分布、风险因素比较分析、风险等级分析、整体安全风险评价）等。

对于风险分析的数据和结果建议建立风险数据库，以便于对风险进行统计、跟踪和 管理。

提交的文档

安全评估过程中应该形成一个评估文档体系，主要包括但不限于如下关键文档。

1）预备阶段

产生的文档为《风险评估建议》和《风险评估实施方案》，主要内容为针对企业情况提出风险评估采用的方式，以及在这种方式下的评估实施方案。

2）资产分类和分级

产生的文档为《资产列表》，主要内容为资产名称、资产编号、资产的所有人以及资产的价值等。

3）威胁分类、分布和威胁的可能性、后果分析

产生的文档为《威胁列表》，主要内容为威胁列表、威胁对应的资产、威胁严重性、威胁发生的可能性以及对应威胁的防范办法等主要内容。

4）漏洞统计和分析

产生的文档为《漏洞列表》，主要内容为漏洞列表、漏洞对应的资产、漏洞的严重性、漏洞被利用的可能性以及对应漏洞的解决与处理办法等主要内容。

5）风险计算与分析

产生的文档为《风险评估报告》，主要内容包括总体及分系统的风险分布、系统中各风险因素比较分析、风险等级分析、整体安全风险评价等。

6）安全建议

《信息安全建议》是在风险分析完成后，根据风险分析内容和结果，针对具体安全情况和企业需求提出的初步的信息安全解决方案。主要内容包括需求提取、需求论证和解决方案。另外在实施过程中还会有一些申请报告、相关的会议记录以及工作备忘录等文档。