根據IS027001的標準，風險評估應包括兩部分：

　　一是估計風險大小的系統方(fang)法，即(ji)風險分析;

　　二是將估(gu)計的風(feng)險與給定(ding)的風(feng)險準則加以比(bi)較，以確定(ding)風(feng)險嚴重性的過程(cheng)，即風(feng)險評(ping)價。

　　下(xia)面進行詳細說明。

　　ISO27001信息安全風險分析與評估方法——風險分析

　　ISO27001風險(xian)分(fen)析的方(fang)法有很多種，包括定(ding)性(xing)的方(fang)法和(he)定(ding)量的方(fang)法。其最(zui)終(zhong)落腳(jiao)點大多數會歸結到“可(ke)能性(xing)”與“影響程度”上面，并根據“可(ke)能性(xing)”和(he)“影響”的組合確定(ding)風險(xian)程度。

　　而對于(yu)“可能(neng)性(xing)”與“影響”的(de)評分，可以根(gen)據(ju)歷史經驗定性(xing)地(di)給出，也可以通過(guo)進一步細化或者量化的(de)方(fang)法更為精(jing)確地(di)給出，最常用的(de)方(fang)法之一是通過(guo)資產、威脅和脆弱性(xing)三個屬性(xing)進行(xing)分析。

　　1、資(zi)產(chan)(chan)屬(shu)性(xing)(xing)(xing)：即資(zi)產(chan)(chan)價(jia)值，指(zhi)對(dui)信(xin)息(xi)資(zi)產(chan)(chan)的(de)綜合(he)評分，來源于企業的(de)信(xin)息(xi)資(zi)產(chan)(chan)管(guan)理矩陣，可以通過對(dui)信(xin)息(xi)資(zi)產(chan)(chan)的(de)機密性(xing)(xing)(xing)、完整(zheng)性(xing)(xing)(xing)、可用性(xing)(xing)(xing)三方面分別進行定(ding)量(liang)評級后計算得出。

　　2、威(wei)(wei)(wei)(wei)脅(xie)(xie)屬性：指的(de)(de)(de)(de)是固有(you)存在的(de)(de)(de)(de)威(wei)(wei)(wei)(wei)脅(xie)(xie)，需(xu)要考慮威(wei)(wei)(wei)(wei)脅(xie)(xie)產(chan)生(sheng)(sheng)的(de)(de)(de)(de)頻率和動(dong)機等方面。威(wei)(wei)(wei)(wei)脅(xie)(xie)是與資產(chan)相對(dui)應的(de)(de)(de)(de)，不同(tong)(tong)類別的(de)(de)(de)(de)信息資產(chan)可(ke)能面臨(lin)不同(tong)(tong)類別的(de)(de)(de)(de)威(wei)(wei)(wei)(wei)脅(xie)(xie)，某一(yi)資產(chan)可(ke)能同(tong)(tong)時面臨(lin)多個不同(tong)(tong)的(de)(de)(de)(de)威(wei)(wei)(wei)(wei)脅(xie)(xie)。相對(dui)的(de)(de)(de)(de)，一(yi)個威(wei)(wei)(wei)(wei)脅(xie)(xie)可(ke)能對(dui)不同(tong)(tong)的(de)(de)(de)(de)資產(chan)產(chan)生(sheng)(sheng)影響(xiang)。威(wei)(wei)(wei)(wei)脅(xie)(xie)可(ke)能來源于意(yi)外(wai)的(de)(de)(de)(de)或者(zhe)有(you)預謀的(de)(de)(de)(de)事件。不同(tong)(tong)的(de)(de)(de)(de)威(wei)(wei)(wei)(wei)脅(xie)(xie)有(you)著不同(tong)(tong)的(de)(de)(de)(de)動(dong)機和能力，因(yin)此(ci)，可(ke)以對(dui)威(wei)(wei)(wei)(wei)脅(xie)(xie)進行分析，對(dui)其出現的(de)(de)(de)(de)頻率量化和賦值。

　　3、脆弱(ruo)(ruo)(ruo)性(xing)屬(shu)性(xing)：指(zhi)資(zi)(zi)產(chan)薄弱(ruo)(ruo)(ruo)點(dian)(dian)的(de)(de)(de)(de)嚴重程度，也以理解為資(zi)(zi)產(chan)被威(wei)脅所利(li)用(yong)的(de)(de)(de)(de)可(ke)(ke)能(neng)性(xing)。薄弱(ruo)(ruo)(ruo)點(dian)(dian)可(ke)(ke)能(neng)來自(zi)軟(ruan)件、硬件、也可(ke)(ke)能(neng)來源于人員(yuan)、環境及(ji)管理等方面(mian)。某個(ge)(ge)威(wei)脅可(ke)(ke)能(neng)利(li)用(yong)多(duo)個(ge)(ge)薄弱(ruo)(ruo)(ruo)點(dian)(dian)， 一(yi)個(ge)(ge)薄弱(ruo)(ruo)(ruo)點(dian)(dian)也可(ke)(ke)能(neng)被多(duo)個(ge)(ge)威(wei)脅利(li)用(yong)， 弱(ruo)(ruo)(ruo)點(dian)(dian)一(yi)旦(dan)被威(wei)脅利(li)用(yong)就(jiu)可(ke)(ke)能(neng)產(chan)生(sheng)風險， 從而影響到組織的(de)(de)(de)(de)運行(xing)或可(ke)(ke)持續性(xing)發(fa)展。通常從管理和技(ji)術兩個(ge)(ge)方面(mian)，通過人員(yuan)訪談、現場觀察、文檔(dang)流(liu)程檢查等方法(fa)針對不同(tong)的(de)(de)(de)(de)資(zi)(zi)產(chan)進行(xing)脆弱(ruo)(ruo)(ruo)性(xing)的(de)(de)(de)(de)嚴重程度量化和賦值。

　　4、通過對資產、威(wei)脅和脆弱性的(de)評級，匯總成為“可能性”與“影(ying)響”的(de)評分(fen)，再進而得到風險值的(de)量(liang)化評分(fen)。

　　ISO27001信息安全風險分析與評估方法——風險評價

　　通(tong)過(guo)上述ISO27001風(feng)(feng)險分(fen)析的(de)(de)過(guo)程，我(wo)們可(ke)以得到企(qi)業(ye)的(de)(de)風(feng)(feng)險列表(biao)，即(ji)源于(yu)不(bu)同資產，不(bu)同威脅以及現(xian)有的(de)(de)控(kong)制水平基礎上的(de)(de)所有風(feng)(feng)險。ISO27001風(feng)(feng)險的(de)(de)高(gao)低可(ke)依(yi)照(zhao)得分(fen)的(de)(de)高(gao)低排序，其(qi)中得分(fen)為(wei)8的(de)(de)為(wei)最高(gao)風(feng)(feng)險點，為(wei)0的(de)(de)為(wei)最低風(feng)(feng)險點。

　　基(ji)于此表(biao)，風(feng)(feng)(feng)險(xian)評估(gu)要(yao)(yao)(yao)設定(ding)一個(ge)可(ke)(ke)接受的(de)風(feng)(feng)(feng)險(xian)值(zhi)，通(tong)常來(lai)講(jiang)，此閾(yu)值(zhi)的(de)設定(ding)需(xu)要(yao)(yao)(yao)經過(guo)信息(xi)安全管(guan)理(li)委(wei)員會或公(gong)司管(guan)理(li)層的(de)批準。低于或等于這個(ge)分(fen)(fen)值(zhi)的(de)，意(yi)味著風(feng)(feng)(feng)險(xian)可(ke)(ke)以接受，也就是可(ke)(ke)以維持現有的(de)保護措(cuo)(cuo)施(shi)不(bu)變。而高(gao)于此分(fen)(fen)值(zhi)的(de)風(feng)(feng)(feng)險(xian)，意(yi)味著風(feng)(feng)(feng)險(xian)過(guo)高(gao)，企業需(xu)要(yao)(yao)(yao)采取某些控制措(cuo)(cuo)施(shi)去降低、回避或轉移風(feng)(feng)(feng)險(xian)。同時，對采取控制措(cuo)(cuo)施(shi)后的(de)脆弱性進行進一步分(fen)(fen)析，以確保如果新的(de)控制措(cuo)(cuo)施(shi)得以有效執行，風(feng)(feng)(feng)險(xian)可(ke)(ke)以降低到(dao)可(ke)(ke)接受的(de)范圍(wei)之內。

　　最(zui)后通過舉例來進行(xing)說明(ming)，假設某公(gong)(gong)司(si)(si)(si)部分(fen)信息(xi)資(zi)(zi)產相當重要(資(zi)(zi)產價值評(ping)(ping)(ping)分(fen)為(wei)(wei)(wei)(wei)4)，而因為(wei)(wei)(wei)(wei)病(bing)毒導(dao)致公(gong)(gong)司(si)(si)(si)信息(xi)遭到(dao)泄露的(de)(de)(de)威(wei)脅也很(hen)高(gao)(gao)(gao)(評(ping)(ping)(ping)分(fen)為(wei)(wei)(wei)(wei)高(gao)(gao)(gao))，再(zai)假設此(ci)公(gong)(gong)司(si)(si)(si)未安裝(zhuang)任何防(fang)(fang)(fang)病(bing)毒軟(ruan)件(jian)(jian)或防(fang)(fang)(fang)火(huo)(huo)墻(qiang)(qiang)，那么在(zai)防(fang)(fang)(fang)病(bing)毒方面(mian)的(de)(de)(de)脆弱性評(ping)(ping)(ping)級(ji)同樣(yang)很(hen)高(gao)(gao)(gao)(評(ping)(ping)(ping)級(ji)為(wei)(wei)(wei)(wei)高(gao)(gao)(gao))，從而查(cha)表可以(yi)得到(dao)結(jie)論(lun)，此(ci)公(gong)(gong)司(si)(si)(si)的(de)(de)(de)信息(xi)資(zi)(zi)產因為(wei)(wei)(wei)(wei)不存在(zai)對病(bing)毒的(de)(de)(de)防(fang)(fang)(fang)范控制，從而存在(zai)很(hen)高(gao)(gao)(gao)的(de)(de)(de)風(feng)(feng)險(xian)(評(ping)(ping)(ping)級(ji)為(wei)(wei)(wei)(wei)8)，那么一定(ding)要對此(ci)風(feng)(feng)險(xian)進行(xing)一定(ding)的(de)(de)(de)改進措施(shi)，比(bi)如安裝(zhuang)殺毒軟(ruan)件(jian)(jian)，購買防(fang)(fang)(fang)火(huo)(huo)墻(qiang)(qiang)等(deng)。再(zai)例如，同樣(yang)的(de)(de)(de)信息(xi)資(zi)(zi)產和(he)威(wei)脅前提，但公(gong)(gong)司(si)(si)(si)裝(zhuang)有殺毒軟(ruan)件(jian)(jian)和(he)防(fang)(fang)(fang)火(huo)(huo)墻(qiang)(qiang)，只是防(fang)(fang)(fang)火(huo)(huo)墻(qiang)(qiang)的(de)(de)(de)級(ji)別不夠高(gao)(gao)(gao)，殺毒軟(ruan)件(jian)(jian)沒(mei)有及(ji)時升(sheng)級(ji)，綜合(he)評(ping)(ping)(ping)價其脆弱性水(shui)平為(wei)(wei)(wei)(wei)中，查(cha)表可得由此(ci)而得的(de)(de)(de)風(feng)(feng)險(xian)水(shui)平較高(gao)(gao)(gao)(評(ping)(ping)(ping)級(ji)為(wei)(wei)(wei)(wei)7)。對于此(ci)種(zhong)風(feng)(feng)險(xian)就要進行(xing)風(feng)(feng)險(xian)評(ping)(ping)(ping)價，按照公(gong)(gong)司(si)(si)(si)的(de)(de)(de)實際情況確定(ding)是否需要進行(xing)升(sheng)級(ji)等(deng)措施(shi)使風(feng)(feng)險(xian)進一步降低。