4.4 风险评估过程

针对区域和管道风险评估，必须结合公司风险管理策略（如环境健康安全方针），采取有效的评估流程。详细风险评估流程图如图4-9所示。这个流程包括四步：准备评估、开展评估、沟通评估和维持评估。

对于工业控制系统的每个区域或管道都需要执行以下活动。对于类似资产的相同威胁，可以合并考虑和分析。

4.4.1 准备评估

1.目标

准备评估的目标是为风险评估建立背景。

2.关键活动

准备评估的关键活动包括以下几点：

（1）识别风险评估的目的。

（2）识别风险评估的范围。

（3）识别进行哪种风险评估的假设和约束条件。

（4）识别风险评估中用到的威胁、漏洞和冲击信息源。

（5）明确和改进风险评估中用到的风险模型、评估方法和分析方法。

4.4.2 开展评估

1.目标

开展评估的目标是制定一个信息安全风险清单。此清单中的信息安全风险按风险等级排出优先级，并且可用于通知风险响应决策。

2.关键活动

开展评估的关键活动包括识别威胁源和事件、识别漏洞和诱发条件、确定发生的可能性、确定冲击的幅度及确定风险。

1）识别威胁源和事件

识别威胁源和事件，可进一步分为以下几点：

（1）识别威胁源和事件输入。

（2）识别威胁源和事件。

（3）确定这些威胁源和事件是否与公司组织相关且在范围内。

（4）创建和更新威胁源和事件评估。

（5）识别相关敌对的威胁源和事件（评估敌对的能力、意图和目标）。

（6）识别相关非敌对的威胁源和事件（评估威胁源影响的范围）。

2）识别漏洞和诱发条件

识别漏洞和诱发条件，可进一步分为以下几点：

（1）识别漏洞和诱发条件输入。

（2）使用公司组织定义的信息源识别漏洞，创建并更新一个清单。

（3）识别诱发条件。

（4）估计诱发条件的普遍蔓延。

3）确定发生的可能性

确定发生的可能性，可进一步分为以下几点：

（1）识别可能性测定输入。

（2）使用公司组织定义的信息源识别可能性测定因素。

（3）估计威胁事件引发敌对威胁的可能性和威胁事件引发非敌对威胁的可能性。

（4）按触发或发生的可能性，估计导致敌对冲击威胁事件的可能性。

（5）估计威胁事件触发/发生的整个可能性和导致敌对冲击威胁事件的可能性。

4）确定冲击的幅度

确定冲击的幅度，可进一步分为以下几点：

（1）识别冲击测定输入。

（2）使用公司组织定义的信息源识别冲击测定因素。

（3）识别敌对冲击和受影响的资产。

（4）估计受影响资产相关的最大冲击。

5）确定风险

确定风险，可进一步分为以下几点：

（1）识别不确定性测定和风险的输入。

（2）确定风险。

4.4.3 沟通结果

1.目标

沟通结果的目标是确保公司组织的决策者有正确的、与风险相关的信息，以便发出通知和指导风险决策。

2.关键活动

沟通结果的关键活动包括以下几点：

（1）明确正确的方法。

（2）与指定的公司股东沟通风险评估结果。

（3）共享风险评估结果，与公司的方针和指导一致。

4.4.4 维护评估

1.目标

完成风险评估、沟通评估结果后，风险评估过程并没有结束，因为网络威胁和系统漏洞也在不断演变，公司应该不断考虑它们的风险姿态，以维持可接受的残余风险等级。

2.关键活动

维护评估的关键活动包括以下几点：

（1）识别已发现的、还需不断监控的关键风险因素。

（2）识别风险因素监控活动的频率和事项，找出哪些风险评估需要更新。

（3）重新确认风险评估的目的、范围和假设。

（4）实施正确的风险评估任务。

（5）与公司有关人员沟通后续的风险评估。