安全防范风险评估介绍A保护对象的风险分析B安全防范需求确定.C编制风险评估报告安全防范风险评估主要内容被保护对象的风险分析■对风险分析过程进行策划■对被防护对象(所面临)的威胁进行分析■对被防护对象的薄弱环节进行分析风险Risk损失后果Consequence损失可能性Likelihood威胁Threat资产Asset弱点Vulnerabilities被保护对象的风险分析描述风险评估的过程:评估范围界定风险调查风险分析风险评估满足预期?A1T1To1Ti1V1R1被保护对象的威胁进行分析威胁(Threat):可能对组织的资产造成损害的潜在原因。威胁包含多个属性,其中包括:威胁的主体、动机、能力、途径、可能性等。威胁调查—途径和方法:途径□公开的路径包括:各种类型的出版物、新闻媒介和会议等;□半公开的路径包括:由用户单位提供相关信息和委托用户单位收集信息。方法□从用户单位外部,从公共安全的角度,对其面临的威胁进行调查;□在用户单位内部施行调查,收集内部人员对威胁的感知。对被保护对象的薄弱环节进行分析对薄弱环节(弱点)的定义弱点是指可能被对手所利用来得以造成资产损失的薄弱点。弱点可能源于建筑物特点;装备特性;人、装备和建筑的地点、过程、人员行为等。.薄弱环节的分析方法故障树(FTA)分析对被保护对象的薄弱环节进行分析攻击树(ATA)分析方法威胁—弱点在时间、空间上的重合威胁的可能性可在较大程度上反映了风险要素–损失的可能性。威胁是造成资产损害的潜在原因,正是这种无时不在的、对被防护目标的安全威胁,形成了资产损失的可能性。□避免产生防范弱点□如果存在弱点,避免暴露在威胁面前;□如果暴露,避免被贯穿;□如果被贯穿,设法使损失最小;确定用户单位的安全需求用户单位的安全需求可以概括为W3H:Who—是谁在提出安全防范的需求?What—要求做什么(安全防范要求)?Where—在何处做(被防护对象确定)?How—如何做(应遵循的政策法规标准)?对用户单位的安全风险进行评估□风险要素的量化;□建立风险平面;□风险程度的评估过程确定用户的安全防护水平确定用户的安全防护水平■编制风险评估报告风险评估报告的内容被分为四个主要部分:阅读引导、调查结果、评估结果和附件。每个部分包括了若干页面。提出防范措施建议对防范措施进行可行性分析与用户单位的沟通:单独的作业(服务)内容风险评估基本观点■威胁是可能对组织的资产造成损害的潜在原因。它不仅有时间、空间的相关性,同时也带有方向性。■弱点是一种既存状态,它有可能为安全威胁所利用而导致资产损失。■资产损失包括对资产所有者的影响和对社会的影响.■风险评估结果是对某一具体被防护对象在某一时间下态势的描述,它并不反映该被防护对象在任何时候所面临的风险.■作为客户,可以根据自身的利益和具体情况,提出自己的安全需求,而具体防护目标的确定,还需充分考虑政策法规标准、风险评估结果。银行营业场所风险等级和防护级别风险等级的划分营业场所风险等级分为三个级别,由低到高为:三级风险、二级风险、一级风险具备下列条件之一的营业场所定为三级风险单位:a)设在乡、镇(村庄)、农牧区、山区或机关、院校、部队、工厂等企事业单位内部的营业场所;b)现金出纳柜台不超过2个(含2个)的营业场所;c)设有现金保管点,存放现金5万元(含5万元)人民币以下的营业场具备下列条件之一的营业场所定为二级风险单位:a)设在县(含县)以上城市、城乡结合部的营业场所;b)与业务库相连、库存现金余额不足80万元人民币的营业场所;c)现金出纳柜台不超过5个(含5个)的营业场所。具有下列条件之一的营业场所定为一级风险单位:a)与业务库相连、库存现金余额80万元(含80万元)人民币以上的营业场所;b)现金出纳柜台6个(含6个)以上的营业场所。风险部位a)离行式ATM、CDM、CRS等b)离行式自助银行。银行营业场所风险等级和防护级别防护级别的确定及防护要求防护级别的确定:原则上应与风险等级相对应。即三级风