《已有安全措施列表》，属于风险评估中“风险要素识别”阶段输出的文档，而不属于风险评估中“风险评估准备”阶段输出的文档。

《需要保护的资产清单》是风险要素识别阶段的输出成果。

具体工作具体分析，不能直接说选择定量还是定性。

风险评估中，应以自评估为主，检查评估为辅。

在风险评估准备阶段，包括风险工作计划、风险评估方法和工具表，风险评估准则

其中 已有安全措施列表属于，风险要素识别

安全审计属于监测措施

6. 依据资产列表逐个分析可能危害这些资产的主体、动机、途径等多种因素,分析这些因素出现及造成损失的可能性大小,并为其赋值,属于 C 威胁识别并赋值。

评估对象--TOE（Target of Evaluation）

保护轮廓--PP（Protection Profile）

安全目标--ST（Security Target）

评估保护等级--EAL（Evaluation Assurance Level）

1,cc标准进行信息安全评估的基本过程

评估-最终评估结果-批准、认证-证书列表注册

评估准则-评估方法学-评估体制

CC标准中的四个关键概念：TOE(评估对象)、PP(评估轮廓)、ST(安全目标)、EAL(评估保证级)

目前采用最广泛的分析方法：定性分析

定性风险分析需要凭借分析者的经验和直觉分析或者业界的标准和惯例，因此具有主观性而不是随意性

定量分析：

EF：暴露因子

*:资产夹执

ARO:年度发生率

SLE(单一预期损失)=EF**

AEL(年度预期损失)=SEL*ARO

2，风险评估文档

准备阶段：风险评估计划书、风险评估方案、风险评估方法和工具列表

风险要素识别：资产清单、威胁列表、脆弱性列表、已有安全措施列表

风险分析：风险计算报告

风险结果判定：风险程度等级列表、风险评估报告

《待评估信息系统相关设备及资产清单》属于风险要素识别

3，Nessus工具扫描和发现漏洞  属于风险要素识别

逐个分析可能危害这些资产主题、动机、途径等多因素，分析这些罂粟出现及造成损失的可能行大小并赋值，属于威胁识别并赋值

4，风险计算原理:

风险值=R(A，T，V)=R（L（T，V））

F（la，Va）

R:风险计算函数   A:资产  T：威胁   V：脆弱性

L:威胁利用资产脆弱性导致安全事件的可能性

F：安全事件发生后造成的损失

la：安全事件所作用的资产价值

Va：脆弱性严重程度

5，风险管理的目标是以可接受风险为目标

6，安全评估技术采用安全扫描器这一工具，他是一种能狗自动监测远程或本地主机和网络安全脆弱点的程序

安全审计是一种常见的安全措施，他在信息保障体系中属于 监测  措施

7，基于表现形式的资产分类：数据、软件

1、扫描器扫描是风险要素识别。

1、安全评估过程：toe 评估对象、保护轮廓PP、安全目标ST、评估保证级EAl

风险要素识别：资产清单、威胁列表、脆弱性列表、已有安全措施列表

定性风险分析具有主观性。

信息安全风险评估分自评估、检查评估。应以自评估为主。

TOE：评估对象

PP：保护轮廓

ST：安全目标

EAL：评估保证级

la:表示安全事件所作用的资产价值

va:表示脆弱性严重程度

安全评估技术采用安全扫描器

安全审计属于检测措施；安全审计是被动防御手段，只能发现违规行为，无法阻断。

1、

      CC标准进行信息安全评估的基本过程图：

通过“评估准则”“评估方法学”“评估体制”进行评估，得到“最终评估结果”，经“批准、认证”输出证书。

2、

      风险要素识别中的第一项就是资产识别，资产识别的第一项就是资产分类与登记，《清单》就是这一步的产物。

      风险评估准备工作包括：评估的目标、评估的范围、组建团队、系统调研、依据和方法、评估方案、获取支持。

la表示安全事件所作用的资产价值，Va表示脆弱性的严重程度

评估应该自查为主，自评估和检查评估相互结合、互为补充

信息安全风险处理的主要准则是尽可能降低和控制信息安全风险，以是否满足信息系统的安全要求作为风险评估指标

定量分析和定性分析是互补的，实际工作中两者应该都使用，而不是用其中某一个

风险评估的基本过程：

1.风险评估准备工作：确定风险评估的目标、风险评估的范围、组建适当的评估管理与实施团队、进行系统的调研、确定评估依据的方法、制定风险评估方案、确定最高管理者对风险评估工作的支持。

2.资产识别：依据资产重要性进行分级

威胁识别：找出潜在威胁和出现的频率

脆弱性识别：如果威胁被利用，造成的损害程度是多少

隐蔽性、欺骗性、复杂性

3.确认已有的控制措施

4.进行风险分析：计算风险值

R表示安全风险计算函数

A表示资产、T表示威胁、V表示脆弱性

la表示安全事件所作用的资产价值

Va表示脆弱性严重程度

L表示威胁利用资产的脆弱性导致安全事件的可能性

F表示安全事件发生后造成的损失

5.风险结果判定：评估风险等级、综合评估风险状况

6.风险处理计划：对不可评估的风险制定风险处理计划

7.残余风险评估

风险评估文档

1.准备阶段：《风险评估计划书》、《风险评估方案》、《风险评估方法和工具列表》

2.风险要素识别：《资产清单》、《威胁列表》、《脆弱性列表》、《已有安全措施列表》

3.风险分析：《风险计算报告》

4.风险结果判定：《风险程度等级列表》、《风险评估报告》

CC：评估对象（TOE）、保护轮廓（PP）、安全目标（ST）、评估保证级（EAL）

风险评估准备的文档：

     1.风险评估方案

风险要素识别的文档：

    1、待评估信息系统相关设备及资产清单

    2、已有安全措施列表

    3、需要保护的资产清单

1、评估方法学，最终评估结果，批准认证

2、视情况选择，各有特色

4、只有三个阶段，风险识别，风险评估，风险分析

10、以自评估为主

14、评估保证级（如用于产品）

15、注意F（la，va）

16、应将有效性作为评估指标

20、安全扫描《器》

22、安全审计属于检测措施（检测包括对信息传输过程内容的可控性检测、对信息平台访问控制的检测、对系统，攻击的检测等）

23、牢记