[发明专利]信息安全风险评估方法、装置、终端设备和存储介质

权利要求书

1.一种信息安全风险评估方法，其特征在于，所述方法包括：

确定待评估对象对应的威胁行为；

根据所述威胁行为的特性，确定与所述威胁行为对应的影响因素；

根据所述威胁行为和所述影响因素，确定所述威胁行为对应的安全防护措施；

根据所述安全防护措施的重要程度，确定每个所述安全防护措施的权重；

根据每个安全防护措施的现场查验结果，确定每个安全防护措施的有效性值；

根据所述安全防护措施的权重和所述安全防护措施的有效性值，确定所述待评估对象的脆弱值，所述脆弱值用于对所述待评估对象进行风险评估，包括：

对于一个威胁行为，确定所述威胁行为对应的每个影响因素对应的第一脆弱值，其中，所述第一脆弱值是根据各个影响因素对应的安全防护措施的权重和与所述安全防护措施对应的有效性值确定的；其中，所述各个影响因素对应的安全防护措施的权重至少包括保密性影响因素对应的安全防护措施的权重、可用性影响因素对应的安全防护措施的权重和完整性影响因素对应的安全防护措施的权重中的一种；

根据所述各个影响因素对应的第一脆弱值和与所述第一脆弱值对应的权重值，确定所述威胁行为的第二脆弱值；

根据多个所述威胁行为的第二脆弱值，确定所述待评估对象的与所述影响因素对应的第一整体脆弱值；

根据所述第一整体脆弱值，确定所述待评估对象的第二整体脆弱值。

2.根据权利要求1所述的方法，其特征在于，所述确定待评估对象对应的威胁行为，包括：

根据预设威胁行为标准、待评估对象的属性和威胁行为统计信息，确定所述待评估对象对应的威胁行为，其中，所述预设威胁行为标准包括威胁类型和与所述威胁类型对应的威胁行为；所述威胁行为统计信息是根据历史威胁行为类型和所述历史威胁行为的发生的频率值确定的。

3.根据权利要求2所述的方法，其特征在于，所述影响因素包括保密性、可用性和完整性，所述根据所述威胁行为的特性，确定与所述威胁行为对应的影响因素，包括：

根据所述威胁行为的特性，确定所述威胁行为对所述待评估对象产生的保密性影响因素；

或

根据所述威胁行为的特性，确定所述威胁行为对所述待评估对象产生的可用性影响因素；

或

根据所述威胁行为的特性，确定所述威胁行为对所述待评估对象产生的完整性影响因素。

4.根据权利要求3所述的方法，其特征在于，所述根据所述威胁行为和所述影响因素，确定所述威胁行为对应的安全防护措施，包括：

根据所述待评估对象的领域和行业特性，确定与所述待评估对象对应的预设安全要求信息；

根据所述预设安全要求信息和预先设置的安全防护措施列表，确定所述待评估对象的一个或多个威胁行为对应的保密性影响因素对应的安全防护措施；

和/或

根据所述预设安全要求信息和预先设置的安全防护措施列表，确定所述待评估对象的一个或多个威胁行为对应的可用性影响因素对应的安全防护措施；

和/或

根据所述预设安全要求信息和预先设置的安全防护措施列表，确定所述待评估对象的一个或多个威胁行为对应的完整性影响因素对应的安全防护措施；

其中，所述安全防护措施列表包括威胁行为和与所述威胁行为对应的保密性影响因素的安全防护措施、可用性影响因素对应的安全防护措施和完整性影响因素对应的安全防护措施。