引言

信息安全技術(shù)
信息安全風(fēng)險(xiǎn)評(píng)估指南

1 范圍
本標(biāo)準(zhǔn)提出了風(fēng)險(xiǎn)評(píng)估的基本概念、要素關(guān)系、分析原理、實(shí)施流程和評(píng)估方法，以及風(fēng)險(xiǎn)評(píng)估在 信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)和工作形式。 本標(biāo)準(zhǔn)適用于規(guī)范組織開展的風(fēng)險(xiǎn)評(píng)估工作。
2 規(guī)范性引用文件
下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注明日期的引用文件，其隨后所 有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)。然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方 研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。
GB/T 9361 計(jì)算站場(chǎng)地安全要求
GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則
GB/T 18336-2001 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則（idt ISO/IEC 15408:1999）
GB/T 19716-2005 信息技術(shù) 信息安全管理實(shí)用規(guī)則(ISO/IEC 17799:2000,MOD)
3 術(shù)語(yǔ)和定義
下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。
3.1 資產(chǎn) asset
對(duì)組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象。
3.2 資產(chǎn)價(jià)值 asset value
資產(chǎn)的重要程度或敏感程度的表征。資產(chǎn)價(jià)值是資產(chǎn)的屬性，也是進(jìn)行資產(chǎn)識(shí)別的主要內(nèi)容。
3.3 可用性 availability
數(shù)據(jù)或資源的特性，被授權(quán)實(shí)體按要求能訪問(wèn)和使用數(shù)據(jù)或資源。
3.4 業(yè)務(wù)戰(zhàn)略 business strategy
組織為實(shí)現(xiàn)其發(fā)展目標(biāo)而制定的一組規(guī)則或要求。
3.5 機(jī)密性 confidentiality
數(shù)據(jù)所具有的特性，即表示數(shù)據(jù)所達(dá)到的未提供或未泄露給非授權(quán)的個(gè)人、過(guò)程或其他實(shí)體的程度。
3.6 信息安全風(fēng)險(xiǎn) information security risk
人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造 成的影響。
3.7 （信息安全）風(fēng)險(xiǎn)評(píng)估 （information security）risk assessment
依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性 和可用性等安全屬性進(jìn)行評(píng)價(jià)的過(guò)程。它要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可 能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響。
3.8 信息系統(tǒng) information system
由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行 采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。 典型的信息系統(tǒng)由三部分組成：硬件系統(tǒng)（計(jì)算機(jī)硬件系統(tǒng)和網(wǎng)絡(luò)硬件系統(tǒng)）；系統(tǒng)軟件（計(jì)算機(jī) 系統(tǒng)軟件和網(wǎng)絡(luò)系統(tǒng)軟件）；應(yīng)用軟件（包括由其處理、存儲(chǔ)的信息）。
3.9 檢查評(píng)估 inspection assessment
由被評(píng)估組織的上級(jí)主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的，依據(jù)國(guó)家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及其 管理進(jìn)行的具有強(qiáng)制性的檢查活動(dòng)。
3.10 完整性 integrity
保證信息及信息系統(tǒng)不會(huì)被非授權(quán)更改或破壞的特性。包括數(shù)據(jù)完整性和系統(tǒng)完整性。
3.11 組織 organization
由作用不同的個(gè)體為實(shí)施共同的業(yè)務(wù)目標(biāo)而建立的結(jié)構(gòu)。一個(gè)單位是一個(gè)組織，某個(gè)業(yè)務(wù)部門也可 以是一個(gè)組織。
3.12 殘余風(fēng)險(xiǎn) residual risk
采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險(xiǎn)。
3.13 自評(píng)估 self-assessment
由組織自身發(fā)起，依據(jù)國(guó)家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及其管理進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)。
3.14 安全事件 security incident
指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別狀態(tài)的發(fā)生，它可能是對(duì)信息安全策略的違反或防護(hù)措施的失效， 或未預(yù)知的不安全狀況。
3.15 安全措施 security measure
保護(hù)資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實(shí)施的各種實(shí)踐、 規(guī)程和機(jī)制。

3.16 安全需求 security requirement
為保證組織業(yè)務(wù)戰(zhàn)略的正常運(yùn)作而在安全措施方面提出的要求。
3.17 威脅 threat
可能導(dǎo)致對(duì)系統(tǒng)或組織危害的不希望事故潛在起因。
3.18 脆弱性 vulnerability
可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)。
4 風(fēng)險(xiǎn)評(píng)估框架及流程
4.1 風(fēng)險(xiǎn)要素關(guān)系
風(fēng)險(xiǎn)評(píng)估中各要素的關(guān)系如圖 1 所示：

圖 1 風(fēng)險(xiǎn)評(píng)估要素關(guān)系圖
圖 1 中方框部分的內(nèi)容為風(fēng)險(xiǎn)評(píng)估的基本要素，橢圓部分的內(nèi)容是與這些要素相關(guān)的屬 性。風(fēng)險(xiǎn)評(píng)估圍繞著資產(chǎn)、威脅、脆弱性和安全措施這些基本要素展開，在對(duì)基本要素的評(píng)估 過(guò)程中，需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等與這些基本要 素相關(guān)的各類屬性。
圖 1 中的風(fēng)險(xiǎn)要素及屬性之間存在著以下關(guān)系：
a）業(yè)務(wù)戰(zhàn)略的實(shí)現(xiàn)對(duì)資產(chǎn)具有依賴性，依賴程度越高，要求其風(fēng)險(xiǎn)越?。?br /> b）資產(chǎn)是有價(jià)值的，組織的業(yè)務(wù)戰(zhàn)略對(duì)資產(chǎn)的依賴程度越高，資產(chǎn)價(jià)值就越大；
c）風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大，并可能演變成為安全事件；
d）資產(chǎn)的脆弱性可能暴露資產(chǎn)的價(jià)值，資產(chǎn)具有的弱點(diǎn)越多則風(fēng)險(xiǎn)越大；
e）脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產(chǎn)；
f）風(fēng)險(xiǎn)的存在及對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)導(dǎo)出安全需求；
g）安全需求可通過(guò)安全措施得以滿足，需要結(jié)合資產(chǎn)價(jià)值考慮實(shí)施成本；
h）安全措施可抵御威脅，降低風(fēng)險(xiǎn)；
i）殘余風(fēng)險(xiǎn)有些是安全措施不當(dāng)或無(wú)效,需要加強(qiáng)才可控制的風(fēng)險(xiǎn)；而有些則是在綜合考慮了安全 成本與效益后不去控制的風(fēng)險(xiǎn)；
j）殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它可能會(huì)在將來(lái)誘發(fā)新的安全事件。
4.2 風(fēng)險(xiǎn)分析原理
風(fēng)險(xiǎn)分析原理如圖 2 所示：

風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性三個(gè)基本要素。每個(gè)要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn) 價(jià)值；威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程 度。風(fēng)險(xiǎn)分析的主要內(nèi)容為：
a）對(duì)資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)的價(jià)值進(jìn)行賦值；
b）對(duì)威脅進(jìn)行識(shí)別，描述威脅的屬性，并對(duì)威脅出現(xiàn)的頻率賦值；
c）對(duì)脆弱性進(jìn)行識(shí)別，并對(duì)具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；
d）根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性；
e）根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價(jià)值計(jì)算安全事件的損失；
f）根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計(jì)算安全事件一旦發(fā)生對(duì)組織的影響， 即風(fēng)險(xiǎn)值。
4.3 實(shí)施流程
風(fēng)險(xiǎn)評(píng)估的實(shí)施流程如圖 3 所示：

圖 3 風(fēng)險(xiǎn)評(píng)估實(shí)施流程圖
風(fēng)險(xiǎn)評(píng)估實(shí)施流程的詳細(xì)說(shuō)明見(jiàn)第5章。
5 風(fēng)險(xiǎn)評(píng)估實(shí)施
5.1 風(fēng)險(xiǎn)評(píng)估準(zhǔn)備
5.1.1 概述
風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備是整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程有效性的保證。組織實(shí)施風(fēng)險(xiǎn)評(píng)估是一種戰(zhàn)略性的考慮，其結(jié) 果將受到組織業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。因此，在風(fēng)險(xiǎn)評(píng)估實(shí)施 前，應(yīng)：
a）確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)；
b）確定風(fēng)險(xiǎn)評(píng)估的范圍；
c）組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)；
d）進(jìn)行系統(tǒng)調(diào)研；
e）確定評(píng)估依據(jù)和方法；
f）獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持。
5.1.2 確定目標(biāo)
根據(jù)滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要、法律法規(guī)的規(guī)定等內(nèi)容，識(shí)別現(xiàn)有信息系統(tǒng)及管理 上的不足，以及可能造成的風(fēng)險(xiǎn)大小。
5.1.3 確定范圍
風(fēng)險(xiǎn)評(píng)估范圍可能是組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機(jī)構(gòu)，也可能是某個(gè)獨(dú) 立的信息系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識(shí)產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等。
5.1.4 組建團(tuán)隊(duì)
風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)，由管理層、相關(guān)業(yè)務(wù)骨干、信息技術(shù)等人員組成的風(fēng)險(xiǎn)評(píng)估小組。必要時(shí)，可 組建由評(píng)估方、被評(píng)估方領(lǐng)導(dǎo)和相關(guān)部門負(fù)責(zé)人參加的風(fēng)險(xiǎn)評(píng)估領(lǐng)導(dǎo)小組，聘請(qǐng)相關(guān)專業(yè)的技術(shù)專家和 技術(shù)骨干組成專家小組。 評(píng)估實(shí)施團(tuán)隊(duì)?wèi)?yīng)做好評(píng)估前的表格、文檔、檢測(cè)工具等各項(xiàng)準(zhǔn)備工作，進(jìn)行風(fēng)險(xiǎn)評(píng)估技術(shù)培訓(xùn)和保 密教育，制定風(fēng)險(xiǎn)評(píng)估過(guò)程管理相關(guān)規(guī)定?？筛鶕?jù)被評(píng)估方要求，雙方簽署保密合同，必要時(shí)簽署個(gè)人 保密協(xié)議。
5.1.5 系統(tǒng)調(diào)研
系統(tǒng)調(diào)研是確定被評(píng)估對(duì)象的過(guò)程，風(fēng)險(xiǎn)評(píng)估小組應(yīng)進(jìn)行充分的系統(tǒng)調(diào)研，為風(fēng)險(xiǎn)評(píng)估依據(jù)和方法 的選擇、評(píng)估內(nèi)容的實(shí)施奠定基礎(chǔ)。調(diào)研內(nèi)容至少應(yīng)包括：
a）業(yè)務(wù)戰(zhàn)略及管理制度
b）主要的業(yè)務(wù)功能和要求
c）網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接和外部連接；
d）系統(tǒng)邊界；
e）主要的硬件、軟件；
f）數(shù)據(jù)和信息；
g）系統(tǒng)和數(shù)據(jù)的敏感性；
h）支持和使用系統(tǒng)的人員；
i）其他。
系統(tǒng)調(diào)研可以采取問(wèn)卷調(diào)查、現(xiàn)場(chǎng)面談相結(jié)合的方式進(jìn)行。調(diào)查問(wèn)卷是提供一套關(guān)于管理或操作控 制的問(wèn)題表格，供系統(tǒng)技術(shù)或管理人員填寫；現(xiàn)場(chǎng)面談則是由評(píng)估人員到現(xiàn)場(chǎng)觀察并收集系統(tǒng)在物理、 環(huán)境和操作方面的信息。
5.1.6 確定依據(jù)
根據(jù)系統(tǒng)調(diào)研結(jié)果，確定評(píng)估依據(jù)和評(píng)估方法。評(píng)估依據(jù)包括（但不限于）：
a）現(xiàn)行國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)；
b）行業(yè)主管機(jī)關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度；
c）系統(tǒng)安全保護(hù)等級(jí)要求；
d）系統(tǒng)互聯(lián)單位的安全要求；
e）系統(tǒng)本身的實(shí)時(shí)性或性能要求等。
根據(jù)評(píng)估依據(jù)，應(yīng)考慮評(píng)估的目的、范圍、時(shí)間、效果、人員素質(zhì)等因素來(lái)選擇具體的風(fēng)險(xiǎn)計(jì)算方 法，并依據(jù)業(yè)務(wù)實(shí)施對(duì)系統(tǒng)安全運(yùn)行的需求，確定相關(guān)的判斷依據(jù)，使之能夠與組織環(huán)境和安全要求相 適應(yīng)。
5.1.7 制定方案
風(fēng)險(xiǎn)評(píng)估方案的目的是為了后面的風(fēng)險(xiǎn)評(píng)估實(shí)施活動(dòng)提供一個(gè)總體計(jì)劃，用于指導(dǎo)實(shí)施方開展后續(xù) 工作。風(fēng)險(xiǎn)評(píng)估方案的內(nèi)容一般包括（但不僅限于）：
a）團(tuán)隊(duì)組織：包括評(píng)估團(tuán)隊(duì)成員、組織結(jié)構(gòu)、角色、責(zé)任等內(nèi)容；
b）工作計(jì)劃：風(fēng)險(xiǎn)評(píng)估各階段的工作計(jì)劃，包括工作內(nèi)容、工作形式、工作成果等內(nèi)容；
c）時(shí)間進(jìn)度安排：項(xiàng)目實(shí)施的時(shí)間進(jìn)度安排。
5.1.8 獲得支持
上述所有內(nèi)容確定后，應(yīng)形成較為完整的風(fēng)險(xiǎn)評(píng)估實(shí)施方案，得到組織最高管理者的支持、批準(zhǔn)； 對(duì)管理層和技術(shù)人員進(jìn)行傳達(dá)，在組織范圍就風(fēng)險(xiǎn)評(píng)估相關(guān)內(nèi)容進(jìn)行培訓(xùn)，以明確有關(guān)人員在風(fēng)險(xiǎn)評(píng)估 中的任務(wù)。
5.2 資產(chǎn)識(shí)別
5.2.1 資產(chǎn)分類
機(jī)密性、完整性和可用性是評(píng)價(jià)資產(chǎn)的三個(gè)安全屬性。風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià) 值來(lái)衡量，而是由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決 定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價(jià)值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已 采用的安全措施都將對(duì)資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。為此，有必要對(duì)組織中的資產(chǎn)進(jìn)行識(shí)別。 在一個(gè)組織中，資產(chǎn)有多種表現(xiàn)形式；同樣的兩個(gè)資產(chǎn)也因?qū)儆诓煌男畔⑾到y(tǒng)而重要性不同，而 且對(duì)于提供多種業(yè)務(wù)的組織，其支持業(yè)務(wù)持續(xù)運(yùn)行的系統(tǒng)數(shù)量可能更多。這時(shí)首先需要將信息系統(tǒng)及相 關(guān)的資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸悾源藶榛A(chǔ)進(jìn)行下一步的風(fēng)險(xiǎn)評(píng)估。在實(shí)際工作中，具體的資產(chǎn)分類方法可 以根據(jù)具體的評(píng)估對(duì)象和要求，由評(píng)估者靈活把握。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、 硬件、服務(wù)、人員等類型。表 1 列出了一種資產(chǎn)分類方法。

詳情請(qǐng)下載附件