【正文】 GB/T —國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局 發(fā)布實(shí)施發(fā)布信息安全風(fēng)險(xiǎn)評(píng)估指南Information Security Risk Assessment Guideline（送審稿）GB/T —中華人民共和國國家標(biāo)準(zhǔn)ICS L 801GB/T —目 次前 言 I1 范圍 12 規(guī)范性引用文件 13 術(shù)語和定義 14 概述 3 目的與意義 3 目標(biāo)讀者 4 文檔組織 45 風(fēng)險(xiǎn)評(píng)估框架及流程 4 風(fēng)險(xiǎn)要素關(guān)系圖 4 風(fēng)險(xiǎn)分析示意圖 6 實(shí)施流程 66 風(fēng)險(xiǎn)評(píng)估實(shí)施 7 風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備 7 資產(chǎn)識(shí)別 8 威脅識(shí)別 13 脆弱性識(shí)別 15 已有安全措施的確認(rèn) 17 風(fēng)險(xiǎn)分析 17 風(fēng)險(xiǎn)評(píng)估文件記錄 197 風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期中的不同要求 20 信息系統(tǒng)生命周期概述 20 信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估 218 風(fēng)險(xiǎn)評(píng)估的形式及角色運(yùn)用 25 風(fēng)險(xiǎn)評(píng)估的形式 25 風(fēng)險(xiǎn)評(píng)估不同形式與其中各角色的關(guān)系 25附　錄　A 28 風(fēng)險(xiǎn)矩陣測量法 28 威脅分級(jí)計(jì)算法 29 風(fēng)險(xiǎn)綜合評(píng)價(jià)法 30 安全屬性矩陣法 30附　錄　B 33 安全管理評(píng)價(jià)系統(tǒng) 33 系統(tǒng)軟件評(píng)估工具 33 風(fēng)險(xiǎn)評(píng)估輔助工具 34前 言為指導(dǎo)和規(guī)范針對(duì)組織的信息系統(tǒng)及其管理的信息安全風(fēng)險(xiǎn)評(píng)估工作，特制定本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)介紹了信息安全風(fēng)險(xiǎn)評(píng)估的基本概念、原則和要求，提出了信息安全風(fēng)險(xiǎn)評(píng)估的一般方法。本標(biāo)準(zhǔn)由國務(wù)院信息化工作辦公室提出。本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。本標(biāo)準(zhǔn)由國家信息中心、信息安全國家重點(diǎn)實(shí)驗(yàn)室、中科網(wǎng)威、上海市信息安全測評(píng)認(rèn)證中心、北京市信息安全測評(píng)中心負(fù)責(zé)起草。本標(biāo)準(zhǔn)主要起草人：范紅等人。信息安全風(fēng)險(xiǎn)評(píng)估指南1　 范圍本標(biāo)準(zhǔn)提出了信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)施流程、評(píng)估內(nèi)容、評(píng)估方法及其在信息系統(tǒng)生命周期各階段的不同要求，適用于組織開展的信息安全風(fēng)險(xiǎn)評(píng)估工作。2　 規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。ISO/IEC 177992000 Information security management —Part 1:Code of practice for information security management ISO/IEC TR Information technologyGuidelines for the management of IT SecurityPart 1:Concepts and models of IT SecurityGB　17859－1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則　GB/T 197162005 信息技術(shù) 信息安全管理實(shí)用規(guī)則GB/T 信息技術(shù) 信息技術(shù)安全管理指南 第1部分：信息技術(shù)安全概念和模型GB/T9361－2000　計(jì)算機(jī)場地安全要求3　 術(shù)語和定義下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。資產(chǎn) Asset對(duì)組織具有價(jià)值的信息資源，是安全策略保護(hù)的對(duì)象。資產(chǎn)價(jià)值 Asset Value資產(chǎn)的重要程度或敏感程度。資產(chǎn)價(jià)值是資產(chǎn)的屬性，也是進(jìn)行資產(chǎn)識(shí)別的主要內(nèi)容。威脅 Threat可能對(duì)資產(chǎn)或組織造成損害的潛在原因。威脅可以通過威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來刻畫。 　脆弱性 Vulnerability可能被威脅利用對(duì)資產(chǎn)造成損害的薄弱環(huán)節(jié)。信息安全風(fēng)險(xiǎn) Information Security Risk人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件及其對(duì)組織造成的影響。　信息安全風(fēng)險(xiǎn)評(píng)估 Information Security Risk Assessment依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過程。它要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對(duì)組織造成的影響?！堄囡L(fēng)險(xiǎn) Residual Risk采取了安全措施后，仍然可能存在的風(fēng)險(xiǎn)?！C(jī)密性 Confidentiality使信息不泄露給未授權(quán)的個(gè)人、實(shí)體、過程或不使信息為其利用的特性。完整性Integrality保證信息及信息系統(tǒng)不會(huì)被有意地或無意地更改或破壞的特性?！】捎眯? Availability可以由得到授權(quán)的實(shí)體按要求進(jìn)行訪問和使用的特性。業(yè)務(wù)戰(zhàn)略　Business Strategy組織為實(shí)現(xiàn)其發(fā)展目標(biāo)而制定的規(guī)則。　安全事件 Security Event 威脅利用脆弱性產(chǎn)生的危害情況。　安全需求 Security Requirement為保證組織業(yè)務(wù)戰(zhàn)略的正常運(yùn)作而在安全措施方面提出的要求?！“踩胧? Security Measure保護(hù)資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制的總稱?！∽栽u(píng)估 Selfassessment由組織自身發(fā)起，參照國家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及其管理進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)?！z查評(píng)估 Inspection Assessment由被評(píng)估組織的上級(jí)主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的，依據(jù)國家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及其管理進(jìn)行的具有強(qiáng)制性的檢查活動(dòng)。4　 概述　 目的與意義信息安全風(fēng)險(xiǎn)是由于資產(chǎn)的重要性，人為或自然的威脅利用信息系統(tǒng)及其管理體系的脆弱性，導(dǎo)致安全事件一旦發(fā)生所造成的影響。信息安全風(fēng)險(xiǎn)評(píng)估是指依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過程。它要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對(duì)組織造成的影響，即信息安全的風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全保障機(jī)制建立過程中的一種評(píng)價(jià)方法，其結(jié)果為信息安全風(fēng)險(xiǎn)管理提供依據(jù)。本標(biāo)準(zhǔn)以下條款中所指的“風(fēng)險(xiǎn)評(píng)估”，其含義均為“信息安全風(fēng)險(xiǎn)評(píng)估”?！?目標(biāo)讀者本標(biāo)準(zhǔn)適用于為評(píng)價(jià)信息系統(tǒng)及其管理的安全風(fēng)險(xiǎn)的各類組織，包括：信息系統(tǒng)所有者：本標(biāo)準(zhǔn)為系統(tǒng)所有者選擇安全措施實(shí)施信息系統(tǒng)保護(hù)時(shí)提供技術(shù)支持。本標(biāo)準(zhǔn)中提出的安全風(fēng)險(xiǎn)理念為系統(tǒng)所有者在合理控制風(fēng)險(xiǎn)的前提下選擇技術(shù)與管理控制措施。系統(tǒng)所有者可以基于本標(biāo)準(zhǔn)的評(píng)估結(jié)果來決定信息系統(tǒng)是否滿足他們的安全需求，是否將重要資產(chǎn)的風(fēng)險(xiǎn)降低到可接受的范圍內(nèi)。系統(tǒng)所有者在信息系統(tǒng)的運(yùn)行、管理中，可以依據(jù)本標(biāo)準(zhǔn)進(jìn)行持續(xù)性評(píng)估，以不斷識(shí)別系統(tǒng)面臨的風(fēng)險(xiǎn)，為改進(jìn)策略的實(shí)施提供依據(jù)。評(píng)估者：本標(biāo)準(zhǔn)為評(píng)估信息系統(tǒng)安全風(fēng)險(xiǎn)方面提供支持?；诒緲?biāo)準(zhǔn)的一些判定準(zhǔn)則，為評(píng)估結(jié)果的有效性和可靠性提供支持，從而為系統(tǒng)所有者決策服務(wù)。管理機(jī)構(gòu)：本標(biāo)準(zhǔn)可以作為信息系統(tǒng)所有者的上級(jí)主管部門或業(yè)務(wù)管理機(jī)構(gòu)的信息安全管理手段之一，對(duì)信息系統(tǒng)及其管理進(jìn)行安全檢查，推動(dòng)行業(yè)或地區(qū)信息安全風(fēng)險(xiǎn)管理的實(shí)施。本標(biāo)準(zhǔn)也可以作為對(duì)信息安全感興趣或有責(zé)任的組織和個(gè)人的參考資料。　 文檔組織本標(biāo)準(zhǔn)分為兩部分：第一部分：主體部分。主要介紹風(fēng)險(xiǎn)評(píng)估的定義、原理及實(shí)施流程，對(duì)資產(chǎn)、威脅和脆弱性識(shí)別進(jìn)行了詳細(xì)的描述，同時(shí)提出了風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期不同階段的要求，以及風(fēng)險(xiǎn)評(píng)估的不同形式。第二部分：附錄部分。包括信息安全風(fēng)險(xiǎn)評(píng)估的方法和工具的介紹，目的是使用戶了解到具體風(fēng)險(xiǎn)判別手段的多樣性和靈活性。5　 風(fēng)險(xiǎn)評(píng)估框架及流程本章提出了風(fēng)險(xiǎn)評(píng)估原理及實(shí)施流程?！?風(fēng)險(xiǎn)要素關(guān)系圖信息是一種資產(chǎn)，資產(chǎn)所有者應(yīng)對(duì)信息資產(chǎn)進(jìn)行保護(hù)，通過分析信息資產(chǎn)的脆弱性來確定威脅可能利用哪些弱點(diǎn)來破壞其安全性。風(fēng)險(xiǎn)評(píng)估要識(shí)別資產(chǎn)相關(guān)要素的關(guān)系，從而判斷資產(chǎn)面臨的風(fēng)險(xiǎn)大小?！　　　　　★L(fēng)險(xiǎn)評(píng)估中各要素的關(guān)系如圖1所示：安全措施 抵御業(yè)務(wù)戰(zhàn)略脆弱性安全需求威脅風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)安全事件依賴具有被滿足利用暴露降低增加加依賴增加導(dǎo)出演變 未被滿足未控制可能誘發(fā)殘留成本資產(chǎn)資產(chǎn)價(jià)值圖1 風(fēng)險(xiǎn)要素關(guān)系圖圖1中方框部分的內(nèi)容為風(fēng)險(xiǎn)評(píng)估的基本要素，橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性。風(fēng)險(xiǎn)評(píng)估圍繞其基本要素展開，在對(duì)這些要素的評(píng)估過程中需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等與這些基本要素相關(guān)的各類屬性。圖1中的風(fēng)險(xiǎn)要素及屬性之間存在著以下關(guān)系： （1）業(yè)務(wù)戰(zhàn)略依賴資產(chǎn)去實(shí)現(xiàn)；（2）資產(chǎn)是有價(jià)值的，組織的業(yè)務(wù)戰(zhàn)略對(duì)資產(chǎn)的依賴度越高，資產(chǎn)價(jià)值就越大；（3）資產(chǎn)價(jià)值越大則其面臨的風(fēng)險(xiǎn)越大；（4）風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大，并可能演變成安全事件；（5）弱點(diǎn)越多，威脅利用脆弱性導(dǎo)致安全事件的可能性越大；（6）脆弱性是未被滿足的安全需求，威脅要通過利用脆弱性來危害資產(chǎn)，從而形成風(fēng)險(xiǎn)；（7）風(fēng)險(xiǎn)的存在及對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)導(dǎo)出安全需求；（8）安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價(jià)值考慮實(shí)施成本；（9）安全措施可抵御威脅，降低安全事件的發(fā)生的可能性，并減少影響；（10）風(fēng)險(xiǎn)不可能也沒有必要降為零，在實(shí)施了安全措施后還會(huì)有殘留下來的風(fēng)險(xiǎn)。有些殘余風(fēng)險(xiǎn)來自于安全措施可能不當(dāng)或無效,在以后需要繼續(xù)控制，而有些殘余風(fēng)險(xiǎn)則是在綜合考慮了安全成本與效益后未控制的風(fēng)險(xiǎn)，是可以被接受的；（11）殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它可能會(huì)在將來誘發(fā)新的安全事件?！?風(fēng)險(xiǎn)分析示意圖風(fēng)險(xiǎn)分析示意圖如下所示：威脅識(shí)別脆弱性識(shí)別威脅出現(xiàn)的頻率脆弱性的嚴(yán)重程度資產(chǎn)的重要性安全事件的損失風(fēng)險(xiǎn)值資產(chǎn)識(shí)別圖2 風(fēng)險(xiǎn)分析示意圖風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性等基本要素。每個(gè)要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性是威脅出現(xiàn)的頻率；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。風(fēng)險(xiǎn)分析主要內(nèi)容為：（1）對(duì)資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)的重要性進(jìn)行賦值；（2）對(duì)威脅進(jìn)行識(shí)別，描述威脅的屬性，并對(duì)威脅出現(xiàn)的頻率賦值；（3）對(duì)資產(chǎn)的脆弱性進(jìn)行識(shí)別，并對(duì)具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；（4）根據(jù)威脅和脆弱性的識(shí)別結(jié)果判斷安全事件發(fā)生的可能性；（5）根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用資產(chǎn)的重要性計(jì)算安全事件的損失；（6）根據(jù)安全事件發(fā)生的可能性以及安全事件的損失，計(jì)算安全事件一旦發(fā)生對(duì)組織的影響，即風(fēng)險(xiǎn)值。 　 實(shí)施流程圖3給出風(fēng)險(xiǎn)評(píng)估的實(shí)施流程，第6章將圍繞風(fēng)險(xiǎn)評(píng)估流程闡述風(fēng)險(xiǎn)評(píng)估各具體實(shí)施步驟。否是否圖3風(fēng)險(xiǎn)評(píng)估實(shí)施流程圖是風(fēng)險(xiǎn)評(píng)估準(zhǔn)備已有安全措施的確認(rèn)