《信息安全技术信息安全风险评估规范》由会员分享,可在线阅读,更多相关《信息安全技术信息安全风险评估规范(43页珍藏版)》请在金锄头文库上搜索。
1、 中 华 人 民 共 和 国 国 家 标 准ICS 35.040L 80GB/T 信息安全技术信息安全风险评估规范Information security technology-Risk assessment specification for information security(报批稿)-发布 -实施国 家 质 量 监 督 检 验 检 疫 总 局 发 布GB/T I目 次前言.II引言.III1 范围.12 规范性引用文 件.13 术语和定义.14 风险评估框架及流程.44.1 风险要素关系.44.2 风险分析原理.54.3 实施流程.55 风险评估实施.65.1 风险评估准备.65.
2、2 资产识别.85.3 威胁识别.125.4 脆弱性识别.145.5 已有安全措施确认.175.6 风险分析.175.7 风险评估文档记录.196 信息系统生命周期各阶段的风险评估.216.1 信息系统生命周期概述.216.2 规划阶段的风险评估.216.3 设计阶段的风险评估.216.4 实施阶段的风险评估.226.5 运行维护阶段的风险评估.236.6 废弃阶段的风险评估.247 风险评估的工作形式.247.1 概述.247.2 自评估.247.3 检查评估.25附录 A (资料性附录) 风险的计算方法 .27A.1 使用矩阵法计算风险.27A.2 使用相乘法计算风险.32附录 B (资料
3、性附录)风险评估的工具 .36B.1 风险评估与管理工具.36B.2 系统基础平台风险评估工具.37B.3 风险评估辅助工具.38参考文献.39GB/T II前 言本标准附录 A 和附录 B 是资料性附录。本标准由国务院信息化工作办公室提出。本标准由全国信息安全标准化技术委员会归口。本标准主要起草单位:国家信息中心、公安部第三研究所、国家保密技术研究所、中国信息安全产品测评认证中心、中国科学院信息安全国家重点实验室、解放军信息技术安全研究中心、中国航天二院七六所、北京信息安全测评中心、上海市信息安全测评认证中心。本标准主要起草人:范红、吴亚非、李京春、马朝斌、李嵩、应力、王宁、江常青、张鉴、赵
4、敬宇。GB/T III引 言随着政府部门、企事业单位以及各行各业对信息系统依赖程度的日益增强,信息安全问题受到普遍关注。运用风险评估去识别安全风险,解决信息安全问题得到了广泛的认识和应用。信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地保障信息安全提供科学依据。信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,要贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段,是信息安
5、全等级保护制度建设的重要科学方法之一。本标准条款中所指的“风险评估” ,其含义均为“信息安全风险评估” 。GB/T 1信息安全风险评估规范1范围本标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。本标准适用于规范组织开展的风险评估工作。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T 9
6、361-2000计算机场地安全要求GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 18336-2001 信息技术 安全技术 信息技术安全性评估准则(idtISO/IEC 15408:1999)GB/T 19716-2005 信息技术 信息安全管理实用规则(ISO/IEC 17799:2000,IDT)3术语和定义下列术语和定义适用于本标准。3.1资产 asset对组织具有价值的信息或资源,是安全策略保护的对象。3.2资产价值 asset value资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。3.3GB/T 2可用性 availabi
7、lity数据或资源的特性,被授权实体按要求能访问和使用数据或资源。3.4业务战略business strategy组织为实现其发展目标而制定的一组规则或要求。3.5保密性 confidentiality数据所具有的特性,即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度。3.6信息安全风险 information security risk人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.7(信息安全)风险评估 (information security) risk assessment依据有关信息安全技术与管理标准,对信息系统
8、及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。3.8信息系统 information system由计算机及其相关的和配套的设备、设施(含网络) 构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。典型的信息系统由三部分组成:硬件系统(计算机硬件系统和网络硬件系统) ;系统软件(计算机系统软件和网络系统软件) ;应用软件(包括由其处理、存储的信息) 。3.9检查评估 inspection assessme
