国家质量监督检验检疫总局 发布××××-××-××实施××××-××-××发布信息安全风险评估指南Information Security Risk Assessment Guideline(送审稿)GB/T ××××—××××中华人民共和国国家标准ICS 35.040L 80 / 目 次前言I1 围12 规性引用文件13 术语和定义14 概述34.1 目的与意义34.2 目标读者44.3 文档组织45 风险评估框架与流程45.1 风险要素关系图45.2 风险分析示意图65.3 实施流程66 风险评估实施76.1 风险评估的准备76.2 资产识别86.3 威胁识别136.4 脆弱性识别156.5 已有安全措施的确认176.6 风险分析176.7 风险评估文件记录197 风险评估在信息系统生命周期中的不同要求207.1 信息系统生命周期概述207.2 信息系统生命周期各阶段的风险评估218 风险评估的形式与角色运用258.1 风险评估的形式258.2 风险评估不同形式与其中各角色的关系25附 录 A28A.1 风险矩阵测量法28A.2 威胁分级计算法29A.3 风险综合评价法30A.4 安全属性矩阵法30附 录 B33B.1 安全管理评价系统33B.2 系统软件评估工具33B.3 风险评估辅助工具34前 言为指导和规针对组织的信息系统与其管理的信息安全风险评估工作,特制定本标准。
本标准介绍了信息安全风险评估的基本概念、原则和要求,提出了信息安全风险评估的一般方法本标准由国务院信息化工作办公室提出本标准由全国信息安全标准化技术委员会归口本标准由国家信息中心、信息安全国家重点实验室、中科网威、市信息安全测评认证中心、市信息安全测评中心负责起草本标准主要起草人:红等人信息安全风险评估指南1 围本标准提出了信息安全风险评估的实施流程、评估容、评估方法与其在信息系统生命周期各阶段的不同要求,适用于组织开展的信息安全风险评估工作2 规性引用文件以下文件中的条款通过本标准的引用而成为本标准的条款凡是注日期的引用文件,其随后所有的修改单(不包括勘误的容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本凡是不注日期的引用文件,其最新版本适用于本标准ISO/IEC 17799-2000 Information security management —Part 1:Code of practice for information security managementISO/IEC TR 13335.1 Information technology-Guidelines for the management of IT Security-Part 1:Concepts and models of IT SecurityGB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 19716-2005 信息技术 信息安全管理实用规则GB/T 19715.1-2005 信息技术 信息技术安全管理指南 第1部分:信息技术安全概念和模型GB/T9361-2000 计算机场地安全要求3 术语和定义以下术语和定义适用于本标准。
3.1资产 Asset对组织具有价值的信息资源,是安全策略保护的对象3.2资产价值 Asset Value资产的重要程度或敏感程度资产价值是资产的属性,也是进行资产识别的主要容3.3威胁 Threat可能对资产或组织造成损害的潜在原因威胁可以通过威胁主体、资源、动机、途径等多种属性来刻画 3.4 脆弱性 Vulnerability可能被威胁利用对资产造成损害的薄弱环节3.5信息安全风险 Information Security Risk人为或自然的威胁利用信息系统与其管理体系中存在的脆弱性导致安全事件与其对组织造成的影响3.6 信息安全风险评估 Information Security Risk Assessment依据有关信息安全技术与管理标准,对信息系统与由其处理、传输和存储的信息的性、完整性和可用性等安全属性进行评价的过程它要评估资产面临的威胁以与威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉与的资产价值来判断安全事件一旦发生对组织造成的影响3.7 残余风险 Residual Risk采取了安全措施后,仍然可能存在的风险3.8 性 Confidentiality使信息不泄露给未授权的个人、实体、过程或不使信息为其利用的特性。
3.9完整性Integrality保证信息与信息系统不会被有意地或无意地更改或破坏的特性3.10 可用性 Availability可以由得到授权的实体按要求进行访问和使用的特性3.11业务战略 Business Strategy组织为实现其发展目标而制定的规则3.12 安全事件 Security Event 威胁利用脆弱性产生的危害情况3.13 安全需求 Security Requirement为保证组织业务战略的正常运作而在安全措施方面提出的要求3.14 安全措施 Security Measure保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以与打击信息犯罪而实施的各种实践、规程和机制的总称3.15 自评估 Self-assessment由组织自身发起,参照国家有关法规与标准,对信息系统与其管理进行的风险评估活动3.16 检查评估 Inspection Assessment由被评估组织的上级主管机关或业务主管机关发起的,依据国家有关法规与标准,对信息系统与其管理进行的具有强制性的检查活动4 概述4.1 目的与意义信息安全风险是由于资产的重要性,人为或自然的威胁利用信息系统与其管理体系的脆弱性,导致安全事件一旦发生所造成的影响。
信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统与由其处理、传输和存储的信息的性、完整性和可用性等安全属性进行评价的过程它要评估资产面临的威胁以与威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉与的资产价值来判断安全事件一旦发生对组织造成的影响,即信息安全的风险信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法,其结果为信息安全风险管理提供依据本标准以下条款中所指的“风险评估”,其含义均为“信息安全风险评估”4.2 目标读者本标准适用于为评价信息系统与其管理的安全风险的各类组织,包括:信息系统所有者:本标准为系统所有者选择安全措施实施信息系统保护时提供技术支持本标准中提出的安全风险理念为系统所有者在合理控制风险的前提下选择技术与管理控制措施系统所有者可以基于本标准的评估结果来决定信息系统是否满足他们的安全需求,是否将重要资产的风险降低到可承受的围系统所有者在信息系统的运行、管理中,可以依据本标准进行持续性评估,以不断识别系统面临的风险,为改进策略的实施提供依据评估者:本标准为评估信息系统安全风险方面提供支持基于本标准的一些判定准则,为评估结果的有效性和可靠性提供支持,从而为系统所有者决策服务。
管理机构:本标准可以作为信息系统所有者的上级主管部门或业务管理机构的信息安全管理手段之一,对信息系统与其管理进行安全检查,推动行业或地区信息安全风险管理的实施本标准也可以作为对信息安全感兴趣或有责任的组织和个人的参考资料4.3 文档组织本标准分为两部分:第一部分:主体部分主要介绍风险评估的定义、原理与实施流程,对资产、威胁和脆弱性识别进行了详细的描述,同时提出了风险评估在信息系统生命周期不同阶段的要求,以与风险评估的不同形式第二部分:附录部分包括信息安全风险评估的方法和工具的介绍,目的是使用户了解到具体风险判别手段的多样性和灵活性5 风险评估框架与流程本章提出了风险评估原理与实施流程5.1 风险要素关系图信息是一种资产,资产所有者应对信息资产进行保护,通过分析信息资产的脆弱性来确定威胁可能利用哪些弱点来破坏其安全性风险评估要识别资产相关要素的关系,从而判断资产面临的风险大小 风险评估中各要素的关系如图1所示:安全措施 抵御业务战略脆弱性安全需求威胁风险残余风险安全事件依赖具有被满足利用暴露降低增加加依赖增加导出演变 未被满足未控制可能诱发残留成本资产资产价值图1 风险要素关系图图1中方框部分的容为风险评估的基本要素,椭圆部分的容是与这些要素相关的属性。
风险评估围绕其基本要素展开,在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性图1中的风险要素与属性之间存在着以下关系: (1)业务战略依赖资产去实现;(2)资产是有价值的,组织的业务战略对资产的依赖度越高,资产价值就越大;(3)资产价值越大则其面临的风险越大;(4)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件;(5)弱点越多,威胁利用脆弱性导致安全事件的可能性越大;(6)脆弱性是未被满足的安全需求,威胁要通过利用脆弱性来危害资产,从而形成风险;(7)风险的存在与对风险的认识导出安全需求;(8)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;(9)安全措施可抵御威胁,降低安全事件的发生的可能性,并减少影响;(10)风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险有些残余风险来自于安全措施可能不当或无效,在以后需要继续控制,而有些残余风险则是在综合考虑了安全成本与效益后未控制的风险,是可以被承受的;(11)残余风险应受到密切监视,它可能会在将来诱发新的安全事件5.2 风险分析示意图风险分析示意图如下所示:威胁识别脆弱性识别威胁出现的频率脆弱性的严重程度资产的重要性安全事件的损失风险值资产识别图2 风险分析示意图风险分析中要涉与资产、威胁、脆弱性等基本要素。
每个要素有各自的属性,资产的属性是资产价值;威胁的属性是威胁出现的频率;脆弱性的属性是资产弱点的严重程度风险分析主要容为:(1)对资产进行识别,并对资产的重要性进行赋值;(2)对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;(3)对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;(4)根据威胁和脆弱性的识别结果判断安全事件发生的可能性;(5)根据脆弱性的严重程度与安全事件所作用资产的重要性计算安全事件的损失;(6)根据安全事件发生的可能性以与安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值 5.3 实施流程图3给出风险评估的实施流程,第6章将围绕风险评估流程阐述风险评估各具体实施步骤否是否图3。