《GBT 20984-2022 信息安全技术 信息安全风险评估方法.docx》由会员分享,可在线阅读,更多相关《GBT 20984-2022 信息安全技术 信息安全风险评估方法.docx(29页珍藏版)》请在三一办公上搜索。
1、ICS35.030CCSL80中华人民共和国国家标准GB/T209842022代替GB/T209842007信息安全技术信息安全风险评估方法InformationsecuritytechnologyRiskassessmentmethodforinformationsecurity2022-04-15发布2022-11-01实施国家市场监督管理总局国家标准化管理委员会目次前言I1范围12规范性引用文件13术语和定义、缩略语13. 1术语和定义13.2缩略语24风险评估框架及流程24. 1风险要素关系24.2风险分析原理34.3风险评估流程35风险评估实施45. 1风险评估准备45. 2风险识别
2、55. 3风险分析115. 4风险评价115. 5沟通与协商135.6风险评估文档记录13附录A(资料性)评估对象生命周期各阶段的风险评估14附录B(资料性)风险评估的工作形式17附录C(资料性)风险评估的工具18附录D(资料性)资产识别21附录E(资料性)威胁识别23附录F(资料性)风险计算示例26参考文献27本文件按照GB/TL1-2020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。本文件代替GB/T209842007信息安全技术信息安全风险评估规范,与GB/T209842007相比,除结构调整和编辑性改动外,主要技术变化如下:a)增加了“业务”和“信息系统生命周期”(见
3、3.4和3.7);b)删除了“业务战略”的术语和定义(见2007年版的3.4);c)删除了资产”“资产池”“可用性”“保密性”“信息獭”“强”“残领险”“安全事(牛”“威胁”和“脆弱性”的术语和定义观2007年版的3.1、3.2、3.3、3.5、3.8、3.10、3.12、3.14、3.17和3.18);d)更改了风险评估框架及流程中的风险要素关系、风险分析原理和评估实施流程(见第4章,2007年版的第4章);e)更改了风险评估实施过程中风险要素识别和关联分析内容(见5.2和5.3,2007年版的5.2、5.3、5.4、5.5和5.6);f)将原标准中评估对象生命周期各阶段的风险评估和风险评估
4、的工作形式调整到规范性附录A和资料性附录B中(见附录A和附录B,2007年版的第6章和第7章)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:国家信息中心、北京安信天行科技有限公司、信息产业信息安全测评中心、北京信息安全测评中心、中国信息安全测评中心、中国网络安全审查技术与认证中心、中国电子技术标准化研究院、公安部信息安全等级保护评估中心、公安部第一研究所、上海观安信息技术股份有限公司、成都民航电子技术有限责任公司、河南金盾信安检测评估中心有限公司、深圳市南山区政务服务数据管理局、
5、云南公路联网收费管理有限公司、国网宁夏电力有限公司、国网新疆电力有限公司。本文件主要起草人:禄凯、詹榜华、陈永刚、刘丰、陈青民、赵增振、张益、高亚楠、任金强、刘龙涛、刘德林、刘朗俊、孙明亮、杜宇鸽、翟亚红、王惠莅、任卫红、彭海龙、李秋香、安佳伟、马勇、张军、汤志强、段明磊、杨童、肖强、张宏杰、刘育辰、陈涛、李峰。本文件及其所代替文件的历次版本发布情况为:2007年首次发布为GB/T209842007;一本次为第一次修订。信息安全技术信息安全风险评估方法1范围本文件描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实
6、施要点和工作形式。本文件适用于各类组织开展信息安全风险评估工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改版)适用于本文件。GB/T25069信息安全技术术语GB/T33132-2016信息安全技术信息安全风险处理实施指南3术语和定义、缩略语3.1 术语和定义GB/T25069界定的以及下列术语和定义适用于本文件。3.1.1 1信息安全风险informationsecurityrisk特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。注
7、:它以密态的可能性及其后果的组合来度量。来源:GB/T317222015,3.23.1.2风险评估riskassessment风险识别、风险分析和风险评价的整个过程。来源:GB/T292462017,2.71注:本文件专指信息安全风险评估。3.1.3organization具有自身的职责、权威和关系以实现其目标的个人或集体。注:组织的概念包括但不限于个体经营者、公司、法人、商行、企业、机关、合伙关系、慈善机构或院校,或者其部分或组合,无论注册成立与否、是公共的还是私营的。来源:GB/T292462017,2.57,有修改3.1.4业务business组织为实现某项发展规划而开展的运营活动。注:
8、该活动具有明确的目标,并磔段时间。3.1.5安全需求securityrequirement为保证组织业务规划的正常运作而在安全措施方面提出的要求。3.1.6安全措施securityctrol保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制。3.1.7 1.7信息系统生命周期informationsystemlifecycle信息系统的各个生命阶段,包括规划阶段、设计阶段、实施阶段、运行维护阶段和废弃阶段。来源:GB/T315092015,3.1.23.1.8自评估SeIf-assessment由评估对象所有者自身发起,组成机构内部的评估小组,依据
9、国家有关法规与标准,对评估对象安全管理进行评估的活动。来源:GB/T284532012,3.2,有修改3.1.9检查评估nspectionassessment由评估对象所有者的上级主管部门、业务主管部门或国家相关监管部门发起,依据国家有关法规与标准,对评估对象安全管理进行的评估活动来源:GB/T28453-2012.33,有修改3.1.10 2缩略语下列缩略谓适用于本文件App:应用程序(APPliCaIionIT:信思技术InformationTechnologyPaaS:平台即服务(PlatfOnnasaService)UPS:不间断电源(UninterruptedPowerSupply)
10、VPN:虚拟专用网络(VirtUalPrivateNetwork)4风险评估框架及流程4.1 风险要素关系风险评估中基本要素的关系如图1所示。风险评估基本要素包括资产、威胁、脆弱性和安全措施,并基于以上要素开展风险评估。标引序号说明:风险要素;要素关系;风险。图1风险要素及其关系开展风险评估时,基本要素之间的关系如下:a)风险要素的核心是资产,而资产存在脆弱性;b)安全措施的实施通过降低资产脆弱性被利用难易程度,抵御外部威胁,以实现对资产的保护;c)威胁通过利用资产存在的脆弱性导致风险;d)风险转化成安全事件后,会对资产的运行状态产生影响。风险分析时,应综合考虑资产、脆弱性、威胁和安全措施等基
11、本因素。4.2 风险分析原理风险分析原理如下:a)根据威胁的来源、种类、动机等,并结合威胁相关安全事件、日志等历史数据统计,确定威胁的能力和频率;b)根据脆弱性访问路径、触发要求等,以及已实施的安全措施及其有效性确定脆弱性被利用难易程度;c)确定脆弱性被威胁利用导致安全事件发生后对资产所造成的影响程度;d)根据威胁的能力和频率,结合脆弱性被利用难易程度,确定安全事件发生的可能性;e)根据资产在发展规划中所处的地位和资产的属性,确定资产价值;f)根据影响程度和资产价值,确定安全事件发生后对评估对象造成的损失;g)根据安全事件发生的可能性以及安全事件造成的损失,确定评估对象的风险值;h)依据风险评
12、价准则,确定风险等级,用于风险决策。4.3 风险评估流程风险评估的实施流程如图2所示。风险评估流程应包括如下内容。a)评估准备,此阶段应包括:1) 确定风险评估的目标;2)确定风险评估的对象、范围和边界;3)组建评估团队;4)开展前期调研;5)确定评估依据:评估准备顺 L识别资产识别威胁识别已有安全 措施识别ttiH 另IJ图2风险评估实施流程图6) 建立风险评价准则:7) 制定评估方案。组织应形成完整的风险评估实施方案,并获得组织最高管理者的支持和批准b)风险识别,此阶段应包括1)资产识别(见5.2.1);2 )威胁识别(见3 )己有安全措施识别(见5.2.3)4)脆弱性识别(见5.2.4)
13、。c)风险分析,此阶段依据识别的结果计算得到风险值。d)风险评价,此阶段依据风险评价准则确定风险等级。沟通与协商和评估过程文档管理贯穿手整个风险评估过程.风险评估工作是持续性的活动,当评估对象的政策环境、外部威胁环境、业务目标、安全自标等发上变化时,应成新开展风险评估。风险评估的结果能够为风险处理提供决策支撑,风险处理是指对风险进行处理的一系列活动,如接受风险、规避风险、转移风险、降低风险等。风险处理按照GB/T33132-2016开展5风险评估实施5.1风险评估准备组织实施风险评估是一种战略性的考虑,其结果将受到组织规划、业务、业务流程、安全需求、系统规模和结构等方面的影响。因此,在风险评估
14、实施前应准备以下工作,a)在考虑风险评估的工作形式、在生命周期中所处阶段和被评估单位的安全评估需求的基础上,确定风险评估目标。附录A给出了评估对象生命周期各阶段的风险评估内容,附录B给出了风险评估的工作形式描述。b)确定风险评估的对象、范围和边界。C)组建评估团队、明确评估工具。附录C给出了风险评估的工具。d)开展前期调研。e)确定评估依据。f)建立风险评价准则:组织应在考虑国家法律法规要求及行业背景和特点的基础上,建立风险评价准则,以实现对风险的控制与管理。风险评价准则应满足以下要求:1)符合组织的安全策略或安全需求;2)满足利益相关方的期望;3)符合组织业务价值。建立风险评价准则的目的包括
15、但不限于:4)对风险评估的结果进行等级化处理;5)能实现对不同风险的直观比较;6)能确定组织后期的风险控制策略。g)制定评估方案。h)获得最高管理者支持。评估方案需得到组织最高管理者的支持和批准。.52m三j5.2.1资产识别1.1.1 .1除资产识别是风险评估的核心环节。资产按照层次可划分为业务资产、系统资产、系统组件和单元资产,如图3所示。因此资产识别应从三个层次进行识别。组织资产业务资产 系统资产 系统组件和玳元资产-图3资产层次图1.1.2 业务识SJ5.21.21 识别内容业务是实现组织发展规划的具体活动,业务识别是风险评估的关键环节。业务识别内容包括业务的属性、定位、完整性和关联性
16、识别。业务识别主要识别业务的功能、对象、流程和范围等。业务的定位主要识别业务在发展规划中的地位。业务的完整性主要识别其为独立业务或非独立业务。业务的关联性识别主要识别与其他业务之间的关系。表1提供了一种业务识别内容的参考。1业务识别内容表识别内容示例属性业务功能、业务对象、业务流程、业务范围、覆盖地域等定位发展规划中的业务属性和职能定位、与发展规划目标的契合度、业务布局中的位置和作用、竞争关系中竞争力强弱等完整性独立业务:业务独立,整个业务流程和环节闭环非独立业务:业务属于业务环节的某部分,可能与其他业务具有关联性关联性关联类别:并列关系(业务与业务间并列关系包括业务间相互依赖或单向依赖,业务
17、间共用同一信息系统,业务属于同一业务流程的不同业务环节等)、父子关系(业务与业务之间存在包含关系等)、间接关系(通过其他业务,或者其他业务流程产生的关联性等)关联程度:如果被评估业务遭受重大损害,将会造成关联业务无法正常开展,此类关联为紧密关联其他为非紧密关联业务识别数据应来自熟悉组织业务结构的业务人员或管理人员。业务识别既可通过访谈、文档查阅、资料查阅,还可通过对信息系统进行梳理后总结整理进行补充。5.21.22 业务重要性赋值应根据业务的重要程度进行等级划分,并对其重要性进行赋值。表2提供了一种业务重要性赋值的参考。表2业务重要性赋值表赋值标识定义5很高业务在规划中极其重要,在发展规划中的
18、业务属性及职能定位层面具有重大影响,在规划的发展目标层面中短期目标或长期目标中占据极其重要的地位4高业务在规划中较为重要,在发展规划中的业务属性及职能定位层面具有较大影响,在规划的发展目标层面中短期目标或长期目标中占据极其重要的地位3中等业务在规划中具有一定重要性,在发展规划中的业务属性及职能定位层面具有一定影响,在规划的发展目标层面中短期目标或长期目标中占据重要的地位2低业务在规划中具有一定重要性,在发展规划中的业务属性及职能定位层面影响较低,在规划的发展目标层面中短期目标或长期目标中占据一定的地位1很低业务在规划中具有一定重要性,在发展规划中的业务属性及职能定位层面影响很低,在规划的发展目
19、标层面中短期目标或长期目标中占据较低的地位业务的关联性会对业务的重要性造成影响。若被评估业务与高于其重要性赋值的业务具有紧密关联关系,则该业务重要性赋值应在原赋值基础上进行赋值调整。附录D中表D.1给出了一种存在紧密关联业务影响时的业务重要性赋值调整方法。5.21.23 系统资产识别5.21.3.1 识别内容系统资产识别包括资产分类和业务承载性识别两个方面。表3给出了系统资产识别的主要内容描述。系统资产分类包括信息系统、数据资源和通信网络,业务承载性包括承载类别和关联程度。3系统资产识别表识别内容示例分类信息系统:信息系统是指由计算机硬件、计算机软件、网络和通信设备等组成的,并按照一定的应用目
20、标和规则进行信息处理或过程控制的系统。典型的信息系统如门户网站、业务系统、云计算平台、工业控制系统等数据资源:数据是指任何以电子或者非电子形式对信息的记录C数据资源是指具有或预期具有价值的数据集。在进行数据资源风险评估时,应将数据活动及其关联的数据平台进行整体评估。数据活动包括数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁等通信网络:通信网络是指以数据通信为目的,按照特定的规则和策略,将数据处理结点、网络设备设施互连起来的一种网络。将通信网络作为独立评估对象时,一般是指电信网、广播电视传输网和行业或单位的专用通信网等以承载通信为目的的网络业务承载性承载类别:系统资产承载业务信息采集
21、、传输、存储、处理、交换、销毁过程中的一个或多个环节关联程度:业务关联程度(如果资产遭受损害,将会对承载业务环节运行造成的影响,并综合考虑可替代性)、资产关联程度(如果资产遭受损害,将会对其他资产造成的影响,并综合考虑可替代性)5.21.3.2 2系统资产价值赋值系统资产价值应依据资产的保密性、完整性和可用性赋值,结合业务承载性、业务重要性,进行综合计算,并设定相应的评级方法进行价值等级划分,等级越高表示资产越重要。表4中给出了系统资产价值等级划分的描述。资产保密性、完整性、可用性赋值以及业务承载性赋值方法见附录及盘4系统资产价值等级赛等级标识系统资产价值等级描述5很高综合评价等级为很高,安全
22、属性破坏后对组织造成非常严重的损失4高综合评价等级为高,安全属性破坏后对组织造成比较严重的损失3中等综合评价等级为中,安全属性破坏后对组织造成中等程度的损失2低综合评价等级为低,安全属性破坏后对组织造成较低的损失1很低综合评价等级为很低,安全属性破坏后对组织造成很小的损失,甚至忽略不计5.2.1.4系统组件和单元资产识别5.2.1.4.1 识别内容系统组件和单元资产应分类识别,系统组件和单元资产分类包括系统组件、系统单元、人力资源和其他资产。表5给出了系统组件和单元资产识别的主要内容描述。表5系统组件和单元资产识别表分类示例系统单元计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计
23、算机等存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等智能终端设备:感知节点设备(物联网感知终端)、移动终端等网络设备:路由器、网关、交换机等传输线路:光纤、双绞线等安全设备:防火墙、入侵检测/防护系统、防病毒网关、VPN等系统组件应用系统:用于提供某种业务服务的应用软件集合应用软件:办公软件、各类工具软件、移动应用软件等系统软件:操作系统、数据库管理系统、中间件、开发系统、语句包等支撑平台:支撑系统运行的基础设施平台,如云计算平台、大数据平台等服务接口:系统对外提供服务以及系统之间的信息共享边界,如云计算PaaS层服务向其他信息系统提供的服务接口等人力资源运维人员:对基础设施、平台、
24、支撑系统、信息系统或数据进行运维的网络管理员、系统管理员等业务操作人员:对业务系统进行操作的业务人员或管理员等安全管理人员:安全管理员、安全管理领导小组等外包服务人员:外包运维人员、外包安全服务或其他外包服务人员等其他资产保存在信息媒介上的各种数据资料:源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等办公设备:打印机、复印机、扫描仪、传真机等保障设备:UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等服务:为了支撑业务、信息系统运行、信息系统安全,采购的服务等知识产权:版权、专利等5.2.1.4.2 系统组件和单元资产价值赋值系统组件和单元资产价值应依据
25、其保密性、完整性、可用性赋值进行综合计算,并设定相应的评级方法进行价值等级划分,等级越高表示资产越重要。表6中给出了系统组件和单元资产价值等级划分的描述。资产保密性、完整性、可用性赋值方法见附录D。表6系统组件和单元资产价值等级表等级标识系统组件和单元资产价值等级描述5很高综合评价等级为很高,安全属性破坏后对业务和系统资产造成非常严重的影响4高综合评价等级为高,安全属性破坏后对业务和系统资产造成比较严重的膨响3中等综合评价等级为中,安全属性破坏后对业务和系统资产造成中等程度的影响2低综合评价等级为低,安全属性破坏后对业务和系统资产造成较低的膨响1很低综合评价等级为很低,安全属性破坏后对业务和系
26、统资产造成很小的影响,甚至忽略不计5.22则蹴5.2.21威胁识别内容威胁识别的内容包括威胁的来源、主体、种类、动机、时机和频率。在对威胁进行分类前,应识别威胁的来源。威胁来源包括环境、意外和人为三类,附录E给出了威胁识别的参考方法。表E.1给出了一种威胁来源的分类方法。根据威胁来源的不同,威胁可划分为信息损害和未授权行为等威胁种类。表E.2给出了一种威胁种类划分的参考。威胁主体依据人为和环境进行区分,人为的分为国家、组织团体和个人,环境的分为一般的自然灾害、较为严重的自然灾害和严重的自然灾害。威胁动机是指引导、激发人为威胁进行某种活动,对组织业务、资产产生影响的内部动力和原因。威胁动机可划分
27、为恶意和非恶意,恶意包括攻击、破坏、窃取等,非恶意包括误操作、好奇心等。表E.3给出了一种威胁动机分类的参考。威胁时机可划分为普通时期、特殊时期和自然规律。威胁频率应根据经验和有关的统计数据来进行判断,综合考虑以下四个方面,形成特定评估环境中各种威胁出现的频率:a)以往安全事件报告中出现过的威胁及其频率统计;b)实际环境中通过检测工具以及各种日志发现的威胁及其频率统计;c)实际环境中监测发现的威胁及其频率统计;d)近期公开发布的社会或特定行业威胁及其频率统计,以及发布的威胁预警。5.2.2.2三!HK值威胁赋值应基于威胁行为,依据威胁的行为能力和频率,结合威胁发生的时机,进行综合计算,并设定相
28、应的评级方法进行等级划分,等级越高表示威胁利用脆弱性的可能性越大。表7中给出了威胁赋值等级划分的描述。表7威胁赋值表等级标识威胁赋值描述5很高根据威胁的行为能力、频率和时机,综合评价等级为很高4高根据威胁的行为能力、频率和时机,综合评价等级为高3中等根据威胁的行为能力、频率和时机,综合评价等级为中2低根据威胁的行为能力、频率和时机,综合评价等级为低1很低根据威胁的行为能力、频率和时机,综合评价等级为很低威胁能力是指威胁来源完成对组织业务、资产产生影响的活动所具备的资源和综合素质。组织及业务所处的地域和环境决定了威胁的来源、种类、动机,进而决定了威胁的能力;应对威胁能力进行等级划分,级别越高表示
29、威胁能力越强,表E.4给出了一种特定威胁行为能力赋值的参考。其中,威胁动机对威胁能力有调整作用。威胁的种类和资产决定了威胁的行为。表E.5给出了威胁行为列表的参考,E.6给出了一种资产、威胁种类、威胁行为关联分析的示例。威胁出现的频率应进行等级化处理,不同等级分别代表威胁出现频率的高低。等级数值越大,威胁出现的频率越高。威胁的频率应参考组织、行业和区域有关的统计数据进行判断。表E.7给出了一种威胁频率的赋值方法。其中,威胁时机对威胁频率有调整作用。5.2.3 已有安全措施识别安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,保护性
30、安全措施可以减少安全事件发生后对组织或系统造成的影响。在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁,5.2.4 脆弱性识别5.2.4.1 脆弱性识别内容如果脆弱性没有对应的威胁,则无需实施控制措施,但应注意并监视他们是否发生变化。相反,如果威胁没有对应的脆弱性,也不会导致风险。应注意,控制措施的不合理实施、控制措施故障或控制措施的误用本身也是脆弱性。控制措施因其运行的环境,可能有效或无效。脆弱性可从技术和管理两个方面进行审视。技术脆弱性涉及IT环境的物理层、网络层、系统层、应用层等各个层面的安全问题或
31、隐患。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面,前者与具体技术活动相关,后者与管理环境相关。脆弱性识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的脆弱性,并对脆弱性的严重程度进行评估;也可以从物理、网络、系统、应用等层次进行识别,然启与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家安全标准,也可以是行业规范、应用流程的安全要求。对应用在不同环境中的相同的脆弱性,其影响程度是不同的,评估方应从组织安全策略的角度考虑,判断资产的脆弱性被利用难易程度及其影响程庆。同时,应识别信息系统所采用的协议、应用流程的完备与否、与其他网络的互联等。对不同的识别对象,其舱弱
32、性识别的具体要求应参照相应的技术或管理标准实施。表8给出了一种脆弱性识别内容的参考表8脆弱性识别内容表类型识别对象识别方面技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护通信线路的保护、机房区域防护、机房设备管理等方面进行识另网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、访问控制策
33、略、数据完整性、通信、鉴别机制、密码保护等方面进行识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别脆弱性赋值时包括两部分,一部分是脆弱性被利用难易程度赋值,一部分是影响程度赋值。5.2.4.2 脆弱性被利用难易程度赋值脆弱性被利用难易程度赋值需要综合考虑已有安全措施的作用。一般来说,安全措施的使用将降低系统技术或管理上脆弱性被利用难易程度,但安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的脆弱性,而是一类具体措施的集合。依据脆弱性和已有安全措施识别
34、结果,得出脆弱性被利用难易程度,并进行等级化处理,不同的等级代表脆弱性被利用难易程度高低。等级数值越大,脆弱性越容易被利用。表9给出了脆弱性被利用难易程度的一种赋值方法。表9脆弱性被利用难易程度赋值衰等级标识定义5很高实施了控制措施后,脆弱性仍然很容易被利用4高实施了控制措施后,脆弱性较容易被利用3中等实施了控制措施后,脆弱性被利用难易程度一般2低实施了控制措施后,脆弱性难被利用1很低实施了控制措施后,脆弱性基本不可能被利用5.243影响程度赋值影响程度赋值是指脆弱性被威胁利用导致安全事件发生后对资产价值所造成影响的轻重程度分析并赋值的过程。识别和分析资产可能受到的影响时,需要考虑受影响资产的
35、层面。可从业务层面、系统层面、系统组件和单元三个层面进行分析。影响程度赋值需要综合考虑安全事件对资产保密性、完整性和可用性的影响。影响程度赋值采用等级划分处理方式,不同的等级分别代表对资产影响的高低。等级数值越大,影响程度越高。表10给出了影响程度的种赋值方法。表10影响程度赋值表等级标识定义5很高如果脆弱性被威胁利用,将时资产造成特别重大损害4高如果脆弱性被威胁利用,将对资产造成重大损害3中等如果脆弱性被威胁利用,将对资产造成一般损害2低如果脆弱性被威胁利用,将对资产造成较小损害1很低如果脆弱性被威胁利用,将对资产造成的损害可以忽略5.3 风险分析组织应在风险识别基础上开展风险分析,风险分析
36、应:a)根据威胁的能力和频率,以及脆弱性被利用难易程度,计算安全事件发生的可能性;b)根据安全事件造成的影响程度和资产价值,计算安全事件发生后对评估对象造成的损失;c)根据安全事件发生的可能性以及安全事件发生后造成的损失,计算系统资产面临的风险值;d)根据业务所涵盖的系统资产风险值综合计算得出业务风险值。具体风险计算过程见附录Fo5.4 风险评价5.4.1 播资产风险评价根据风险评价准则对系统资产风险计算结果进行等级处理。表11给出了一种系统资产风险等级划分方法。11系统资产风险等级划分表等级标识描述5很高风险发生的可能性很高,对系统资产产生很高的影响4高风险发生的可能性很高,对系统资产产生中
37、等及高影响风险发生的可能性高,对系统资产产生高及以上影响风险发生的可能性中,对系统资产产生很高膨响3中等风险发生的可能性很高,对系统资产产生低及以下影响风险发生的可能性高,对系统资产产生中及以下账响风险发生的可能性中,对系统资产产生高、中、低影响2低风险发生的可能性中,对系统资产产生很低影响风险发生的可能性低,对系统资产产生低及以下影响风险发生的可能性很低,对系统资产产生中、低影响1很低风险发生的可能性很低,发生后对系统资产几乎无影响5. 4.2业务风险评价根据风险评价准则对业务风险计算结果进行等级处理,在进行业务风峻评价时可从社会影响和组织影响两个层面进行分析。社会影响涵盖国家要全,社会秩序
38、,公共利益,公民、法人和其他组织的合法权益等方面;组织影响涵盖职能履行、业务开展、触犯国家法律法规、财产损失等方面。表12给出了一种基于后果的业务风险等级划分方法。表12业务风险等级划分表等级标识描述很高社会影响a)对国家安全、社会秩序和公共利益造成影响b)对公民、法人和其他组织的合法权益造成严重影响组织影响a)导致职能无法履行或业务无法开展:b)触犯国家法律法规;C)造成非常严重的财产损失4高社会影响:对公民、法人和其他组织的合法权益造成较大影响组织影响:a)导致职能履行或业务开展受到严重影响:b)造成严重的财产损失3中等社会影响:对公民、法人和其他组织的合法权益造成影响组织影响:a)导致职
39、能履行或业务开展受到影响;b)造成较大的财产损失*12业务风险等级划分表(练)等级标识描述2低组织影响:a)导致职能履行或业务开展受到较小影响;b)造成一定的财产损失1很低组织影响:造成较少的财产损失5.5 沟通与协商风险评估实施团队应在风险评估过程中与内部相关方和外部相关方保持沟通并对沟通内容予以记录,沟通的内容应包括:a)为理解风险及相关问题和决策而就风险及其相关因素相互交流信息和意见;b)相关方已表达的对风险事件的关注、意见以及相应的反应。5.6 风险评估文档记录5.6.1 风险评估文档记录要求记录风险评估过程的相关文档,应符合以下要求(包括但不限P):a)确保文档发布前是得到批准的;b
40、)确保文档的更改和现行修订状态是可识别的(有版本控制措施)c)确保文档的分发得到适当控制,并确保在使用时可获得有关版本的适用文档;d)防止作废文档的非预期使用,若因任何目的需保留作废文档时,应对这些文档进行适当的标识。对于风险评估过程中形成的相关文档,还应规定其标识、存储、保护、检索、保存期限以及处置所需的控制。相关文档是否需要以及详略程度由组织的管理者来决定5.7 6.2风险评估文档风险评估文档是指在风险评估过程中产生的过程文档和结果文档,包括(但不仅限手此):a)风险评估左案:南述风险评估目标、范围、人员、评估方法、评估结果的形式和实施进度等:b)资产识别清单:根据组织所确定的资产分类方法
41、进行资产识别,形成资产识别清单(包括业务资产、系统资产系统组件和单元资产),明确资产的责任人和责任部门;c)重要资产清单:根据资产识别和赋值的结果,形成重要责产列表,包括重要资产名称、描述、类型、重要程度、责任人、责任部门等;d)威胁列表:根据威胁识别和赋值的结果,形成威胁列表,包括威胁来源、种类、威胁行为、能力和频率等;e)已有安全措施列表:对已采取的安全措施进行识别并形成已有安全措施列表,包括已有安全措施名称、类型、功能描述及实施效果等;f)脆弱性列表:根据脆弱性识别和赋值的结果,形成脆弱性列表,包括具体脆弱性的名称、描述、类型、被利用难易程度及影响程度等;g)风险列表:根据威胁利用脆弱性
42、导致安全事件的情况,形成风险列表,包括具体风险的名称、描述等;h)风险评估报告:对风险评估过程和结果进行总结,详细说明评估对象、风险评估方法、资产、威胁、脆弱性和已有安全措施的识别结果、风险分析、风险统计和结论等内容:i)风险评估记录:风险评估过程中的各种现场记录应可复现评估过程,以作为产生歧义后解决问题的依据。附录A(资料性)评估对象生命周期各阶段的风险评估A.1概述风险评估应贯穿于评估对象生命周期各阶段中。评估对象生命周期各阶段中涉及的风险评估原则和方法是一致的,但由于各阶段实施内容、对象、安全需求不同,使得风险评估的对象、目的、要求等各方面也有所不同。在规划设计阶段,通过风险评估以确定评
43、估对象的安全目标;在建设验收阶段,通过风险评估以确定评估对象的安全目标达成与否;在运行维护阶段,要持续的实施风险评估以识别评估对象面临的不断变化的风险和脆弱性,从而确定安全措施的有效性,确保安全目标得以实现。因此,每个阶段风险评估的具体实施应根据该阶段的特点有所侧重的进行。A.2规划阶段的风险评估规划阶段风险评估的目的是识别评估对象的业务规划,以支撑评估对象安全需求及安全规划等。规划阶段的评估应能够描述评估对象建成后对现有业务模式的作用,包括技术、管理等方面,并根据其作用确定评估对象建设应达到的安全目标。本阶段评估中,资产、脆弱性不需要识别;威胁应根据未来应用对象、应用环境、业务状况、操作要求
44、等方面进行分析。评估着重在以下几方面:a)是否依据相关规则,建立了与业务规划相一致的安全规划,并得到最高管理者的认可;b)是否依据业务建立与之相契合的安全策略,并得到最高安全管理者的认可;c)系统规划中是否明确评估对象开发的组织、业务变更的管理、开发优先级;d)系统规划中是否考虑评估对象的威胁、环境,并制定总体的安全方针;e)系统规划中是否描述评估对象预期使用的信息,包括预期的信息系统、资产的重要性、潜在的价值、可能的使用限制、对业务的支持程度等;f)系统规划中是否描述所有与评估对象安全相关的运行环境,包括物理和人员的安全配置,以及明确相关的法规、组织安全策略、专门技术和知识等。规划阶段的评估
45、结果应体现在评估对象整体规划或项目建议书中。A.3设计阶段的风险评估设计阶段的风险评估需要根据规划阶段所明确的运行环境、业务重要性、资产重要性,提出安全功能需求设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断,作为实施过程风险控制的依据。本阶段评估中,应详细评估设计方案中面临威胁的描述,将评估对象使用的具体设备、软件等资产及其安全功能形成需求列表。对设计方案的评估着重在以下几方面:a)设计方案是否符合评估对象建设规划,并得到最高管理者的认可;b)设计方案是否对评估对象建设后面临的威胁进行了分析,重点分析来自物理环境和自然的威胁,以及由于内、外部入侵等造成的威胁;c)设计方案中
46、的安全需求是否符合规划阶段的安全目标,并基于威胁的分析,制定评估对象的总体安全策略;d)设计方案是否采取了一定的手段来应对可能的故障;e)设计方案是否对设计原型中的技术实现以及人员、组织管理等方面的脆弱性进行评估,包括设计过程中的管理脆弱性和技术平台固有的脆弱性;f)、设计方案是否考虑随着其他系统接入而可能产生的风险;g)系统性能是否满足用户需求,并考虑到峰值的影响,是否在技术上考虑了满足系统性能要求的方法;h)应用系统(含数据库)是否根据业务需要进行了安全设计;i)设计方案是否根据开发的规模、时间及系统的特点选择开发方法,并根据设计开发计划及用户需求,对系统涉及的软件、硬件与网络进行分析和选型;j)设计活动中所采用的安全控制措施、安全技