信息安全风险评估指南征求意见稿

. ICS 中中华华人人民民共共和和国国国国家家标标准准 GB/T 信息安全风险评估指南 Information Security Risk Assessment Guide （征求意见稿） -发布-实施 国国家家质质量量监监督督检检验验检检疫疫总总局局发发布布 GB GB/T I 目目 次次 目目 次次.I 前前 言言.III 信息安全风险评估指南信息安全风险评估指南 1 1 1 范围范围.1 2 2 规范性引用文件规范性引用文件.1 3 3 术语和定义术语和定义.1 3.1 资产1 3.2 资产价值1 3.3 威胁1 3.4 脆弱性1 3.5 风险1 3.6 残余风险2 3.7 风险评估2 3.8 保密性2 3.9 完整性2 3.10 可用性2 3.11 业务战略2 3.12 安全事件2 3.13 安全需求2 3.14 安全措施2 3.15 自评估2 3.16 他评估2 4 4 风险评估概述风险评估概述.3 4.1 风险评估的目的与意义3 4.2 评估指南的目标读者3 4.3 评估指南的文档组织3 5 5 风险评估模型及流程风险评估模型及流程.3 5.1 风险评估要素关系模型4 5.2 风险计算模型5 5.3 风险评估实施流程5 6 6 风险评估实施风险评估实施.6 6.1 风险评估的准备6 6.1.1 确定范围7 6.1.2 确定目标7 6.1.3 确定组织结构7 6.1.4 确定方法7 6.1.5 获得最高管理者批准7 6.2 资产识别8 6.2.1 资产定义8 6.2.2 资产分类8 6.2.3 资产赋值8 保密性赋值9 完整性赋值10 GB/T II 可用性赋值11 6.3 威胁识别12 6.3.1 威胁定义12 6.3.2 威胁分类13 6.3.3 威胁赋值14 6.4 脆弱性识别15 6.4.1 脆弱性定义15 6.4.2 脆弱性分类16 6.4.3 脆弱性赋值17 6.5 已有安全措施的确认17 6.6 风险识别18 6.6.1 风险的计算18 6.6.2 风险结果的判定18 风险等级的划分18 控制措施的选择19 残余风险的评价19 6.7 风险评估结果纪录20 7 7 风险评估在信息系统生命周期中的不同要求风险评估在信息系统生命周期中的不同要求.21 7.1 信息系统生命周期概述21 7.2 信息系统生命周期各阶段中的风险评估22 8 8 风险评估的形式及角色运用风险评估的形式及角色运用.25 8.1 风险评估的形式25 8.2 风险评估不同形式与其中各角色的关系25 附录一附录一 风险的计算方式风险的计算方式 29 A.1 结构化的风险计算方式结构化的风险计算方式.29 A.1.1 风险矩阵测量29 A.1.2 威胁分级法30 A.1.3 风险综合评价31 A.1.4 风险二值法31 A.2 非结构化的风险计算方式非结构化的风险计算方式.32 A.2.1 风险矩阵32 A.2.2 从员工职务角度进行风险分析33 A.2.3 威胁分析法34 A.3 调查问卷方法调查问卷方法.35 附录二附录二 风险评估的工具风险评估的工具 36 B1 安全管理评价系统安全管理评价系统36 B2 信息基础设施风险评估工具信息基础设施风险评估工具36 B3 风险评估辅助工具风险评估辅助工具37 GB/T III 前前 言言 为加强对信息系统及由其处理、传输和存储的信息进行科学公正的综合评估，指导和规范信息 安全风险评估工作，以保障信息系统安全，特制定本指南。 本标准包括以下一个指南文本和二个附录： 信息安全风险评估指南 本标准的附录一、附录二都是本指南的指导性附录。 本标准由国务院信息化工作办公室提出。 本标准由国务院信息化工作办公室归口。 本标准起草单位：国家信息中心信息安全研究与服务中心、国家保密技术研究所、中科院信息安 国家重点实验室、北京市测评认证中心、北京凝瑞咨讯有限公司、山东科飞管理咨询有限公司、北京 思乐信息技术有限公司、安氏互联网安全系统（中国）有限公司。 本标准主要起草人：范红、王英梅、王毅刚、孙铁、马朝斌、张玉清、马蔚燕、王峰、王新杰、 于慧龙、廖飞鸣。 我们特别感谢在本标准起草过程中做出了重要贡献的人员，他们是：国务院信息化工作办公室贾 颖禾研究员、解放军测评认证中心崔书昆研究员、中科院信息安全国家重点实验室赵战生教授、公安 部十一局景乾元处长、国家保密技术研究所杜虹所长、国家信息中心宁家骏首席工程师、国家信息中 心信息安全研究与服务中心吴亚非主任。 本标准由XXX负责解释。 GB/T 1 信息安全风险评估指南 1 范围 本指南规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则，适用于信 息系统的使用单位进行自我风险评估，以及风险评估机构对信息系统进行独立的风险评估。 2 规范性引用文件 下列参考文档对于本标准的应用是必不可少的。有日期标识的参考标准，只有现行有效版本适用。 没有日期标识的参考标准，最新版本适用。 BS 7799-1:2000 信息技术信息安全管理实施细则 BS 7799-2:2002 信息安全管理体系规范及应用指南 ISO/IEC TR 13335 信息技术IT 安全管理指导方针 3 术语和定义 3.1 资产 对单位具有价值的任何东西。 3.2 资产价值 资产的重要程度和敏感程度。资产价值是资产的属性，也是进行资产评估的具体内容。 3.3 威胁 可能对资产或单位造成损害的事故的潜在原因。威胁由多种属性来刻画：威胁的主体（威胁源） 、 能力、资源、动机、途径、可能性和后果。 3.4 脆弱性 资产或资产中能被威胁利用的弱点。 3.5 风险 由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。它由安 全事件发生的可能性及其造成的影响这两种指标来衡量。 GB/T 2 3.6 残余风险 采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。 3.7 风险评估 是对各方面风险进行辨识和分析的过程，是对威胁、影响、脆弱性及三者发生的可能性的评估。 它是确认安全风险及其大小的过程。 3.8 保密性 使信息不泄露给未授权的个人、实体、过程或不使信息为其利用的特性。 3.9 完整性 保护信息及处理方法的准确性和完备性。 3.10 可用性 已授权实体一旦需要就可访问和使用的特性。 3.11 业务战略 一个单位通过信息技术手段实现的工作任务。一个单位的业务战略对信息系统和信息的依赖程度 越高，风险评估的任务就越重要。 3.12 安全事件 如果威胁主体能够产生威胁，利用资产及其安全措施的脆弱性，那么实际产生危害的情况称之为 安全事件。安全事件是进行威胁评估时所要考虑的内容。 3.13 安全需求 为保证单位的业务战略能够正常行使，在信息安全保障措施方面提出的要求。 3.14 安全措施 对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复 和打击信息犯罪而实施的各种实践、规程和机制的总称。 信息安全风险评估 3.15 自评估 是由被评估信息系统的拥有者依靠自身的力量，对其自身的信息系统进行的风险评估活动。 3.16 他评估 他评估则通常是被评估信息系统的拥有者的上级主管机关或业务主管机关发起的，旨在依据已经 颁布的法规或标准进行的，具有强制意味的检查活动，是通过行政手段加强信息安全的重要措施。他 评估也是经常提及的检查评估。 GB/T 3 4 风险评估概述 4.1 风险评估的目的与意义 信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生所造成 的影响。信息安全风险评估，则是指依据国家有关信息安全技术标准，对信息系统及由其处理、传输 和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程，它要评估信息系统的脆弱 性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的 可能性和负面影响的程度来识别信息系统的安全风险。 信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制。没有准确及时 的风险评估，将使得各个机构无法对其信息安全的状况做出准确的判断。 4.2 评估指南的目标读者 本指南适用于任何为评价自身信息及信息系统安全的各类机构，和为第三方提供评估服务的各类 评估机构。 主要用以：识别信息系统中存在的风险；为确立信息系统安全等级提供参考；指导信息系统的安 全管理；为执法部门监督提供参考；信息系统建设完成后，验收时用于参考；为信息系统业务发生变 更时提供安全参考。 4.3 评估指南的文档组织 本指南分为两个部分： 第一部分：主体部分。主要介绍风险评估的定义、风险评估的模型以及风险评估的实施过程。对 资产、威胁和脆弱性的识别进行了详细的描述，同时描述了风险评估在信息系统生命周期中的作用， 以及风险评估的不同形式。本指南将原则性与可操作性进行有机的结合，既为风险评估的实施者、信 息安全管理人员以及相关人员提供风险评估的依据，同时也力求避免评估过程的僵化。 第二部分：附录部分。包括信息安全风险评估的方法、工具介绍和一个实施案例。目的是使用户 了解到风险评估方法的多样性和灵活性。 5 风险评估模型及流程 GB/T 4 5.1 风险评估要素关系模型 风险评估各要素关系如图 1 所示： 图 1 中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性，也是 风险评估要素的一部分。风险评估的工作是围绕其基本要素展开的，在对这些要素的评估过程中需要 充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。 图 1 中这些要素之间存在着以下关系：业务战略依赖于资产去完成；资产拥有价值，单位的业务 战略越重要，对资产的依赖度越高，资产的价值则就越大；资产的价值越大则风险越大；风险是由威 胁发起的，威胁越大则风险越大，并可能演变成安全事件；威胁都要利用脆弱性，脆弱性越大则风险 越大；脆弱性使资产暴露，是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风 险；资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足，且是有成本 的；安全措施可以抗击威胁，降低风险，减弱安全事件的影响；风险不可能也没有必要降为零，在实 施了安全措施后还会有残留下来的风险一部分残余风险来自于安全措施可能不当或无效,在以后需 要继续控制这部分风险，另一部分残余风险则是在综合考虑了安全的成本与资产价值后，有意未去控 图 1：风险评估各要素关系图 安全措施 抗击 业务战略 脆弱性 安全需求威胁风险 残余风险安全事件 依赖 拥有 被满足 利用 暴露 降低 增加 增加导出 演变 未被满足 未控制可能诱发 残留 成本 资产 资产价值 GB/T 5 制的风险，这部分风险是可以被接受的；残余风险应受到密切监视，因为它可能会在将来诱发新的安 全事件。 5.2 风险计算模型 风险计算模型如图 2 所示： 风险计算模型包含信息资产、弱点/脆弱性、威胁等关键要素。每个要素有各自的属性，信息资产 的属性是资产价值，弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度，威胁的属性是威 胁发生的可能性。风险计算的过程是： （1）对信息资产进行识别，并对资产赋值； （2）对威胁进行分析，并对威胁发生的可能性赋值； （3）识别信息资产的脆弱性，并对弱点的严重程度赋值； （4）根据威胁和脆弱性计算安全事件发生的可能性； （5）结合信息资产的重要性和在此资产上发生安全事件的可能性计算信息资产的风险值。 5.3 风险评估实施流程 风险评估实施流程如下框图： 资产拥有者 威胁来源 信息资产 威胁 弱点 安全事件 安全风险 （风险值） 图 2：风险计算模型 GB/T 6 6 风险评估实施 6.1 风险评估的准备 风险评估的准备过程是组织进行风险评估的基础，是整个风险评估过程有效性的保证。组织对自 身信息及信息系统进行风险评估是一种战略性的考虑，其结果将受到组织的业务需求及战略目标、文 化、业务流程、安全要求、规模和结构的影响。不同组织对于风险评估的实施过程可能存在不同的要 求，因此在风险评估实施前，组织应： （1）确定风险评估的范围； （2）确定风险评估的目标； 否 是 否 图 3：风险评估流程框图 是 风险评估的准备 已有安全措施的确认 风险计算 风险是否接受保持已有的控制措施 施施施 选择适当的控制措施 并评估残余风险 实施风险管理 脆弱性识别威胁识别 资产识别 是否接受残余风险 风险识别 评估过程文档 评估过程文档 风险评估结果记录 评估结果文档 GB/T 7 （3）建立适当的组织结构； （4）建立系统性的风险评估方法； （5）获得最高管理者对风险评估策划的批准。 6.1.1 确定范围 组织进行风险评估可能是由于自身商业要求及战略目标的要求，相关方的要求或其他原因，因此 应根据上述原因确定风险评估范围。范围可能是组织全部的信息和信息系统，可能是单独的信息系统， 可能是组织的关键业务流程，也可能是客户的知识产权。 6.1.2 确定目标 组织应明确风险评估的目标，为风险评估的过程提供导向。支持组织的信息、系统、应用软件和 网络是组织重要的资产。资产的保密性，完整性和可用性对于维持竞争优势，现金流动，获利能力， 法规要求和一个组织的形象是必要的。组织要面对来自四面八方日益增长的安全威胁。一个组织的系 统、应用软件和网络可能是严重威胁的目标。同时，由于组织的信息化程度不断提高，对基于信息系 统和服务技术的依赖日益增加，一个组织则可能出现更多的脆弱性。组织的风险评估的目标基本上来 源于组织业务持续发展的需要、满足相关方的要求、满足法律法规的要求等方面。 6.1.3 确定组织结构 在风险评估过程中，组织应建立适当的组织结构，以支持整个过程的推进，如成立由管理层、相 关业务骨干、IT 技术人员等组成的风险评估小组。组织结构的建立应考虑其结构和复杂程度，以保证 能够满足风险评估的范围、目标。 6.1.4 确定方法 风险评估方法（见本指南）应考虑评估的范围、目的、时间、效果、组织文化、人员素质以及 具体开展的程度等因素来确定，使之能够与组织的环境和安全要求相适应。 6.1.5 获得最高管理者批准 上述所有内容应得到组织的最高管理者的批准，并对管理层和员工进行传达。 GB/T 8 6.2 资产识别 6.2.1 资产定义 资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在，有无形的、 有有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。通常信息资产的保密性、完整 性和可用性是公认的能够反映资产安全特性的三个要素。信息资产安全特性的不同也决定了其信息价 值的不同，以及存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。为此，有必要对 企业、机构中的信息资产进行科学识别，以便于进行后期的信息资产抽样、制定风险评估策略、分析 安全功能需求等活动。 资产还具有很强的时间特性，它的价值和安全属性都会随着时间的推移发生变化，所以应该根 据时间变化的频度制定资产相关的评估和安全策略的频度。 6.2.2 资产分类 在一般的评估体中，资产大多属于不同的信息系统，如 OA 系统，网管系统，业务生产系统等，而 且对于提供多种业务的机构，业务生产系统的数量还可能会很多。这时首先需要将信息系统及其中的 信息资产进行恰当的分类，才能在此基础上进行下一步的风险评估工作。在实际项目中，具体的资产 分类方法可以根据具体环境，由评估者来灵活把握。下面为一个资产分类示例。 分类分类示例示例 数据 存在电子媒介的各种数据资料，包括源代码、数据库数据，各种 数据资料、系统文档、运行管理规程、计划、报告、用户手册等 软件应用软件、系统软件、开发工具和资源库等 硬件 计算机硬件、路由器、交换机、硬件防火墙、程控交换机、布线、 备份存储设备等 服务 操作系统、WWW、SMTP、POP3、FTP、MRPII、DNS、呼叫 中心、内部文件服务、网络连接、网络隔离保护、网络管理、网 络安全保障、入侵监控及各种业务生产应用等 文档纸质的各种文件、传真、电报、财务报告、发展计划等 设备电源、空调、保险柜、文件柜、门禁、消防设施等 人员各级雇员和雇主、合同方雇员等 其它企业形象，客户关系等 6.2.3 资产赋值 表 1：资产种类 GB/T 9 本指南所指资产赋值是对资产安全价值的估价，而不是以资产的账面价格来衡量的。在对资产 进行估价时，不仅要考虑资产的成本价格，更重要的是考虑资产对于组织业务的安全重要性，即根据 资产损失所引发的潜在的商务影响来决定。为确保资产估价时的一致性和准确性，机构应按照上述原 则，建立一个资产价值尺度（资产评估标准） ，以明确如何对资产进行赋值。 资产估价的过程也就是对资产保密性、完整性和可用性影响分析的过程。影响就是由人为或突 发性引起的安全事件对资产破坏的后果。这一后果可能毁灭某些资产，危及信息系统并使其丧失保密 性、完整性和可用性，最终还会导致财政损失、市场份额或公司形象的损失。特别重要的是，即使每 一次影响引起的损失并不大，但长期积累的众多意外事件的影响总和则可造成严重损失。一般情况下， 影响主要从以下几方面来考虑： （1）违反了有关法律或（和）规章制度 （2）影响了业务执行 （3）造成了信誉、声誉损失 （4）侵犯了个人隐私 （5）造成了人身伤害 （6）对法律实施造成了负面影响 （7）侵犯了商业机密 （8）违反了社会公共准则 （9）造成了经济损失 （10）破坏了业务活动 （11）危害了公共安全 资产安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性， 可以能够基本反映资产的价值。 保密性赋值 根据资产保密性属性的不同，将它分为 5 个不同的等级，分别对应资产在保密性方面的价值或者 在保密性方面受到损失时对整个评估的影响。表 2 可做参考。 赋值标识定义 表 2 资产保密性赋值 GB/T 10 5极高指组织最重要的机密，关系组织未来发展的前途命运，对组 织根本利益有着决定性影响，如果泄漏会造成灾难性的影响 4高是指包含组织的重要秘密，其泄露会使组织的安全和利益遭 受严重损害 3中等是指包含组织一般性秘密，其泄露会使组织的安全和利益受 到损害 2低指仅在组织内部或在组织某一部门内部公开,向外扩散有可能 对组织的利益造成损害 1可忽略对社会公开的信息，公用的信息处理设备和系统资源等信息 资产 完整性赋值 根据资产完整性属性的不同，将它分为 5 个不同的等级，分别对应资产在完整性方面的价值或 者在完整性方面受到损失时对整个评估的影响。赋值标准参照表 3： 赋值标识定义 5极高完整性价值非常关键，未经授权的修改或破坏会对评估体造 成重大的或无法接受、特别不愿接受的影响，对业务冲击重 大，并可能造成严重的业务中断，难以弥补 4高完整性价值较高，未经授权的修改或破坏会对评估体造成重 大影响，对业务冲击严重，比较难以弥补 3中等完整性价值中等，未经授权的修改或破坏会对评估体造成影 响，对业务冲击明显，但可以弥补 2低完整性价值较低，未经授权的修改或破坏会对评估体造成轻 微影响，可以忍受，对业务冲击轻微，容易弥补 表 3 资产完整性 GB/T 11 1可忽略完整性价值非常低，未经授权的修改或破坏会对评估体造成 的影响可以忽略，对业务冲击可以忽略 可用性赋值 根据资产可用性属性的不同，将它分为 5 个不同的等级，分别对应资产在可用性方面的价值或 者在可用性方面受到损失时对整个评估体的影响。赋值标准参照表 4： 赋值标识定义 5极高可用性价值非常高，合法使用者对信息系统及资源的可用度 达到年度 99.9%以上 4高可用性价值较高，合法使用者对信息系统及资源的可用度达 到每天 99%以上 3中等可用性价值中等，合法使用者对信息系统及资源的可用度在 正常上班时间达到 90%以上 2低可用性价值较低，合法使用者对信息系统及资源的可用度在 正常上班时间达到 25%以上 1可忽略可用性价值可以忽略，法使用者对信息系统及资源的可用度 在正常上班时间低于 25% 最终资产价值可以通过违反资产的保密性、完整性和可用性三个方面的程度综合确定，资产的赋 值采用定性的相对等级的方式。与以上安全属性的等级相对应，资产价值的等级可分为五级，从 1 到 5 由低到高分别代表五个级别的资产相对价值，等级越大，资产越重要。具体每一级别的资产价值定 义参见表 5。 由于资产最终价值的等级评估是依据资产保密性、完整性、可用性的赋值级别，经过综合评定得 出的，评定准则可以根据企业自身的特点，选择以安全三性中要求最高的一性的赋值级别为综合资产 表 4：资产可用性赋值 GB/T 12 赋值准则，也可以三性的综合评定为准则。因此，在进行资产评估时，评估者应首先根据被评估系统 的实际情况建立一套资产估价准则，使得整个资产的评估工作有一个统一的标准。 评估者也可以根据被评估系统的实际情况自定义资产的等级。 等级等级标识标识资产价值定义资产价值定义 5 很高 资产的重要程度很高，其安全属性破坏后可能导致系统受到 非常严重的影响 4 高 资产的重要程度较高，其安全属性破坏后可能导致系统受到 比较严重的影响 3 中 资产的重要程度较高，其安全属性破坏后可能导致系统受到 中等程度的影响 2 低 资产的重要程度较低，其安全属性破坏后可能导致系统受到 较低程度的影响 1 很低 资产的重要程度都很低，其安全属性破坏后可能导致系统受 到很低程度的影响，甚至忽略不计 6.3 威胁识别 6.3.1 威胁定义 安全威胁是一种对机构及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全的信息 系统，安全威胁是一个客观存在的事物，它是风险评估的重要因素之一。 产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素又可区分为有意和无意两种。 环境因素包括自然界的不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的 攻击，例如非授权的泄露、篡改、删除等，在保密性、完整性或可用性等方面造成损害。也可能是偶 发的、或蓄意的事件。一般来说，威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资 产造成伤害。安全事件及其后果是分析威胁的重要依据。但是有相当一部分威胁发生时，由于未能造 成后果，或者没有意识到，而被安全管理人员忽略。这将导致对安全威胁的认识出现偏差。 在威胁评估过程中，首先就要对组织需要保护的每一项关键资产进行威胁识别。在威胁识别过 表 5：资产赋值 GB/T 13 程中，应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断。一项资产可能面临着多个 威胁，同样一个威胁可能对不同的资产造成影响。 6.3.2 威胁分类 分析存在哪些威胁种类，首先要考虑威胁的来源，信息系统的安全威胁来源可参考表 6： 威胁来源威胁来源描述 环境因素、意外事 故或故障 由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、 洪灾、火灾、地震等环境条件和自然灾害；意外事故或由于软件、 硬件、数据、通讯线路方面的故障 无恶意内部人员 内部人员由于缺乏责任心，或者由于不关心和不专注，或者 没有遵循规章制度和操作流程而导致故障或被攻击；内部人员由 于缺乏培训，专业技能不足,不具备岗位技能要求而导致信息系统 故障或被攻击 恶意内部人员 不满的或有预谋的内部人员对信息系统进行恶意破坏；采用 自主的或内外勾结的方式盗窃机密信息或进行篡改，获取利益 第三方 第三方合作伙伴和供应商，包括电信、移动、证券、税务等 业务合作伙伴以及软件开发合作伙伴、系统集成商、服务商和产 品供应商；包括第三方恶意的和无恶意的行为 外部人员攻击 外部人员利用信息系统的脆弱性，对网络和系统的机密性、 完整性和可用性进行破坏，以获取利益或炫耀能力 对安全威胁进行分类的方式有多种多样，针对上表威胁来源，可以将威胁分为以下种类。 威胁种类威胁种类威胁描述威胁描述 软硬件故障 由于设备硬件故障、通讯链路中断、系统本身或软件 Bug 表 7：威胁种类列表 表 6 ：威胁来源列表 GB/T 14 导致对业务高效稳定运行的影响 物理环境威胁 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、 洪灾、火灾、地震等环境问题和自然灾害 无作为或操作失误 由于应该执行而没有执行相应的操作，或无意地执行了错 误的操作，对系统造成影响 管理不到位 安全管理无法落实，不到位，造成安全管理不规范，或者 管理混乱，从而破坏信息系统正常有序运行 恶意代码和病毒 具有自我复制、自我传播能力，对信息系统构成破坏的程 序代码 越权或滥用 通过采用一些措施，超越自己的权限访问了本来无权访问 的资源；或者滥用自己的职权，做出破坏信息系统的行为 黑客攻击技术 利用黑客工具和技术，例如侦察、密码猜测攻击、缓冲区 溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等 手段对信息系统进行攻击和入侵 物理攻击 物理接触、物理破坏、盗窃 泄密 机密泄漏，机密信息泄漏给他人 篡改 非法修改信息，破坏信息的完整性 抵赖 不承认收到的信息和所作的操作和交易 6.3.3 威胁赋值 评估确定威胁发生的可能性是威胁评估阶段的重要工作，评估者应根据经验和（或）有关的统计 数据来判断威胁发生的频率或者发生的概率。其中，威胁发生的可能性受下列因素影响： （1）资产的吸引力； （2）资产转化成报酬的容易程度； （3）威胁的技术力量； （4）脆弱性被利用的难易程度。 实际评估过程中，威胁的可能性赋值，除了考虑上面几个因素，还需要参考下面三方面的资料和 信息来源，综合考虑，形成在特定评估环境中各种威胁发生的可能性。 （1)通过过去的安全事件报告或记录，统计各种发生过的威胁和其发生频率； GB/T 15 （2)在评估体实际环境中，通过 IDS 系统获取的威胁发生数据的统计和分析，各种日志中威胁发 生的数据的统计和分析； （3)过去一年或两年来国际机构发布的对于整个社会或特定行业安全威胁发生频率的统计数据均 值。 威胁的评估就是综合了威胁来源和种类后得到的威胁列表，并对列表中的威胁发生可能性的评 估。最终威胁的赋值采用定性的相对等级的方式。威胁的等级划分为五级，从 1 到 5 分别代表五个级 别的威胁发生可能性。等级数值越大，威胁发生的可能性越大。具体每一级别的威胁可能性定义参见 表 8。 评估者也可以根据被评估系统的实际情况自定义威胁的等级。 等级等级标识标识威胁可能性定义威胁可能性定义 5 很高 威胁发生的可能性很高，在大多数情况下几乎不可避免或者 可以证实发生过的频率较高 4 高 威胁发生的可能性较高，在大多数情况下很有可能会发生或 者可以证实曾发生过 3 中 威胁发生的可能性中等，在某种情况下可能会发生但未被证 实发生过 2 低 威胁发生的可能性较小，一般不太可能发生，也没有被证实 发生过 1 很低 威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发 生 6.4 脆弱性识别 6.4.1 脆弱性定义 脆弱性评估也称为弱点评估，是安全风险评估中重要的内容。弱点是资产本身存在的，它可以 被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬 件、软件和信息等各种资产的脆弱性。 表 8：威胁赋值别 GB/T 16 值得注意的是，弱点虽然是资产本身固有的，但它本身不会造成损失，它只是一种条件或环境、 可能导致被威胁利用而造成资产损失。所以如果没有相应的威胁发生，单纯的弱点并不会对资产造成 损害。那些没有安全威胁的弱点可以不需要实施安全保护措施，但它们必须记录下来以确保当环境、 条件有所变化时能随之加以改变。需要注意的是不正确的、起不到应有作用的或没有正确实施的安全 保护措施本身就可能是一个安全薄弱环节。 脆弱性评估将针对每一项需要保护的信息资产，找出每一种威胁所能利用的脆弱性，并对脆弱性 的严重程度进行评估，即对脆弱性被威胁利用的可能性进行评估，最终为其赋相对等级值。在进行脆 弱性评估时，提供的数据应该来自于这些资产的拥有者或使用者，来自于相关业务领域的专家以及软 硬件信息系统方面的专业人员。脆弱性评估所采用的方法主要为：问卷调查、人员问询、工具扫描、 手动检查、文档审查、渗透测试等。 6.4.2 脆弱性分类 脆弱性主要从技术和管理两个方面进行评估，涉及物理层、网络层、系统层、应用层、管理层等 各个层面的安全问题。其中在技术方面主要是通过远程和本地两种方式进行系统扫描、对网络设备和 主机等进行人工抽查，以保证技术脆弱性评估的全面性和有效性；管理脆弱性评估方面可以按照 BS 7799 等标准的安全管理要求对现有的安全管理制度及其执行情况进行检查，发现其中的管理漏洞和不 足。 具体脆弱性评估时考虑的因素可参见表 9 的内容： 脆弱性分类脆弱性分类名称名称包含内容包含内容 物理安全物理设备的访问控制，电力供应等 网络安全 基础网络架构，网络传输加密，访问控制，网络设备安全 漏洞，设备配置安全等 系统安全系统软件安全漏洞，系统软件配置安全等 技术脆弱性 应用安全应用软件安全漏洞，软件安全功能，数据防护等 管理脆弱性安全管理 安全策略、组织安全、资产分类与控制、人员安全、物理 和环境安全、通信与操作管理、访问控制、系统开发与维 表 9：脆弱性识别 GB/T 17 护、业务连续性、符合性 资产的脆弱性与组织对其所采取的安全控制有关，因此判定威胁发生的可能性时应特别关注已有 的安全控制对资产脆弱性的影响。 6.4.3 脆弱性赋值 脆弱性评估将针对每一项需要保护的信息资产，找出每一种威胁可能利用的脆弱性，并对脆弱性 的严重程度进行评估，换句话说，就是对脆弱性被威胁利用的可能性进行评估。最终脆弱性的赋值采 用定性的相对等级的方式。脆弱性的等级建议划分为五级，从 1 到 5 分别代表五个级别的某种资产脆 弱程度。等级越大，脆弱程度越高。具体每一级别的脆弱性脆弱程度定义参见表 10。 评估者也可以根据被评估系统的实际情况自定义脆弱性的等级。 等级等级标识标识脆弱性严重程度定义脆弱性严重程度定义 5 很高 存在一个或多个非常脆弱的技术或管理漏洞，被威胁利用成 功的可能性很高 4 高 存在一个或多个比较脆弱的技术或管理漏洞，被威胁利用成 功的可能性较高 3 中 存在一个或多个中等脆弱的技术或管理漏洞，被威胁利用成 功的可能性中 2 低 存在一个或多个较低脆弱程度的技术或管理漏洞，被威胁利 用成功的可能性较低 1 很低 存在一个或多个很低脆弱程度的技术或管理漏洞，被威胁利 用成功的可能性很低，几乎不可能成功 6.5 已有安全措施的确认 表 10：脆弱性赋值 GB/T 18 机构应对已采取的控制措施进行识别并对控制措施的有效性进行确认，将有效的安全控制措施继 续保持，以避免不必要的工作和费用，防止控制措施的重复实施。对于那些确认为不适当的控制应核 查是否应被取消，或者用更合适的控制代替。安全控制可以分为预防性控制措施和保护性控制措施 （如业务持续性计划、商业保险等）两种，预防性控制措施可以降低威胁发生的可能性和减少安全脆 弱性，而保护性控制措施可以减少因威胁发生所造成的影响。 6.6 风险识别 机构应根据策划的结果，由评估的人员按照相应的职责和程序进行资产评估、威胁评估、脆弱性 评估，在考虑已有安全措施的情况下，利用适当的方法与工具确定威胁利用资产脆弱性发生安全事件 的可能性，并结合资产的安全属性受到破坏后的影响来得出资产的安全风险。 6.6.1 风险的计算 本指南给出了风险的计算方法： R= f(A,V,T)=f(Ia,L(Va,T) 注：R 表示风险；A 表示资产；V 表示脆弱性；T 表示威胁；Ia 表示资产发生安全事件后对组织 业务的影响(也称为资产的重要程度)；Va 表示某一资产本身的脆弱性，L 表示威胁利用资产的脆弱性 造成安全事件发生的可能性。 具体而言： （1）对资产的重要性进行识别； （2) 对资产的脆弱性进行识别； （3) 针对每一个弱点，识别可能利用此弱点造成安全事件的威胁； （4) 分析威胁利用资产脆弱性发生安全事件的可能性；即： 安全事件发生的可能性=L(威胁，资产脆弱性) （5) 根据资产的重要程度以及安全事件发生的可能性计算风险值，即： 风险值=R(资产重要程度，安全事件发生的可能性) 6.6.2 风险结果的判定 风险等级的划分 确定风险数值的大小不是组织风险评估的最终目的，重要的是明确不同威胁对资产所产生的风险 的相对值，即要确定不同风险的优先次序或等级，对于风险级别高的资产应被优先分配资源进行保护。 GB/T 19 风险等级建议从 1 到 5 划分为五级。等级越大，风险越高。评估者也可以根据被评估系统的实际 情况自定义风险的等级。 等级等级标识标识风险定义风险定义 5 很高风险很高，导致系统受到非常严重影响 4 高风险高，导致系统受到严重影响 3 中风险中，导致系统受到较重影响的 2 低风险低，导致系统受到一般影响 1 很低风险很低，导致系统受到较小影响 机构可以采用按照风险数值排序的方法，也可以采用区间划分的方法将风险划分为不同的优先 等级，这包括将可接受风险与不可接受风险的划分，接受与不可接受的界限应当考虑风险控制成本与 风险（机会损失成本）的平衡。风险的等级应得到组织管理层的评审并批准。 控制措施的选择 机构在对风险等级进行划分后，应考虑法律法规（包括客户及相关方）的要求、机构自身的发展 要求、风险评估的结果确定安全水平，对不可接受的风险选择适当的处理方式及控制措施，并形成风 险处理计划。风险处理的方式包括：回避风险，降低风险（降低发生的可能性或减小后果） ，转移风险， 接受风险。控制措施的选择应兼顾管理与技术，具体针对各类风险应根据组织的实际情况考虑以下十 个方面的控制：安全方针、组织安全、资产的分类与控制、人员安全、物理与环境安全、通讯与运作 管理、访问控制、系统的开发与维护、业务持续性管理、符合性。在风险处理方式及控制措施的选择 上，机构应考虑发展战略、企业文化、人员素质，并特别关注成本与风险的平衡，以处理安全风险以 满足法律法规及相关方的要求，管理性与技术性的措施均可以降低风险。 残余风险的评价 对于不可接受范围内的风险，应在选择了适当的控制措施后，对残余风险进行评价，判定风险是 表 11：风险等级 GB/T 20 否已经降低到可接受的水平，为风险管理提供输入。残余风险的评价可以依据组织风险评估的准则进 行，考虑选择的控制措施和已有的控制措施对于威胁发生的可能性的降低。某些风险可能在选择了适 当的控制措施后仍处于不可接受的风险范围内，应通过管理层依据风险接受的原则，考虑是否接受此 类风险或增加控制措施。为确保所选择控制措施的有效性，必要时可进行再评估，以判断实施控制措 施后的残余风险是否是可被接受的。 6.7 风险评估结果纪录 风险评估的过程需要形成相关的文件及记录，考虑以下控制： （1）文件发布前得到批准，以确保文件是充分的； （2）必要时对文件进行评审、更新并再次批准； （3）确保文件的更改和现行修订状态得到识别； （4）确保在使用时，可获得有关版本的适用文件； （5）确保文件保持清晰、易于识别； （6）确保外来文件得到识别； （7）确保文件的分发得到适当的控制； （8）防止作废文件的非预期使用，若因任何目的需保留作废文件时，应对这些文件进行适当的标 识。 对于风险评估过程中形成的记录，还应规定记录的标识、储存、保护、检索、保存期限以及处置 所需的控制。记录是否需要以及详略程度由管理过程来决定。 为支持本指南的采用，风险评估过程应形成下列文件： 1）风险评估过程计划：该计划中应阐述风险评估的范围、目标、组织机构、评估过程所需资源、 形成的评估结果。 2）风险评估程序：程序中应明确评估的目的、职责、过程、相关的文件要求，并且准备评估阶段 需要的表格，如信息资产识别表。 3）信息资产识别清单：根据组织在风险评估程序文件中规定的资产分类方法进行资产的识别，并 形成信息资产识别清单，清单中应明确各资产的负责人/部门。 4）重要信息资产清单：根据组织在风险评估程序文件中规定的资产重要性判定规则，确定在信息 安全方面对组织业务发展（考虑相关方要求）起到关键作用的资产，并形成重要信息资产清 单，此记录应根据预先制定的规则，对资产在保密性、完整性、可用性进行赋值与计算。 GB/T 21 5）威胁参考列表：应根据组织的评估对象、环境等因素，形成威胁的分类方法及具体的威胁列表， 为风险评估提供支持。 （可附在风险评估程序中，也可单独形成文件） 6）脆弱性参考列表：应针对不同分类的评估对象自身的弱点，形成脆弱性参考列表，为风险评估 提供支持。 （可附在风险评估程序中，也可单独形成文件） 7）风险评估记录：根据组织的风险评估程序文件，记录对重要信息资产的风险评估过程，包括脆 弱性、威胁的赋值及风险发生可能性的计算，已有控制措施的确认，风险值的计算与等级划 分。 8）风险处理计划：组织应针对评估结果中不可接受的风险制定风险处理计划，选择适当的控制目 标及控制措施，明确责任、进度、资源，并通过对残余风险的评价确保所选择控制的充分。 9）风险评估报告：风险评估报告应对整个风险评估过程进行总结，说明组织的风险状况及残余风 险状况，通过管理层的评审，确定评估后的风险状况满足组织业务发展及其他相关方的要求。 上述文件均应由组织的管理层批准，必要时应得到最高管理者的批准。 7 风险评估在信息系统生命周期中的不同要求 7.1 信息系统生命周期概述 关于“信息系统生命周期”有很多种模型，每个模型中都定义了信息系统从产生到完成乃至进入 维护的各个阶段及其活动。从信息系统开发的角度来看，从较早的线性开发模型到后来的模型，以至 于为了开发更为复杂的系统所要求的更为复杂的开发模型，螺旋式模型、并发式开发模型等，都是为 了满足不同的系统开发要求而逐渐衍生出来的。无论何种模型，大都包含了五个基本阶段；规划和启 动、设计开发或采购、集成实现、运行和维护、废弃。本指南下面所指的信息系统生命周期是指上述 通用的五个基本阶段。 在信息系统生命周期的各阶段中都有安全活动。图4列出了生命周期各阶段中的安全活动。 GB/T 22 7.2 信息系统生命周期各阶段中的风险评估 风险评估活动贯穿在信息系统的整个生命周期中。各阶段根据其活动内容的不同，安全目标和风 险评估的要求也会不同。信息系统在设计阶段要进行风险评估以确定系统的安全目标；在建设验收阶 段要进行风险评估以确定系统的安全目标达成与否；在运行维护阶段要不断进行风险评估以确定系统 安全措施的有效性，确保安全保障目标始终如一得以坚持。 信息系统生命周期各阶段中涉及的风险评估的模型是一致的，但在信息系统生命周期不同阶段中 实施的风险评估活动则是针对各阶段的不同安全要求，按照本指南中的风险评估实施过程进行的行当 简化与裁剪。信息系统生命周期各阶段对风险评估的对象、目的、要求等各方面都有差异，风险评估 的具体内容则根据这个阶段的特点着重在某些方面进行。表 12 将列出各阶段风险评估在这些方面的具 体要求。 风险评估的要求风险评估的要求生命周生命周 期阶段期阶段目的目的对象对象时间时间评估重点及评估重点及结果结果人员人员 表 12：信息系统生命周期各阶段对风险评估的要求 确定需求确定安全需求 安装/开启 安全控制 安全运行 和管理 将安全需求纳 入规格说明 获得系统（构 建/购买）和相 关安全活动 安全测试 （包括认证） 审批 运作保证（监 视/审计） 管理更改 定期重新 审批 实施设计/开发/ 采购 规划/启动运行/维护废弃 图 4：信息系统生命周期活动图 GB/T 23 阶段 1 规划 和启动 获取规划中 的信息系统 的安全风险。 用以提出并 确定信息系 统安全建设 的要求 规划中的 或者建设 初期的信 息系统， 包括信息 系统本身 及此阶段 的人员、 组织、过 程等相应 的管理。 提出规 划之后， 确定安 全需求 之前 资产评估资产评估： 着重系统的初期对安全三性 （保密、完整、可用）的要求。 系统对机构业务战略的重要性 资产类别划分可以基本在第一 级别上。不一定要深入到更细 层次的资产类别。 威胁评估威胁评估： 着重评估可能存在的威胁环境， 是从比较宏观的角度评估威胁 环境。 其它其它： 法律、法规对安全风险的影响 此阶段可以不考虑脆弱性评估 适度的安 全建设要 求 使用或 拥有系 统及信 息的人 应该参 与评估。 也可委 托第三 方进行 评估 阶段 2 设计 开发或 采购 标识出风险， 对设计说明 中的安全性 设计提供评 判依据，对 采购过程安 全风险控制 的提供依据。 开发设计 设计规格 说明书或 者系统原 型，及此 阶段涉及 的人员、 过程控制、 管理制度 等 在设计 规格说 明书评 审和批 准之前。 资产评估：资产评估： 与第一阶段内容相同的评估内 容，只是资产类别可以根据设 计开发或采购的结果进行更具 体的划分来进行评估 威胁评估：威胁评估： 同样与第一阶段内容相同的评 估内容，只是针对更具体的威 胁环境，包括人员、组织管理 等各方面 脆弱性评估：脆弱性评估： 对设计或者原型中的技术实现 以及人员、组织管理等各方面 符合规划 中安全要 求的安全 设计方案 及开发或 采购过程 的安全风 险控制措 施 系统的 用户、 技术专 家和系 统发起 人应该 参与评 估。 GB/T 24 的脆弱性评估。 其它：其它： 评估设计中的安全控制项、安 全技术保障手段对风险结果的 影响。 在安全需求变更和设计变更后 需要重复上面的评估。 该阶段的评估不必要有复杂的 文档。 阶段 3 集成 实现 通过风险评 估，对系统 安全要求实 现效果和符 合性进行验 证。 信息系统 本身 在系统 运行之 前 资产评估资产评估 如果信息系统在前两个阶段做过 资产评估，此阶段则不用再做， 沿用上述评估结果。 威胁评估：威胁评估： 威胁评估仍然着重威胁环境， 而且是真实环境中的威胁分析 脆弱性评估：脆弱性评估： 对系统进行实际环境中的脆弱 性评估，着重在运行和管理两 方面。 其它：其它： 评估设计实施的安全控制是否 实施，及其对风险结果的影响。 对系统实 现的风险 控制效果 与预期设 计的符合 性，并为 系统正式 运行制定 风险控制 的一系列 决策 技术人 员和管 理人员 均应该 参与评 估 阶段 4 运行 和维护 了解和控制 运行过程