2024信息安全风险评估技术服务规范

前 引 范 规范性引用文 术语和定 评估原 评估方 风险评估总体流 风险评估准备阶 确定风险评估目 确定风险评估的对象、范围和边 组建评估团队和选择评估工 开展前期调 制定评估方 风险评估实施阶 资产识 威胁识 已有安全措施识 脆弱性识 风险分析阶 风险评价阶 风险处理建 风险处理原 安全整改建 风险整改处置建 风险评估报 风险评估过程风险规 风险评估文档记 风险评估文档记录要 风险评估文 附录A（规范性）资产识 附录B（规范性）威胁识 附录C（规范性）安全脆弱性核查 附录D（规范性）风险计 评估能提升行业核心信息系统安全风险并及时发现纠正消除安全隐患，避免因信息安全问题造成重大《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（20082071号GB/T20984–2022《信息安全技术信息安全风险评估方法》GB/T31509–2015GB/T22239–2019风险评估riskassessmentinformationsecurity资产价值AssetInformationrisk物力范围Materialforcerange采用安全核查表的形式从管理层面和技术规范执行角度，对信息系统进行现场或非现场的安全管隐患。网络和计算机系统的方法。渗透测试能最大限度的发现业务应用系统存在的可被外部攻击所利用的漏洞、弱点，以及验证安全保护措施的有效性;同时，将侵入系统并获取系统信息的过程和细节记录下来并呈现给用户。风险评估应贯穿于信息系统生命周期的各阶段中，由于信息系统生命周期各阶段中风险评估实施阶段开展，评估目标应符合以下原则：风险评估的对象是构成整个信息系统的各种元素，这些元素直接关联到系统的业务或任务的重要表1制，确保各阶段工作的有效实施；人员(CISP)表21)风险评估方案的目的是为后面的风险评估实施活动提供一个总体计划，用于指导实施方开展后续般包括(但不仅限于)：表3智能终端设备：感知节点设备（物联网感知终端）服务接口：系统对外提供服务以及系统之间的信息共享边界,如云计算PaaS表4表5表6表7影响程度赋值是指脆弱性被威胁利用导致安全事件发生后对资产价值所造成影响的轻重程度分析层面、系统组件和单元三个层面进行分析。表8具体风险计算过程见附录D表9首要措施：[具体建议措施1辅助措施：[具体建议措施2改高技〔2008〕2071号）文附件文件格式。...（继续列出其他风险问题风险评估文档是指在风险评估过程中产生的过程文档和结果文档，包括（但不仅限于此产、系统资产、系统组件和单元资产），附录表A.1表A.2表A.3资产的可用性要求非常高，合法使用者对资产的可用度达到年度99.9%资产的可用性要求较高，合法使用者对资产的可用度达到每天90%以上，或系统允许中断时间小于10min资产的可用性要求中等，合法使用者对资产的可用度在正常工作时间达到70%小于30min资产的可用性要求较低，合法使用者对资产的可用度在正常工作时间达到25%小于60min资产的可用性要求非常低,合法使用者对资产的可用度在正常工作时间低于25%附录威胁来源分类见表B.1表B.1威胁种类见表B.2表B.2威胁动机分类见表B.3表B.3好奇心、自负、无意的错误和遗漏（例如，数据输入错误、编程错误）特定威胁行为能力赋值见表B.4表B.4威胁行为、种类、来源对应见表B.5表B.5网络攻击、权限伪造、行为否认（抵赖）威胁种类、资产、威胁行为关联分析示例见表B.6表B.6表B.7附录C.1*注释：*C.2IPIP***是否监测并保存网络运行状态和日志不少于6注释：*C.3IPIP注释：*C.4▲应检查客户端机器上是否有cookies▲应检查cookies▲网站/web注释：*C.5▲是否关掉Extproc注释：*C.6审批过程，*注释：*C.7注释：*C.8注释：*C.9注释：*C.10**注释：*C.11防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并