信息安全风险评估操作指南

信息安全风险评估操作指南一、适用场景与触发条件本指南适用于各类组织开展信息安全风险评估的标准化操作，具体场景包括但不限于：系统上线前评估：新业务系统、重要信息系统在正式投入使用前，需完成安全风险评估以确认是否符合安全基线要求；合规性检查评估：为满足《网络安全法》《数据安全法》等法律法规及行业监管要求（如金融、医疗等），需定期开展合规性风险评估；业务变更后复评：当业务流程、系统架构、数据处理范围等发生重大变更时，需重新评估变更带来的安全风险；安全事件后复盘：发生信息安全事件（如数据泄露、系统入侵）后，需通过风险评估分析事件原因、暴露的薄弱环节及后续改进方向；周期性风险评估：组织每年或每半年需例行开展全面风险评估，动态掌握安全态势，优化安全策略。二、风险评估全流程操作步骤（一）评估准备阶段：明确目标与范围组建评估团队根据评估范围确定团队成员，至少包含：评估组长（统筹协调，具备风险评估经验）、业务代表（熟悉业务流程及数据价值）、技术专家（系统、网络、数据库等技术领域）、安全专家（熟悉安全威胁及防护措施）、合规专员（知晓相关法律法规要求）。明确各成员职责，如业务代表负责梳理业务资产及数据流，技术专家负责识别系统脆弱性，安全专家负责分析威胁场景。界定评估范围确定评估对象，包括但不限于：特定业务系统（如电商平台、OA系统）、关键网络设备（如防火墙、核心交换机）、重要数据资产（如用户个人信息、财务数据）、物理环境（如机房、办公区域）等。明确评估时间周期（如“2024年Q3”或“系统上线前1周”）及评估目标（如“识别系统上线前的潜在安全风险，保证满足等保2.0三级要求”）。收集基础资料收集与评估范围相关的文档，包括：系统架构图、网络拓扑图、数据流程图、安全策略制度、资产清单、历史安全事件记录、合规性要求文件（如行业监管标准）等。（二）资产识别与分类分级资产梳理根据业务流程和系统架构，全面梳理信息资产，形成《信息资产清单》。资产类型可划分为：硬件资产：服务器、终端设备、网络设备、存储设备等；软件资产：操作系统、数据库、应用系统、中间件等；数据资产：业务数据（如交易记录）、个人信息（如用户证件号码号）、敏感数据（如商业秘密）、日志数据等；人员资产：系统管理员、开发人员、普通用户等；服务资产：身份认证服务、数据传输服务、业务连续服务等；物理资产：机房、办公设备、线缆等。资产重要性分级根据资产对业务的重要性、敏感程度及受损后影响，将资产分为三级：一级（核心资产）：受损后会导致业务中断、重大数据泄露或严重法律后果（如核心交易数据库、用户身份认证系统）；二级（重要资产）：受损后会影响业务效率、部分数据泄露或造成一定经济损失（如内部OA系统、员工信息数据）；三级（一般资产）：受损后影响较小，可快速恢复（如测试服务器、非敏感办公文档）。（三）威胁识别与分析威胁源分类威胁是指可能对资产造成损害的内外部因素，可分为以下类型：人为威胁：恶意攻击（如黑客入侵、勒索软件）、内部人员误操作（如误删数据、配置错误）、内部人员恶意行为（如数据窃取、权限滥用）；环境威胁：自然灾害（如火灾、洪水）、电力故障、硬件老化；技术威胁：系统漏洞、病毒/木马、网络攻击（如DDoS、SQL注入）、供应链风险（如第三方组件漏洞）。威胁可能性分析结合历史事件、行业案例及当前威胁态势，对每个威胁发生的可能性进行评级（高/中/低）：高：近期行业内频繁发生，或组织自身存在易受攻击的脆弱点（如未修复的已知漏洞）；中：偶有发生，需特定条件触发（如钓鱼邮件需用户）；低：发生概率极低，或现有控制措施可有效防范（如双因素认证防暴力破解）。（四）脆弱性识别与分析脆弱性类型脆弱性是指资产自身存在的、可被威胁利用的弱点，包括：技术脆弱性：系统漏洞（如操作系统未打补丁）、配置缺陷（如默认密码开放）、网络架构风险（如核心区域无隔离）、数据加密缺失（如敏感数据明文存储）；管理脆弱性：安全策略缺失（如无访问控制策略）、人员意识不足（如弱密码使用流程未规范）、应急响应机制不完善（如事件处理流程不明确）；物理脆弱性：机房门禁管控不严、设备物理防护不足（如无UPS备用电源）。脆弱性严重程度评级根据脆弱性被利用后对资产的影响，分为三级：高：可直接导致核心资产泄露或系统瘫痪（如数据库root权限泄露、未安装杀毒软件）；中：可导致重要资产部分受损或业务短暂中断（如普通用户权限配置错误、备份策略不完整）；低：影响较小，需与其他脆弱性组合才能造成损害（如非敏感系统日志未开启）。（五）现有控制措施评估控制措施梳理列出当前已实施的安全控制措施，包括：技术措施：防火墙、入侵检测系统（IDS）、数据加密、访问控制列表（ACL）、漏洞补丁管理、日志审计系统；管理措施：安全管理制度（如《访问控制规范》）、人员安全培训、应急演练、第三方供应商安全管理；物理措施：机房门禁监控、设备巡检、消防设施。措施有效性分析评估现有控制措施对威胁的防范效果及对脆弱性的覆盖程度，判断其是否有效（可完全防范/部分防范/无法防范），并记录未覆盖的脆弱性。（六）风险分析与计算风险计算模型采用“风险值=可能性×影响程度”公式进行量化计算（或使用风险矩阵法进行定性评级）：可能性：根据威胁评级赋值（高=3、中=2、低=1）；影响程度：根据资产等级及脆弱性严重程度综合赋值（一级资产高影响=5、中=3、低=1；二级资产高影响=4、中=2、低=1；三级资产高影响=3、中=1、低=0.5）。风险值等级划分：高风险（≥8分）、中风险（4-7分）、低风险（＜4分）。风险场景描述对高风险及中风险场景进行详细描述，包括：“威胁+脆弱性+资产”的组合（如“黑客利用系统SQL注入漏洞（威胁+脆弱性）入侵核心数据库（资产），可能导致用户数据泄露（影响）”）。（七）风险评价与等级判定风险等级判定结合组织风险承受能力，将风险划分为：不可接受风险：需立即处置的高风险（如核心系统权限管理混乱）；可接受风险（需监控）：中风险（如非敏感系统备份策略不完整）；可接受风险：低风险（如普通办公软件未更新补丁）。风险优先级排序按风险值从高到低排序，优先处置涉及核心资产的高风险场景。（八）风险处置策略制定针对不可接受及需监控的风险，制定处置策略，包括：风险规避：停止或放弃可能导致风险的业务活动（如关闭存在高危漏洞的外部服务端口）；风险降低：实施控制措施降低风险可能性或影响（如安装防火墙阻断恶意访问、定期数据备份）；风险转移：通过外包、购买保险等方式将风险转移给第三方（如将系统运维外包给具备安全资质的服务商）；风险接受：在权衡成本效益后，暂时接受风险并制定监控计划（如对低价值系统的低风险漏洞，纳入下次修复计划）。（九）风险评估报告编制报告内容结构评估背景与范围；资产识别与分级结果；威胁与脆弱性分析；风险分析与评价结果；风险处置计划（含责任分工、完成时限）；附录（如资产清单、风险矩阵表）。报告审核与发布由评估组长审核报告内容，保证数据准确、建议可行；提交组织管理层审批后发布，并抄送相关部门（如IT部门、业务部门）。（十）持续监控与复评风险监控：对已处置风险进行跟踪，确认控制措施有效性；对中低风险定期（如每季度）复查，避免风险等级上升。周期性复评：每年或每半年开展一次全面风险评估，或在发生重大变更（如系统升级、业务扩张）时触发复评，保证风险动态可控。三、核心工具表格模板表1：信息资产清单（示例）资产编号资产名称资产类型所属业务系统责任人所在位置重要性等级备注（如数据量、业务依赖度）ASSET-001核心交易数据库数据资产电商平台*技术经理机房A一级存储用户交易数据，日均10万条ASSET-002员工OA系统软件资产内部办公*行政主管办公区3层二级包含员工个人信息、审批流程ASSET-003核心交换机硬件资产网络基础设施*网络工程师机房A一级支撑全公司网络数据转发表2：威胁清单（示例）威胁编号威胁名称威胁类型威胁来源影响资产可能性备注（如近期行业案例）THR-001勒索软件攻击人为威胁外部黑客组织核心交易数据库高2024年某电商平台遭勒索攻击THR-002内部人员误操作人为威胁内部员工员工OA系统中2023年因误删数据导致业务中断THR-003电力故障环境威胁自然/外部设施所有机房设备低机房配备UPS，可支撑2小时供电表3：脆弱性清单（示例）脆弱性编号脆弱性名称脆弱性类型所在资产严重程度备注（如CVE编号）VUL-001数据库未授权访问漏洞技术脆弱性核心交易数据库高默认管理员密码未修改VUL-002员工弱密码策略缺失管理脆弱性员工OA系统中密码长度要求≥8位，未包含特殊字符VUL-003机房门禁权限过宽物理脆弱性机房A中部分非运维人员可进入核心区域表4：风险分析表（示例）风险编号风险场景描述威胁编号脆弱性编号涉及资产可能性影响程度风险值风险等级处置策略RSK-001黑客利用未授权访问漏洞入侵核心数据库THR-001VUL-001ASSET-0013515不可接受立即修改默认密码，启用访问控制RSK-002内部员工因弱密码导致OA系统账号被盗用THR-002VUL-002ASSET-002236中风险强制密码复杂度，定期更换密码RSK-003电力故障导致机房设备中断THR-003VUL-003（物理防护不足）ASSET-003/001/002144中风险增加UPS续航时间，完善发电机备用电源表5：风险处置计划表（示例）风险编号处置措施责任人完成时限所需资源验证方式RSK-001修改数据库默认密码，配置IP白名单访问控制*技术经理2024-08-15数据库授权工具登录测试，访问日志审计RSK-002发布《密码管理规范》，强制员工修改弱密码*行政主管2024-08-20邮件通知系统密码复杂度检查工具RSK-003协调运维部升级UPS设备，签订发电机维保合同*运维主管2024-09-30预算5万元设备测试，维保记录核查四、关键操作要点与风险规避保证评估客观性避免主观臆断，资产识别、威胁分析需基于实际业务场景和客观数据（如漏洞扫描报告、历史事件记录）；邀请非直接关联的业务人员参与评审，减少“自我评估”bias。团队专业性保障评估团队成员需具备相应领域知识（如技术专家需熟悉系统架构，合规专员需掌握最新法规）；对团队成员进行前置培训，统一评估标准（如风险值计算方法、资产分级依据）。文档记录