信息安全风险评估指南

ICS35.040L80中华人民共和国国家标准GB/T××××—××××信息安全风险评估指南InformationSecurityRiskAssessmentGuideline（送审稿）××××-××-××发布××××-××-××实施国家质量监督检验检疫总局发布GB/T××××—××××目次前言..............................................................................I1范围................................................................................12规范性引用文件......................................................................13术语和定义..........................................................................14概述................................................................................34.1目的与意义........................................................................34.2目标读者..........................................................................44.3文档组织..........................................................................45风险评估框架及流程..................................................................45.1风险要素关系图....................................................................45.2风险分析示意图....................................................................65.3实施流程..........................................................................66风险评估实施........................................................................76.1风险评估的准备....................................................................76.2资产识别..........................................................................86.3威胁识别.........................................................................136.4脆弱性识别.......................................................................156.5已有安全措施的确认...............................................................176.6风险分析.........................................................................176.7风险评估文件记录.................................................................197风险评估在信息系统生命周期中的不同要求.............................................207.1信息系统生命周期概述.............................................................207.2信息系统生命周期各阶段的风险评估.................................................218风险评估的形式及角色运用...........................................................258.1风险评估的形式...................................................................258.2风险评估不同形式与其中各角色的关系...............................................25附录A............................................................................28A.1风险矩阵测量法...................................................................28A.2威胁分级计算法...................................................................29A.3风险综合评价法...................................................................30A.4安全属性矩阵法...................................................................30附录B............................................................................33B.1安全管理评价系统.................................................................33B.2系统软件评估工具.................................................................33B.3风险评估辅助工具.................................................................34GB/T××××—××××前言为指导和规范针对组织的信息系统及其管理的信息安全风险评估工作，特制定本标准。本标准介绍了信息安全风险评估的基本概念、原则和要求，提出了信息安全风险评估的一般方法。本标准由国务院信息化工作办公室提出。本标准由全国信息安全标准化技术委员会归口。本标准由国家信息中心、信息安全国家重点实验室、中科网威、上海市信息安全测评认证中心、北京市信息安全测评中心负责起草。本标准主要起草人：范红等人。GB/T××××—××××1信息安全风险评估指南1范围本标准提出了信息安全风险评估的实施流程、评估内容、评估方法及其在信息系统生命周期各阶段的不同要求，适用于组织开展的信息安全风险评估工作。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。ISO/IEC17799-2000Informationsecuritymanagement—Part1:CodeofpracticeforinformationsecuritymanagementISO/IECTR13335.1Informationtechnology-GuidelinesforthemanagementofITSecurity-Part1:ConceptsandmodelsofITSecurityGB17859－1999计算机信息系统安全保护等级划分准则GB/T19716-2005信息技术信息安全管理实用规则GB/T19715.1-2005信息技术信息技术安全管理指南第1部分：信息技术安全概念和模型GB/T9361－2000计算机场地安全要求3术语和定义下列术语和定义适用于本标准。3.1资产Asset对组织具有价值的信息资源，是安全策略保护的对象。3.2资产价值AssetValue资产的重要程度或敏感程度。资产价值是资产的属性，也是进行资产识别的主要内容。GB/T××××—××××23.3威胁Threat可能对资产或组织造成损害的潜在原因。威胁可以通过威胁主体、资源、动机、途径等多种属性来刻画。3.4脆弱性Vulnerability可能被威胁利用对资产造成损害的薄弱环节。3.5信息安全风险InformationSecurityRisk人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件及其对组织造成的影响。3.6信息安全风险评估InformationSecurityRiskAssessment依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。3.7残余风险ResidualRisk采取了安全措施后，仍然可能存在的风险。3.8机密性Confidentiality使信息不泄露给未授权的个人、实体、过程或不使信息为其利用的特性。3.9完整性Integrality保证信息及信息系统不会被有意地或无意地更改或破坏的特性。3.10可用性Availability可以由得到授权的实体按要求进行访问和使用的特性。3.11GB/T××××—××××3业务战略BusinessStrategy组织为实现其发展目标而制定的规则。3.12安全事件SecurityEvent威胁利用脆弱性产生的危害情况。3.13安全需求SecurityRequirement为保证组织业务战略的正常运作而在安全措施方面提出的要求。3.14安全措施SecurityMeasure保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制的总称。3.15自评估Self-assessment由组织自身发起，参照国家有关法规与标准，对信息系统及其管理进行的风险评估活动。3.16检查评估InspectionAssessment由被评估组织的上级主管机关或业务主管机关发起的，依据国家有关法规与标准，对信息系统及其管理进行的具有强制性的检查活动。4概述4.1目的与意义信息安全风险是由于资产的重要性，人为或自然的威胁利用信息系统及其管理体系的脆弱性，导致安全事件一旦发生所造成的影响。信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，即信息安全的风险。信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法，其结果为信息安全风险管理提供依据。本标准以下条款中所指的“风险评估”，其含义均为“信息安全风险评估”。GB/T××××—×××