信息安全风险评估指南(国信办版)

国信办综[2006]9号国务院信息化工作办公室印发《信息安全风险评估指南》（征求意见稿）的通知各省、自治区、直辖市和中央、国务院各部门信息化领导小组办公室：为确保信息安全风险评估工作的顺利开展，现将《信息安全风险评估指南》（征求意见稿）印发你们，供参考。二〇〇六年二月二十八日信息安全风险评估指南Riskassessmentguideforinformationsecurity(征求意见稿)国务院信息化工作办公室2006年3月3目录信息安全风险评估指南.........................................................41范围......................................................................42规范性引用文件.............................................................43术语和定义.................................................................44风险评估框架及流程.........................................................74.1风险要素关系.............................................................74.2风险分析原理.............................................................94.3实施流程.................................................................95风险评估实施..............................................................105.1风险评估的准备..........................................................105.2资产识别................................................................125.3威胁识别................................................................165.4脆弱性识别..............................................................185.5已有安全措施确认........................................................215.6风险分析................................................................215.7风险评估文件记录........................................................246信息系统生命周期各阶段的风险评估..........................................256.1信息系统生命周期概述....................................................256.2规划阶段的风险评估......................................................256.3设计阶段的风险评估......................................................266.4实施阶段的风险评估......................................................276.5运行维护阶段的风险评估..................................................286.6废弃阶段的风险评估......................................................287风险评估的工作形式........................................................297.1自评估..................................................................297.2检查评估................................................................30附录A......................................................................32A.1使用矩阵法计算风险......................................................32A.2使用相乘法计算风险......................................................37附录B......................................................................41B.1风险评估与管理工具......................................................41B.2系统基础平台风险评估工具................................................42B.3风险评估辅助工具........................................................434信息安全风险评估指南1范围本指南提出了风险评估的要素、实施流程、评估内容、评估方法及其在信息系统生命周期不同阶段的实施要点，适用于组织开展的风险评估工作。2规范性引用文件下列文件中的条款通过本指南的引用而成为本指南的条款。凡是注明日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本指南。然而，鼓励根据本指南达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本指南。GB/T19716-2005信息技术信息安全管理实用规则GB/T19715.1-2005信息技术信息技术安全管理指南第1部分：信息技术安全概念和模型GB17859-1999计算机信息系统安全保护等级划分准则GB/T9361-2000计算机场地安全要求GB/T5271.8-2001信息技术词汇第8部分：安全3术语和定义3.1资产asset对组织具有价值的信息或资源，是安全策略保护的对象。3.2资产价值assetValue资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。53.3可用性availability数据或资源的特性，被授权实体按要求能访问和使用数据或资源。3.4业务战略businessstrategy组织为实现其发展目标而制定的一组规则或要求。3.5机密性confidentiality数据所具有的特性，即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。3.6信息安全风险informationsecurityrisk人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.7信息安全风险评估informationsecurityriskassessment依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。3.8信息系统informationsystem由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。典型的信息系统由三部分组成：硬件系统（计算机硬件系统和网络硬件系统）；系统软件（计算机系统软件和网络系统软件）；应用软件（包括由其处理、存储的信息）。63.9检查评估inspectionassessment由被评估组织的上级主管机关或业务主管机关发起的，依据国家有关法规与标准，对信息系统及其管理进行的具有强制性的检查活动。3.10完整性integrity保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。3.10.1数据完整性dataintegrity数据所具有的特性，即无论数据形式作何变化，数据的准确性和一致性均保持不变。3.10.2系统完整性systemintegrity在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下，信息系统能履行其操作目的的品质。3.11组织organization由作用不同的个体为实施共同的业务目标而建立的结构。组织的特性在于为完成目标而分工、合作；一个单位是一个组织，某个业务部门也可以是一个组织。3.12残余风险residualrisk采取了安全措施后，仍然可能存在的风险。3.13自评估self-assessment由组织自身发起，参照国家有关法规与标准，对信息系统及其管理进行的风险评估活动。3.147安全事件securityevent指系统、服务或网络的一种可识别状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或未预知的不安全状况。3.15安全措施securitymeasure保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制的总称。3.16安全需求securityrequirement为保证组织业务战略的正常运作而在安全措施方面提出的要求。3.17威胁threat可能导致对系统或组织危害的不希望事故潜在起因。3.18脆弱性vulnerability可能被威胁所利用的资产或若干资产的弱点。4风险评估框架及流程本章提出了风险评估的要素关系、分析原理及实施流程。4.1风险要素关系资产所有者应对信息资产进行保护，通过分析信息资产的脆弱性来确定威胁可能利用哪些弱点来破坏其安全性。风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。风险评估中各要素的关系如图1所示：8脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足图1风险要素关系图图1中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。风险评估围绕着这些基本要素展开，在对这些要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。图1中的风险要素及属性之间存在着以下关系：（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；（3）资产价值越大，原则上则其面临的风险越大；（4）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能导致安全事件；（5）弱点越多，威胁利用脆弱性导致安全事件的可能性越大；（6）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产，从而形成风险；（7）风险的存在及对风险的认识导出安全需求；（8）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；（9）安全措施可抵御威胁，降低安全事件发生的可能性，并减少影响；（10）风险不可能也没有必要降为零，在实施了安全措施后还可能有残余风险。有些残9余风险的原因可