信息安全风险管理指南

ICS中华人民共和国国家标准GB/T××××—××××信息安全风险管理指南Guidelineforinformationsecurityriskassessment（征求意见稿）××××-××-××发布××××-××-××实施国家质量监督检验检疫总局发布GBi目次前言.................................................................................I引言................................................................................II1范围................................................................................12规范性引用文件......................................................................13术语和定义..........................................................................14风险管理概述........................................................................24.1风险管理的内容和过程..............................................................24.2风险管理的目的和意义..............................................................24.3风险管理的要素及相互关系..........................................................34.4风险管理的角色和责任..............................................................44.5风险管理与其它信息系统安全保障工作的关系..........................................55风险评估............................................................................65.1风险评估的基本过程................................................................65.2风险评估的结果报告................................................................75.3管理风险评估中引入的新风险........................................................86风险处理............................................................................86.1风险处理方式......................................................................86.2风险处理的针对性..................................................................86.3风险处理的过程....................................................................96.4风险处理的成本分析...............................................................107残余风险...........................................................................117.1残余风险的性质...................................................................117.2残余风险的监视与处理.............................................................118信息系统运行的批准.................................................................11附录A成本效益分析举例.............................................................12附录B安全措施的实现计划示例.......................................................13附录C参考文献.....................................................................14I前言本标准与GB/T××××-××××《信息安全风险评估××××》和GB/T××××-××××《信息安全风险评估××××》联合构成了我国信息安全风险评估的系列标准。本标准由国务院信息化工作办公室提出。本标准由全国信息安全标准化技术委员会归口。本标准由国家信息中心负责起草。本标准主要起草人：本标准由国务院信息化工作办公室网络与信息安全组负责解释。II引言风险是信息安全中的基本概念，只有在正确、全面地了解和理解安全风险后，才能决定如何处理安全风险，从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。当前我国信息安全保障工作中急迫需要加强对基础信息网络和重要信息系统的风险评估。信息安全风险评估是风险管理过程的重要阶段，本标准提出了信息安全风险管理的内容和过程，是风险评估的系列标准之一。在本标准中，如无特殊说明，风险指信息安全风险，风险评估指信息安全风险评估，风险管理指信息安全风险管理。11范围本标准规定了信息安全风险管理的内容和过程。本标准适用于我国各类信息系统的主管、运营部门以及信息安全服务机构对信息系统的安全保护工作。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T××××-××××信息安全风险评估××××GB/T××××-××××信息安全风险评估××××3术语和定义下列术语和定义适用于本标准。3.1使命mission一个单位通过信息技术手段实现的工作任务。3.2资产asset通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。3.3资产价值valueofasset资产是有价值的，资产价值可通过资产的敏感程度、重要程度和关键程度来表示。3.4威胁threat一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果。3.5脆弱性vulnaribility信息资产及其安全措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。3.6事件event如果威胁主体能够产生威胁，利用资产及其安全措施的脆弱性，那么实际产生危害的情况称之为事件。3.7风险risk由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。风险由安全事件发生的可能性及其造成的影响这两种指标来衡量。3.8残余风险residualrisk采取安全措施对风险进行处理，提高了信息安全保障能力后，仍然可能存在的风险。3.9安全需求securityneed2为保证单位的使命能够正常行使，在信息安全保障措施方面提出的要求。3.10措施countermeasure对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。3.11风险评估riskassessment通过一定的步骤和技术手段来评估信息系统安全风险的过程，并判断风险的优先级，建议处理风险的措施。风险评估也称为风险分析，是风险管理的一部分。3.12自评估self-assessment风险评估的一种，是信息系统拥有者依靠自身力量，对自有的信息系统进行的风险评估活动。3.13检查评估assessmentforinspection由信息安全主管机关或业务主管机关发起的评估，评估时一般依据已经颁布的法规或标准。3.14委托评估assessmentunderentrustment指信息系统主管单位委托具有风险评估能力的专业评估机构（国家建立的测评机构或信息安全服务企业）实施的评估活动。3.15他评估assessmentbysomeother检查评估和委托评估称为他评估，与自评估相对应。3.16风险处理risktreatment根据风险评估的结果以及信息安全措施的成本，选择合适的方法来处理风险。3.17风险管理riskmanagement由风险评估、风险处理以及基于风险的决策所组成的完整过程。4风险管理概述4.1风险管理的内容和过程风险管理由三个部分组成：风险评估、风险减缓以及基于风险的决策。风险评估过程将全面评估信息系统的资产、威胁、脆弱性以及现有的安全措施，分析安全事件发生的可能性以及可能的损失，从而确定信息系统的风险，并判断风险的优先级，建议处理风险的措施。基于风险评估的结果，风险处理过程将考察信息安全措施的成本，选择合适的方法处理风险，将风险控制到可接受的程度。基于风险的决策是风险管理的最后过程，旨在由信息系统的主管者或运营者判断残余风险是否处在可接受的水平之内。基于这一判断，主管者或运营者将做出决策，决定是否允许信息系统运行。风险管理的成功取决于：（1）高层管理者的重视；（2）技术团队的全力支持和参与；（3）风险评估队伍的能力；（4）信息系统使用者的意识和合作；（5）单位内对风险进行持续评估和管理的机制。4.2风险管理的目的和意义风险管理可使信息系统的主管者和运营者在安全措施的成本与资产价值之间寻求平衡，并最终通过对支持其使命的信息系统及数据进行保护而提高其使命能力。风险管理并非仅发生在信息系统环境中，它是人类社会生活的基本特征，遍布于日常生活的各个方面，例如防盗门的成本与房间内财物价值的比较。3一个单位的领导必须确保本单位具备完成其使命所需的能力。信息安全措施是有成本的，因此对信息安全的成本必须像其它管理决策一样进行全面检查。一套合理的风险管理方法，可以帮助信息系统的主管者和运营者最大程度地提高其信息安全保障能力，以便最有效地实现其使命。我国大力推行风险管理的总目标是：服务于国家信息化发展，促进信息安全保障体系的建设，提高信息系统的安全保障能力。4.3风险管理的要素及相互关系风险管理的基本要素包括：——使命——资产——资产价值——威胁——脆弱性——事件——风险——残余风险——安全需求——安全措施图1风险管理各要素之间的关系如图1所示，这些要素间存在着如下的相互关系：使命依赖于资产去完成。资产拥有价值，信息化的程度越高，单位的使命越重要，对资产的依赖度越高，资产的价值则就越大。资产的价值越大则风险越大。风险是由威胁发起的，威胁越大则风险越大，并可能演变成事件。威胁都要利用脆弱性，脆弱性越大则风险越大。脆弱性使资产暴露，是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险。资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足，且是有成本的。安全措施