《信息安全风险评估规范》解读

本文目标：依据GB/T 20984—2007和相关经验，通过简洁明了的方式快速介绍风险评估的背景、目标、概念、流程及实施注意事项。

GB/T 20984—2007发布机关：
1、中华人民共和国国家质量监督检验检疫总局
2、中国国家标准化管理委员会

1、风险评估的背景

随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强，信息安全问题受到普遍关注。运用风险评估去识别安全风险，解决信息安全问题得到了广泛的认识和应用。

2、风险评估目标

从风险管理的角度出发，依据国家法律法规、行业标准提前对各应用服务提供商的应用等进行风险评估。通过对风险的提前发现、提前整改、持续改进达到有效提升企业信息安全目标。
此外，我们发现风险评估不仅是为了保障企业各类资产安全、防止企业的各类资产遭受来自外部的攻击和利用，也是为了符合国家和行业的合规性要求，避免处罚。
最后，有效的风险管控也可提升对应用服务提供商的信任，也为企业在客户合作中赢得更多合作机会。

3、概念

依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

4、风险评估框架及流程

4.1风险关键要素关系

4.2风险分析原理

4.3实施流程

5、实施流程中各阶段主要任务

5.1准备阶段

风险评估的准备是整个风险评估过程有效性的保证。因此，在风险评估实施前应充分做好准备阶段的相关工作：
1）确定风险评估的目标：自评估or检查评估？为满足什么样的安全需求，保持业务战略继续运行OR国家、行业、或被评估的上级机关要求等？
2）确定风险评估的范围：被评估范围确定。
3）组建适当的评估管理与实施团队；
4）进行系统调研：
a）业务战略及管理制度
b）主要的业务功能和要求
c）网络结构与网络环境，包括内部连接和外部连接；
d）系统边界；
e）主要的硬件、软件；
f）数据和信息；
g）系统和数据的敏感性；
h）支持和使用系统的人员；
i）其他。
系统调研可以采取问卷调查、现场面谈相结合的方式进行。调查问卷是提供一套关于管理或操作控
制的问题表格，供系统技术或管理人员填写；现场面谈则是由评估人员到现场观察并收集系统在物理、
环境和操作方面的信息。
5）确定评估依据和方法：
根据系统调研结果，确定评估依据和评估方法。评估依据包括（但不限于）：
a）现行国际标准、国家标准、行业标准；
b）行业主管机关的业务系统的要求和制度；
c）系统安全保护等级要求；
d）系统互联单位的安全要求；
e）系统本身的实时性或性能要求等。
根据评估依据，应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方法，并依据业务实施对系统安全运行的需求，确定相关的判断依据，使之能够与组织环境和安全要求相适应。

6）制定方案：为了后面的风险评估实施活动提供一个总体计划，用于指导实施方开展后续工作
7）获得最高管理者对风险评估工作的支持。

5.2 资产识别

5.2.1 资产分类

机密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此，有必要对组织中的资产进行识别。
在一个组织中，资产有多种表现形式；同样的两个资产也因属于不同的信息系统而重要性不同，而且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。在实际工作中，具体的资产分类方法可以根据具体的评估对象和要求，由评估者灵活把握。根据资产的表现形式，可将资产分为数据、软件、硬件、服务、人员等类型。

资产分类分级指导

5.2.2 资产赋值

5.2.2.1 保密性赋值
根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。

表1 资产保密性赋值表

5.2.2.2 完整性赋值
根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上缺失时对整个组织的影响。

表2 资产完整性赋值表

5.2.2.3 可用性赋值
根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上应达成的不同程度。

表3 资产可用性赋值

5.2.2.4 资产重要性等级
资产价值应依据资产在机密性、完整性和可用性上的赋值等级，经过综合评定得出。综合评定方法可以根据自身的特点，选择对资产机密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果；也可以根据资产机密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。加权方法可根据组织的业务特点确定。

表4 资产等级及含义描述

5.3 威胁识别

5.3.1 威胁分类

基于表现形式的威胁分类表

5.3.2 威胁赋值
判断威胁出现的频率是威胁赋值的重要内容，评估者应根据经验和（或）有关的统计数据来进行判断。在评估中，需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率：
a) 以往安全事件报告中出现过的威胁及其频率的统计；
b) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；
c) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。

威胁赋值表

5.4 脆弱性识别

5.4.1脆弱性识别内容
脆弱性是资产本身存在的，如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健，严重的威胁也不会导致安全事件发生，并造成损失。即，威胁总是要利用资产的脆弱性才可能造成危害。
脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域和软硬件方面的专业人员等。脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。
脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面，前者与具体技术活动相关，后者与管理环境相关。

脆弱性识别内容表

5.4.2 脆弱性赋值
可以根据对资产的损害程度、技术实现的难易程度、弱点的流行程度，采用等级方式对已识别的脆弱性的严重程度进行赋值。由于很多弱点反映的是同一方面的问题，或可能造成相似的后果，赋值时应综合考虑这些弱点，以确定这一方面脆弱性的严重程度。
对某个资产，其技术脆弱性的严重程度还受到组织管理脆弱性的影响。因此，资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。
脆弱性严重程度可以进行等级化处理，不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大，脆弱性严重程度越高。表 10 提供了脆弱性严重程度的一种赋值方法。

脆弱性严重程度赋值表

5.5 已有安全措施确认

5.6 风险分析

风险等级划分表

5.7 风险评估文档记录

附件

1、基于信息安全标准的风险评估：

目前，国际上存在多种不同的风险分析标准或指南，不同的风险分析方法侧重点不同，例如
NIST SP 800-30 、BS7799、ISO/IEC 13335 等。

2、基于知识的风险评估：

基于知识的风险评估并不仅仅遵循某个单一的标准或指南，而是将各种风险分析方法进行综合，并结合实践经验，形成风险评估知识库，以此为基础完成综合评估。
与特定的标准或最佳实践进行比较，从中找出不符合的地方；按照标准或最佳实践的推荐选择安全措施以控制风险。