《信息安全风险评估指南》.doc

目 次 前 言 I 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 概述 3 4.1 目的与意义 3 4.2 目标读者 4 4.3 文档组织 4 5 风险评估框架及流程 4 5.1 风险要素关系图 4 5.2 风险分析示意图 6 5.3 实施流程 6 6 风险评估实施 7 6.1 风险评估的准备 7 6.2 资产识别 8 6.3 威胁识别 13 6.4 脆弱性识别 15 6.5 已有安全措施的确认 17 6.6 风险分析 17 6.7 风险评估文件记录 19 7 风险评估在信息系统生命周期中的不同要求 20 7.1 信息系统生命周期概述 20 7.2 信息系统生命周期各阶段的风险评估 21 8 风险评估的形式及角色运用 25 8.1 风险评估的形式 25 8.2 风险评估不同形式与其中各角色的关系 25 附　录　A 28 A.1 风险矩阵测量法 28 A.2 威胁分级计算法 29 A.3 风险综合评价法 30 A.4 安全属性矩阵法 30 附　录　B 33 B.1 安全管理评价系统 33 B.2 系统软件评估工具 33 B.3 风险评估辅助工具 34 前 言 为指导和规范针对组织的信息系统及其管理的信息安全风险评估工作，特制定本标准。 本标准介绍了信息安全风险评估的基本概念、原则和要求，提出了信息安全风险评估的一般方法。 本标准由国务院信息化工作办公室提出。 本标准由全国信息安全标准化技术委员会归口。 本标准由国家信息中心、信息安全国家重点实验室、中科网威、上海市信息安全测评认证中心、北京市信息安全测评中心负责起草。 本标准主要起草人：范红等人。 信息安全风险评估指南 范围 本标准提出了信息安全风险评估的实施流程、评估内容、评估方法及其在信息系统生命周期各阶段的不同要求，适用于组织开展的信息安全风险评估工作。 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 ISO/IEC 17799-2000 Information security management —Part 1:Code of practice for information security management ISO/IEC TR 13335.1 Information technology-Guidelines for the management of IT Security-Part 1:Concepts and models of IT Security GB　17859－1999 计算机信息系统安全保护等级划分准则　 GB/T 19716-2005 信息技术 信息安全管理实用规则 GB/T 19715.1-2005 信息技术 信息技术安全管理指南 第1部分：信息技术安全概念和模型 GB/T9361－2000　计算机场地安全要求 术语和定义 下列术语和定义适用于本标准。 3.1 资产 Asset 对组织具有价值的信息资源，是安全策略保护的对象。 3.2 资产价值 Asset Value 资产的重要程度或敏感程度。资产价值是资产的属性，也是进行资产识别的主要内容。 3.3 威胁 Threat 可能对资产或组织造成损害的潜在原因。威胁可以通过威胁主体、资源、动机、途径等多种属性来刻画。 3.4　 脆弱性 Vulnerability 可能被威胁利用对资产造成损害的薄弱环节。 3.5 信息安全风险 Information Security Risk 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件及其对组织造成的影响。 3.6　 信息安全风险评估 Information Security Risk Assessment 依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 3.7　 残余风险 Residual Risk 采取了安全措施后，仍然可能存在的风险。 3.8　 机密性 Confidentiality 使信息不泄露给未授权的个人、实体、过程或不使信息为其利用的特性。 3.9 完整性Integrality 保证信息及信息系统不会被有意地或无意地更改或破坏的特性。 3.10　 可用性 Availability 可以由得到授权的实体按要求进行访问和使用的特性。 3