信息安全风险评价指引.doc

GB/T ××××—×××× PAGE 46 PAGE 1 国家质量监督检验检疫总局 发布××××-××-××实施××××-×× 国家质量监督检验检疫总局 发布 ××××-××-××实施 ××××-××-××发布 信息安全风险评估指南 Information Security Risk Assessment Guideline （送审稿） GB/T ××××—×××× 中华人民共和国国家标准 ICS 35.040 L 80 GB/T ××××—×××× 目 次 TOC \f \h \t 前言、引言标题,附录标识,参考文献、索引标题,章标题,附录章标题,一级条标题,附录一级条标题 前 言 I 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 概述 3 4.1 目的与意义 3 4.2 目标读者 4 4.3 文档组织 4 5 风险评估框架及流程 4 5.1 风险要素关系图 4 5.2 风险分析示意图 6 5.3 实施流程 6 6 风险评估实施 7 6.1 风险评估的准备 7 6.2 资产识别 8 6.3 威胁识别 13 6.4 脆弱性识别 15 6.5 已有安全措施的确认 17 6.6 风险分析 17 6.7 风险评估文件记录 19 7 风险评估在信息系统生命周期中的不同要求 20 7.1 信息系统生命周期概述 20 7.2 信息系统生命周期各阶段的风险评估 21 8 风险评估的形式及角色运用 25 8.1 风险评估的形式 25 8.2 风险评估不同形式与其中各角色的关系 25 附　录　A 28 A.1 风险矩阵测量法 28 A.2 威胁分级计算法 29 A.3 风险综合评价法 30 A.4 安全属性矩阵法 30 附　录　B 33 B.1 安全管理评价系统 33 B.2 系统软件评估工具 33 B.3 风险评估辅助工具 34 前 言 为指导和规范针对组织的信息系统及其管理的信息安全风险评估工作，特制定本标准。 本标准介绍了信息安全风险评估的基本概念、原则和要求，提出了信息安全风险评估的一般方法。 本标准由国务院信息化工作办公室提出。 本标准由全国信息安全标准化技术委员会归口。 本标准由国家信息中心、信息安全国家重点实验室、中科网威、上海市信息安全测评认证中心、北京市信息安全测评中心负责起草。 本标准主要起草人：范红等人。 PAGE 32 信息安全风险评估指南 范围 本标准提出了信息安全风险评估的实施流程、评估内容、评估方法及其在信息系统生命周期各阶段的不同要求，适用于组织开展的信息安全风险评估工作。 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 ISO/IEC 17799-2000 Information security management —Part 1:Code of practice for information security management ISO/IEC TR 13335.1 Information technology-Guidelines for the management of IT Security-Part 1:Concepts and models of IT Security GB　17859－1999 计算机信息系统安全保护等级划分准则　 GB/T 19716-2005 信息技术 信息安全管理实用规则 GB/T 19715.1-2005 信息技术 信息技术安全管理指南 第1部分：信息技术安全概念和模型 GB/T9361－2000　计算机场地安全要求 术语和定义 下列术语和定义适用于本标准。 3.1 资产 Asset 对组织具有价值的信息资源，是安全策略保护的对象。 3.2 资产价值 Asset Value 资产的重要程度或敏感程度。资产价值是资产的属性，也是进行资产识别的主要内容。 3.3 威胁 Threat 可能对资产或组织造成损害的潜在原因。威胁可以通过威胁主体、资源、动机、途径等多种属性来刻画。 3.4　 脆弱性 Vulnerability 可能被威胁利用对资产造成损害的薄弱环节。 3.5 信息安全风险 Information Security Risk 人为或自然的威胁利用信息系统及其管理体系中