2024信息安全风险评估技术服务规范.pdf

信息安全风险评估技术服务规范

目次

前言II

引言III

1范围1

2规范性引用文件1

3术语和定义1

4评估原则2

5评估方法2

6风险评估总体流程3

6.1风险评估准备阶段3

6.1.1确定风险评估目标3

6.1.2确定风险评估的对象、范围和边界3

6.1.3组建评估团队和选择评估工具4

6.1.4开展前期调研6

6.1.5制定评估方案7

6.2风险评估实施阶段7

6.2.1资产识别7

6.2.2威胁识别8

6.2.3已有安全措施识别9

6.2.4脆弱性识别9

6.3风险分析阶段11

6.4风险评价阶段11

7风险处理建议11

7.1风险处理原则11

7.2安全整改建议11

7.3风险整改处置建议12

8风险评估报告12

9风险评估过程风险规避12

10风险评估文档记录13

10.1风险评估文档记录要求13

10.2风险评估文档13

附录A（规范性）资产识别15

附录B（规范性）威胁识别16

附录C（规范性）安全脆弱性核查表19

附录D（规范性）风险计算33

I

II

引言

信息安全风险评估企业标准的建立旨在规范信息安全风险评估工作，确保评估过程的科学性、客观

性和准确性。通过信息安全风险评估，能够系统性地识别出潜在的信息安全威胁和漏洞，包括外部的网

络攻击、内部的数据泄露、系统的脆弱性等。这种全面的风险识别使企业能够提前采取预防措施，加固

安全防护体系，有效减少安全事件的发生，保障业务的连续性和稳定性。同时，信息安全风险评估也是

实现数据防护安全的重要手段。

随着数据保护法规的日益严格，各行各业需要确保其信息系统和处理流程符合相关法规要求。为了

提升企业服务能力，规范风险评估服务流程通过建立《信息安全风险评估服务规范》，通过信息安全

评估能提升行业核心信息系统安全风险并及时发现纠正消除安全隐患，避免因信息安全问题造成重大

影响损失及违法违规而面临的法律风险和罚款，维护的合法权益。最后，信息安全风险评估标准建立对

于提升市场竞争力具有重要意义。在竞争激烈的市场环境中，标准化、规范化已成为企业竞争力的重要

组成部分。通过建立信息安全风险评估标准化规范，使企业赢得更多客户和合作伙伴的信任和支持，从

而占据有利的市场地位并实现可持续发展。

III

信息安全风险评估技术服务规范

1围

本标准描述了信息安全风险的评估方法。

本标准适用于信息安全风险评估测评项目。

2范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技〔2008〕2071号）

GB/T20984-2022《信息安全技术信息安全风险评估方法》

GB/T31509-2015《信息安全技术信息安全风险评估实施指南》

GB/T22239-2019《信息安全技术网络安全等级保护基本要求》

CCRC-ISV-C01:2021《信息安全服务规范》

3术语和定义

GB/T20984-2022界定的以及下列术语和定义适用于本文件。

风险评估riskassessment

信息系统风险评估是对信息系统及其处理、传输和存储的信息的保密性、完整性和可用性等安全属

性进行评价的过程。

信息安全风险info