1、ICS 35.040 L 80 G/Z 24364 2009 Information security technology一Guidelines for information security risk management 2009-09-30发布2009-12-01实俨CThr、J尹立刻苦夕,中华人民共和国国家质量监督检验检亵总局中国国家标准化管理委员会发布GB/Z 24364 2009 目次前言引言范围规范性引用文件术语和定义信息安全风险管理概述信息安全风险管理的范围和对象信息安全风险管理的内容和过程信息安全风险管理与信息系统生命周期和信息安全目标的关系信息安全风险管理相关人员的角色
2、和责任背. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E . . . . . . . . . . . . . . . E 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . l 2 . . . . . . . . . . . . . . . . . . . .
3、. . . . . . . . . . . . . . . . . . . . . . . . . . . . l 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ., . . . . . . . . . . . . . . 2 4. 1 . . . . . . . . . . . . . . . . .
4、. . . . . . . . . . . . . . . . . . . . . . . . . 2 4.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 4. .3 . . . . . . . . . . . . . . . . . . 3 4.4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 ph . . . . . . . . . . . . . . . . .
5、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 5. 1 背景建立概述55. 2 背景建立过程55.3 背景建立文档. . . . 8 6 风险评估. . . . . . . 8 6. 1 风险评估概述86. 2 风险评估过程96. 3 风除评估艾档四7 风除处理四7.1 风险处理概述. . . . . . . . . . . 13 7.2 风险处理过程. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6、 . . . 14 7.3 风险处理文档. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 8 批准监督178.1 批准监督概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 8.2 批准监督过程. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7、. . . . . . . . . . . . 17 8.3 批准监督文档. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 9 监控审查. . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 9. 1 除非专审杏概掠. . . . . . 20 9.2 监控审查过程. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 9.3 监控审查文档. . . . . . . . . . .
8、 . . . . . . . . . . . . . . . 23 10 沟通咨询. . . . . . . 23 10.1 沟通咨询概述. . . . . 23 10.2 沟通咨询过程. . . . . . . . . . . . . . . . . . . . . 24 10.3 沟通咨询文档. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 11 信息系统规划阶段的信息安全风险管理. . . . . . . . . . . . . . . . . . . . . . .
9、. . . 27 11. 1 安全目标和安全需求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 11. 2 风险管理的过程与活动. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 12 信息系统设计阶段的信息安全风险管理. . . . . . . . . . . . . . . . . . . . 29 I GB/Z 24364 2009 12.1 安全目标
10、和安全需求ee.e. . . . . . . . . . . . 29 12.2 风险管理的过程与活动. . . . . . . . . . . . . . . . . . . . . . 29 13 信息系统实施阶段的信息安全风险管理. . . . . . . . . . . . 31 13.1 安全目标和安全需求. 13.2 风险管理的过程与活动. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 14 信息系统运行维护阶段的信息安全风险管理14. 1 安全目标和安全需求3214.2
11、 风险管理的过程与活动3315 信息系统废弃阶段的信息安全风险管理. . . . . . . . . . . . . . . . . . . . . . 34 15.1 安全目标和安伞需求. . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 15.2 风险管理的过程与活动. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 附录AC资料性附录)风险处理参考模型及其需求和措施mA.1 风险处理参考模型. . . . . . . M A.2 风险处理的需求和措
12、施. . . . . . . . . . . . . . . . . m 参考文献. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 E GB/Z 24364 2009 前本指导性技术文件的附录A为资料性附录。本指导性技术文件由全国信息安全标准化技术委员会提出并归口。本指导性技术文件起草单位:国家信息中心信息安全研究与服务中心、中国电信股份有限公司北京研究院。本指导性技术文件主要起草人z吴亚非、张鉴、范红、刘蓓、赵阳。E GB/Z 24364 2009 51 一一同一个机构要利用其拥有
13、的资源来完成其使命。在信息时代,信息成为第一战略资源,更是起着至关重要的作用。因此,信息资产的安全是关系到该机构能否完成其使命的大事。资产与风险是天生的一对矛盾,资产价值越高,面临的风险就越大。信息资产有着与传统资产不同的特性,面临着新型风险。信息安全风险管理的日的就是要缓解并平衡这一对矛盾,将风险控制到可接受的程度,保护信息及其相关资产,融叫仲凰山1 :t阳电.刷咒比例。信息安全风险管理是信息安全保障工作中的一项基础性工作,主要表现在以下几方面s信息安全风险管理的思想和措施应体现在信息安全保障体系的技术、组织和管理等全方位。由于在信息安全保障体系的技术、组织和管理等方面都存在着相关风险,因此
14、,在信息安全保障体系中,技术、组织、管理中均应引人风险管理的思想,准确地评估风险并合理地处理风险,共同实现信息安全保障的目标。信息安全风险管理的思想和措施应贯穿于信息系统生命周期的全部过程。信息系统生命周期包括规划、设计、实施、运维和废弃五个阶段。每个阶段都存在着相关风险,同样需要采用信息安全风险管理的思想加以应对,采用风险管理的措施加以控制。信息安全风险管理的思想和措施是贯彻信息安全等级保护制度的有力支撑。信息安全风险管据信息安全等级保护的思想和原则,区分主次,平衡成本与效益,合理部署和利用信息安全的保护机制、信任体系、监控体系和应急处理等重要的基础设施,选择并确定合适的安全控制措施,从而保
15、证机构具有完成其使命所需要的信息安全保障能力。为落实国家加强信息安全保障工作的要求,为实施信息安全等级保护制度的需要,制定本指导性技术文件。本指导性技术文件可与GB/T20981结合使用,并可作为机构建立信息安的参考。体系(lSMS)本指导性技术文件参考了ISO/IEC27005等国际信息安全风险管理的相关标准,并经过国家有关行业和地区的试点验证。标准针对信息安全风险管理所涉及的背景建立、风险评估、风险处理、批准监督、监控审查、沟通咨询等不同过程进行了综合性描述,对信息安全风险管理在信息系统生命周期各段的应用作了系统阐述。本指导性技术文件条款中所指的风险管理,其含义均为信息安全风险管理。本指导
16、性技术文件中列出的带书名号的文档是示范性的,其格式和详细内容未作规范。N GB/Z 24364一2009信息安全技术安全风险管理指南1 范围本指导性技术文件规定了信息安全风险管理的内容和过程,为信息系统生命周期不同阶段的信息安全川阻日4比17J I=f可。本指导性技术文件适用于指导组织进行信息安全风险管理工作。2 规范性引用文件下列文件中的条款通过本指导性技术文件的引用而成为本指导性技术文件的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容或修订版均不适用于本指导性技术文件,然而,鼓本指导性技术文件达成协议的各方研究是否可使用这些文件的最新版本。凡是不注目期的引用文件,其最新版
17、本适用于本指导性技术文件。GB 17859 1999 汁算机信息系统安全保护等级划分准则GBjT 18336.2 2008信息技术安全技术信息技术安全性评估准则第2:安全功能要求(ISOjIEC15408-2 ,2005 , IDT) GBjT 20984 2007 信息安全技术信息安全风险评估规范GBjT 22081 2008信息技术安全技术信息安全管理实用规则CISO/IEC27002 ,2005 , IDT) 3 术语和定义3. 1 3.2 下列术语和定义适用于本指导性技术文件。可用性availability 的特性,被授权实体按要求能访问和使用数GB/T 20984J 保密性confi
18、dentiaIity 。数据所具有的特性,即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度。GB/T 20984J 3.3 信息安全凤险information security risk 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.4 GB/T 20984J 完整性integrity 保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。GB/T 20984J l GB/Z 24364 2009 3.5 3.6 3.7 凤险risk事态的概率及其结果的组合。GB/T 22081J 风险管理risk
19、management 识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。凤险处理risk treatment 选择并且执行措施来更改风险的过程。GB/T 22081J 4 信息安全4. 1 信息安全凤险管理的范围和对象信息安全的概念涵盖了信息、信息载体和信息环境3个方面的安全,信息指信息系统中采集、处理、存储的数据和文件等内容p信息载体指承载信息的媒介,IlJl用于记录、传输、积累和保存信息的实体;信息环境指信息及信息载体所处的环境,包括物理平台、系统平台、网络平台和应用平台等硬环境和软环撞。信息安全风险管理是基于风险的信息安全管理,也就是,始终以风险为主线进行信息安全的管理。从概念
20、上讲,信息安全风险管理应该涉及信息安全上述3个方面(信息、信息载体和信息环境)中包含的所有相关对象。然而对于一个具体的信息系统,信息安全风险管理可能主要涉及该信息系统的关部分。因此,根据实际信息系统的不同,信息安全风险管理的侧重点,即风险管理选择的范围和对象重点应有所不l川4.2 信息安全凤险管理的内容和过信息安全风险管理包括背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询6个方面的内容。背景建立、风险评估、风险处理和批准监督是信息安全风险管理的4个基本步骤,监控审查和沟通咨询则贯穿于这4个基本步骤中,如图l历示。背景建立风险评估监控沟通审查咨询风险处理批准监督1 信息安全风险管理的
21、内容和过程是背景建立,确定风险管理的对象和范围,确立实施风险管理的准备,进行相关信息的2 GB/Z 24364 2009 查和分析。第二步骤是风险评估,针对确立的风险管理对象所面临的风险进行识别、分析和评价。第三风险处理,依据风险评估的结果,选择和实施合适的安全措施。第四步骤是批准监督,机构的决风险评估和风险处理的结果是否满足信息系统的安全要求,做出是否认可风险管理活动的决定。当受保护系统的业务目标和特性发生变化或面临新的风险时,需要再次进入上述4个步骤,形成新的一次循环。监控审查对上述4个步骤进行监控和审查。监控是监视和控制上述4个步骤的过程有效性和成本有效性z审查是跟踪受保护系统自身或所处
22、环境的变化,以保证上述4个步骤的结果有效性和符合性。沟通咨询为上述4个步骤的相关人员提供沟通和咨询。沟通是为上述过程参与人员提供交流途径,以保持相关人员之间的协调一致,共同实现安全目标。咨询是为上述过程所有相关人员提供学习途径,以提高人员的风险意识和知识,配合实现安全目标。背景建立、风险评估、风险处理、批准监督、监控审查、沟通咨询构成了一个螺旋式上升的循环,使得受保护系统在自身和环境的变化中能够不断应对新的安全需求和川阻。导性技术文件的第5章到第10章,对信息安全风险管理实施过程上述6个步骤的概念、过、工作内容、输出文档等进行了阐述。4.3 信息安全凤险管理与信息系统生命周期和信息安全目标的关
23、系4.3. 1 信息系统生命信息系统生命周期是某一信息系统从无到有,再到扬弃的整个过程,包括规划、设计、实施、运行维护和废弃5个基本阶段。在规划阶段,确定信息系统的目的、范围和需求,分析和论证可行性,提出总体方案。在设计阶段,依据总体方案,设计信息系统的实现结构包括功能划分、接口协议和性能指标等)和实施方案(包括实现技术、设备选型和系统集成等)。在实施阶段,按照实施方案,购买和检测设备,开发定制功能,集成、部署、配置和测试系统,培训人员等。在运行维护阶段,运行和维护系统保证信息系统在自身和所处环境的变化中始终能够正常工作和不断升级。在废弃阶段,对信息系统的整体或信息系统过时或元用部分进行报废处
24、理。当信息系统的业务目标和需求发生变化时,或技术和管理环境发生变化时,需要再次进入上述5个阶段,形成新的一次循环。因此,规划、设计、实施、运行维护和废弃构成了一个螺旋式上升的循环,使得信息系统不断适应自身和环境的变化。4.3.2 信息安全目标信息安全吕标就是要实现信息系统的基本安全特性(即信息安全基本属性),并达到所需的保障级别。信息安全基本属性包括保密性、完整性、可用性、真实性和抗抵赖性等,每一属性都有相应的保障级别作为其强度的度量,如图2所示.保密性完整性可用性真实性抗抵赖性具有度量保障级别圄2信息安全基本属性及其保保密性指信息与信息系统不被非授权者所获取或利用的特性,包括数据保密和访问控
25、制等方面。完整性指信息与信息系统真实、准确和完备,不被冒充、伪造和篡改的特性,包括身份真实、数据完整和系统完整等方面。可用性指信息与信息系统可被授权者在需要的时候访问和使用的特性。真实保主体或资源的身份正是所声称的特性。抗抵赖性指一个实体不能够否认其行为的特性,可以支持责GB/Z 24364 2009 任追究、威慑作用和法律行动等。达到的级别或强度,可以作为安认证来确定的。4.3.3 三者关系密性、完整性、可用性、真实性和抗抵赖性在具体实现中任度的尺度。信息系统的安全保障级别主要是通过对信息系统迸信息安全风险管理与信息系统生命周期和信息安全目标之间的关系可简要表述为,信息系统生命周期的每个阶段
26、,为了达到其信息安全目标,都需要相应的信息安全风险管理手段作为支持。信息系统生命周期各阶段的特性及其信息安全目标的保障级别随行业特点和系统特性的不同而不同,也就是说,不同行业下的不同系统在信息系统生命周期的不同阶段,对信息安全基本属性(即保密性、完整性、可用性、真实性和抗抵赖性的要求和侧重不同。因此,可在本指导性技术文件指导下开发行业的信息安全风险管理规范。对于信息安全目标的保障级别应遵循国家信息安全等级保护制度的要求,具体可参照GB17859一-1999.在本指导性技术文件的第11章到第15章,对信息系统生命周期各个阶段的安全需求和目标,以及相应的信息安全风险管理主要过程和活动进行了阐述。4
27、.4 信息安全凤险管理相关人员的角色和责任信息安全风险管理是基于风险的信息系统安全管理。因此,信息安全风险管理涉及人员,既包括信息安全风险管理的直接参与人员,也包括信息系统的相关人员。表1对信息安全风险管理相关人员的角色和责任进行了归纳和分类。表1信息安全关人员的角色和素任信息系统信息安全风险管理层面角色内外部责任角色内外部责任负责信息系统的重大决策负责信息安全风险管理的决策层决策人员内决策人员内重大决策、总体规划和批准和总体规范监督管理层管理人员内负责信息系统各方面的管管理人员内负责信息安全风险管理各理、组织和协调过程中的管理、组织和协调规划设计内或外负责信息系统的规划和人员设计建设人员内或
28、外负责信息系统的建设和实施负责信息安全风险管理的执行人员内或外负责信息系统的日常运行具体规划、设计和实施运行人员内和操作执行层维护人员内或外负责信息系统的日常维护,包括维修和升级负责信息系统的监视和负责信息安全风险管过监控人员内监控人员内程、成本和结果的监视和|控制控制为信息系统提供专业技术为信息安全风险管理提供|专业技术支持,包括咨询、l支持层支持人员外支持,包括咨询、培训、测评支持人员外培训11、测评和工具定制等和工具定制等服务服务遵循信息安全风险管理的用户层使用人员内或外利用信息系统完成自身的使用人员内或外原则和过程使用信息系统,任务并反馈信息安全风险管理的效果.J. 4 G/Z 243
29、64 2009 5 背景建立5. 1 背景建立概述5. 1. 1 背景建立的概念背景建立是信息安全风险管理的第一步骤,确定风险管理的对象和范围,确立实施风险管理的准备,进行相关信息的调查和分析。5. 1. 2 背景建立的目的背景建立是为了明确信息安全风险管理的范围和对象,以及对象的特性和安全要求,对信息安全风险管理项目进行规划和准备,保障后续的风险管理活动顺利进行。5. 1. 3 背景建立的家、地区或行业的相、法律、法规和标准以及信息系统的业务目标和特性都是背景建立的必要。5.2 背景建立过程背景建立的过程包括风险管理准备、信息系统调查、信息系统分析和信息安全分析4个阶段。在信息安全风险管理过
30、程中,背景建立过程是一次信息安全风险管理主循环的起始,为风险评估提供输入,监控审查和沟遐咨询贯穿其4个阶段,如图3所示。沟通咨询i 二二:1:;二二;二二二;二f二二二二二二IJ;二二二二二T.二二二二监控审查i 背景建立-、风险管理信息系统信息系统信息安全准备调查分析分析调确组获调调调分分分分定建得查查查查析析析析风风风支信信信信信信信信险险险持息息息息息息息息管管管系系系系系系系系理理理统统统统统统统统对团计的的的的的的的的象队划业业技管体关安安务务术理系键全全目特特特结要环要标性性性构素境求、;.-、险佑风评、图35.2. 1 凤险管理准备如图4所示,其在信息安全中的位置a) 确定风的规
31、定,确定将要。的工作过程和内容如下=的使命,并遵循国家、地区或行业的相关政策、法律、对象。准5 GB/Z 24364 2009 b)组团队。组建风险管理团队,确定团队成员、组织结构、角色、责任等内容。c) 制定风结构、实计划。制定风险管理的实施计划,包括风险管理的目的、意义、范围、目标、组织案、经费预算和进度安排等,形成风险管理计划书。d) 获得支持。上述所有内容确定后,风险管理计划书应得到组织最高管理者的支持和批准s由进行传达,在组织范围就风险管理相关内容进行培训,以明确有关人员在风险管理中的任务。确定风险管理对象机构的使命组建风险管理团队 相关的政策、法律、制定风险管理计划法规和标准k、获
32、得支持-l 信息系统调查i 4 凤险管理准备阶段的过程及其输入输出5.2.2 信息系统调查6 如图5所示,信息系统调查阶段的工作过程和内容如下za) 调查信息系统的业务目标。了解机构的使命,包括战略背景和战略目标等,从中明确支持机构完成其使命的信息系统的业务目标。协调查信息系统的业务特性。了解机构的业务,包括业务内容和业务流程等,从中明确支持机构业务运营的信息系统的业务特性。c) 调查信息系统的管理特性。了解机构的组织结构和管理制度,包括岗位设置、责任分配、规章制度、操作规程和人事管理等,从中明确支持机构业务运营的信息系统的管理特性。d) 调查信息系统的技术特性。了解信息系统的技术平台,包括物
33、理平台、系统平台、通信平台、网络平台和应用平台,从中明确支持业务运营的信息系统的技术特性。e) 汇总上述调查结果,形成信息系统的描述报告,其中包含信息系统的业务目标、业务特性、管理特性和技术特性等方面的内容。信息系统的调查方式包括问卷回答、人员访谈、现场考察、辅助工具等多种形式,可以根据实际 GB/Z 24364 2009 一备一准一理一管一险一风、-机构的使命调查信息系统的业务目标机构的业务调查信息系统的业务特性机构的组织结构信息系统的描述报告调查信息系统的管理特性信息系统的技术平台调查信息系统的技术特性一析一分-t-一黠自B二一信一图5信息系统调查阶段的过程及其出5.2.3 信息系统分析如
34、图6所示,信息系统分析阶段的工作过程和内容如下za) 分析信息系统的体系结构。依据信息系统的描述报告,对信息系统的功能体系、数据体系、网络体系、运营体系和管理体系等方面进行分析,明确它们的内部结构和外部关系。b) 分析信息系统的关键要素。依据信息系统的描述报告和上述体系结构的分析结果,找出信息系统中对机构使命具有关键和重要作用的部分,列出清单。c) 汇总上述分析结果,形成信息系统的分析报告,其中包含信息系统的体系结构和关键要素等方面的内容。, -、-、! 信息系统调查j 、-分析信息系统的体系结构信息系统的分析报告分析信息系统的关键要素析一分全申友一息一信图6信息系统分析阶段的过程及其输入输出
35、5.2.4 信息安全分析如图7所示,信息安全分析阶段的工作过程和内容如下=a) 分析信息系统的安全环挠。依据国家、地区或行业的相关政策、法律、法规和标准,考虑合作伙伴的合同要求,对信息系统的安全保障环撞进行分析,明确环境因素对信息系统安全方面的影响和要求。b) 分析信息系统的安全要求。依据信息系统的描述报告和信息系统的分析报告,结合上述安全7 GB/Z 24364 2009 环境的分析结果,分析和提出对信息系统的安全要求,包括保护范围和保护等级等。c) 汇总上述分析结果,形成信息系统的安全要求报告,其中包含信息系统的安全环境和安全要求等方面的内容。;._-咽-电1 相关的政策、法律、信息系统分
36、析法规和标准, 、-;合作伙伴的分析信息系统的安全环境安全要求信息系统的安全要求报告信息系统的分析信息系统的安全要求描述报告,1._-、E 信息系统的:Jxt险:分析报告l评估i 7 信息安全分析阶段的过程及其输入输出5.3 背景建立文档表2列出了背景建立过程的输出文档及其内容。输出文陆的数量、名称和主要内容可以根据机构具体情况进行增加、删减或修改,但应涵盖表2中义档内容部分规定的内容。表2背景建的输出文挡及其内容阶段输出文档文档内容风险管理准备风险管理计划书风险管理的目的、意义、范围、目标、组织结构、经费预算和进度安排等信息系统调查信息系统的描述报告信息系统的业务目标、业务特性、管理特性和技
37、术特性等信息系统分析信息系统的分析报告信息系统的体系结构和关键要素等信息安全分析信息系统的安全要求报告信息系统的安全环境和安全要求等6 评估6. 1 风险6. 1. 1 风险评估是信息安全和评价。本章仅对风6. 1. 2 凤险评估的目的的第二步骤,针对确立的面临的明,详细内容可见GB/T20984。息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活啊。别、分析定位风险管理的策略、实践和工具,能够将安全活动的重点放在重要的问题上,能够选择成本效益合理的和适用的安全对策a基于风险评估的风险管理方法被实践证明是有效的和实用的,已,. -、r 背景建立、, _w G/Z 24364 2
38、009 沟通咨询i ;二二1二二二二二二二1二二二二二二二二二二二二二:一监控审查; -哥-唱-_-_-风险评估-1-1风险评估风险要素风险分析风险结果准备识别判定常l制选识识识确计计实苦号综定定择到别认算算施价合风风风需存己安主 风分如j险险险要l临在有全全险析定评评评保的的的事事计结风估估估护威脆主E件件算果险计方方的胁弱全发造等:JGtJ 案法资并性措生成级和产赋并施可的工并值赋能损具赋值性失值8 凤险评估过程及其在信息安全中的位置一险理一二风处一6.2. 1 风险评估准备如图9所示,风险评估准备阶段的工作过程和内容如下:a) 制定风险评估计划。依据背景建立输出的文挡,制定风险评估的实施
39、计划,包括风险评估的目的、意义、范围、目标、组织结构、经费预算和迸度安排等,形成风险评估计划书。风险评估计划书需要得到信息系统和信息安全风险管理决策层的认可和批准。b) 制定风险评估方案。依据背景建立输出的文档,确定风险评估的实施方案,包括风险评估的工作过程、输入数据和输出结果等,形成风险评估方案。风险评估方案需要得到信息系统和信息安全风险管理管理层的认可和批准。c) 选择风险评估方法和工具。依据背景建立输出的文档以及风险评估计划和风险评估方案,从现有风险评估方法和工具库中选择合适的风险评估方法和工具,形成入选风险评估方法和工具列表。被广泛应用于各个领域。6. 1.3 风险评估的作用范只是为信
40、息安全活动提供一个方向,并不会导致重大的信息安全改进。不管评估方法有多详细和多专业,也只能描述风险状态,而不会改进机构的安全状态。机构只有利用评估结行改进活动,实现风险有效管理,才能使机构的安全状态得到改善。6.2 风险评估过的过程包括风险评估准备、风险要素识别、风险分析和风险结果判定4个阶段。在信息安全风险管理过程中,接受背景建立的输出,为风险处理提供输入,监控审查和沟通咨询贯穿其4个阶段,如图8所示。9 GB;Z 24364 2009 信息系统的描述报告信息系统的分析报告信息系统的安全要求报告现有风险评估方法和工具库,._-、 l霄索ii建立lE 、,a ._.-制定风险评估计划制定风险评
41、估方案选择风险评估方法和工具_,-i、风险要素识剔,j9 风险评估准备阶段的过程及其输入输出风险评估计划书风险评估方案入选风险评估方法和工具列表6.2.2 凤险要素识别10 如图10所示,风险要素识别阶段的工作过程和内容如下za) 识到需要保护的资产并赋值s依据背景建立输出的文档,选择适当的资产识别方法,识别对机构使命具有关键和重要作用的需要保护的资产,并确定资产的重要性级别,形成需要保护的资产清单。b) 识到面临的威胁并赋值。依据背景建立输出的文挡,参照威胁库,选择适当的威胁识别方法,识别机构的信息资产面临的威胁,并确定威胁的属性等级,可参考的威胁属性包括威胁发生频度、威胁能力程度等,形成面
42、临的威胁列表。威胁库是有关威胁的外部共享数据和内部历史数的汇集。c) 识别存在的脆弱性并赋值。依据背景建立输出的文挡,参照漏洞库,选择适当的脆弱性识别方法,识别机构的信息资产存在的脆弱性,并确定脆弱性的属性等级,可参考的脆弱性属性包括用程度、脆弱性严重程度等,形成存在的脆弱性列表。漏洞库是有关脆弱性的外部共享数据和内部历史数据的汇集。d) 确认已有的安全措施。依据背景建立输出的文挡,即信息系统的描述报告、信息系统的分析报告和信息系统的安全要求报告,确认已有的安全措施,包括技术层面(即物理平台、系统平台、网络平台和应用平台的安全功能、组织层面(RP结构、岗位和人员的安全控制和管理层面(即策略、规章和制度)的安全对策,形成已有安全措施列表,风险要素的识别方式包括文挡审查、人员访谈、现场考察、辅助工具等多种形式,可情况灵活采用和结合使用。GB/Z 24364 2009 信息系统的描述报告,-、, 、信息系统的分析报告l风险评估准备、, 电-信息系统的识别需要保护的资产并赋值需
