1、 ICS 35.040 L 80 中华人民共和国国家标准2015-06-02发布GB/T 31722-2015月SO/IEC27005: 2008 信息技术安全技术信息安全风险管理Information technology-皿Securitytechniques InformatioD security risk management (lSO/IEC 27005: 2008 , IDT) 2016回02-01实施faE飞中华人民共和国国家质量监督检验检蜜总局也t如斗中国国家标准化管理委员会。叩:气GB/T 31722-20 15/ISO/IEC 27005:2008 目次前言. . . .
2、 . . I 引言. . . . . n 1 范围. 2 规范性引用文件3 术语和定义. 4 本标准结构. . . . . 2 5 背景. . . . . . . 3 6 信息安全风险管理过程概述. . . . . 3 7 语境建立. . . . 5 8 信息安全风险评估. . . 7 9 信息安全风险处置. . . . 13 10 信息安全风险接受11 信息安全风险沟通. . . . 16 12 信息安全风险监视和评审. . . . . 17 附录A(资料性附录确定信息安全风险管理过程的范围和边界. 19 附录B(资料性附录)资产识别和估价以及影响评估. . . . 22 附录C(资料性附录
3、典型威胁示例. . . 28 附录D(资料性附录)脆弱性和脆弱性评估方法. . 附录E(资料性附录信息安全评估方法附录F(资料性附录风险降低的约束. . . . . 40 参考文献. . . . . . 42 GB/T 31722-2015/ISO/IEC 27005:2008 前本标准按照GB/T1.1-2009给出的规则起草。吉E习请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准使用翻译法等同采用ISO/IEC27005: 2008英文版本标准做了以下修改z二4对引言做了一些编辑性修改。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口
4、。本标准起草单位z中国电子技术标准化研究院、上海三零卫士信息安全有限公司、中电长城网际系统应用有限公司、山东省计算中心、北京信息安全测评中心。本标准主要起草人z许玉娜、闵京华、上官晓丽、董火民、赵章界、李刚、周鸣乐。I GB/T 31722-20 15/ISO/IEC 27005:2008 引言信息安全管理体系标准族(InformationSecurity Management System,简称ISMS标准族)是国际信息安全技术标准化组织(lSO/IECJTC1 SC27)制定的信息安全管理体系系列国际标准。ISMS标准族旨在帮助各种类型和规模的组织,开发和实施管理其信息资产安全的框架,并为
5、保护组织信息诸如,财务信息、知识产权、员工详细资料,或者受客户或第三方委托的信息)的ISMS的独立评估做准备。ISMS标准族包括的标准:a)定义了ISMS的要求及其认证机构的要求,b)提供了对整个规划-实施-检查-处置(PDCA)过程和要求的直接支持、详细指南和或解释川阐述了特定行业的ISMS指南,d)阐述了ISMS的一致性评估.目前,ISMS标准族由下列标准组成z一-GB/T29246-2012 信息技术安全技术信息安全管理体系概述和词汇(lSO/IEC 27000 :2009) 一-GB/T22080-2008信息技术安全技术信息安全管理体系要求(lSO/IEC27001: 2005) 一
6、一GB/T22081-2008信息技术安全技术信息安全管理实用规则(lSO/IEC27002: 200日GB/T 31496-2015信息技术安全技术信息安全管理体系实施指南(lSO/IEC27003: 2010) GB/T 31497-2015信息技术安全技术信息安全管理测量(ISO/IEC27004: 200的一-GB/T31722-2015信息技术安全技术信息安全风险管理(lSO/IEC27005: 2008) GB/T 25067-2010信息技术安全技术信息安全管理体系审核认证机构的要求(lSO/IEC 27006: 2007) 一-ISO/IEC27007 :2011信息技术安全技
7、术信息安全管理体系审核指南一-ISO/IECTR 27008:2011 信息技术安全技术信息安全控制措施审核员指南一-ISO/IEC27010:2012信息技术安全技术行业间及组织间通信的信息安全管理一-ISO/IEC27011 :2008信息技术安全技术基于ISO/IEC27002的电信行业组织的信息安全管理指南一-ISO/IEC27013:2012信息技术安全技术ISO/IEC27001和ISO/IEC20000-1集成实施指南ISO/IEC 27014: 2013信息技术安全技术信息安全治理一-ISO/IECTR 27015:2012信息技术安全技术金融服务信息安全管理指南本标准作为IS
8、MS标准族之一,为组织内的信息安全风险管理提供指南,特别是支持按照GB/T 22080的ISMS要求。然而,本标准不提供信息安全风险管理的任何特定方法。由组织来确定其风险管理方法,这取决于诸如组织的ISMS范围、风险管理语境或所处行业。一些现有的方法可在本标准描述的框架下使用,以实现ISMS的要求。本标准的相关方包括关心组织内信息安全风险的管理者和员工以及(在适当情况下支持这种活动的外部方。E GB/T 31722-20 15/ISO/IEC 27005:2008 1 范围信息技术安全技术信息安全凤险管理本标准为信息安全风险管理提供指南。本标准支持GB/T22080所规约的一般概念,旨在为基于
9、风险管理方法来符合要求地实现信息安全提供帮助。知晓GB/T22080和GB/T22081中所描述的概念、模型、过程和术语,对于完整地理解本标准是重要的。本标准适用于各种类型的组织例如,商务企业、政府机构、非盈利性组织),这些组织期望管理可能危及其信息安全的风险.2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单适用于本文件,GB/T 22080-2008信息技术安全技术信息安全管理体系要求(ISO/IEC27001: 2005 , IDT) GB/T 22081-2008信息技术安全技术
10、信息安全管理实用规则(lSO/IEC2700212005 , IDT) 3 术语和定义3. 1 3.2 3.3 3.4 GB/T 22080-2008和GB/T22081-2008中界定的以及下列术语和定义适用于本文件。影晌impact 对所达到业务目标的不利改变。信息安全风险infonnation security risk 特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。注2它以事态的可能性及其后果的组合来度量.凤险规避risk avoidance 不卷人风险处境的决定或撤离风险处境的行动。ISO/IEC Guide 73 12002J 风险沟通risk cODlDl
11、onication 决策者和其他利益相关者之间关于风险的信息交换或共享.ISO/IEC Guide 73 1 2002J 1 GB/T 31722-2015月SO/IEC27005: 2008 3.5 3.6 3.7 3.8 3.9 凤险估算risk estimation 为风险的可能性和后果周值的活动。ISO/IEC Guide 73 :2002J 凤险识到risk identification 发现和列出风险要素并描述其特征的活动。ISO/IEC Guide 73: 2002J 凤险降低risk reduction 为降低风险的可能性和(或负面结果所采取的行动。ISO/IEC Guide
12、73:2oo2J 凤险保留risk retentwn 对来自特定风险的损失或收益的接受。ISO/IEC Guide 73:2002J 注g在信息安全风险的语撞下,对于风险保留仅考虑负面后果(损失)。凤险转移risk transfer 与另一方对风险带来的损失或收益的共事。ISO/IEC Guide 73: 2002J 注g在信息安全风险的语境下,对于风险转移仅考虑负面结果(损失)04 本标准结构本标准描述了信息安全风险管理过程及其活动。第5章提供f背景信息。第6章给出了信息安全风险管理过程的总体概述。第6章提出的所有信息安全风险管理活动在以下各章中依次进行了描述z第7章语境建立z第8章风险评估
13、F第9章风险处置F第10章风险接受E第11章风险沟通F第12章风险监视与评审。附录中给出了信息安全风险管理活动的其他信息。附录A(确定信息安全风险管理过程的范围和边界)对语境建立提供支持。附录B(资产示例、附录C(典型威胁示例和附录D(典型脆弱性示例)讨论了资产识别和估价以及影响评估.附录E给出了信息安全风险评估方法的示例。附录F给出了风险降低的约束。第7章第12章给出的所有风险管理活动的表述结构如下z输人z标识执行该活动所需的任何信息。动作E描述活动。GB/T 31722-2015/ISO/IEC 27005:2008 实施指南z为执行该动作提供指南。指南中的某些内容可能不适用于所有情况,因
14、此执行该动作的其他方法可能更合适。输出:标识执行该活动后得到的任何信息。5 背景为识别组织的信息安全需求和创建有效的信息安全管理体系(lSMS),一种系统化的信息安全风险管理方法是必要的.这种方法宜适用于该组织的环境,特别是与整个组织风险管理宜保持一致。安全工作宜以有效和及时的方式在需要的地方和时候处理风险。信息安全风险管理宜是所有信息安全管理活动中不可分割的一部分,并既应用于ISMS的实施,也应用于ISMS的持续运行.信息安全风险管理宜是一个持续的过程.该过程宜建立语境,评估风险以及按风险处置计划进行风险处置以实现相关的建议和决策。风险管理为将风险降低至可接受的水平,在决定宜做什么和什么时候
15、做之前,分析可能发生什么和可能的后果是什么.信息安全风险管理将有助于z 识别风险F 以风险造成的业务后果和发生的可能性来评估风险F 沟通和理解这些风险的可能性和后果s 建立风险处置的优先顺序F 建立为降低风险发生所采取行动的优先级z 使利益相关方参与风险管理决策并持续告知风险管理状态3 监视风险处置的有效性s 监视和定期评审风险及风险管理过程z 获取信息以改进风险管理方法z 向管理者和员工传授风险知识以及减轻风险所采取的行动。信息安全风险管理过程可应用于整个组织、组织的任何独立部分(例如,一个部门、一处物理位置、一项服务)、任何信息系统、现有的或计划的或特定方面的控制措施(例如,业务持续性计划
16、)。6 信息蜜金凤险管理过程概述信息安全风险管理过程由语境建立第7章、风险评估(第8章、风险处置(第9章、风险接受(第10章、风险掏通第11章和风险监视与评审第12章组成。如图1所示,信息安全风险管理过程可以迭代地进行风险评估和或风险处置活动。选代方法进行风险评估可在每次选代时增加评估的深度和细节,该迭代方法在最小化识别控制措施所需的时间和精力与确保高风险得到适当评估之间,提供了一个良好的平衡。首先建立语壤,然后进行风险评估。对于有效地确定将风险降低至可接受水平所需行动,如果风险评估提供了足够的信息,那么就结束该风险评估,接下来进行风险处置.如果提供的信息不够充分,那么将在修订的语境例如,风险
17、评价准则、风险接受准则或影响准则下进行该风险评估的另一次选代(见图1,风险决策点1).此次迭代可能是在整个范围的有限部分上进行。风险处置的有效性取决于该风险评估的结果.风险处置后的残余风险可能不会立即达到一个可接受的水平。在这种情况下,如果必要的话,可能需要在改变的语境参数(例如,风险评估准则、风险接受准则或影响准则下进行该风险评估的另一次选代,以及随后的进一步风险处置(见图1,风险决策点2)。风险接受活动要确保藏余风险被组织的管理者明确地接受.在诸如由于戚本而省略或推迟实施控制措施的情况下,这点尤其重要。3 GB/T 31722-2015/tEC2700512008 在整个信息安全风险管理过
18、程期间,重要的是将风险及其处置传达至适当的管理者租运行人员。即使是风险处置前,已识别的风险信息对管理事件可能是非常有价值的,并可能有助于减少潜在损害。管理者和员工的风险意识、缓解风险的现有控制措施的性质以及组织关注的领域,这些均有助于以最有效的方式处理事件和意外情况。信息安全风险管理过程的每个活动以及来自两个风险决策点的详细结果均宜记录在案。GB/T 22080规定,ISMS的范围、边界和语境内所实施的控制措施应基于风险.信息安全风险管理过程的应用能够满足这一要求.有许多方法可以在组织内成功地实施此过程。但无论什么方法,组织宜为此过程的每一特定应用,选用最适合自身情况的方法。在一个ISMS中,
19、语境建立、风险评估、风险处置计划制定和风险接受是其规划阶段的全部.在此ISMS的实施阶段,依据风险处置计划,实施将风险降低到可接受水平所需的行动和控制措施。在此ISMS的检查阶段,管理者将根据事件和环境变化来确定风险评估和风险处置修订的需要。在处置阶段,执行所需的任何行动,包括风险管理过程的再次应用。-一-_-一l风险评估:风险分析11 风险识别11 i风风l险险l 风险估算i 1 I I i监沟1 I-t-i l视通|风险评价|与I I i评风险决策点1l审评估是否满意风险处置杏¥一一土主风险接受第一次成后续迭代的终点固1信息安全凤险管理过程表1总结了与ISMS过程的四个阶段相关的信息安全风
20、险管理活动.4 GB/T 31722-2015/ISO/IEC 27005:2008 表1囚MS和信息安全风险管理过程对照表ISMS过程信息安全风险管理过程语捷建立规划风险评估风险处置计划制定风险接受实施风险处置计划实施检查持续的风险监视与评审处置信息安全风险管理过程保持与改进7 语境建立7.1 总体考虑输入z与信息安全风险管理语境建立相关的所有关于组织的信息。动作z宜建立信息安全风险管理的语境,包括设定信息安全风险管理所必要的基本准则(7.幻,确定其范围和边界(7.3),并建立运行信息安全风险管理的一个适当组织(7.的。实施指南z确定信息安全风险管理的目的是必不可少的,因为这会影响整个过程,
21、尤其是语境建立,目的可以是2 支持ISMS, 遵从法律和证明尽职s 准备业务持续性计划p 准备事件响应计划z 描述产品、服务或机制的信息安全要求。支持ISMS所需的语境建立要素的实施指南在7.2、7.3和7.4中进一步讨论。注:GB/T 22080没有使用术语语挠飞然而,第7章的所有内容都与GB/T22080中规定的确定ISMS的范围和边界4.2.1 a)确定ISMS方针4.2.1 b)和确定风险评估方法4.2.1c)要求有关.输出z对信息安全风险管理过程的基本准则、范围和边界以及组织的规定。7.2 基本准则根据风险管理的范围和目标,可应用不同的方法。对于每次迭代,其方法可能是不同的。宜选择或
22、开发一个适当的风险管理方法来确立诸如风险评价准则、影响准则、风险接受准则等基本准则。另外,组织宜评估下述工作的必要资源是否可用z 执行风险评估,建立风险处置计划s 确定并实施策略和规程,包括实施所选的控制措施z 监视控制措施, 监视信息安全风险管理过程。注g见GB/T22080-2008中5.2.1有关实施和运行ISMS的资源供给.风险评价准则5 GB/T 31722-2015/ISO/IEC 27005 ,2008 宜通过考虑如下因素,开发风险评价准则来评价组织的信息安全风险z 业务信息过程的战略价值F 所涉及信息资产的关键性F 法律法规和规章制度的要求,以及合同义务; 可用性、保密性和完整
23、性对运营和业务的重要性F 利益相关方的期望和观点,以及对信誉和和名誉的负面结果。另外,风险评价准则可被用于规定风险处置的优先级。影响准则宜通过考虑如下因素,从信息安全事态给组织带来的损害程度或代价的角度来开发和规定影响准则z 受影响的信息资产的级到a; 破坏信息安全(例如,保密性、完整性和可用性的丧失), 受损的运行(内部或第三方的); 业务和财务价值的损失, 计划中断和最终期限, 名誉损害F 违反法律法规、规章制度或合同要求。注E见GB/T22080-2008中4.2.1d) 4)有关识别丧失保密性、完整性和可用性的影响准则.风险接受准则宜开发和规定风险接受准则。风险接受准则通常取决于组织的
24、方针策略、目标和利益相关方的利益。组织宜对风险接受水平确定其自身的尺度。在开发中宜考虑以下因素E 对于一个期望的风险目标水平,风险接受准则可能包括多个阔值,但允许高级管理者在界定的环境下接受高于这一水平的风险g 风险接受准则可能表示为估算收益或其他商业利益与估算风险的比率s 不同的风险接受准则可能适用于不同类别的风险,例如,不符合法律法规或规章制度的风险可能不被接受,然而,如果高风险的接受作为一项合同要求有所规定,则可能允许接受高风险s 风险接受准则可能包括对将来附加处置的要求,例如,如果批准并承诺在确定的时间内采取行动将风险降到可接受水平,则此风险可能被接受。根据风险预计存在时间的长短,例如
25、,风险可能与临时或短期的活动有关,风险接受准则可能不同。风险接受准则的建立宜考虑以下因素z 业务准则3 法律法规和规章制度方面s 运行s 技术3 财务, 社会和人道主义因素。注s风险接受准则对应于GB/T22080-2008中4.2.1c) 2)规定的制定接受风险的准则,识别可接受的风险级别.更多信息可参见附录A.7.3 范固和边界组织宜确定信息安全风险管理的范围和边界。6 GB/T 31722-2015/皿C27005:2008信息安全风险管理过程的范围需要被确定,以确保所有相关的资产在风险评估中都被考虑到。此外,边界也需要被识别见GB/T22080-2008中4.2.1a),以便考虑到通过
26、这些边界可能引起的风险。宜收集组织的相关信息,以决定其运营所处环境及其与信息安全风险管理过程的关联。当确定范围和边界时,组织宜考虑以下信息z 组织的战略性业务目标、战略和策略F 业务过程F 组织的功能和结构, 适用于组织的法律法规和规章制度以及合同要求F 组织的信息安全方针F 组织的整体风险管理方法z 信息资产s 组织场所及其地理特征F 影响组织的制约因素s 利益相关方的期望g 社会文化环境3 接口即与所处环境的信息交换。此外,组织宜对从范围中的任何排除提供正当理由。风险管理范围的例子可能是某个IT应用、IT基础设施、某个业务过程或组织的某个界定部分。注2信息安全风险管理的范围和边界与GB/T
27、22080-2008中4.2.1a)要求的ISMS范围和边界有关.更多信息可参见附录A.7.4 信息安全凤险管理机掏宜建立并保持信息安全风险管理过程的机构及其职责.该机构的主要角色和职责如下z 开发适用于组织的信息安全风险管理过程E 识别和分析利益相关者F 确定组织内部和外部所有相关方的角色和职责; 建立组织和利益相关方之间所需要的联系,以及与组织高层风险管理功能例如,运营风险管理的接口和与其他相关项目或活动的接口z 确定决策升级路径F 规范要保存的记录。该机构宜得到适当的组织管理者的批准。注:GB/T 22080要求确定并提供建立、实施、运行、监视、评审、保持和改进ISMS所需的资源GB/T
28、22080-2008中5.2.1 a) 0风险管理运行机构可被看作GB/T22080所要求的资源之一.8 信息安全风险评估8. 1 信息安全凤险评估总体描述注2在GB/T22080中,风险评估活动被称为过程.输入E为信息安全风险管理过程而建立的基本准则、范围和边界以及组织。动作z宜识别风险,量化或定性地描述风险,并按照风险评价准则和组织相关目标按优先顺序排列风险。实施指南z风险是有害事态发生所带来的后果与该事态发生的可能性的组合。风险评估量化或定性地描述风GB/T 31722-20 15/ISO/IEC 27005:2008 险,并使管理者能根据其感知的严重性或其他已建立的准则按优先顺序排序风
29、险。风险评估由以下活动组成z 风险分析(8.2)包括z一一-风险识到tl(8.2.D;一一风险估算(8.2.2) 风险评价(8.3)。风险评估确定信息资产的价值,识别存在(或可能存在的适用威胁和脆弱性,识别现有的控制措施及其对巳识别风险的效果,确定潜在的后果,最后,按优先顺序排列所得出的风险,并按照语境建立时确定的风险评价准则评定等级。风险评估通常进行两次(或多次选代。首先,进行高层评估来识别潜在的高风险,作为进一步评估的根据。下一次选代可能对初始迭代所揭示的潜在高风险做进一步的深入考虑.如果这还不能提供足够的信息来评估风险,那么将会进行更加细致的分析,这可能是针对整个范围的某些部分,还可能是
30、使用一种不同的方法.由组织基于其风险评估的目标和对象,自行选择其自身的风险评估方法,有关信息安全风险评估方法的讨论可参见附录E.输出z按照风险评价准则,按优先顺序排列的已评估风险的列表.8.2 凤险分析8.2.1 凤险识别8.2. 1. 1 凤险识到介绍风险识别的目的是决定可能发生什么会造成潜在损失,并深人了解损失可能是如何、在何地、为什么发生。8.2.1的下列子条款所描述的步骤将会为风险估算活动收集输入数据。法,以下条款中描述的活动可能会根据所用方法的不同而按不同顺序进行。8.2.1.2 资产识到输入z要进行风险评估的植围和边界,包括责任人、地点、功能等要素的清单。动作z宜识别巳确定范围内的
31、资产对应GB/T22080-2008中4.2.1d) 1汀,实施指南E资产是对组织有价值的任何东西,因此需要保护。资产识别时宜牢记,信息系统包含的不仅仅是硬件和软件。资产识别宜在能为风险评估提供足够信息的适当详细程度上展开,资产识到j的详细程度将影响在风险评估中所收集信息的总量。这种程度可在风险评估的进一步选代中不断细化.宜识别每项资产的责任人,以提供资产的责任和可核查性.资产责任人可能不具有资产的财产所有权,但适当时对其生产、开发、维护、使用和安全负有责任。资产责任人通常是最适合决定资产的组织价值的人选见8.2.2.2中的资产估价评审边界是被规定为信息安全风险管理过程所管理的组织资产边界。与
32、信息安全有关的资产识别和估价的更多信息可参见附录B.输出E要进行风险管理的资产列表、与资产相关的业务过程及其相关性的列表.8.2.1.3 威胁识到8 输入z从事件评审、资产责任人、用户以及其他来源获取的有关威胁的信息,包括外部的威胁目录。动作z宜识别威胁及其来源对应GB/T22080-2008中4.2.1d) 2门。GB/T 31722-2015/ISO/IEC 27005:2008 实施指南z威胁有可能损害资产,诸如信息、过程、系统乃至组织.威胁可能源自自然或人类,可能是意外的或故意的。意外的和故意的威胁源都宜进行识别。威胁可能起因于组织的内部或外部。一般地宜先按类型例如,未授权行为、物理损
33、害、技术故障识别威胁,然后在必要时,在所识别的一般类型中识别单个威胁。这意在于不但没有威胁被忽略,包括意料之外的,而且所需的工作量也是有限的。一些威胁可能影响多项资产。在这种情况下,威胁可能导致不同的影响,这取决于受影响的资产。用于识别威胁和估算其发生可能性(见8.2.2.3)的输入可以从资产责任人或使用者、人力资掘职员、设施管理人员、信息安全专家、物理安全专家、法律部门及包含法律机构的其他组织、气象权威部门、保险公司和国家政府机关等获取。对待威胁要考虑环境和文化方面.在当前的评估中,宜考虑来自事件和以往威胁评估的内部经验。查阅其他相关威胁目录(可能是针对某个组织或业务的来完成一般威胁列表可能
34、是值得的。威胁目录和统计数据可以来自工业部门、政府机关、法律机构、保险公司等。当使用威胁目录或先前的威胁评估结果时,宜意识到相关威胁是持续变化的,特别是当业务环境或信息系统发生变化时。威胁类型的更多信息可参见附录c.输出z识别了威胁类型和来源的威胁列表。8.2.1.4 现有控制措施识别输入z控制措施说明书、风险处置实施计划。动作E宜识别现有的和已计划的控制措施。实施指南z宜识别现有的控制措施以避免不必要的工作或戚本,例如,重复的控制措施。此外,识别现有的控制措施时,宜进行检查以确保控制措施在正确地工作一一参照已有的ISMS审核报告将会减少这项任务所花费的时间。如果控制措施不能按所期望地进行工作
35、,这可能引起脆弱性。为有效处理已识别的风险,宜考虑巳选的控制措施(或战略运行失效的情况以及为此需要补充的控制措施。根据GB/T 22080,在ISMS中,这是由控制措施有效性的测量来支持。估计控制措施有效性的一个途径就是查看其是否降低了威酶可能性和利用脆弱性的容易度,或者事件的影响.管理评审和审核报告也提供有关现有控制措施有效性的信息。按照风险处置实施计划将要实施的控制措施宜与已实施的控制措施以同样的方式来考虑。一个现有的或计划的控制措施可能被识别为无效的,或不充分的,或不合理的。如果不合理或不充分,宜检查该控制措施来确定其是否宜被移除,由另一个更适合的控制措施代替,或者比如出于成本原因而仍被
36、保留。以下活动能有助于识别现有的或计划的控制措施E 评审包含控制措施相关信息的文件例如,风险处置实施计划如果信息安全管理的过程巳被良好地文件化,那么,所有现有的或计划的控制措施及其实施状态将会是可获得的E 就考虑到的信息过程或信息系统实际上实施了哪些控制措施,与信息安全负责人例如,信息安全宫和信息系统安全宫,物业经理或运营经理和用户联系, 现场评审物理控制措施,将已实施的控制措施与宜被实施的控制措施列表进行比较,并就已实施的控制措施是否正确有效地发挥作用进行检查z 评审内部审核结果.输出z所有现有的和计划的控制措施及其实施和使用状态的列衰。8.2.1.5 脆弱性识到输入z已知威胁的列表、资产和
37、现有控制措施的列衰,9 GB/T 31722-20 15/ISO/IEC 27005:2008 动作z宜识别可被威胁利用而对资产或组织造成损害的脆弱性对应GB/T22082008中4.2.1d)的。实施指南z可在以下方面识别脆弱性2组织自 过程和规程E 管理流程F 人员s 物理环境F 信息系统配置F 硬件、软件或通信设备, 对外部各方的依赖.脆弱性本身不会产生危害,只有被威胁利用时才会产生危害。没有相应威胁的脆弱性可能不需要实施控制措施,但是宜关注和监视其变化.宜注意的是,一个没有被正确实施或有缺陷的控制措施,或者没有被正确使用的控制措施,其本身可能就是一个脆弱性。一个控制措施可能是有效的或无
38、效的,这取决于其运行的环境。反之,没有相应脆弱性的威胁不会导致风险。脆弱性可能与以某种方式或为某种目的而使用的资产特性有关,而不是资产被购买或制造当初的意图。需要考虑不周来源引起的脆弱性,例如,资产内在或外在的。脆弱性和脆弱性评估方法的示例可参见附录D.输出E与资产、威胁和控制措施有关的脆弱性列表、待评审的与任何已识别的威胁无关的脆弱性列表.8.2. 1.6 后果识到输入z资产列表、业务过程列表、与资产相关的威胁和脆弱性以及相关性列表如果有。动作z宜识别因资产丧失保密性、完整性和可用性而可能造成的后果见GB/T22080-2008中4.2.1 d) 4) 。实施指南E后果可能是丧失有效性、有害
39、运行状态、业务损失、声誉破坏等。此项活动识别可能由某事件场景对组织造成的损害或后果。一个事件场景是对在一个信息安全事件中一个威胁利用某个脆弱性或一组脆弱性的描述(见GB/T220lH第13幸事件场景的影响是依据在语境建立活动中所定义的影响准则来确定的。它可能影响到一项或多项资产,或者资产的一部分.因此,可以按资产的财务戚本和资产破坏或损害时的业务影响,给资产赋值。后果可能是临时性的,也可能是永久的当资产被毁灭时。注:GB/T 22080把事件场景的发生描述为安全失效.组织宜从以下方面但不限于识别事件场景对运行产生的后果z 调查和修复时间F (工作时间损失F 机会丧失, 健康和安全F 修复损伤所
40、需专业技能的财务成本3 形象和信誉。技术脆弱性的评估细节可见B.3影响评估。输出z与资产和业务过程相关的事件场景及其后果的列表。GB/T 31722-20 15/ISO/IEC 27005:2008 8.2.2 风险估算8.2.2.1 凤险估算方法风险分析可在不同详尽程度下进行,这取决于资产的关键性、已知脆弱性的程度和组织内以前发生的事件。风险估算方法可以是定性的或定量的,或者是两者组合,这取决于所处环境。在实践中,通常首先使用定性估算,以获取风险级别的总体情况,并发现主要风险。然后,在必要时,对主要风险进行更详尽的或定量的分析,因为定性分析通常没有定量分析那么复杂和昂贵。分析的形式宜符合建立
41、语境时所制定的风险评价准则。以下描述估算方法的更多细节za)定性估算z定性估算使用修饰性的尺度来描述潜在后果的严重程度(例如,低、中和高),以及这些后果发生的可能性。定性估算的优点是易于所有相关人员理解,而缺点是对尺度主观选择的依赖。这些尺度能被调整以适合所处环境,不同风险可采用不同的尺度描述。定性估算可被用于z 作为一个初步的筛选活动,以识别需要更详细分析的风险z 当这种分析适于作决策时E 当数值数据或资源不足以做定量估算时。定性分析宜使用确凿的可用信息和数据。b)定量估算z定量估算使用各种来源的数据,采用数值尺度(而不是定性估算中所用的描述性尺度来描述后果和可能性。定量分析的质量取决于数值
42、的准确性和完整性,以及所用模式的有效性。大多数情况下,定量估算使用历史事件数据,其优点是它能直接关联到组织的信息安全目标和关注点。但缺点是缺乏关于新的风险或信息安全弱点的这类数据,定量方法的另一个可能缺点是没有可用的确凿的、可审计的数据,使得风险评估的价值和准确性成为一种幻想.后果和可能性的表达方式以及两者结合以表示风险程度的方式,将根据风险的类型以及风险评估输出的使用目的不同而不同。后果及可能性的不确定性和可变性宜在分析时加以考虑,并有效沟通。8.2.2.2 后果评估输入E已识别的相关事件场景列衰,包括威胁、脆弱性、受影响的资产、对资产和业务过程造成后果的识别。动作z宜评估可能的或实际的信息
43、安全事件可能对组织造成的业务影响,同时考虑信息安全破坏的后果,诸如,资产保密性、完整性或可用性的丧失对应GB/T22080-2008中4.2.1e) 1)。实施指南=在识别了评审下的所有资产后,宜在评估后果期间考虑周予这些资产的价值。业务影响值可以用定性和定量的形式表示,而任何赌予货币价值的方法通常会为决策提供更多的信息,从而有助于更加有效的决策过程。资产估价从按资产关键性进行的资产分类开始,资产的关键性体现为资产对实现组织业务目标的重要性,因此,估价使用两种计量来确定z 资产的替换价值z彻底恢复和替换信息(如果完全可能的成本z 资产丢失或损害的业务后果,诸如,倍息和其他信息资产的泄漏、更改、
44、不可用和或破坏对业务和(或法律法规或规章制度造成的潜在负面后果。这种估价可从业务影响分析中来确定。由业务后果确定的价值通常显著地高于简单的替换成本,G/T 31722-2015/陋。I/IEC27005 12008 这取决于资产对于组织在满足其业务目标时的重要性。资产估价是一个事件场景影响评估的关键因素,因为事件影响的可能不只一项资产例如,相互依赖的资产),或仅是一项资产的一部分.不同的威胁和脆弱性将对资产产生不同的影响,诸如,保密性、完整性或可用性的丧失.因此,后果的评估与基于业务影响分析的资产估价有关。后果或业务影响的确定可能是通过模型化一个事态或一组事态的输出,或者通过由实验性研究或历史数据的推断。后果可能按货币的、技术的或人为的影响准则,或是与组织相关的其他准则来表达.在某些情况下,需要多个数值为不同的时间、地点、团体或情况来说明后果。测量时间和财务方面的后果宜采用与用于测量威胁可能性和脆弱性的相同方法。不论是定量还是定性方法,一致性要得到保持。有关资产估价和影响评估的更多信息可参见附录B.输出z按照资产和影响准则表达的事件场景评估结果列表。8.2.
