信息安全风险评估总结【GB/T 20984

根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容，识别现有信息系统及管理上的不足，以及可能造成的风险大小。

风险评估应贯穿于信息系统生命周期的各阶段中,由于信息系统生命周期各阶段中风险评估实施的内容、对象、安全需求均不同，因此应被其评估首先根据当前信息系统的实际情况来确定在信息系统生命周期中所处的阶段,并以此来明确风险评估目标。

风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。

可以参考以下依据来作为评估范围边界的划分原则: a)业务系统的业务逻辑边界; b) 网络及设备载体边界; c) 物理环境边界; d)组织管理权限边界; e) 其他。

风险评估实施团队，由管理层、相关业务骨干、信息技术等人员组成风险评估小组。必要时，可组建由评估方、被评估方领导和相关部门负责人参加的风险评估领导小组，聘请相关专业的技术专家和技术骨干组成专家小组。

评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作，进行风险评估技术培训和保密教育，制定风险评估过程管理相关规定。可根据被评估方要求，双方签署保密合同，必要时签署个人保密协议。

为保障风险评估工作的顺利开展,确立工作目标、统一思想、协调各方资源,应召开风险评估工作启动会议。启动会一般由风险评估领导小组负责人组织召开,参与人员应该包括评估小组全体人员,相关业务部门主要负责人，如有必要可邀请相关专家组成员参加。

启动会主要内容主要包括:被评估组织领导宣布此次评估工作的意义、目的、目标，以及评估工作中的责任分工;被评估组织项目组长说明本次评估工作的计划和各阶段工作任务，以及需配合的具体事项;评估机构项目组长介绍评估工作一般性方法和工作内容等。

通过启动会可对被评估组织参与评估人员以及其他相关人员进行评估方法和技术培训,使全体人员了解和理解评估工作的重要性,以及各工作阶段所需配合的工作内容。

系统调研是了解、熟悉被评估对象的过程,风险评估小组应进行充分的系统调研,以确定风险评估的依据和方法。调研内容应包括: a)系统安全保护等级; b)主要的业务功能和要求; c)网络结构与网络环境,包括内部连接和外部连接; d)系统边界，包括业务逻辑边界、网络及设备载体边界、物理环境边界、组织管理权限边界等; e)主要的硬件、软件; f) 数据和信息; g)系统和数据的敏感性; h)支持和使用系统的人 员; i)信息安全管理组织建设和人员配备情况; j)信息安全管理制度; k)法律法规及服务合同; l)其他。

系统调研可采取问卷调查、现场面谈相结合的方式进行。

根据风险评估目标以及系统调研结果,确定评估依据和评估方法。评估依据应包括:. a)适用的法律 、法规; b)现有国际标准、国家标准、行业标准; c)行业主管机关的业务系统的要求和制度; d)与信息系统安全保护等级相应的基本要求; e) 被评估组织的安全要求; f)系统自身的实时性或性能要求等。

根据评估依据,应根据被评估对象的安全需求来确定风险计算方法,使之能够与组织环境和安全要求相适应。

根据评估对象和评估内容合理选择相应的评估工具,评估工具的选择和使用应遵循以下原则: a)对于系统脆弱性评估工具,应具备全面的已知系统脆弱性核查与检测能力; b)评估工具的检测规则库应具备更新功能,能够及时更新; c)评估工具使用的检测策略和检测方式不应对信息系统造成不正常影响; d)可采用多种评估工具对同一测试对象进行检测,如果出现检测结果不一致的情况,应进一步采

用必要的人工检测和关联分析,并给出和实际情况最为相符的结果判定。评估工具的选择和使用必须符合国家有关规定。

风险评估方案是评估工作实施活动总体计划,用于管理评估工作的开展,使评估各阶段工作可控，并作为评估项目验收的主要依据之一。风险评估方案应得到被评估组织的确认和认可。风险评估方案的内容应包括: a)风险评估工作框架:包括评估目标、评估范围、评估依据等; b)评估团队组织:包括评估小组成员、组织结构，角色、责任;如有必要还应包括风险评估领导小组和专家组组建介绍等; c) 评估工作计划:包括各阶段工作内容、工作形式、工作成果等; d)风险规避:包括保密协议、评估工作环境要求、评估方法、工具选择、应急预案等; e)时间进度安排:评估工作实施的时间进度安排; f)项目验收方式:包括 验收方式、验收依据、验收结论定义等。

上述所有内容确定后，应形成较为完整的风险评估实施方案，得到组织最高管理者的支持、批准；对管理层和技术人员进行传达，在组织范围内就风险评估相关内容进行培训，以明确有关人员在风险评估中的任务。

资产是直接赋予了价值因而需要保护的东西。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。通常信息资产的保密性、完整性和可用性是公认的能够反映资产安全特性的三个要素。信息资产安全特性的不同也决定了其信息价值的不同，以及存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。因此，有必要对被评估方网络环境中的信息资产进行科学和系统地识别，以便于进行后期的信息资产抽样、制定风险评估策略、分析安全功能需求等活动。

资产调查是评估小组对评估范围内的信息系统进行资产调查和识别。主要采用实地勘查、资料检阅、人员访谈等手段，调查内容主要包括： 1）业务战略及管理制度； 2）主要的业务功能和要求； 3）网络结构与网络环境，包括内部连接和外部连接； 4）系统边界； 5）主要的硬件、软件； 6）数据和信息； 7）系统和数据的敏感性； 8）支持和使用系统的人员； 9）其他。

该阶段工作可以在准备阶段的系统调研阶段完成，也可以现场实施时进行。

保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此，应对组织中的资产进行识别。

据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类型，如下表所示：

信息资产分别具有不同的安全属性，即保密性、完整性和可用性，分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。对信息资产进行赋值的目的是为了更好地反映资产的价值，以便于进一步考察资产相关的威胁、脆弱性和风险属性，并进行量化。 （1）保密性赋值 根据资产保密性属性的不同，将它分为5个不同的等级，分别对应资产在保密性方面的价值或者在保密性方面受到损失时对整个评估的影响。

（2）完整性赋值 根据资产完整性属性的不同，将它分为5个不同的等级，分别对应资产在完整性方面的价值或者在完整性方面受到损失时对整个评估的影响。

（3）资产可用性赋值 根据资产可用性属性的不同，将它分为5个不同的等级，分别对应资产在可用性方面的价值或者在可用性方面受到损失时对整个评估系统的影响。

（4）资产重要性价值 根据实际经验，三个安全属性中属性值最高的一个对最终的资产价值影响最大。换而言之，整体安全属性的赋值并不随着三个属性值的增加而线性增加，较高的属性值具有较大的权重。为此，一般使用下面的公式来计算资产价值赋值：LOG（(2G+2H+2^I)/3,2）其中，G代表保密性赋值；H代表完整性赋值；I代表可用性赋值。 根据资产的保密性、完整性、可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。因此，通常资产赋值也可以划分为 5 个等级。

对应文档： 1）《资产识别清单》 2）《资产赋值表》

在威胁评估过程中，风险评估小组主要通过安全策略文档查看、业务流程分析、网络拓扑分析、调查问卷、人员访谈的方式对被评估方需要保护的每一项关键资产进行威胁识别，并根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断。一项资产可能面临着多个威胁，同样一个威胁可能对不同的资产造成影响。

在威胁评估过程中，风险评估小组主要通过安全策略文档查看、业务流程分析、网络拓扑分析、调查问卷、人员访谈的方式对被评估方需要保护的每一项关键资产进行威胁识别，并根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断。一项资产可能面临着多个威胁，同样一个威胁可能对不同的资产造成影响。

威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，在保密性、完整性或可用性等方面造成损害；也可能是偶发的、或蓄意的事件。 对安全威胁进行分类的方式有多种多样，针对被评估方用户，评估小组将威胁分为以下几个种类：

威胁的评估就是综合了威胁种类和因素后得到的威胁，并对列表中的威胁发生可能性的评估。最终威胁的赋值采用定性的相对等级的方式。威胁的等级划分为五级，从1到5分别代表五个级别的威胁发生可能性。等级数值越大，威胁发生的可能性越大。如下表所示：

对应文档：《威胁赋值表》

脆弱性是对一个或多个资产弱点的总称。脆弱性识别也称为弱点识别，是风险评估中重要的内容。弱点是资产本身存在的，它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。

脆弱性主要从技术和管理两个方面进行评估，涉及物理层、网络层、系统层、应用层、管理层等各个层面的安全问题。 对不同的评估对象，其脆弱性评估的具体要求应参照相应的技术或管理标准实施。例如，对物理环境的脆弱性识别应按GB/T 9361中的技术指标实施；对操作系统、数据库应按GB 17859-1999中的技术指标实施。对管理脆弱性识别方面应按GB/T 19716-2005的要求对安全管理制度及其执行情况进行检查，发现管理漏洞和不足。脆弱性评估内容参考如下：

在脆弱性评估中，风险评估小组采用的主要方法有：实地勘查、人员访谈、工具扫描、手动检查、文档审查等。

脆弱性赋值将针对每一项需要保护的信息资产，找出每一种威胁可能利用的脆弱性，并对脆弱性的严重程度进行赋值，换句话说，就是对脆弱性被威胁利用的可能性进行赋值。

可以根据对资产的损害程度、技术实现的难易程度、弱点的流行程度，采用等级方式对已识别的脆弱性的严重程度进行赋值。脆弱性严重程度可以进行等级化处理，不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大，脆弱性严重程度越高，如下表所示。

对应文档：《工具测试报告》，《脆弱性赋值表》

在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。对有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正，或用更合适的安全措施替代。

安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统;保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。

已有安全措施确认与脆弱性识别存在-定的联系。一般来说，安全措施的使用将减少系统技术或管理.上的脆弱性，但安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的脆弱性，而是一类具体措施的集合，为风险处理计划的制定提供依据和参考。

对应文档：《已有安全措施确认表》

根据威胁出现频率及弱点的状况，计算威胁利用脆弱性导致安全事件发生的可能性，即： 安全事件发生的可能性=L(威胁出现频率，脆弱性)＝L(T，V ) 在具体评估中，应综合攻击者技术能力（专业技术程度、攻击设备等）、脆弱性被利用的难易程度（可访问时间、设计和操作知识公开程度等）、资产吸引力等因素来判断安全事件发生的可能性。

根据资产价值及脆弱性严重程度，计算安全事件一旦发生后的损失，即： 安全事件的损失=F(资产价值，脆弱性严重程度)＝F(Ia，Va ) 部分安全事件的发生造成的损失不仅仅是针对该资产本身，还可能影响业务的连续性；不同安全事件的发生对组织造成的影响也是不一样的。在计算某个安全事件的损失时，应将对组织的影响也考虑在内。 部分安全事件损失的判断还应参照安全事件发生可能性的结果，对发生可能性极小的安全事件（如处于非地震带的地震威胁、在采取完备供电措施状况下的电力故障威胁等）可以不计算其损失。

根据计算出的安全事件发生的可能性以及安全事件的损失，计算风险值，即： 风险值=R(安全事件发生的可能性，安全事件造成的损失)＝R(L(T，V)，F(Ia，Va )) 评估者可根据自身情况选择相应的风险计算方法计算风险值，如矩阵法或相乘法。矩阵法通过构造一个二维矩阵，形成安全事件发生的可能性与安全事件的损失之间的二维关系；相乘法通过构造经验函数，将安全事件发生的可能性与安全事件的损失进行运算得到风险值。

为实现对风险的控制与管理，可以对风险评估的结果进行等级化处理。可将风险划分为五级，等级越高，风险越高。

评估者应根据所采用的风险计算方法，计算每种资产面临的风险值，根据风险值的分布状况，为每个等级设定风险值范围，并对所有风险计算结果进行等级处理。每个等级代表了相应风险的严重程度。 风险等级建议从1到5划分为五级。等级越大，风险越高。如下表所示：

对应文档：《安全风险分析表》

评估人员通过对评估结果分析和形成的安全风险分析结果，编制风险评估报告。风险评估报告应包括但不局限于以下内容：项目概述、评估范围、评估依据和标准、评估方法、资产识别与赋值、威胁分析与赋值、脆弱性识别与赋值、已有安全措施识别、综合风险分析等。其中，概述部分描述被评估系统的总体情况、本次评估的主要评估目的和依据；可以被其评估参考评估方案相关部分内容，有改动的地方应根据实际评估情况进行修改。风险评估报告编制主要过程： 1) 评估人员整理前面几项任务的工作结果记录，编制评估报告相应部分。一个评估委托单位应形成一份评估报告。 2) 列表给出现场评估的文档清单和评估记录，以及对安全风险结果判定情况。 3) 风险评估报告编制完成后，评估机构应根据评估协议书、评估委托单位提交的相关文档、评估原始记录和其他辅助信息，对评估报告进行评审。 4) 评审通过后，由项目负责人签字确认并提交给评估委托单位。

对应文档：《信息安全风险评估报告》

风险处理依据风险评估结果,针对风险分析阶段输出的风险评估报告进行风险处理。

风险处理的基本原则是适度接受风险，根据组织可接受的处置成本将残余安全风险控制在可以接受的范围内。

依据国家行业主管部门发布的信息安全建设要求进行的风险处理,应严格执行相关规定。如依据等级保护相关要求实施的安全风险加固工作,应满足等级保护相应等级的安全技术和管理要求;对于因不能够满足该等级安全要求产生的风险则不能够适用适度接受风险的原则。对于有着行业主管部门特殊安全要求的风险处理工作,同样不适用该原则。

风险处理方式一般包括接受、消减、转移、规避等。安全整改是风险处理中常用的风险消减方法。风险评估需提出安全整改建议。 安全整改建议需根据安全风险的严重程度、加固措施实施的难易程度、降低风险的时间紧迫程度、所投入的人员力量及资金成本等因素综合考虑。 a)对于非常严重、需立即降低且加固措施易于实施的安全风险,建议被评估组织立即采取安全整改措施。 b)对于非常严重、需立即降低,但加固措施不便于实施的安全风险,建议被评估组织立即制定安全整改实施方案,尽快实施安全整改;整改前应对相关安全隐患进行严密监控,并作好应急预案。 c)对于比较严重、需降低且加固措施不易于实施的安全风险,建议被评估组织制定限期实施的整改方案;整改前应对相关安全隐患进行监控。

组织召开评审会是评估活动结束的重要标志。评审会应由被评估组织组织,评估机构协助。评审会参与人员一般包括:被评估组织,评估机构及专家等。 a)被评估组织包括:单位信息安全主管领导 .相关业务部门主管人员、信息技术部门主管人员、参与评估活动的主要人员等; b)评估机构包括:项 目组长.主要评估人员; c)专家包括:被评估组织行业信息安全专家,信息安全专业领域专家等。

残余风险处理是风险评估活动的延续，是被评估组织按照安全整改建议全部或部分实施整改工作后,对仍然存在的安全风险进行识别、控制和管理的活动。

残余风险评估的目的是对信息系统仍在在的残余风险进行识别、控制和管理。如某些风险在完成了适当的安全揩施后,残余风险的结果仍处于不可接受的风险范围内,应考虑进一步增强相应的安全措施。