GB/T 20984-2022 英文版

GB/T 20984-2022 英文版(

GB/T 20984-2022: 信息安全技术 信息安全风险评估方法

ICS 35.030

CCSL80

中华人民共和国国家标准

代替GB/T 20984-2007

1 范围

本文件描述贵金属评估风险等级了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和

评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式贵金属评估风险等级。

本文件适用于各类组织开展信息安全风险评估工作贵金属评估风险等级。

4 风险评估框架及流程

4.1 风险要素关系

风险评估中基本要素的关系如图1所示贵金属评估风险等级。风险评估基本要素包括资产、威胁、脆弱性和安全措施,

并基于以上要素开展风险评估贵金属评估风险等级。

4.2 风险分析原理

风险分析原理如下:

a) 根据威胁的来源、种类、动机等,并结合威胁相关安全事件、日志等历史数据统计,确定威胁的能力和频率;

b) 根据脆弱性访问路径、触发要求等,以及已实施的安全措施及其有效性确定脆弱性被利用难易程度;

c) 确定脆弱性被威胁利用导致安全事件发生后对资产所造成的影响程度;

d) 根据威胁的能力和频率,结合脆弱性被利用难易程度,确定安全事件发生的可能性;

e) 根据资产在发展规划中所处的地位和资产的属性,确定资产价值;

f) 根据影响程度和资产价值,确定安全事件发生后对评估对象造成的损失;

g) 根据安全事件发生的可能性以及安全事件造成的损失,确定评估对象的风险值;

展开全文

h) 依据风险评价准则,确定风险等级,用于风险决策贵金属评估风险等级。

4.3 风险评估流程

风险评估的实施流程如图2所示贵金属评估风险等级。风险评估流程应包括如下内容。

a) 评估准备,此阶段应包括:

1) 确定风险评估的目标;

2) 确定风险评估的对象、范围和边界;

3) 组建评估团队;

4) 开展前期调研;

5) 确定评估依据;

6) 建立风险评价准则;

7) 制定评估方案贵金属评估风险等级。

组织应形成完整的风险评估实施方案,并获得组织最高管理者的支持和批准贵金属评估风险等级。

b) 风险识别,此阶段应包括:

1) 资产识别(见5.2.1);

2) 威胁识别(见5.2.2);

3) 已有安全措施识别(见5.2.3);

4) 脆弱性识别(见5.2.4)贵金属评估风险等级。

c) 风险分析,此阶段依据识别的结果计算得到风险值贵金属评估风险等级。

d) 风险评价,此阶段依据风险评价准则确定风险等级贵金属评估风险等级。

沟通与协商和评估过程文档管理贯穿于整个风险评估过程贵金属评估风险等级。风险评估工作是持续性的活动,当评

估对象的政策环境、外部威胁环境、业务目标、安全目标等发生变化时,应重新开展风险评估贵金属评估风险等级。

风险评估的结果能够为风险处理提供决策支撑,风险处理是指对风险进行处理的一系列活动,如接

受风险、规避风险、转移风险、降低风险等贵金属评估风险等级。风险处理按照GB/T 33132-2016开展。

5 风险评估实施

5.1 风险评估准备

组织实施风险评估是一种战略性的考虑,其结果将受到组织规划、业务、业务流程、安全需求、系统

规模和结构等方面的影响贵金属评估风险等级。因此,在风险评估实施前应准备以下工作。

a) 在考虑风险评估的工作形式、在生命周期中所处阶段和被评估单位的安全评估需求的基础上,

确定风险评估目标贵金属评估风险等级。附录A给出了评估对象生命周期各阶段的风险评估内容,附录B给出了

风险评估的工作形式描述贵金属评估风险等级。

b) 确定风险评估的对象、范围和边界贵金属评估风险等级。

c) 组建评估团队、明确评估工具贵金属评估风险等级。附录C给出了风险评估的工具。

d) 开展前期调研贵金属评估风险等级。

e) 确定评估依据贵金属评估风险等级。

f) 建立风险评价准则:组织应在考虑国家法律法规要求及行业背景和特点的基础上,建立风险评

价准则,以实现对风险的控制与管理贵金属评估风险等级。

g) 制定评估方案贵金属评估风险等级。

h) 获得最高管理者支持贵金属评估风险等级。评估方案需得到组织最高管理者的支持和批准。

5.2 风险识别

5.2.1 资产识别

5.2.1.1 概述

资产识别是风险评估的核心环节贵金属评估风险等级。资产按照层次可划分为业务资产、系统资产、系统组件和单元资

产,如图3所示贵金属评估风险等级。因此资产识别应从三个层次进行识别。

5.2.1.2 业务识别

5.2.1.2.1 识别内容

业务是实现组织发展规划的具体活动,业务识别是风险评估的关键环节贵金属评估风险等级。业务识别内容包括业务

的属性、定位、完整性和关联性识别贵金属评估风险等级。业务识别主要识别业务的功能、对象、流程和范围等。业务的定位

主要识别业务在发展规划中的地位贵金属评估风险等级。业务的完整性主要识别其为独立业务或非独立业务。业务的关联

性识别主要识别与其他业务之间的关系贵金属评估风险等级。表1提供了一种业务识别内容的参考。

5.2.1.2.2 业务重要性赋值

应根据业务的重要程度进行等级划分,并对其重要性进行赋值贵金属评估风险等级。表2提供了一种业务重要性赋值的参考。

5.2.1.3 系统资产识别

5.2.1.3.1 识别内容

系统资产识别包括资产分类和业务承载性识别两个方面贵金属评估风险等级。表3给出了系统资产识别的主要内容描

述贵金属评估风险等级。系统资产分类包括信息系统、数据资源和通信网络,业务承载性包括承载类别和关联程度。

5.2.1.3.2 系统资产价值赋值

系统资产价值应依据资产的保密性、完整性和可用性赋值,结合业务承载性、业务重要性,进行综合

计算,并设定相应的评级方法进行价值等级划分,等级越高表示资产越重要贵金属评估风险等级。表4中给出了系统资产价

值等级划分的描述贵金属评估风险等级。资产保密性、完整性、可用性赋值以及业务承载性赋值方法见附录D。

5.2.1.4 系统组件和单元资产识别

5.2.1.4.1 识别内容

系统组件和单元资产应分类识别,系统组件和单元资产分类包括系统组件、系统单元、人力资源和

其他资产贵金属评估风险等级。表5给出了系统组件和单元资产识别的主要内容描述。

5.2.1.4.2 系统组件和单元资产价值赋值

系统组件和单元资产价值应依据其保密性、完整性、可用性赋值进行综合计算,并设定相应的评级

方法进行价值等级划分,等级越高表示资产越重要贵金属评估风险等级。表6中给出了系统组件和单元资产价值等级划分

的描述贵金属评估风险等级。资产保密性、完整性、可用性赋值方法见附录D。

5.2.2 威胁识别

5.2.2.1 威胁识别内容

威胁识别的内容包括威胁的来源、主体、种类、动机、时机和频率贵金属评估风险等级。

在对威胁进行分类前,应识别威胁的来源贵金属评估风险等级。威胁来源包括环境、意外和人为三类,附录E给出了威

胁识别的参考方法贵金属评估风险等级。表E.1给出了一种威胁来源的分类方法。

根据威胁来源的不同,威胁可划分为信息损害和未授权行为等威胁种类贵金属评估风险等级。表E.2给出了一种威胁

种类划分的参考贵金属评估风险等级。

威胁主体依据人为和环境进行区分,人为的分为国家、组织团体和个人,环境的分为一般的自然灾

害、较为严重的自然灾害和严重的自然灾害贵金属评估风险等级。

威胁动机是指引导、激发人为威胁进行某种活动,对组织业务、资产产生影响的内部动力和原因贵金属评估风险等级。

威胁动机可划分为恶意和非恶意,恶意包括攻击、破坏、窃取等,非恶意包括误操作、好奇心等贵金属评估风险等级。

5.2.2.2 威胁赋值

威胁赋值应基于威胁行为,依据威胁的行为能力和频率,结合威胁发生的时机,进行综合计算,并设

定相应的评级方法进行等级划分,等级越高表示威胁利用脆弱性的可能性越大贵金属评估风险等级。表7中给出了威胁赋

值等级划分的描述贵金属评估风险等级。

5.2.3 已有安全措施识别

安全措施可以分为预防性安全措施和保护性安全措施两种贵金属评估风险等级。预防性安全措施可以降低威胁利用脆

弱性导致安全事件发生的可能性,保护性安全措施可以减少安全事件发生后对组织或系统造成的影响贵金属评估风险等级。

在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认贵金属评估风险等级。安全措施的确认应评

估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁贵金属评估风险等级。

5.2.4 脆弱性识别

5.2.4.1 脆弱性识别内容

如果脆弱性没有对应的威胁,则无需实施控制措施,但应注意并监视他们是否发生变化贵金属评估风险等级。相反,如

果威胁没有对应的脆弱性,也不会导致风险贵金属评估风险等级。应注意,控制措施的不合理实施、控制措施故障或控制措

施的误用本身也是脆弱性贵金属评估风险等级。控制措施因其运行的环境,可能有效或无效。

脆弱性可从技术和管理两个方面进行审视贵金属评估风险等级。技术脆弱性涉及IT环境的物理层、网络层、系统层、

应用层等各个层面的安全问题或隐患贵金属评估风险等级。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方

面,前者与具体技术活动相关,后者与管理环境相关贵金属评估风险等级。

脆弱性识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的脆弱性,并对

脆弱性的严重程度进行评估;也可以从物理、网络、系统、应用等层次进行识别,然后与资产、威胁对应起

来贵金属评估风险等级。脆弱性识别的依据可以是国际或国家安全标准,也可以是行业规范、应用流程的安全要求。对应用

在不同环境中的相同的脆弱性,其影响程度是不同的,评估方应从组织安全策略的角度考虑,判断资产

的脆弱性被利用难易程度及其影响程度贵金属评估风险等级。同时,应识别信息系统所采用的协议、应用流程的完备与否、

与其他网络的互联等贵金属评估风险等级。

对不同的识别对象,其脆弱性识别的具体要求应参照相应的技术或管理标准实施贵金属评估风险等级。表8给出了一

种脆弱性识别内容的参考贵金属评估风险等级。

5.2.4.2 脆弱性被利用难易程度赋值

脆弱性被利用难易程度赋值需要综合考虑已有安全措施的作用贵金属评估风险等级。一般来说,安全措施的使用将降

低系统技术或管理上脆弱性被利用难易程度,但安全措施确认并不需要和脆弱性识别过程那样具体到

每个资产、组件的脆弱性,而是一类具体措施的集合贵金属评估风险等级。

依据脆弱性和已有安全措施识别结果,得出脆弱性被利用难易程度,并进行等级化处理,不同的等

级代表脆弱性被利用难易程度高低贵金属评估风险等级。等级数值越大,脆弱性越容易被利用。表9给出了脆弱性被利用

难易程度的一种赋值方法贵金属评估风险等级。

5.2.4.3 影响程度赋值

影响程度赋值是指脆弱性被威胁利用导致安全事件发生后对资产价值所造成影响的轻重程度分析

并赋值的过程贵金属评估风险等级。识别和分析资产可能受到的影响时,需要考虑受影响资产的层面。可从业务层面、系统

层面、系统组件和单元三个层面进行分析贵金属评估风险等级。

影响程度赋值需要综合考虑安全事件对资产保密性、完整性和可用性的影响贵金属评估风险等级。影响程度赋值采用

等级划分处理方式,不同的等级分别代表对资产影响的高低贵金属评估风险等级。等级数值越大,影响程度越高。表10给

出了影响程度的一种赋值方法贵金属评估风险等级。

5.3 风险分析

组织应在风险识别基础上开展风险分析,风险分析应:

a) 根据威胁的能力和频率,以及脆弱性被利用难易程度,计算安全事件发生的可能性;

b) 根据安全事件造成的影响程度和资产价值,计算安全事件发生后对评估对象造成的损失;

c) 根据安全事件发生的可能性以及安全事件发生后造成的损失,计算系统资产面临的风险值;

d) 根据业务所涵盖的系统资产风险值综合计算得出业务风险值贵金属评估风险等级。

具体风险计算过程见附录F贵金属评估风险等级。

5.4 风险评价

5.4.1 系统资产风险评价

根据风险评价准则对系统资产风险计算结果进行等级处理贵金属评估风险等级。表11给出了一种系统资产风险等级划分方法。

5.4.2 业务风险评价

根据风险评价准则对业务风险计算结果进行等级处理,在进行业务风险评价时,可从社会影响和组

织影响两个层面进行分析贵金属评估风险等级。社会影响涵盖国家安全,社会秩序,公共利益,公民、法人和其他组织的合法

权益等方面;组织影响涵盖职能履行、业务开展、触犯国家法律法规、财产损失等方面贵金属评估风险等级。表12给出了一

种基于后果的业务风险等级划分方法贵金属评估风险等级。

5.5 沟通与协商

风险评估实施团队应在风险评估过程中与内部相关方和外部相关方保持沟通并对沟通内容予以记

录,沟通的内容应包括:

a) 为理解风险及相关问题和决策而就风险及其相关因素相互交流信息和意见;

b) 相关方已表达的对风险事件的关注、意见以及相应的反应贵金属评估风险等级。

5.6 风险评估文档记录

5.6.1 风险评估文档记录要求

记录风险评估过程的相关文档,应符合以下要求(包括但不限于):

a) 确保文档发布前是得到批准的;

b) 确保文档的更改和现行修订状态是可识别的 (有版本控制措施);

c) 确保文档的分发得到适当控制,并确保在使用时可获得有关版本的适用文档;

d) 防止作废文档的非预期使用,若因任何目的需保留作废文档时,应对这些文档进行适当的标识贵金属评估风险等级。

对于风险评估过程中形成的相关文档,还应规定其标识、存储、保护、检索、保存期限以及处置所需

的控制贵金属评估风险等级。相关文档是否需要以及详略程度由组织的管理者来决定。

5.6.2 风险评估文档

风险评估文档是指在风险评估过程中产生的过程文档和结果文档,包括(但不仅限于此):

a) 风险评估方案:阐述风险评估目标、范围、人员、评估方法、评估结果的形式和实施进度等;

b) 资产识别清单:根据组织所确定的资产分类方法进行资产识别,形成资产识别清单(包括业务

资产、系统资产、系统组件和单元资产),明确资产的责任人和责任部门;

c) 重要资产清单:根据资产识别和赋值的结果,形成重要资产列表,包括重要资产名称、描述、类

型、重要程度、责任人、责任部门等;

d) 威胁列表:根据威胁识别和赋值的结果,形成威胁列表,包括威胁来源、种类、威胁行为、能力和频率等;

e) 已有安全措施列表:对已采取的安全措施进行识别并形成已有安全措施列表,包括已有安全措

施名称、类型、功能描述及实施效果等;

f) 脆弱性列表:根据脆弱性识别和赋值的结果,形成脆弱性列表,包括具体脆弱性的名称、描述、

类型、被利用难易程度及影响程度等;

g) 风险列表:根据威胁利用脆弱性导致安全事件的情况,形成风险列表,包括具体风险的名称、描述等;

h) 风险评估报告:对风险评估过程和结果进行总结,详细说明评估对象、风险评估方法、资产、威

胁、脆弱性和已有安全措施的识别结果、风险分析、风险统计和结论等内容;

i) 风险评估记录:风险评估过程中的各种现场记录应可复现评估过程,以作为产生歧义后解决问题的依据贵金属评估风险等级。