GBT 209842023 信息安全技术 信息安全风险评估方法.docx

《GBT 209842023 信息安全技术 信息安全风险评估方法.docx》由会员分享，可在线阅读，更多相关《GBT 209842023 信息安全技术 信息安全风险评估方法.docx（29页珍藏版）》请在第一文库网上搜索。

1、ICS35.030CCS180中华人民共和国国家标准GB/T209842023代替GB/T209842007信息安全技术信息安全风险评估方法Informationsecuritytechno1ogyRiskassessmentmethodforinformationsecurity2023-04-15发布2023-11-01实施国家市场监督管理总局国家标准化管理委员会目次前言I1范围12规范性引用文件13术语和定义、缩略语13. 1术语和定义13.2缩略语24风险评估框架及流程24. 1风险要素关系24.2风险分析原理34.3风险评估流程35风险评估实施45. 1风险评估准备45. 2风险识别

2、55. 3风险分析115. 4风险评价115. 5沟通与协商135.6风险评估文档记录13附录A（资料性）评估对象生命周期各阶段的风险评估14附录B（资料性）风险评估的工作形式17附录C（资料性）风险评估的工具18附录D（资料性）资产识别21附录E（资料性）威胁识别23附录F（资料性）风险计算示例26参考文献27本文件按照GB/T11-2023标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。本文件代替GB/T209842007信息安全技术信息安全风险评估规范，与GB/T209842007相比，除结构调整和编辑性改动外，主要技术变化如下：a）增加了“业务”和“信息系统生命周期”（见

3、3.4和3.7）;b）删除了“业务战略”的术语和定义（见2007年版的3.4）;c）删除了资产”“资产池”“可用性”“保密性”“信息獭”“强”“残领险”“安全事（牛”“威胁”和“脆弱性”的术语和定义观2007年版的3.1、3.2、3.3、3.5、3.8、3.10、3.12、3.14、3.17和3.18）;d）更改了风险评估框架及流程中的风险要素关系、风险分析原理和评估实施流程（见第4章，2007年版的第4章）；e）更改了风险评估实施过程中风险要素识别和关联分析内容（见5.2和5.3,2007年版的5.2、5.3、5.4、5.5和5.6）;f）将原标准中评估对象生命周期各阶段的风险评估和风险评估

4、的工作形式调整到规范性附录A和资料性附录B中（见附录A和附录B,2007年版的第6章和第7章）。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本文件起草单位：国家信息中心、北京安信天行科技有限公司、信息产业信息安全测评中心、北京信息安全测评中心、中国信息安全测评中心、中国网络安全审查技术与认证中心、中国电子技术标准化研究院、公安部信息安全等级保护评估中心、公安部第一研究所、上海观安信息技术股份有限公司、成都民航电子技术有限责任公司、河南金盾信安检测评估中心有限公司、深圳市南山区政务服务数据管理局、

5、云南公路联网收费管理有限公司、国网宁夏电力有限公司、国网新疆电力有限公司。本文件主要起草人：禄凯、詹榜华、陈永刚、刘丰、陈青民、赵增振、张益、高亚楠、任金强、刘龙涛、刘德林、刘朗俊、孙明亮、杜宇鸽、翟亚红、王惠莅、任卫红、彭海龙、李秋香、安佳伟、马勇、张军、汤志强、段明磊、杨童、肖强、张宏杰、刘育辰、陈涛、李峰。本文件及其所代替文件的历次版本发布情况为：2007年首次发布为GB/T209842007;一本次为第一次修订。信息安全技术信息安全风险评估方法1范围本文件描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法，以及风险评估在信息系统生命周期不同阶段的实

6、施要点和工作形式。本文件适用于各类组织开展信息安全风险评估工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改版）适用于本文件。GB/T25069信息安全技术术语GB/T33132-2016信息安全技术信息安全风险处理实施指南3术语和定义、缩略语3.1 术语和定义GB/T25069界定的以及下列术语和定义适用于本文件。3.1.1 1信息安全风险informationsecurityrisk特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。注

7、：它以密态的可能性及其后果的组合来度量。来源：GB/T317222015,3.2风险评估riskassessment风险识别、风险分析和风险评价的整个过程。来源：GB/T292462017,2.71注：本文件专指信息安全风险评估。organization具有自身的职责、权威和关系以实现其目标的个人或集体。注：组织的概念包括但不限于个体经营者、公司、法人、商行、企业、机关、合伙关系、慈善机构或院校，或者其部分或组合，无论注册成立与否、是公共的还是私营的。来源：GB/T292462017,2.57,有修改业务business组织为实现某项发展规划而开展的运营活动。注：该活动具有明确的目标，并磔段时

8、间。3.1.2安全需求securityrequirement为保证组织业务规划的正常运作而在安全措施方面提出的要求。安全措施securityctro1保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制。3.1.3 1.7信息系统生命周期informationsystem1ifecyc1e信息系统的各个生命阶段，包括规划阶段、设计阶段、实施阶段、运行维护阶段和废弃阶段。来源：GB/T315092015,3.1.2自评估SeIf-assessment由评估对象所有者自身发起，组成机构内部的评估小组，依据国家有关法规与标准，对评估对象安全管理进行评估的活

9、动。来源：GB/T284532012,3.2,有修改检查评估nspectionassessment由评估对象所有者的上级主管部门、业务主管部门或国家相关监管部门发起，依据国家有关法规与标准，对评估对象安全管理进行的评估活动来源：GB/T28453-2012.33,有修改3.1.4 2缩略语下列缩略谓适用于本文件App:应用程序(APP1iCaIionIT:信思技术InformationTechno1ogyPaaS:平台即服务(P1atfOnnasaService)UPS:不间断电源(UninterruptedPowerSupp1y)VPN:虚拟专用网络(VirtUa1PrivateNetwor

10、k)4风险评估框架及流程4.1 风险要素关系风险评估中基本要素的关系如图1所示。风险评估基本要素包括资产、威胁、脆弱性和安全措施，并基于以上要素开展风险评估。标引序号说明：风险要素;要素关系；风险。图1风险要素及其关系开展风险评估时，基本要素之间的关系如下：a）风险要素的核心是资产，而资产存在脆弱性；b）安全措施的实施通过降低资产脆弱性被利用难易程度，抵御外部威胁，以实现对资产的保护;c）威胁通过利用资产存在的脆弱性导致风险；d）风险转化成安全事件后，会对资产的运行状态产生影响。风险分析时，应综合考虑资产、脆弱性、威胁和安全措施等基本因素。4.2 风险分析原理风险分析原理如下：a）根据威胁的来

11、源、种类、动机等，并结合威胁相关安全事件、日志等历史数据统计，确定威胁的能力和频率；b）根据脆弱性访问路径、触发要求等，以及已实施的安全措施及其有效性确定脆弱性被利用难易程度；c）确定脆弱性被威胁利用导致安全事件发生后对资产所造成的影响程度；d）根据威胁的能力和频率，结合脆弱性被利用难易程度，确定安全事件发生的可能性；e）根据资产在发展规划中所处的地位和资产的属性，确定资产价值；f）根据影响程度和资产价值，确定安全事件发生后对评估对象造成的损失；g）根据安全事件发生的可能性以及安全事件造成的损失，确定评估对象的风险值；h）依据风险评价准则，确定风险等级，用于风险决策。4.3 风险评估流程风险评

12、估的实施流程如图2所示。风险评估流程应包括如下内容。a）评估准备，此阶段应包括：1） 确定风险评估的目标；2）确定风险评估的对象、范围和边界；3）组建评估团队；4）开展前期调研；5）确定评估依据：图2风险评估实施流程图6） 建立风险评价准则：7） 制定评估方案。组织应形成完整的风险评估实施方案，并获得组织最高管理者的支持和批准b）风险识别，此阶段应包括1）资产识别（见5.2.1）;2 ）威胁识别（见3 ）己有安全措施识别（见5.2.3）4）脆弱性识别（见5.2.4）。c）风险分析，此阶段依据识别的结果计算得到风险值。d）风险评价，此阶段依据风险评价准则确定风险等级。沟通与协商和评估过程文档管理

13、贯穿手整个风险评估过程.风险评估工作是持续性的活动，当评估对象的政策环境、外部威胁环境、业务目标、安全自标等发上变化时，应成新开展风险评估。风险评估的结果能够为风险处理提供决策支撑，风险处理是指对风险进行处理的一系列活动，如接受风险、规避风险、转移风险、降低风险等。风险处理按照GB/T33132-2016开展5风险评估实施5.1风险评估准备组织实施风险评估是一种战略性的考虑，其结果将受到组织规划、业务、业务流程、安全需求、系统规模和结构等方面的影响。因此，在风险评估实施前应准备以下工作，a）在考虑风险评估的工作形式、在生命周期中所处阶段和被评估单位的安全评估需求的基础上，确定风险评估目标。附录

14、A给出了评估对象生命周期各阶段的风险评估内容，附录B给出了风险评估的工作形式描述。b）确定风险评估的对象、范围和边界。C）组建评估团队、明确评估工具。附录C给出了风险评估的工具。d）开展前期调研。e）确定评估依据。f）建立风险评价准则：组织应在考虑国家法律法规要求及行业背景和特点的基础上，建立风险评价准则，以实现对风险的控制与管理。风险评价准则应满足以下要求：1）符合组织的安全策略或安全需求；2）满足利益相关方的期望；3）符合组织业务价值。建立风险评价准则的目的包括但不限于：4）对风险评估的结果进行等级化处理；5）能实现对不同风险的直观比较；6）能确定组织后期的风险控制策略。g）制定评估方案。

15、h）获得最高管理者支持。评估方案需得到组织最高管理者的支持和批准。.52mj5.2.1资产识别1.1.1 .1除资产识别是风险评估的核心环节。资产按照层次可划分为业务资产、系统资产、系统组件和单元资产，如图3所示。因此资产识别应从三个层次进行识别。图3资产层次图1.1.2 业务识SJ5.21.21 识别内容业务是实现组织发展规划的具体活动，业务识别是风险评估的关键环节。业务识别内容包括业务的属性、定位、完整性和关联性识别。业务识别主要识别业务的功能、对象、流程和范围等。业务的定位主要识别业务在发展规划中的地位。业务的完整性主要识别其为独立业务或非独立业务。业务的关联性识别主要识别与其他业务之间的关系。表1提供了一种业务识别内容的参考。1业务识别内容表识别内容示例属性业务功能、业务对象、业务流程、业务范围、覆盖地域等定位发展规划中的业务属性和职能定位、与发展