信息安全风险评估指南.doc
《信息安全风险评估指南.doc》由会员分享,可在线阅读,更多相关《信息安全风险评估指南.doc(37页珍藏版)》请在咨信网上搜索。
1、GB/T 国家质量监督检验检疫总局 发布-实施-发布信息安全风险评估指南Information Security Risk Assessment Guideline(送审稿)GB/T 中华人民共和国国家标准ICS 35.040L 801GB/T 目 次前 言I1 范围12 规范性引用文件13 术语和定义14 概述34.1 目的与意义34.2 目标读者44.3 文档组织45 风险评估框架及流程45.1 风险要素关系图45.2 风险分析示意图65.3 实施流程66 风险评估实施76.1 风险评估的准备76.2 资产识别86.3 威胁识别136.4 脆弱性识别156.5 已有安全措施的确认176.6
2、 风险分析176.7 风险评估文件记录197 风险评估在信息系统生命周期中的不同要求207.1 信息系统生命周期概述207.2 信息系统生命周期各阶段的风险评估218 风险评估的形式及角色运用258.1 风险评估的形式258.2 风险评估不同形式与其中各角色的关系25附录A28A.1 风险矩阵测量法28A.2 威胁分级计算法29A.3 风险综合评价法30A.4 安全属性矩阵法30附录B33B.1 安全管理评价系统33B.2 系统软件评估工具33B.3 风险评估辅助工具34前 言为指导和规范针对组织的信息系统及其管理的信息安全风险评估工作,特制定本标准。本标准介绍了信息安全风险评估的基本概念、原
3、则和要求,提出了信息安全风险评估的一般方法。本标准由国务院信息化工作办公室提出。本标准由全国信息安全标准化技术委员会归口。本标准由国家信息中心、信息安全国家重点实验室、中科网威、上海市信息安全测评认证中心、北京市信息安全测评中心负责起草。本标准主要起草人:范红等人。信息安全风险评估指南1 范围本标准提出了信息安全风险评估的实施流程、评估内容、评估方法及其在信息系统生命周期各阶段的不同要求,适用于组织开展的信息安全风险评估工作。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据
4、本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。ISO/IEC 17799-2000 Information security management Part 1:Code of practice for information security management ISO/IEC TR 13335.1 Information technology-Guidelines for the management of IT Security-Part 1:Concepts and models of IT SecurityGB17859199
5、9 计算机信息系统安全保护等级划分准则GB/T 19716-2005 信息技术 信息安全管理实用规则GB/T 19715.1-2005 信息技术 信息技术安全管理指南 第1部分:信息技术安全概念和模型GB/T93612000计算机场地安全要求3 术语和定义下列术语和定义适用于本标准。3.1资产 Asset对组织具有价值的信息资源,是安全策略保护的对象。3.2资产价值 Asset Value资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主要内容。3.3威胁 Threat可能对资产或组织造成损害的潜在原因。威胁可以通过威胁主体、资源、动机、途径等多种属性来刻画。 3.4脆弱性
6、Vulnerability可能被威胁利用对资产造成损害的薄弱环节。3.5信息安全风险 Information Security Risk人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件及其对组织造成的影响。3.6信息安全风险评估 Information Security Risk Assessment依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。3.7残余风险 Residu
7、al Risk采取了安全措施后,仍然可能存在的风险。3.8机密性 Confidentiality使信息不泄露给未授权的个人、实体、过程或不使信息为其利用的特性。3.9完整性Integrality保证信息及信息系统不会被有意地或无意地更改或破坏的特性。3.10可用性 Availability可以由得到授权的实体按要求进行访问和使用的特性。3.11业务战略Business Strategy组织为实现其发展目标而制定的规则。3.12安全事件 Security Event 威胁利用脆弱性产生的危害情况。3.13安全需求 Security Requirement为保证组织业务战略的正常运作而在安全措施方
8、面提出的要求。3.14安全措施 Security Measure保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制的总称。3.15自评估 Self-assessment由组织自身发起,参照国家有关法规与标准,对信息系统及其管理进行的风险评估活动。3.16检查评估 Inspection Assessment由被评估组织的上级主管机关或业务主管机关发起的,依据国家有关法规与标准,对信息系统及其管理进行的具有强制性的检查活动。4 概述4.1 目的与意义信息安全风险是由于资产的重要性,人为或自然的威胁利用信息系统及其管理体系的脆弱性,导致安全事件一旦发生所
9、造成的影响。信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,即信息安全的风险。信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法,其结果为信息安全风险管理提供依据。本标准以下条款中所指的“风险评估”,其含义均为“信息安全风险评估”。4.2 目标读者本标准适用于为评价信息系统及其管理的安全风险的各类组织,包括:信息系统所有者:本标准为系统所有者选择安全措施实施信息
10、系统保护时提供技术支持。本标准中提出的安全风险理念为系统所有者在合理控制风险的前提下选择技术与管理控制措施。系统所有者可以基于本标准的评估结果来决定信息系统是否满足他们的安全需求,是否将重要资产的风险降低到可接受的范围内。系统所有者在信息系统的运行、管理中,可以依据本标准进行持续性评估,以不断识别系统面临的风险,为改进策略的实施提供依据。评估者:本标准为评估信息系统安全风险方面提供支持。基于本标准的一些判定准则,为评估结果的有效性和可靠性提供支持,从而为系统所有者决策服务。管理机构:本标准可以作为信息系统所有者的上级主管部门或业务管理机构的信息安全管理手段之一,对信息系统及其管理进行安全检查,
11、推动行业或地区信息安全风险管理的实施。本标准也可以作为对信息安全感兴趣或有责任的组织和个人的参考资料。4.3 文档组织本标准分为两部分:第一部分:主体部分。主要介绍风险评估的定义、原理及实施流程,对资产、威胁和脆弱性识别进行了详细的描述,同时提出了风险评估在信息系统生命周期不同阶段的要求,以及风险评估的不同形式。第二部分:附录部分。包括信息安全风险评估的方法和工具的介绍,目的是使用户了解到具体风险判别手段的多样性和灵活性。5 风险评估框架及流程本章提出了风险评估原理及实施流程。5.1 风险要素关系图信息是一种资产,资产所有者应对信息资产进行保护,通过分析信息资产的脆弱性来确定威胁可能利用哪些弱
12、点来破坏其安全性。风险评估要识别资产相关要素的关系,从而判断资产面临的风险大小。风险评估中各要素的关系如图1所示:安全措施 抵御业务战略脆弱性安全需求威胁风险残余风险安全事件依赖具有被满足利用暴露降低增加加依赖增加导出演变 未被满足未控制可能诱发残留成本资产资产价值图1 风险要素关系图图1中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。风险评估围绕其基本要素展开,在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。图1中的风险要素及属性之间存在着以下关系: (1)业务战略依赖资产去实现;(2)资产是有价
13、值的,组织的业务战略对资产的依赖度越高,资产价值就越大;(3)资产价值越大则其面临的风险越大;(4)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件;(5)弱点越多,威胁利用脆弱性导致安全事件的可能性越大;(6)脆弱性是未被满足的安全需求,威胁要通过利用脆弱性来危害资产,从而形成风险;(7)风险的存在及对风险的认识导出安全需求;(8)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;(9)安全措施可抵御威胁,降低安全事件的发生的可能性,并减少影响;(10)风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险。有些残余风险来自于安全措施可能不当或无
14、效,在以后需要继续控制,而有些残余风险则是在综合考虑了安全成本与效益后未控制的风险,是可以被接受的;(11)残余风险应受到密切监视,它可能会在将来诱发新的安全事件。5.2 风险分析示意图风险分析示意图如下所示:威胁识别脆弱性识别威胁出现的频率脆弱性的严重程度资产的重要性安全事件的损失风险值资产识别图2 风险分析示意图风险分析中要涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性是威胁出现的频率;脆弱性的属性是资产弱点的严重程度。风险分析主要内容为:(1)对资产进行识别,并对资产的重要性进行赋值;(2)对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;
15、(3)对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;(4)根据威胁和脆弱性的识别结果判断安全事件发生的可能性;(5)根据脆弱性的严重程度及安全事件所作用资产的重要性计算安全事件的损失;(6)根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值。 5.3 实施流程图3给出风险评估的实施流程,第6章将围绕风险评估流程阐述风险评估各具体实施步骤。否是否图3风险评估实施流程图是风险评估准备已有安全措施的确认风险计算风险是否接受保持已有的安全措施施施施选择适当的安全措施并评估残余风险实施风险管理脆弱性识别威胁识别资产识别是否接受残余风险 风险分析评估过程文
16、档评估过程文档风险评估文件记录评估结果文档6 风险评估实施6.1 风险评估的准备风险评估的准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑,其结果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此,在风险评估实施前,应:(1)确定风险评估的目标;(2)确定风险评估的范围;(3)组建适当的评估管理与实施团队;(4)选择与组织相适应的具体的风险判断方法;(5)获得最高管理者对风险评估工作的支持。6.1.1 确定目标风险评估的准备阶段应明确风险评估的目标,为风险评估的过程提供导向。信息系统是重要的资产,其机密性、完整性和可用性对于维持竞争优势、获利能力、法
17、规要求和组织形象是必要的。组织要面对来自内、外部日益增长的安全威胁,信息系统是威胁的主要目标。由于业务信息化程度不断提高,对信息技术的依赖日益增加,一个组织可能出现更多的脆弱性。风险评估的目标是满足组织业务持续发展在安全方面的需要,或符合相关方的要求,或遵守法律法规的规定等。6.1.2 确定范围基于风险评估目标确定风险评估范围是完成风险评估的前提。风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的系统,关键业务流程,与客户知识产权相关的系统或部门等。6.1.3 组建团队组建适当的风险评估管理与实施团队,以支持整个过程的推进,如成立由管理层、相关业务骨干、I
18、T技术人员等组成的风险评估小组。评估团队应能够保证风险评估工作的有效开展。6.1.4 选择方法应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险判断方法,使之能够与组织环境和安全要求相适应。6.15获得支持上述所有内容确定后应得到组织的最高管理者的支持、批准,并对管理层和技术人员进行传达,应在组织范围就风险评估相关内容进行培训,以明确各有关人员在风险评估中的任务。6.2 资产识别资产是具有价值的信息或资源,是安全策略保护的对象。它能够以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等。机密性、完整性和可用性是评价资产的三个安全属性。信息安全风险评估中
19、资产的价值不仅仅以资产的账面价格来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采取的安全措施都将对资产安全属性的达成程度产生影响。为此,有必要对组织中的资产进行识别。6.2.1 资产分类风险评估中,资产大多属于不同的信息系统,如OA系统、网管系统、业务生产系统等,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法可以根据具体的评估对象和
20、要求,由评估者来灵活把握。根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。表1列出了一种资产分类方法。表1一种基于表现形式的资产分类方法分类示例数据存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等软件系统软件:操作系统、语言包、工具软件、各种库等应用软件:外部购买的应用软件,外包开发的应用软件等源程序:各种共享源代码、可执行程序、自行或合作开发的各种程序等硬件网络设备:路由器、网关、交换机等计算机设备:大型机、服务器、工作站、台式计算机、移动计算机等存储设备:磁带机、磁盘阵列等移动存储设备:磁带、光盘、软盘、U盘、移动
21、硬盘等传输线路:光纤、双绞线等保障设备:动力保障设备(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等安全保障设备:防火墙、入侵检测系统、身份验证等其他电子设备:打印机、复印机、扫描仪、传真机等服务办公服务:为提高效率而开发的管理信息系统(MIS),它包括各种内部配置管理、文件流转管理等服务网络服务:各种网络设备、设施提供的网络连接服务信息服务:对外依赖该系统开展服务而取得业务收入的服务文档纸质的各种文件、传真、电报、财务报告、发展计划等人员掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理及网络研发人员等其它企业形象,客户关系等6.2.2 资产赋值对资产的赋
22、值不仅要考虑资产本身的价值,更重要的是要考虑资产的安全状况对于组织的重要性,即由资产在其三个安全属性上的达成程度决定。为确保资产赋值时的一致性和准确性,组织应建立一个资产价值评价尺度,以指导资产赋值。资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析,并在此基础上得出一个综合结果的过程。达成程度可由安全属性缺失时造成的影响来表示,这种影响可能造成某些资产的损害以至危及信息系统,还可能导致经济效益、市场份额或组织形象的损失。6.2.2.1 机密性赋值根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 风险 评估 指南
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。