文档介绍:国家质量监督检验检疫总局发布
××××-××-××实施
××××-××-××发布
信息安全技术
信息安全风险评估规范
Information security technology-
Risk assessment specification for information security
(报批稿)
GB/T ××××—××××
ICS
L 80
中华人民共和国国家标准
目次
前言 II
引言 III
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 风险评估框架及流程 4
风险要素关系 4
风险分析原理 5
实施流程 5
5 风险评估实施 6
风险评估准备 6
资产识别 8
威胁识别 12
脆弱性识别 14
已有安全措施确认 17
风险分析 17
风险评估文档记录 19
6 信息系统生命周期各阶段的风险评估 21
信息系统生命周期概述 21
规划阶段的风险评估 21
设计阶段的风险评估 21
实施阶段的风险评估 22
运行维护阶段的风险评估 23
废弃阶段的风险评估 24
7 风险评估的工作形式 24
概述 24
自评估 24
检查评估 25
附录A (资料性附录) 风险的计算方法 27
使用矩阵法计算风险 27
使用相乘法计算风险 32
附录B (资料性附录)风险评估的工具 36
风险评估与管理工具 36
系统基础平台风险评估工具 37
风险评估辅助工具 38
参考文献 39
前言
本标准附录A和附录B是资料性附录。
本标准由国务院信息化工作办公室提出。
本标准由全国信息安全标准化技术委员会归口。
本标准主要起草单位:国家信息中心、公安部第三研究所、国家保密技术研究所、中国信息安全产品测评认证中心、中国科学院信息安全国家重点实验室、解放军信息技术安全研究中心、中国航天二院七〇六所、北京信息安全测评中心、上海市信息安全测评认证中心。
本标准主要起草人:范红、吴亚非、李京春、马朝斌、李嵩、应力、王宁、江常青、张鉴、赵敬宇。
引言
随着政府部门、企事业单位以及各行各业对信息系统依赖程度的日益增强,信息安全问题受到普遍关注。运用风险评估去识别安全风险,解决信息安全问题得到了广泛的认识和应用。
信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地保障信息安全提供科学依据。
信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,要贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段,是信息安全等级保护制度建设的重要科学方法之一。
本标准条款中所指的“风险评估”,其含义均为“信息安全风险评估”。
信息安全风险评估规范
范围
本标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。
本标准适用于规范组织开展的风险评估工作。
规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 9361-2000 计算机场地安全要求
GB 17859-1999 计算机信息系统安全保护等级划分准则
GB/T 18336-2001 信息技术安全技术信息技术安全性评估准则(idtISO/IEC 15408:1999)
GB/T 19716-2005 信息技术信息安全管理实用规则(ISO/IEC 17799:2000,IDT)
术语和定义
下列术语和定义适用于本标准。
资产 asset
对组织具有价值的信息或资源,是安全策略保护的对象。
资产价值 asset value
资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。
可用性 availability
数据或资源的特性,被授权实体按要求能访问和使用数据或资源。
业务战略 business strategy
组织为实现其发展目标而制定的一组规则或要求。