文档介绍:国家质量监督检验检疫总局发布××××-××-××实施××××-××-××发布信息安全技术信息安全风险评估规范Informationsecuritytechnology-Riskassessmentspecificationforinformationsecurity(报批稿)GB/T××××—×××× II引言 III1范围 12规范性引用文件 13术语和定义 14风险评估框架及流程 55风险评估实施 196信息系统生命周期各阶段的风险评估 247风险评估的工作形式 25附录A(资料性附录)风险的计算方法 32附录B(资料性附录)风险评估的工具 38参考文献 39前言本标准附录A与附录B是资料性附录。本标准由国务院信息化工作办公室提出。本标准由全国信息安全标准化技术委员会归口。本标准主要起草单位:国家信息中心、公安部第三研究所、国家保密技术研究所、中国信息安全产品测评认证中心、中国科学院信息安全国家重点实验室、解放军信息技术安全研究中心、中国航天二院七〇六所、北京信息安全测评中心、上海市信息安全测评认证中心。本标准主要起草人:范红、吴亚非、李京春、马朝斌、李嵩、应力、王宁、江常青、张鉴、赵敬宇。引言随着政府部门、企事业单位以及各行各业对信息系统依赖程度日益增强,信息安全问题受到普遍关注。运用风险评估去识别安全风险,解决信息安全问题得到了广泛认识与应用。信息安全风险评估就是从风险管理角度,运用科学方法与手段,系统地剖析信息系统所面临威胁及其存在脆弱性,评估安全事件一旦发生可能造成危害程度,提出有针对性抵御威胁防护对策与整改措施;为防范与化解信息安全风险,将风险控制在可接受水平,从而最大限度地保障信息安全提供科学依据。信息安全风险评估作为信息安全保障工作基础性工作与重要环节,要贯穿于信息系统规划、设计、实施、运行维护以及废弃各个阶段,是信息安全等级保护制度建设重要科学方法之一。本标准条款中所指“风险评估”,其含义均为“信息安全风险评估”。信息安全风险评估规范范围本标准提出了风险评估基本概念、要素关系、剖析原理、实施流程与评估方法,以及风险评估在信息系统生命周期不同阶段实施要点与工作形式。本标准适用于规范组织开展风险评估工作。规范性引用文件下列文件中条款通过本标准引用而成为本标准条款。凡是注明日期引用文件,其随后所有修改单(不包括勘误内容)或修订版均不适用于本标准。然而,鼓励根据本部分达成协议各方研究是否可使用这些文件最新版本。凡是不注日期引用文件,其最新版本适用于本标准。GB/T9361-2000 计算机场地安全要求GB17859-1999计算机信息系统安全保护等级划分准则 GB/T18336-2001信息技术安全技术信息技术安全性评估准则(idtISO/IEC15408:1999)GB/T19716-2005信息技术信息安全管理实用规则(ISO/IEC17799:2000,IDT)术语与定义下列术语与定义适用于本标准。,是安全策略保护对象。。资产价值是资产属性,也是进行资产识别主要内容。,被授权实体按要求能访问与使用数据或资源。 业务战略 businessstrategy组织为实现其发展目标而制定一组规则或要求。,即表示数据所达到未提供或未泄露给非授权个人、过程或其他实体程度。 信息安全风险informationsecurityrisk人为或自然威胁利用信息系统及其管理体系中存在脆弱性导致安全事件发生及其对组织造成影响。 (信息安全)风险评估(informationsecurity)riskassessment依据有关信息安全技术与管理标准,对信息系统及由其处理、传输与存储信息保密性、完整性与可用性等安全属性进行评价过程。它要评估资产面临威胁以及威胁利