【国家标准(GB)】 信息安全技术 信息安全风险评估规范

1CS 35. 043
中华人民共和国国家标雅
GB/T20984—2007
信息安全技术
信息安全风险评估规范
Informalion sesurity lechnulugy-Risk assexsmenl specilication Gor infrrmatinn secirily2007-06-14发布
中华人民共和国国家质量监督检验检接总局中国国家标准化管理委员会
2007-11-01买施
GB/T29984—2007
现范性引用文件
术诺利定义
这险试供柜架及流理
风险要需关系
4.2风险分折鼎单
实施流！
：风险评估实施
风验评街准备
资产识别
威动识别
瞻弱性识别
已有安全潜施确认·
风降分批
风险评估文书录
3信自系统生命周期各阶政的风险问估5. 1
信息系统生命能填恒述
现划阶段的风冷评估.
设诈阶段的风险评估：
实施阶投的风险评估：
6.5行维护阶段拍风险评
联弃阶段的风险评估·
风评信的作形式
自证信·
资责评值
附求A（致科科断菜）风险的计算为法A，1使H拓所达计算风院
A.2使目村乘达计了风险
附录片（资剂性阻录，风险单估工点31风险评告管理月
系统基础半风险评低工具
B.3风险评估暂点
华专文献
本标准的附录A和陷杰B足资料列：本标准山医务院估点化工作办公牢提出.本标非出国房总安会标准化投技术委员会州口。GB/T2C9B4—2007
本标准主要起草单实·国家信息中心、公安部第三研究所、国索保需执术研究所、中国信息安企产品测评认证中心中国私学院信息安全国家重点实验室、舞放军信户技术发全研筑中心，中国天院七中入所北京信息表全测证中心、工海市消息安全浪评认证心。本标准上要起豆人：范红、灵亚下李京春、乃乳献、李瑞、应力、宁、比常方、张将、超做宁CE/T 20984—2007
随药收府部门」、介串业单谊以及各行各业对倍总系统依题程虚弟厅老强·信息安全问题受到带造关注：运用效险评估去识别安全风险·解决信息安全问题得到了广泛的认讯和应用。信息安全风险评估就是从系险管理角度，运月科学的方法和手段，系统地分析信息系统所凹临的胁及其存弃的舱弱性，评估表全丰件三发牛可步造成的节害预理，提出有针对性的抵御或助的防护对策和整改措端，为整和化解估点安全风险·将风险控削在可按受的水平，虽大限度地保章信息安会提世科学依据，
信急安全风险评估作为信息安全保障工作的垂作工作利重些环节.要质穿十作息系练的规划，计、实施，运行弹护以及险奔各个阶段，是信息安全等级保护制度唑改转重要科学方法之一：五标准条款中所指的“风险评估”，其等义均为\信息安全风险评估”，n
：范围
信息安全技术
信息安全风险评估规范
CB/I 20984—2CD7
木标准提出了风险评估的基本概念、要关系、分所原理、实施流程和评占方达以股风险评估在筒息其统生许刷期不阶段的实施要点和1作形式。本标准适用干规范组织开展的风验评估工作，2规范性引用文件
下列文牛中的条款通过本标准的引用而成为本标液的条款。凡是业口期的引用文件.其随后所有的修改单（不包活期说带内容或修订版均不适用于本标谨.然而，鼓加根期本部分成协议的各方研究否可便用这些文供的最新版本。凡是人注日期的以用文件共量新放本站为于本标准。H/T61：计算站场地安全要求
BS“9计算机信息系统安全保护学数划分注则T13—2G6任息技术安全技术信息袁术安全主评估障则（d1S0/1EC1540:195）G13T19716C5息技信息安企营理实用规删（O/HC17799，2%00M3术语和定
下列术语和究适用，本标准
资产nsset
对纠织具有价信的信息或资源，是发全策格保护的对象：3.2
资产价值HSeiuluk
产的毛要程或做程证的表行，资产价位是连产的质性，也行资产识别的主要内婴，3. 3
可用件wailablllt
效据或安源的特性：被投权实本安要求能防问可使币数游或资源。3.4
业务装略husnrssslralegy
组织为实现其发系H标而制定的一组现则或要求：3.5
保寄性onfidentlallly
数提所兵心内特性：呼表示范带刷达到的术提供或大泄舜给非轻权药人，过程成其他实召的程度
信总安全风险infnmatinnsecurityrisk人为或然的成晚利用信息系统及其管划述系中存在的羽性导致安全事件的发生及其对纠识适载的形响。
CB/T 23984—2007
（信总安全>风险许估（informatlonsecurrity）riskasiesament整销有关位品安全技齐与管理标准，刘品亲疑这山式处理，传输和在所的信息的伪登性，站出利日用件等安全调性进行评的的过程。它要评估资产临的成航以及成协风日慌盈性导效安全车什闪可能件，并结合要个件欧涉改的资产价估来制源安会牢件：发出对纠款造放的影呵3.3
信息系统Laformatlonsystem
H计算讯改其关的和无套的改备、设随（含两络）求的服一定的应H日标和规刚对信息进行采证、加！、存消、专频、盘索等处理的人凯系统。典亚为信总系统电一部分纪或：地州系统（算机价系统和两终能件系统）：采说转牛（计的机系统我片环网络系统教件！应用款件包括由其处理、存情的信息）。3.9
检查评估inspectianaisesiment由议评的闪上数受以关或让务主咨机求发起的，依据家有关法规与你准信息系统没咨理进行与有强制性的检变活动3. 10
完醛性interity
保证信息及信息系统不公裁非授权更改或赖坏的特性：包括数谢完坚性可多统完整性3.11
组线anizalion
在作压不可的个让为实儿的业务F标而建的结均。一“单位是一个汇织，英个立通部门也可以是纠织，
残余风险ektdualTisk
采取了安全据随后，陷忌系统极然可能存在的风险。3.13
自评估e1-8ee1
川组自身发起，依据国家有关法规与标准，对信息系统及其贷通进行的成险评估活动。3. 14
安全李作secnrityincirleut
系统，服务或测的一种可认别状参的发土，它可服定对信息专全策降闪运点或的护拆范节先效，或未预的公安全状况。
安全推施securltymeasure
保求产抵求残少唯必性降低安全件的影响以及可击信良犯收再实施的名种实戏韧程和凯制、
安全需求securityreyuiremenl
为误证让组其业务成路的工常流作而在专至消驰力面提四的求，3.17
威助threal
可教对系统成的不帝改在内。
聪弱性yulnerahili
市偿微效协所则用的资产成若工资产的其弱不方。2风险评偿框渠及流程
4.1风降要紊关
点险评但中各要案的关系圳【所示业务战麟
安会宁
未获竭
胖余风度
不轻利
国1风险评估要本关系图
G/F209E4—2J7
既产价证
安全求
最满足
安企措范
因1中方部分的内存为网险评估的基本要多，能部分的内些是了这些要素扭关的需性，系险评估用洗若资产、减肥，瞻弱在可安全潜施这典H本要亲减开，在对量去要的评估过程中器要允分考点、务或珞、资产价值、安守需求，交全丰件、融余风险等与这些基本要恶相关的各超属性，图1中的风险要案及属下之可行在节以下关系；a)
业备使研的实形对资产H有依确性，放英我越高：费求方风险越小：产是有价值的，织的业务战陷对资产的依赖称要越高，资产价值就延大；风险是士成动以发的，资产值成为成越多斯风险能人，并可能询变成为安会中件：资产的实准可能好诺安严的价迫，要产其有的验作苯则风险越大！地弱注术敏法是的安全光求成助门哦持性尚法资产；风变均有在及对风路的认识导安需我：资全需求以通过安全错题得以满比·需费省会资产价谊专虑实旅店本：h)
安全错英川抵询成政，降城风险：残亲风险有些安全消他不光成无效，质态加旺才教制的风险：而有些测无在踪合考率广全症率与效益后不去制的风给！强余例险应受到密切必见，它可能会在将诱发款的安全件，4.2风险分析原理
风险分析原理如用所示：
风险分析中议及资产或妆、脆导性：个热本要素：每个要索与各自的情，资产的愿性是资心价：成的历性可以足度协体影呵象自现的率动机等脆罩件病品资产与焦的严重科度。GB/T20984—2007
刚险分析的主要内穿为
」别资产进予讯别，并对资产内价拍进行值对威过行识别描选威胁能属性，升对疏胁出现拍归率账值：b
对膜出性进行识别，升对县件资产的脆尚性的严立我度值；根据或胁及威融利用瞻期性的雄母惹度判断安全事件发牛的可能性：e
楼期弱弱的严型程变及案全中件所作用的资产的价值算安全作追成的损失根据安全事件发生的川能性以及发全半件出现后的扭实，计算实企中件·日发牛对组烈范影们
响，即院值、
感助认到
地性出到
弱产仅别
4.3实施流理
成助山现的频事
安企事的可能性
腻羽性的严量程性
项产价值
安个事作设品的损失
图2风险分析原理图
风险评危的实施淤程如图3所示
风险评估准备
资产识别
贝孙分积
保持已有的安全措单
己有安全借肺的确
风险计界
风险接受
制定以险整理计划
并详情残余风险
是严接受殊余风酸
实通风险管卫
图3风险评估施流程图
风阳值
联弱性试品
评估均界文烂
效程北管
估法程文
「风险评估立持记录
风评估缺流指范详细说明第：单5风险评估实施
5.1风睡评估准备
5.1.1概述
CB/T 20984—2037
风险评估准备足整个风整评估过我有效性的保证，延织实施风险评估是一种战哗性的与虑，其结果将受到组织的业务战略、业备洗望，安全需求、累流规模和跨构等方面的影响。因此、在风险评估实施的心
确定风降评估的日标：
6）确定义险详估的范用；
组速活当的评估肾竭可变施风队！山进行系统调研：
确定评估依据新方法，
们制定风险评括方案：
8）我得最定增理者对文险估工作的业持。5.1.2确定目标
册制满足组织业务持续发展在安企方而的能要，法准法韧的现定等内容，识则现有信总系统经管乓上的不定，以及可能追成的风险大小。5.1.3确定范
风险评占世巨可能是组织全部的信息及与信息处！相关的许资产，管！机构，世能尽呆个独守的信自察统关链业务流我，与客户效认！产投相关的系统或部门等。5.1.4组霆团队
风险评案随团队由理层、相关业等骨下、信息技术等人员组成风险评估小组。必变时，可过难日评估方、微评估支动导和相关形门负市人变切的网险详估领录组聪随柜关女：的装术交家和技术骨十组表专家小妇：
评估实嵌匠以应做好评危前的表格.文档，检测工具学务项准各二作，进行风险评估技不培训和保案教育，制定风评估过我理相关现定。可根期教评估方要率，双方签岩保密夺间，必要时签需个人保害没
5. 1. 5紊统调研
系统询研是确定效评估对象的过程，区险证小料底走行充分的系统两研，为风险评古依据和方法的选择、评任内窄的密演兽案本码调而内案率少底包括：）业务成路及出：
1）主费的业务助能和费求：
c例劵结内与心络环境，包活内逆接和外部连接：系统边界：
）主要的硬件，致件；
\数报信点
！系统求效据的敏您：：
比）支持私伸用系统约人品：
i其他。
系统讯研可以采取间卷调查、现面谈相知自的方式逆行，洞查间举只提供一会关干管理或染作GB/T 20934—2007
学制的问距表挤供余统技本或价圳人员项需；频场面谈厕是击评估人员到现场规器作改出系统在物理环境和举作方而的信息。
5.1.6确定依据
据系统调结果，确定评价依据和评信方法：评估液包活（担人收限于）：现行国际标准.国家标准、行业标汇，b行业主管机关的业苏系统前要求和制度！系筑发金保控芸级势求：
系统立联单位的安企要求
e）系统本身的实付性或性能医求等。限据计估依据，书这估的日的，世四时间、效果，人只索质等因帝兴选样H体的风让并法，并依谢业实证别系统案全运行的需求，确定相关的判新依据，便之曾做与组织环境和安全要求适应。
5.1.7制定方案
风险评帖案的日内是为面拍风险评估实庭动起快一个息体计刻用十者导实施方开展志续工件，风险评相案的内容一般包括但不仅旺干）：u）团义江：也活评估团双、组织结均、角色责江等内器；1）上作计划：风险评估各阶段的二作计到，也括工作叫客、1性移，1作是等内容：e：时间进度安排：项日实施的时间进度安排：5.1.8状得支持
上述所方内穿确京出，应形成较为光帐的文险评实施方案·将测红标最高管理者的支持批准；对管理示和技术人员过行传达，在组织范里内就文险评信关内率送行消训，以明确存美人员准风验评估中的。
·5.2预产识别
5.2.1资产分类
保案准定整性可可用生是评价资产的三个安全届住。风险估中资产的价值不提以资产的经济竹佐水衡是·足自贷产在这三个安全历性上的达成程度成者其安全属性末达放比房造求的影响升照未定的。安全属性达成程度的水同格使贷产具有不同的价值，百资产面断的截肿、存正的施的性、以及已采用的安个措施剂对资产安全展性的达或程度产生影与，为，虚对组销一的产进行识别。作不乳织中：资产与多种表现形变；同样的网个资产起因屏于不同的信息系统血再要性不应，回日对一据非多种业务的组织，其支持业务持染运行的系统激最可能更多。这时首先量要将信良系统及相关的资产进行恰当的分类，以此为基础让行下步性风险评估，在实际工准中升体范资产分方法可以担谢息沐的许任对象和要求，出评估者更活把据，限据资产第表现形式，可南资产分为教整、较件计、股务、人品等型，求1别出【一种资产分类方议表1一种基于表现形式的资产分方法分类
保无在骨总课介上的弃种效期瓷料包括路代吗、效培也款持、负统文当，证”现程.计到.报告，用产务类所的文当
条统款件操作乐绝，好据库肾理系续、证与包、开发系验等空手拓件：办公软产、效拆库软件、各类1让软件等源开，水动共享额生的、行或台所一发的弃审化切等临
区络资备，路聚：两专交接拟等表1续1
实机设备：大型机、小型机各补、1作站告去计算机便携计算机在设备：造机、英盘车列、盗做、与母、收击、移动须盘等专抗戏路：广虹、死数线等
保障没击儿监，变.没、审训、保冷柜、交件性，门典、确的及族单交全受诺，所大，人受检间点读，身份监别孚其扫印机夏机扫者仪，传工等
点眼务：对外低购该统开严的各类照务网助服各，各升间势设备、设的报诺的用络注越羽等GRT20984—20C7
志公务：方探成效单而于学的管理忙启系绒心括各种内部限量管卫、文性险验疗理等受掌是术要节忘利核非务的人员，如肌维护受，司难主学及后川须目经再等业象牢户美弱等
资产屋估
保密性择值
根握炎产在保上范个同多求将其分为工个不同的等缴，分别对量贸产在保案心上应达成的不同理度或占保密生缺失对个组织的影响。表2提实「一种保密性赋值的参旁：表2资产保密性减值表
会生织最要的，美未来然展的通活，对以制根本整有实性的，果温质会道成需性的据
组识的安会识的全和利严损
健的安和利到
说的在组以邮或在期以基一部门内督公开的信A，同外扩做有可的织的判性选成径致报
可时什会公开的消层，·公用的信息些理设备和系就资源等完整性贴伯
根据签产在完整中：一第不同要求，将其分为卫个不同均等效，分则对监贸产在定整性上缺无时对整个组暂至响。表3增供：一种完燃性赋值的参考，表三资产完整性赋值表
完跑性价作单市关，未丝控权的修改或破坏会对织率成4无的放法接望的影团，对业主用可能的业务中以补
充能性的信效高，然捷技的格或吨被会对纠织法比大影有：对冲击严.教难补完整价值中次，提权的能年会对组识前对业务冲显们可以完整软假，4整板的效成会对专点轻效影格对出开冲击轻，容易补完格生价名常低，未经受权的格改或来对划到是成的影尚可以略，对业务产士可以超路
GB/120984—2007
5.2.2.3可用注购值
想资产可用地上的不尚是求，将其为五个不同的等级，分别对度资产尘可月性上虚法成的不同程害，表1提供了计前用年账估的参考表4资产可用世值表
可用价“谐高，合惊用者对息及信点系统的可变咨！年实，9以十，与系禁不许中断
可用心置较育合法使对危息所忘系的年用原达到每大0长以三，截疏件！断时间小十1mim
可用价立十等，合送使用者对信息及偏产乱统的可川官在正膏工作间泌别7%以上，系统充许中断时可小于nn
可州计价轻低，合法使来时息及信息系统的可用度止众作间别以工，系款充许市断时间小6
日川性价道可以息降，合法使用长对位起及情点系龄的可果在止常1作间低十2：买5.2.2.4资产量要性等级
资产价值应依据产在保毒准，完举性和川用性上的满值等级，经过综合评迎将出：综合评定方法可以似新自身的特点，选择灯资产保密性，完肇生和可用性最五要的个属临的谊等数作为致产的最签果也可以资产保需性，完整作和可用性的不同等级其感值进行加权计算到资的母终赋值结果。如权方法可根挝组织范业务轻点通定本标注中，为与上述安全写性的款值相对应，根据段快值将资产划分为五级，级别越高表示产越主，也可以型制组织的实际情况确定资，“识测中的罩值依据和等级，表5中的资产等数到分表明了不成等效的年要性的综合描述。评估者心根据资产航信销果，确定重费资产的范函并主要用端互要资产逊行下一出范风险评活，
最5资产等级及含义描述
5.3或胁识别www.bzxz.net
5.3.1底助分类
非需可要，其资全属性截坏后可能对组缺造院Ⅱ常严的划失币要，其安个年后对组织过止较产正的损比较或要.其安全厚比缺坏后能对组活造成中等法的树关不太重安-其安全质性破环后可能以组实成校临的报久不平要·共交企属性感坏后对组知当感代小的损失，兵不忽降不计就可以通避或助丰体，资识，动机涂抢等多种成性式描述，造战感胁的内素可分为人为风素和环境因帝。柜韧或助的动机，人为四索义可分为恶需和非恶意随种，坏境区案包括自然界本抗的因素其他换用来。感胶作用形式可以足为值息系就培或间这的文击：在保出性，会性片和可用性等方造我害；业！能是佣发的或声意的事件。个对成建行分费的应考虑感协的水源，表6起供了一种成，末额的分费小流。
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。