0307国标版《信息安全风险评估指南》.doc

中华人民共和国国家标准 目 次 目次 I 前言 II 引言 II 1 范围 2 2 规范性引用文件 2 3 术语和定义 2 4 风险评估框架及流程 2 4.1 风险要素关系 2 4.2 风险分析原理 2 4.3 实施流程 2 5 风险评估实施 2 5.1 风险评估的准备 2 5.2 资产识别 2 5.3 威胁识别 2 5.4 脆弱性识别 2 5.5 已有安全措施确认 2 5.6 风险分析 2 5.7 风险评估文件记录 2 6 信息系统生命周期各阶段的风险评估 2 6.1 信息系统生命周期概述 2 6.2 规划阶段的风险评估 2 6.3 设计阶段的风险评估 2 6.4 实施阶段的风险评估 2 6.5 运行维护阶段的风险评估 2 6.6 废弃阶段的风险评估 2 7 风险评估的工作形式 2 7.1 自评估 2 7.2 检查评估 2 附录A 2 A.1 使用矩阵法计算风险 2 A.2 使用相乘法计算风险 2 附录B 2 B.1 风险评估与管理工具 2 B.2 系统基础平台风险评估工具 2 B.3 风险评估辅助工具 2 前 言 为指导和规范针对信息系统及其管理的信息安全风险评估工作，特制定本标准。 本标准定义了风险评估的基本概念、原理及实施流程；对资产、威胁和脆弱性识别要求进行了详细描述；提出了风险评估在信息系统生命周期不同阶段的实施要点，以及风险评估的工作形式。 本标准附录A是规范性附录，附录B是资料性附录。 本标准由国务院信息化工作办公室提出。 本标准由全国信息安全标准化技术委员会归口。 本标准主要起草单位：国家信息中心、北京信息安全测评中心、上海市信息安全测评认证中心、解放军测评认证中心、国家保密技术研究所、信息安全国家重点实验室。 本标准主要起草人：范红、吴亚非、应力、王宁。  引 　言 随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强，信息安全问题受到普遍关注。采用风险管理的理念去识别安全风险，解决信息安全问题得到了广泛的认识和应用。 风险评估通过对信息系统的资产、面临威胁、存在的脆弱性、采用的安全控制措施等进行分析，从技术和管理两个层面综合判断信息系统面临的风险。 风险评估是建立信息安全保障机制中的一种科学方法。对信息系统而言，存在风险并不意味着不安全，只要风险控制在可接受的范围内，就可以达到系统稳定运行的目的。风险评估的结果为保障信息系统的安全建设、稳定运行提供了技术参考。在规划与设计阶段，风险评估的结果是安全需求的来源，为信息系统的安全建设提供依据；在系统运行维护阶段，由于信息系统的动态性，需要定期地进行风险评估，以了解、掌握系统安全状态，是保证系统安全的动态措施。同时，风险评估是信息系统安全等级确定及建设过程中一种不可或缺的技术手段。 信息系统的所有者可使用本标准为其选择安全措施，实施信息系统保护提供技术支持，依据本标准中提出的安全风险理念选择技术与管理控制措施；信息系统的所有者还可以基于本标准的评估结果来决定信息系统的安全措施是否满足安全需求，是否将重要资产的风险降低到可接受的范围内；并依据本标准进行持续性评估，以不断识别信息系统面临的风险。风险评估的实施者可以依据本标准进行风险评估，依据本标准的判定准则，做出科学的判断。信息系统的管理机构可依据本标准对信息系统及其管理进行安全检查，推动行业或地区信息安全风险管理的实施。 本标准条款中所指的“风险评估”，其含义均为“信息安全风险评估”。 信息安全风险评估指南 范围 本标准提出了风险评估的要素、实施流程、评估内容、评估方法及其在信息系统生命周期不同阶段的实施要点，适用于组织开展的风险评估工作。 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB/T 19716-2005 信息技术 信息安全管理实用规则 GB/T 19715.1-2005 信息技术 信息技术安全管理指南 第1部分：信息技术安全概念和模型 GB 17859-1999 计算机信息系统安全保护等级划分准则　 GB/T9361-2000　计算机场地安全要求 GB/T 5271.8-2001 信息技术 词汇 第8部分：安全 术语和定义 3.1 资产 asset 对组织具有价值的信息或资源，是安全策略保护的对象。 3.2 资产价值 asset value 资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。 3.3 可用性 availability 数据或资源的特性，被授权实体按要求能访问和使用数据或资源