信息安全风险评估指南

ICS 35.040L 80中华人民共和国国家标准GB/T 信息安全风险评估指南Information Security Risk Assessment Guideline（送审稿） - -发布 - -实施国家质量监督检验检疫总局发布目次前言 .I1范围 .12规范性引用文件 .13术语和定义 .14概述 .34.1目的与意义 .34.2目标读者 .34.3文档组织 .45 风险评估框架及流程 .45.1风险要素关系图 .45.2风险分析示意图 .65.3实施流程 .66 风险评估实施 .76.1风险评估的准备 .76.2资产识别 .86.3威胁识别 .126.4脆弱性识别 .146.5已有安全措施的确认 .166.6风险分析 .176.7风险评估文件记录 .197 风险评估在信息系统生命周期中的不同要求.207.1信息系统生命周期概述 .207.2信息系统生命周期各阶段的风险评估.208 风险评估的形式及角色运用.248.1风险评估的形式 .248.2风险评估不同形式与其中各角色的关系.25附录 A . .27A.1风险矩阵测量法 .27A.2威胁分级计算法 .28A.3风险综合评价法 .29A.4安全属性矩阵法 .29附录 B .31B.1安全管理评价系统 .31B.2系统软件评估工具 .31B.3风险评估辅助工具 .32前言为指导和规范针对组织的信息系统及其管理的信息安全风险评估工作，特制定本标准。本标准介绍了信息安全风险评估的基本概念、原则和要求，提出了信息安全风险评估的一般方法。本标准由国务院信息化工作办公室提出。本标准由全国信息安全标准化技术委员会归口。本标准由国家信息中心、信息安全国家重点实验室、中科网威、上海市信息安全测评认证中心、北京市信息安全测评中心负责起草。本标准主要起草人：范红等人。信息安全风险评估指南1 范围本标准提出了信息安全风险评估的实施流程、评估内容、 评估方法及其在信息系统生命周期各阶段的不同要求，适用于组织开展的信息安全风险评估工作。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容） 或修订版均不适用于本标准， 然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。ISO/IEC17799-2000Informationsecuritymanagement Part1:Codeofpracticeforinformation security managementISO/IECTR13335.1Informationtechnology-GuidelinesforthemanagementofITSecurity-Part 1:Concepts and models of IT SecurityGB17859 1999 计算机信息系统安全保护等级划分准则GB/T 19716-2005信息技术信息安全管理实用规则GB/T 19715.1-2005信息技术信息技术安全管理指南第 1 部分：信息技术安全概念和模型GB/T9361 2000计算机场地安全要求3术语和定义下列术语和定义适用于本标准。3.1资产 Asset对组织具有价值的信息资源，是安全策略保护的对象。3.2资产价值Asset Value资产的重要程度或敏感程度。资产价值是资产的属性，也是进行资产识别的主要内容。3.3威胁 Threat可能对资产或组织造成损害的潜在原因。威胁可以通过威胁主体、资源、动机、 途径等多种属性来刻画。3.4脆弱性Vulnerability可能被威胁利用对资产造成损害的薄弱环节。3.5信息安全风险Information Security Risk人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件及其对组织造成的影响。3.6信息安全风险评估Information Security Risk Assessment依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。3.7残余风险Residual Risk采取了安全措施后，仍然可能存在的风险。3.8机密性Confidentiality使信息不泄露给未授权的个人、实体、过程或不使信息为其利用的特性。3.9完整性 Integrality保证信息及信息系统不会被有意地或无意地更改或破坏的特性。3.10可用性Availability可以由得到授权的实体按要求进行访问和使用的特性。3.11业务战略Business Strategy组织为实现其发展目标而制定的规则。3.12安全事件Security Event威胁利用脆弱性产生的危害情况。3.13安全需求Security Requirement为保证组织业务战略的正常运作而在安全措施方面提出的要求。3.14安全措施Security Measure保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制的总称。3.15自评估Self-assessment由组织自身发起，参照国家有关法规与标准，对信息系统及其管理进行的风险评估活动。3.16检查评估Inspection Assessment由被评估组织的上级主管机关或业务主管机关发起的， 依据国家有关法规与标准， 对信息系统及其管理进行的具有强制性的检查活动。4 概述4.1目的与意义信息安全风险是由于资产的重要性，人为或自然的威胁利用信息系统及其管理体系的脆弱性，导致安全事件一旦发生所造成的影响。信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其处理、 传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，即信息安全的风险。信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法，其结果为信息安全风险管理提供依据。本标准以下条款中所指的“风险评估”，其含义均为“信息安全风险评估”。4.2目标读者本标准适用于为评价信息系统及其管理的安全风险的各类组织，包括：信息系统所有者：本标准为系统所有者选择安全措施实施信息系统保护时提供技术支持。本标准中提出的安全风险理念为系统所有者在合理控制风险的前提下选择技术与管理控制措施。系统所有者可以基于本标准的评估结果来决定信息系统是否满足他们的安全需求，是否将重要资产的风险降低到可接受的范围内。 系统所有者在信息系统的运行、管理中，可以依据本标准进行持续性评估，以不断识别系统面临的风险，为改进策略的实施提供依据。评估者： 本标准为评估信息系统安全风险方面提供支持。基于本标准的一些判定准则，为评估结果的有效性和可靠性提供支持，从而为系统所有者决策服务。管理机构：本标准可以作为信息系统所有者的上级主管部门或业务管理机构的信息安全管理手段之一，对信息系统及其管理进行安全检查，推动行业或地区信息安全风险管理的实施。本标准也可以作为对信息安全感兴趣或有责任的组织和个人的参考资料。4.3文档组织本标准分为两部分：第一部分：主体部分。主要介绍风险评估的定义、原理及实施流程，对资产、威胁和脆弱性识别进行了详细的描述， 同时提出了风险评估在信息系统生命周期不同阶段的要求，以及风险评估的不同形式。第二部分： 附录部分。 包括信息安全风险评估的方法和工具的介绍，目的是使用户了解到具体风险判别手段的多样性和灵活性。5风险评估框架及流程本章提出了风险评估原理及实施流程。5.1风险要素关系图信息是一种资产， 资产所有者应对信息资产进行保护，通过分析信息资产的脆弱性来确定威胁可能利用哪些弱点来破坏其安全性。风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。风险评估中各要素的关系如图1 所示：业务战略依赖暴露具有脆弱性资产资产价值图1风险要素关系图图 1 中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。风险评估围绕其基本要素展开，在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。图 1 中的风险要素及属性之间存在着以下关系：（ 1）业务战略依赖资产去实现；（ 2）资产是有价值的，组织的业务战略对资产的依赖度越高，资产价值就越大；（ 3）资产价值越大则其面临的风险越大；（ 4）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；（ 5）弱点越多，威胁利用脆弱性导致安全事件的可能性越大；（ 6）脆弱性是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险；（ 7）风险的存在及对风险的认识导出安全需求；（ 8）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；（ 9）安全措施可抵御威胁，降低安全事件的发生的可能性，并减少影响；（ 10）风险不可能也没有必要降为零， 在实施了安全措施后还会有残留下来的风险。有些残余风险来自于安全措施可能不当或无效 , 在以后需要继续控制， 而有些残余风险则是在综合考虑了安全成本与效益后未控制的风险，是可以被接受的；（ 11）残余风险应受到密切监视，它可能会在将来诱发新的安全事件。5.2风险分析示意图风险分析示意图如下所示：威胁出现威胁识别的频率脆弱性的风险值脆弱性识别严重程度安全事件的损失资产的资产识别重要性图 2 风险分析示意图风险分析中要涉及资产、 威胁、脆弱性等基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性是威胁出现的频率；脆弱性的属性是资产弱点的严重程度。风险分析主要内容为：（ 1）对资产进行识别，并对资产的重要性进行赋值；（ 2）对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；（ 3）对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；（ 4）根据威胁和脆弱性的识别结果判断安全事件发生的可能性；（ 5）根据脆弱性的严重程度及安全事件所作用资产的重要性计算安全事件的损失；（ 6）根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。5.3实施流程图 3 给出风险评估的实施流程，第6 章将围绕风险评估流程阐述风险评估各具体实施步骤。风险评估准备资产识别威胁识别脆弱性识别6风险评估实施6.1风险评估的准备风险评估的准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑，其结果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此，在风险评估实施前，应：（1）确定风险评估的目标；（2）确定风险评估的范围；（3）组建适当的评估管理与实施团队；（4）选择与组织相适应的具体的风险判断方法；（5）获得最高管理者对风险评估工作的支持。6.1.1确定目标风险评估的准备阶段应明确风险评估的目标，为风险评估的过程提供导向。信息系统是重要的资产，其机密性、 完整性和可用性对于维持竞争优势、获利能力、法规要求和组织形象是必要的。组织要面对来自内、外部日益增长的安全威胁，信息系统是威胁的主要目标。由于业务信息化程度不断提高，对信息技术的依赖日益增加，一个组织可能出现更多的脆弱性。风险评估的目标是满足组织业务持续发展在安全方面的需要，或符合相关方的要求，或遵守法律法规的规定等。6.1.2确定范围基于风险评估目标确定风险评估范围是完成风险评估的前提。风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某个独立的系统，关键业务流程，与客户知识产权相关的系统或部门等。6.1.3组建团队组建适当的风险评估管理与实施团队，以支持整个过程的推进，如成立由管理层、相关业务骨干、IT 技术人员等组成的风险评估小组。评估团队应能够保证风险评估工作的有效开展。6.1.4选择方法应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险判断方法，使之能够与组织环境和安全要求相适应。6.1 5获得支持上述所有内容确定后应得到组织的最高管理者的支持、批准，并对管理层和技术人员进行传达，应在组织范围就风险评估相关内容进行培训，以明确各有关人员在风险评估中的任务。6.2资产识别资产是具有价值的信息或资源，是安全策略保护的对象。它能够以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、形象等。机密性、完整性和可用性是评价资产的三个安全属性。 信息安全风险评估中资产的价值不仅仅以资产的账面价格来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值， 而资产面临的威胁、 存在的脆弱性、 以及已采取的安全措施都将对资产安全属性的达成程度产生影响。为此，有必要对组织中的资产进行识别。6.2.1资产分类风险评估中，资产大多属于不同的信息系统，如OA系统、网管系统、业务生产系统等，而且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。在实际工作中， 具体的资产分类方法可以根据具体的评估对象和要求，由评估者来灵活把握。根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类。表 1 列出了一种资产分类方法。表 1一种基于表现形式的资产分类方法分类示例存在信息媒介上的各种数据资料，包括源代码、 数据库数据、 系统文档、数据运行管理规程、计划、报告、用户手册等系统软件：操作系统、语言包、工具软件、各种库等软件应用软件：外部购买的应用软件，外包开发的应用软件等源程序：各种共享源代码、可执行程序、自行或合作开发的各种程序等网络设备：路由器、网关、交换机等计算机设备：大型机、服务器、工作站、台式计算机、移动计算机等存储设备：磁带机、磁盘阵列等移动存储设备：磁带、光盘、软盘、U盘、移动硬盘等硬件传输线路：光纤、双绞线等保障设备：动力保障设备（UPS、变电设备等）、空调、保险柜、文件柜、门禁、消防设施等安全保障设备：防火墙、入侵检测系统、身份验证等其他电子设备：打印机、复印机、扫描仪、传真机等办公服务：为提高效率而开发的管理信息系统（MIS ），它包括各种内部配置管理、文件流转管理等服务服务网络服务：各种网络设备、设施提供的网络连接服务信息服务：对外依赖该系统开展服务而取得业务收入的服务文档纸质的各种文件、传真、电报、财务报告、发展计划等掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应人员用项目经理及网络研发人员等其它企业形象，客户关系等6.2.2资产赋值对资产的赋值不仅要考虑资产本身的价值，更重要的是要考虑资产的安全状况对于组织的重要性，即由资产在其三个安全属性上的达成程度决定。为确保资产赋值时的一致性和准确性，组织应建立一个资产价值评价尺度，以指导资产赋值。资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析，并在此基础上得出一个综合结果的过程。达成程度可由安全属性缺失时造成的影响来表示，这种影响可能造成某些资产的损害以至危及信息系统，还可能导致经济效益、市场份额或组织形象的损失。6.2.2.1机密性赋值根据资产在机密性上的不同要求， 将其分为五个不同的等级， 分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。表 2 提供了一种机密性赋值的参考。表 2 资产机密性赋值表赋值标识定义5极高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性影响，如果泄漏会造成灾难性的损害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等包含组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低包含仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成损害1可忽略包含可对社会公开的信息，公用的信息处理设备和系统资源等6.2.2.2完整性赋值根据资产在完整性上的不同要求， 将其分为五个不同的等级， 分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。表 3 提供了一种完整性赋值的参考。表 3资产完整性赋值表赋值标识定义5极高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，比较难以弥补3中等完整性价值中等， 未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补2低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，可以忍受，对业务冲击轻微，容易弥补1可忽略完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略6.2.2.3可用性赋值根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上的达成的不同程度。表 4 提供了一种可用性赋值的参考。表 4资产可用性赋值表赋值标识定义5极高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度 99.9%以上4高可用性价值较高，合法使用者对信息及信息系统的可用度达到每天 90%以上3中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到 70%以上2低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到 25%以上1可忽略可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于 25%6.2.2.3资产重要性等级资产价值应依据资产在机密性、 完整性和可用性上的赋值等级， 经过综合评定得出。 综合评定方法可以根据组织自身的特点， 选择对资产机密性、 完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果， 也可以根据资产机密性、 完整性和可用性的不同重要程度对其赋值进行加权计算而得到资产的最终赋值。加权方法可根据组织的业务特点确定。本标准中， 为与上述安全属性的赋值相对应， 将资产重要性划分为五级， 级别越高表示资产重要性程度越高。也可以根据组织的实际情况确定资产识别中的赋值依据和等级。表 5 提供了一种资产重要性等级划分的参考。表 5 资产重要性等级划分表等级标识定义5很高非常重要，其安全属性破坏后可能对组织造成非常严重的损失4高重要，其安全属性破坏后可能对组织造成比较严重的损失3中比较重要，其安全属性破坏后可能对组织造成中等程度的损失2低不太重要，其安全属性破坏后可能对组织造成较低的损失1很低不重要，其安全属性破坏后对组织造成导很小的损失，甚至忽略不计评估者可根据资产赋值结果，确定重要资产的范围，并主要围绕重要资产展开以下实施步骤。6.3威胁识别威胁是一种对组织及其资产构成潜在破坏的可能性因素，是客观存在的。 造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和无意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，例如非授权的泄露、 篡改、删除等，在机密性、完整性或可用性等方面造成损害；也可能是偶发的、或蓄意的事件。6.3.1威胁分类在对威胁进行分类前，首先要考虑威胁的来源。表 6 提供了一种威胁来源的分类方法。表 6威胁来源列表来源描述由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、环境因素洪灾、火灾、地震等环境条件和自然灾害；硬件、数据、通讯线路方面的故障意外事故或由于软件、不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主的或内外勾结的方式盗窃机密信息或进行篡改，获取利益恶意人员外部人员利用信息系统的脆弱性，对网络和系统的机密性、完整性和可用性进行破坏，以获取利益或炫耀能力人为因素内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致故障或被攻击；内部人员由无恶意人员于缺乏培训， 专业技能不足故障或被攻击,不具备岗位技能要求而导致信息系统对威胁进行分类的方式有多种多样，针对上表威胁来源， 可以根据其表现形式将威胁分为以下种类。表 7 提供了一种基于表现形式的威胁分类方法。表7一种基于表现形式的威胁分类表种类描述由于设备硬件故障、通讯链路中断、系统本身或软件Bug软硬件故障导致对业务高效稳定运行的影响断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、物理环境威胁洪灾、火灾、地震等环境问题和自然灾害由于应该执行而没有执行相应的操作，或无意地执行了错无作为或操作失误误的操作，对系统造成影响安全管理无法落实，不到位，造成安全管理不规范，或者管理不到位管理混乱，从而破坏信息系统正常有序运行具有自我复制、自我传播能力，对信息系统构成破坏的程恶意代码和病毒序代码通过采用一些措施，超越自己的权限访问了本来无权访问越权或滥用的资源；或者滥用自己的职权，做出破坏信息系统的行为利用黑客工具和技术，例如侦察、密码猜测攻击、缓冲区黑客攻击技术溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手物理攻击泄密篡改抵赖段对信息系统进行攻击和入侵物理接触、物理破坏、盗窃机密泄漏，机密信息泄漏给他人非法修改信息，破坏信息的完整性不承认收到的信息和所作的操作和交易6.3.2威胁赋值判断威胁出现的频率是威胁识别的重要工作， 评估者应根据经验和 （或）有关的统计数据来进行判断。在风险评估过程中， 还需要综合考虑以下三个方面， 以形成在某种评估环境中各种威胁出现的频率：（ 1) 以往安全事件报告中出现过的威胁及其频率的统计；（ 2) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；（ 3) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。威胁频率等级划分为五级，分别代表威胁出现的频率的高低。等级数值越大， 威胁出现的频率越高。表 8 提供了威胁出现频率的一种赋值方法。表 8 威胁赋值表等级标识定义5很高威胁出现的频率很高，在大多数情况下几乎不可避免或者可以证实经常发生过4高威胁出现的频率较高，在大多数情况下很有可能会发生或者可以证实多次发生过3中威胁出现的频率中等，在某种情况下可能会发生或被证实曾经发生过2低威胁出现的频率较小，一般不太可能发生，也没有被证实发生过1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生6.4脆弱性识别脆弱性是对一个或多个资产弱点的总称。 脆弱性识别也称为弱点识别， 弱点是资产本身存在的， 如果没有相应的威胁发生， 单纯的弱点本身不会对资产造成损害。 而且如果系统足够强健， 再严重的威胁也不会导致安全事件，并造成损失。即，威胁总是要利用资产的弱点才可能造成危害。资产的脆弱性具有隐蔽性， 有些弱点只有在一定条件和环境下才能显现， 这是脆弱性识别中最为困难的部分。 需要注意的是， 不正确的、 起不到应有作用的或没有正确实施的安全措施本身就可能是一个弱点。脆弱性识别将针对每一项需要保护的资产，找出可能被威胁利用的弱点，并对脆弱性的严重程度进行评估。 脆弱性识别时的数据应来自于资产的所有者、使用者， 以及相关业务领域的专家和软硬件方面的专业等人员。脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。6.4.1脆弱性识别内容脆弱性的识别可以以资产为核心， 即根据每个资产分别识别其存在的弱点， 然后综合评价该资产的脆弱性；也可以分物理、网络、系统、应用等层次进行识别，然后与资产、威胁结合起来。脆弱性识别主要从技术和管理两个方面进行， 技术脆弱性涉及物理层、各个层面的安全问题。 管理脆弱性又可分为技术管理和组织管理两方面，网络层、系统层、应用层等前者与具体技术活动相关，后者与管理环境相关。对不同的识别对象，其脆弱性识别的具体要求应参照相应的技术或管理标准实施。例如， 对物理环境的脆弱性识别可以参照GB/T9361 2000计算机场地安全要求中的技术指标实施；对操作系统、数据库可以参照 GB17859 1999 计算机信息系统安全保护等级划分准则中的技术指标实施。管理脆弱性识别方面可以参照ISO/IEC 17799-2000Information security management Part 1:Code ofpractice for information security management 的要求对安全管理制度及其执行情况进行检查，发现管理漏洞和不足。表 9 提供了一种脆弱性识别内容的参考。表 9 脆弱性识别内容表类型识别对象识别内容从机房场地、机房防火、 机房供配电、机房防静电、机房接物理环境地与防雷、 电磁防护、通信线路的保护、 机房区域防护、 机房设备管理等方面进行识别。技术脆弱性从物理保护、用户帐号、口令策略、资源共享、事件审计、服务器（含访问控制、 新系统配置（初始化） 、注册表加固、 网络安全、操作系统）系统管理等方面进行识别。网络结构从网络结构设计、 边界保护、 外部访问控制策略、 内部访问控制策略、网络设备安全配置等方面进行识别。从补丁安装、鉴别机制、口令机制、 访问控制、网络和服务数据库设置、备份恢复机制、审计机制等方面进行识别。审计机制、审计存储、访问控制策略、数据完整性、通信、应用系统鉴别机制、密码保护等方面进行识别。物理和环境安全、通信与操作管理、访问控制、 系统开发与技术管理管理脆弱性维护、业务连续性。组织管理安全策略、 组织安全、资产分类与控制、人员安全、符合性6.4.2脆弱性赋值可以根据对资产损害程度、技术实现的难易程度、弱点流行程度， 采用等级方式对已识别的脆弱性的严重程度进行赋值。脆弱性由于很多弱点反映的是同一方面的问题，应综合考虑这些弱点，最终确定这一方面的脆弱性严重程度。对某个资产， 其技术脆弱性的严重程度受到组织的管理脆弱性的影响。因此，资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。脆弱性严重程度的等级划分为五级，分别代表资产脆弱性严重程度的高低。等级数值越大，脆弱性严重程度越高。表 10 提供了脆弱性严重程度的一种赋值方法。表 10 脆弱性严重程度赋值表等级标识定义5很高如果被威胁利用，将对资产造成完全损害4高如果被威胁利用，将对资产造成重大损害3中如果被威胁利用，将对资产造成一般损害2低如果被威胁利用，将对资产造成较小损害1很低如果被威胁利用，将对资产造成的损害可以忽略6.5已有安全措施的确认组织应对已采取的安全措施的有效性进行确认，对有效的安全措施继续保持，以避免不必要的工作和费用， 防止安全措施的重复实施。对于确认为不适当的安全措施应核实是否应被取消，或者用更合适的安全措施替代。安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统； 保护性安全措施可以减少因安全事件发生对信息系统造成的影响，如业务持续性计划。已有安全措施的确认与脆弱性识别存在一定的联系。一般来说， 安全措施的使用将减少脆弱性，但安全措施的确认并不需要与脆弱性识别过程那样具体到每个资产、组件的弱点， 而是一类具体措施的集合。比较明显的例子是防火墙的访问控制策略，不必要描述具体的端口控制策略、用户控制策略，只需要表明采用的访问控制措施。6.6风险分析6.6.1风险计算原理在完成了资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性，考虑安全事件一旦发生其所作用的资产的重要性及脆弱性的严重程度判断安全事件造成的损失对组织的影响，即安全风险。本标准给出了风险计算原理，以下面的范式形式化加以说明：风险值 =R（A， T， V）= R(L(T ， V) ， F(Ia ， Va )其中， R 表示安全风险计算函数；A 表示资产； T 表示威胁； V 表示脆弱性；Ia表示安全事件所作用的资产重要程度； Va 表示脆弱性严重程度； L 表示威胁利用资产的脆弱性导致安全事件发生的可能性；F 表示安全事件发生后产生的损失。有以下三个关键计算环节：1、计算安全事件发生的可能性根据威胁出现频率及脆弱性状况，计算威胁利用脆弱性导致安全事件发生的可能性，即：安全事件发生的可能性 =L( 威胁出现频率，脆弱性 ) L(T ，V )在具体评估中，应综合攻击者技术能力（专业技术程度、攻击设备等）、脆弱性被利用的难易程度（可访问时间、设计和操作知识公开程度等）以及资产吸引力等因素来判断安全事件发生的可能性。2、计算安全事件发生后的损失根据资产重要程度及脆弱性严重程度，计算安全事件一旦发生后的损失，即：安全事件的影响=F( 资产重要程度，脆弱性严重程度) F(Ia ， Va )部分安全事件的发生造成的影响不仅仅是针对该资产本身，还可能影响业务的连续性；不同安全事件的发生对组织造成的影响也是不一样的。在计算某个安全事件的损失时，应将对组织的影响也考虑在内。3、计算风险值根据计算出的安全事件发生的可能性以及安全事件的损失，计算风险值，即：风险值 =R(安全事件发生的可能性，安全事件的损失) R(L(T ， V) ，F(Ia ， Va )评估者可根据自身情况选择相应的风险计算方法计算风险值。如矩阵法或相乘法，通过构造经验函数，矩阵法可形成安全事件发生的可能性与安全事件的损失之间的二维关系；运用相乘法可以将安全事件发生的可能性与安全事件的损失相乘得到风险值。附录 A中列举的几种风险计算方法可做参考。6.6.2风险结果判定风险等级划分为五级，等级越高， 风险越高。 评估者应根据所采用的风险计算方法为每个等级设定风险值范围，并对所有风险计算结果进行等级处理。表 12 提供了一种风险等级划分方法。表 12 风险等级划分表等级标识描述5很高一旦发生将使系统遭受非常严重破坏，组织利益受到非常严重损失4高如果发生将使系统遭受严重破坏，组织利益受到严重损失3中发生后将使系统受到较重的破坏，组织利益受到损失2低发生后将使系统受到的破坏程度和利益损失一般1很低即使发生只会使系统受到较小的破坏组织应当综合考虑风险控制成本与风险造成的影响，提出一个可接受风险阈值。对某些风险， 如果评估值小于或等于可接受风险阈值，是可接受风险， 可保持已有的安全措施；如果评估值大于可接受风险阈值，是不可接受风险，则需要采取安全措施以降低、控制风险。安全措施的选择应兼顾管理与技术两个方面，可以参照信息安全的相关标准实施。在对于不可接受风险选择适当的安全措施后，为确保安全措施的有效性，可进行再评估， 以判断实施安全措施后的残余风险是否已经降低到可接受的水平。残余风险的再评估可以依据本标准提出的风险评估流程进行，也可做适当裁减。某些风险可能在选择了适当的安全措施后仍处于不可接受的风险范围内，应考虑是否接受此风险或进一步增加相应的安全措施。6.7风险评估文件记录6.7.1风险评估文件记录的要求记录风险评估过程的相关文件，应该符合以下要求（但不仅限于此）：（ 1）确保文件发布前是得到批准的；（ 2）确保文件的更改和现行修订状态是可识别的；（ 3）确保在使用时可获得有关版本的适用文件；（ 4）确保文件的分发得到适当的控制；（ 5）防止作废文件的非预期使用，若因任何目的需保留作废文件时，应对这些文件进行适当的标识。对于风险评估过程中形成的相关文件，还应规定其标识、储存、保护、检索、保存期限以及处置所需的控制。相关文件是否需要以及详略程度由管理过程来决定。6.7.2风险评估文件风险评估文件包括在整个风险评估过程中产生的评估过程文档和评估结果文档，包括（但不仅限于此）：（ 1）风险评估计划：阐述风险评估的目标、范围、团队、评估方法、评估结果的形式和实施进度等