DB3212T 1117-2022 政務數(shù)據(jù)安全風險評估規(guī)范

ICS35.020CCSL70

DB3212泰 州 市 地 方 標 準DB3212/T1117—2022政務數(shù)據(jù)安全風險評估規(guī)范GovernmentDataSecurityRiskAssessmentSpecification2022-12-28發(fā)布 2022-12-28實施泰州市市場監(jiān)督管理局 發(fā)布DB3212/T1117—2022前 言本文件按照GB/T1.1—2020《標準化工作導則 第1部分：標準化文件的結構和起草規(guī)則》的定起草。本文件由泰州市大數(shù)據(jù)管理局提出。本文件由泰州市大數(shù)據(jù)管理局歸口。本文件起草單位：泰州市大數(shù)據(jù)管理局、泰州市標準化院。IDB3212/T1117—2022政務數(shù)據(jù)安全風險評估規(guī)范范圍本文件提供了政務數(shù)據(jù)安全風險評估的評估原則、風險評估框架及流程、風險評估實施等要求。本文件適用于政務數(shù)據(jù)安全的風險評估。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T20984 信息安全技術信息安全風險評估方法GB/T25069 信息安全技術術語GB/T37973 信息安全技術大數(shù)據(jù)安全管理指南DB32/T3421 基礎地理信息安全系統(tǒng)安全風險評估規(guī)范術語和定義

下列術語和定義適用于本文件。政務數(shù)據(jù)governmentdata各級政務部門在履行職責過程中依法采集、生成、存儲、管理的各類數(shù)據(jù)資源。注：根據(jù)可傳播范圍，政務數(shù)據(jù)一般包括可共享政務數(shù)據(jù)、可開放公共數(shù)據(jù)及不宜開放共享政務數(shù)數(shù)據(jù)安全datasecurity指通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能風險評估riskassessment風險識別、風險分析和風險評價的整個過程。數(shù)據(jù)安全風險評估datasecurityriskassessment是指從風險管理角度，運用科學的方法與手段，根據(jù)數(shù)據(jù)分類分級情況，系統(tǒng)分析數(shù)據(jù)所面臨的安全威脅，以及可能遭受的危害程度，有針對性地提出抵御數(shù)據(jù)安全威脅的防護對策和措施。安全威脅securityThreat安全脆弱性securityvulnerability通過利用數(shù)據(jù)安全威脅，導致數(shù)據(jù)在處理活動中的安全屬性被破壞的薄弱環(huán)節(jié)。風險評估原則政務數(shù)據(jù)安全風險評估的基本原則包括：1DB3212/T1117—2022人員可控性原則。所有參與評估人員應簽署保密協(xié)議，以保證項目信息的安全；過程可控性原則。按照項目管理要求，成立風險評估項目實施團隊，并實行項目組長負責制，達到項目過程的可控；風險評估框架及流程風險要素關系1圖1風險評估基本要素之間關系風險分析原理風險分析原理如下：確定脆弱性被威脅利用導致安全事件發(fā)生后對資產所造成的影響程度；根據(jù)威脅的能力和頻率,結合脆弱性被利用難易程度，確定安全事件發(fā)生的可能性；根據(jù)資產在發(fā)展規(guī)劃中所處的地位和資產的屬性，確定資產價值；根據(jù)影響程度和資產價值，確定安全事件發(fā)生后對評估對象造成的損失；根據(jù)安全事件發(fā)生的可能性以及安全事件造成的損失，確定評估對象的風險值；依據(jù)風險評價準則,確定風險等級，用于風險決策。風險評估流程風險評估的實施流程如圖2所示。風險評估流程應包括如下內容。2DB3212/T1117—2022圖2風險評估實施流程圖評估準備，此階段應包括：確定風險評估的目標；確定風險評估的對象、范圍和邊界；組建評估團隊；開展前期調研；確定評估依據(jù)；建立風險評價準則；制定評估方案。評估實施，此階段應包括：2）政務數(shù)據(jù)安全威脅識別；政務數(shù)據(jù)脆弱性識別；政務數(shù)據(jù)安全措施確認。風險分析與評價，此階段應包括：風險分析計算；風險評估；風險接受程度；風險處置措施。風險評估實施3DB3212/T1117—2022評估準備在考慮風險評估的工作形式、在生命周期中所處階段和被評估單位的安全評估需求的基礎上，AB確定風險評估的對象、范圍和邊界。C開展前期調研。確定評估依據(jù)。風險評價準則應滿足以下要求：符合組織的安全策略或安全需求；滿足利益相關方的期望；符合組織業(yè)務價值。建立風險評價準則的目的包括但不限于：1）能實現(xiàn)對不同風險的直觀比較；能確定組織后期的風險控制策略。g）h）評估方案需得到主管單位的支持和批準。評估實施數(shù)據(jù)分類根據(jù)組織的政務數(shù)據(jù)安全需求以及相關法律法規(guī)的規(guī)定，按照組織政務數(shù)據(jù)安全管理的目標和原則，組織定期梳理重要政務數(shù)據(jù)處理活動有關情況，形成重要政務數(shù)據(jù)目錄。根據(jù)政務數(shù)據(jù)在經濟社會發(fā)展中的重要程度，以及遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對政務數(shù)據(jù)實行分類保護?？蓞⒄崭鞯貐^(qū)、各部門以及相關行業(yè)、領域按照分保分灰保護制度確定的重要政務數(shù)據(jù)具體目錄。數(shù)據(jù)識別識別內容系統(tǒng)資產識別包括資產分類和業(yè)務承載性識別兩個方面。表1給出了系統(tǒng)資產識別的主要內容描述。系統(tǒng)資產分類包括信息系統(tǒng)、數(shù)據(jù)資源和通信網絡，業(yè)務承載性包括承載類別和關聯(lián)程度。4DB3212/T1117—2022表1 系統(tǒng)資產識別表識別內容示例分類信息系統(tǒng)：信息系統(tǒng)是指由計算機硬件、計算機軟件、網絡和通信設備等組成的，并按照一定的應用目標和規(guī)則進行信息處理或過程控制的系統(tǒng)。典型的信息系統(tǒng)如門戶網站、業(yè)務系統(tǒng)、云計算平臺、工業(yè)控制系統(tǒng)等數(shù)據(jù)資源：數(shù)據(jù)是指任何以電子或者非電子形式對信息的記錄。數(shù)據(jù)資源是指具有或預期具有價值的數(shù)據(jù)集。在進行數(shù)據(jù)資源風險評估時，應將數(shù)據(jù)活動及其關聯(lián)的數(shù)據(jù)平臺進行整體評估。數(shù)據(jù)活動包括數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)銷毀等通信網絡：通信網絡是指以數(shù)據(jù)通信為目的，按照特定的規(guī)則和策略，將數(shù)據(jù)處理結點、網絡設備設施互連起來的一種網絡。將通信網絡作為獨立評估對象時，一般是指電信網、廣播電視傳輸網和行業(yè)或單位的專用通信網等以承載通信為目的的網絡業(yè)務承載性承載類別：系統(tǒng)資產承載業(yè)務信息采集、傳輸、存儲、處理、交換、銷毀過程中的一個或多個環(huán)節(jié)關聯(lián)程度：業(yè)務關聯(lián)程度（如果資產遭受損害，將會對承載業(yè)務環(huán)節(jié)運行造成的影響，并綜合考慮可替代性）、資產關聯(lián)程度（如果資產遭受損害，將會對其他資產造成的影響，并綜合考慮可替代性）價值賦值2D。表2 系統(tǒng)資產價值等級表等級標識系統(tǒng)資產價值等級描述5很高綜合評價等級為很高，安全屬性破壞后對組織造成非常嚴重的損失4高綜合評價等級為高，安全屬性破壞后對組織造成比較嚴重的損失3中等綜合評價等級為中，安全屬性破壞后對組織造成中等程度的損失2低綜合評價等級為低，安全屬性破壞后對組織造成較低的損失1很低綜合評價等級為很低，安全屬性破壞后對組織造成很小的損失，甚至忽略不計組件和單元資產識別35DB3212/T1117—2022表3 系統(tǒng)組件和單元資產識別表分類示例系統(tǒng)單元計算機設備:大型機、小型機、服務器、工作站、臺式計算機、便攜計算機等存儲設備:磁帶機、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等智能終端設備:感知節(jié)點設備（物聯(lián)網感知終端）、移動終端等網絡設備:路由器、網關、交換機等傳輸線路:光纖、雙絞線等安全設備:防火墻、入侵檢測/防護系統(tǒng)、防病毒網關、VPN等系統(tǒng)組件應用系統(tǒng):用于提供某種業(yè)務服務的應用軟件集合應用軟件:辦公軟件、各類工具軟件、移動應用軟件等系統(tǒng)軟件:操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件、開發(fā)系統(tǒng)、語句包等PassS提供的服務接口等人力資源運維人員：對基礎設施、平臺、支撐系統(tǒng)、信息系統(tǒng)或數(shù)據(jù)進行運維的網絡管理員、系統(tǒng)管理員等業(yè)務操作人員：對業(yè)務系統(tǒng)進行操作的業(yè)務人員或管理員等安全管理人員：安全管理員、安全管理領導小組等外包服務人員：外包運維人員、外包安全服務或其他外包服務人員等其他資產庫數(shù)據(jù)戶手冊、各類紙質的文檔等辦公設備:打印機、復印機、掃描儀、傳真機等保障設備:UPS、變電設備、空調、保險柜、文件柜、門禁、消防設施等服務:為了支撐業(yè)務、信息系統(tǒng)運行、信息系統(tǒng)安全,釆購的服務等知識產權:版權、專利等組件和單元資產賦值系統(tǒng)組件和單元資產價值應依據(jù)其保密性、完整性、可用性賦值進行綜合計算，并設定相應的評4D。表4 系統(tǒng)組件和單元資產價值等級表等級標識系統(tǒng)組件和單元資產價值等級描述5很高綜合評價等級為很高，安全屬性破壞后對業(yè)務和系統(tǒng)資產造成非常嚴重的影響4高綜合評價等級為高,安全屬性破壞后對業(yè)務和系統(tǒng)資產造成比較嚴重的影響3中等綜合評價等級為中,安全屬性破壞后對業(yè)務和系統(tǒng)資產造成中等程度的影響2低綜合評價等級為低，安全屬性破壞后對業(yè)務和系統(tǒng)資產造成較低的影響1很低綜合評價等級為很低，安全屬性破壞后對業(yè)務和系統(tǒng)資產造成很小的影響,甚至忽略不計6DB3212/T1117—2022政務數(shù)據(jù)分級政務數(shù)據(jù)分級5L1、L2、L3、L4表5 政務數(shù)據(jù)分級判定標準判定等級判定標識判定標準L4涉密數(shù)據(jù)社會秩序和公共利益造成嚴重損害，或對國家安全造成損害。L3敏感數(shù)據(jù)L2受限數(shù)據(jù)家安全、社會秩序和公共利益。L1公開數(shù)據(jù)它組織的合法權益均無影響。安全威脅識別威脅識別的內容包括威脅的來源、主體、種類、動機、時機和頻率。D66表6 一種數(shù)據(jù)安全威脅分類方法數(shù)據(jù)生命周期階段數(shù)據(jù)威脅分類數(shù)據(jù)威脅描述數(shù)據(jù)采集惡意代碼注入數(shù)據(jù)入庫時，惡意代碼隨數(shù)據(jù)注入到數(shù)據(jù)庫或信息系統(tǒng)，危害數(shù)據(jù)機密性、完整性、可用性。數(shù)據(jù)無效寫入數(shù)據(jù)入庫時，數(shù)據(jù)不符合規(guī)范或無效。數(shù)據(jù)污染數(shù)據(jù)入庫時，攻擊者接入釆集系統(tǒng)污染待寫入的原始數(shù)據(jù)，破壞數(shù)據(jù)完整性。數(shù)據(jù)分類分級或標記錯誤數(shù)據(jù)分類分級判斷錯誤或打標記錯誤，導致數(shù)據(jù)受保護級別降低。數(shù)據(jù)源不在目前的管理目錄或者數(shù)據(jù)接口管理目錄中，造成采集過期數(shù)據(jù)源或非法數(shù)據(jù)源。頻度不能否滿足數(shù)據(jù)共享的要求，數(shù)據(jù)產生部門匯集數(shù)據(jù)與大數(shù)據(jù)管理平臺采集數(shù)據(jù)頻度不一致。數(shù)據(jù)范圍需求小于最初的數(shù)據(jù)共享范圍，共享內容不合規(guī)。數(shù)據(jù)傳輸數(shù)據(jù)竊取攻擊者偽裝成外部通信代理、通信對端、通信鏈路網關，通過偽造虛假請求或重定向竊取數(shù)據(jù)。數(shù)據(jù)監(jiān)聽有權限的員工、第三方運維與服務人員接入，或攻擊者越權接入內部通信鏈路與網關、通信代理監(jiān)聽數(shù)據(jù)。攻擊者接入外部通信鏈路與網關、通信代理、通信對端監(jiān)聽數(shù)據(jù)。數(shù)據(jù)篡改攻擊者偽裝成通信代理或通信對端篡改數(shù)據(jù)。數(shù)據(jù)存儲數(shù)據(jù)破壞由于信息系統(tǒng)自身故障、物理環(huán)境變化或自然災害導致的數(shù)據(jù)破壞，影響數(shù)據(jù)完整性和可用性。數(shù)據(jù)篡改篡改網絡配置信息、系統(tǒng)配置信息、安全配置信息、用戶身份信息或業(yè)務數(shù)據(jù)信息等，破壞數(shù)據(jù)完整性和可用性。數(shù)據(jù)分類分級或標記錯誤數(shù)據(jù)分類分級或相關標記被篡改，導致數(shù)據(jù)受保護級別降低。數(shù)據(jù)竊取在數(shù)據(jù)庫服務器、文件服務器、辦公終端等對象上安裝惡意工具竊取數(shù)據(jù)。惡意代碼執(zhí)行故意在數(shù)據(jù)庫服務器、文件服務器、辦公終端等對象上安裝惡意工具竊取數(shù)據(jù)。7DB3212/T1117—2022數(shù)據(jù)不可控依托第三方云平臺、數(shù)據(jù)中心等存儲數(shù)據(jù)，沒有有效的約束與控制手段。在使用云計算或其他技術時，數(shù)據(jù)存放位置不可控，導致數(shù)據(jù)存儲在境外數(shù)據(jù)中心，數(shù)據(jù)和業(yè)務的司法管轄關系發(fā)生改變。數(shù)據(jù)共享共享數(shù)據(jù)未脫敏與第三方機構共享數(shù)據(jù)時，第三方機構及其人員可以直接獲取敏感元數(shù)據(jù)的調取、查看權限。共享權限混亂與第三方機構共享數(shù)據(jù)時，接口權限混亂，導致第三方能訪問其他未開放的數(shù)據(jù)。數(shù)據(jù)過度獲取由于業(yè)務對數(shù)據(jù)需求不明確，或未實現(xiàn)基于業(yè)務人員與所需要數(shù)據(jù)的泄露。數(shù)據(jù)不可控數(shù)據(jù)可被內部員工獲取，組織對內部員工所獲數(shù)據(jù)的保存、處理、再轉移等活動不可控。數(shù)據(jù)可被第三方服務商、合作商獲取，組織對第三方機構及其員工所獲藪據(jù)的使用、留存、再轉移等活動未約束或不掌握，數(shù)據(jù)加工注入攻擊數(shù)據(jù)處理系統(tǒng)可能遭到惡意代碼注入、SQL注入等攻擊，造成信息泄露，危害數(shù)據(jù)機密性、完整性、可用性。數(shù)據(jù)訪問抵賴人員訪問數(shù)據(jù)后，不承認在某時刻用某賬號訪問過數(shù)據(jù)。使用權限混亂處理系統(tǒng)調用數(shù)據(jù)接口權限混亂，導致能訪問其他未開放的數(shù)據(jù)。數(shù)據(jù)過度獲取由于相關業(yè)務對數(shù)據(jù)需求不明確，或未實現(xiàn)基于業(yè)務人員、系統(tǒng)與所需數(shù)據(jù)的關系的訪問控制，導致業(yè)務人員或處理系統(tǒng)獲取超過業(yè)務所需數(shù)據(jù)，容易造成數(shù)據(jù)泄露。數(shù)據(jù)不可控依托第三方機構或外部處理系統(tǒng)處理數(shù)據(jù)，沒有有效的約束與控制手段。敏感源數(shù)據(jù)未脫敏處理系統(tǒng)可直接調取鉞感元數(shù)據(jù)，容易導致信息泄露。數(shù)據(jù)銷毀數(shù)據(jù)到期未銷毀數(shù)據(jù)失效或業(yè)務關閉后，遺留的敏感數(shù)據(jù)仍然可以被訪問，破壞了數(shù)據(jù)的機密性。數(shù)據(jù)未正確銷毀被銷毀數(shù)據(jù)通過技術手段可恢復，破壞了數(shù)據(jù)的機密性。威脅主體依據(jù)人為和環(huán)境進行區(qū)分，人為的分為國家、組織團體和個人，環(huán)境的分為一般的自然災害、較為嚴重的自然災害和嚴重的自然災害。威脅動機是指引導、激發(fā)人為威脅進行某種活動，對組織業(yè)務、資產產生影響的內部動力和E.3威脅時機可劃分為普通時期、特殊時期和自然規(guī)律。威脅頻率應根據(jù)經驗和有關的統(tǒng)計數(shù)據(jù)來進行判斷，綜合考慮以下四個方面，形成特定評估環(huán)境中各種威脅出現(xiàn)的頻率：以往安全事件報告中出現(xiàn)過的威脅及其頻率統(tǒng)計；實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率統(tǒng)計；c）d）近期公開發(fā)布的社會或特定行業(yè)威脅及其頻率統(tǒng)計，以及發(fā)布的威脅預警。威脅賦值78表7 —種基于發(fā)生頻率的數(shù)據(jù)安全威脅賦值方法

DB3212/T1117—2022數(shù)據(jù)安全威脅頻率威脅賦值數(shù)據(jù)安全威脅頻率定義很高5在該行業(yè)領域的業(yè)務系統(tǒng)中，通常不可避免的威脅，發(fā)生頻率很高（或N1次/周）；或可以證實經常發(fā)生過。高4在該行業(yè)領域的業(yè)務系統(tǒng)中，在多數(shù)情況下會發(fā)生的威脅，發(fā)生頻率高（或N1次/月）；或可以證實多次發(fā)生過。中等3低2在該行業(yè)領域的業(yè)務系統(tǒng)中，一般不太容易發(fā)生的威脅，發(fā)生頻率低；或沒有被證實發(fā)生過。很低1在該行業(yè)領域的業(yè)務系統(tǒng)中，很罕見和例外的情況下會發(fā)生的威脅，發(fā)生頻率很低；或幾乎不可能發(fā)生。安全脆弱性識別政務數(shù)據(jù)安全脆弱性識別是依據(jù)國際、國家安全標準或者行業(yè)規(guī)范、應用流程的安全要求，政務數(shù)據(jù)采集：1）3）應記錄并保存政務數(shù)據(jù)處理活動過程相關的信息。政務數(shù)據(jù)傳輸：應建立政務數(shù)據(jù)傳輸鏈路冗余機制，保證數(shù)據(jù)傳輸?shù)目煽啃院途W絡傳輸服務可用性。政務數(shù)據(jù)存儲：1）9DB3212/T1117—2022應規(guī)定重要數(shù)據(jù)的備份方式、備份頻度、存儲介質、保存期等。政務部門對政務數(shù)據(jù)涉密屬性不明確或者有爭議的，按照保密法有關規(guī)定執(zhí)行。政務數(shù)據(jù)共享：涉及個人信息的政務數(shù)據(jù)開放內容，應根據(jù)業(yè)務對個人信息進行必要的去標識化處理。應能夠檢測開放數(shù)據(jù)資源是否含有非公開信息能力，確保公開數(shù)據(jù)合規(guī)。應具備對異常或高風險數(shù)據(jù)訪問行為自動化識別和預警的能力，及時阻斷違規(guī)行為。政務數(shù)據(jù)加工：應建立數(shù)據(jù)加工節(jié)點的安全機制，確保節(jié)點接入的真實性，防止數(shù)據(jù)泄露。應建立數(shù)據(jù)溯源機制，實現(xiàn)數(shù)據(jù)流向追蹤，并對溯源數(shù)據(jù)進行保護。政務數(shù)據(jù)銷毀：可根據(jù)政務數(shù)據(jù)的暴露程度、技術實現(xiàn)的難易程度、流行程度等，采用分級方式對數(shù)據(jù)安全8。表8 一種政務數(shù)據(jù)安全脆弱性指數(shù)與賦值方法政務數(shù)據(jù)安全脆弱性指數(shù)指數(shù)賦值政務數(shù)據(jù)安全脆弱性指數(shù)程度定義很高5芫全損害。高4重大損害。中等3較大損害。低2一般損害。很低1較小損害。安全措施確認10DB3212/T1117—2022在識別政務數(shù)據(jù)安全脆弱性的同時，評估人員應對數(shù)據(jù)安全措施的有效性進行評估確認。對政務數(shù)據(jù)安全措施確認結果包括兩種情況：防護措施對數(shù)據(jù)安全保障起到加強作用，此類防護措施應加以保持。對數(shù)據(jù)安全保障起到削弱作用，此類防護措施應被調整并予以加強。政務數(shù)據(jù)安全措施調節(jié)因數(shù)。在對數(shù)據(jù)安全風險進行分析評價時，應考慮數(shù)據(jù)、數(shù)據(jù)安全威政務數(shù)據(jù)安全措施調節(jié)因數(shù)的取值應設置在一個合理的取值區(qū)間，能夠反映現(xiàn)有數(shù)據(jù)安全措施對數(shù)據(jù)安全保障產生的加強或削弱作用。風險分析與評價應結合數(shù)據(jù)風險值計算和數(shù)據(jù)風險面臨的風險等級對數(shù)據(jù)進行定量與定性的綜合分析與評價。應根據(jù)數(shù)據(jù)安全風險分析與評價過程應確定影響數(shù)據(jù)安全風險的要素、要素之間的組合方式以應根據(jù)安全威脅利用數(shù)據(jù)的脆弱性造成的破壞對數(shù)據(jù)安全風險進行評價。編制報告同時結合現(xiàn)有數(shù)據(jù)安全措施對數(shù)據(jù)安全風險的加強或削弱作用進行關聯(lián)分析，并編制數(shù)據(jù)安全風險評估報告。被評估組織根據(jù)本行業(yè)、單位的風險管理策略，確認數(shù)據(jù)安全風險接受程度，對不可接受的數(shù)據(jù)安全風險，應釆取風險管控措施進行控制。11DB3212/T1117—2022

附 錄 A（資料性）評估對象生命周期各階段的風險評估概述規(guī)劃階段的風險評估a）是否依據(jù)相關規(guī)則，建立了與業(yè)務規(guī)劃相一致的安全規(guī)劃，并得到最高管理者的認可；b）是否依據(jù)業(yè)務建立與之相契合的安全策略，并得到最高安全管理者的認可；c）系統(tǒng)規(guī)劃中是否明確評估對象開發(fā)的組織、業(yè)務變更的管理、開發(fā)優(yōu)先級；d）系統(tǒng)規(guī)劃中是否考慮評估對象的威脅、環(huán)境，并制定總體的安全方針；e）D規(guī)劃階段的評估結果應體現(xiàn)在評估對象整體規(guī)劃或項目建議書中。設計階段的風險評估設計方案是否符合評估對象建設規(guī)劃，并得到最高管理者的認可；設計方案是否采取了一定的手段來應對可能的故障；設計方案是否考慮隨著其他系統(tǒng)接入而可能產生的風險；應用系統(tǒng)（含數(shù)據(jù)庫）是否根據(jù)業(yè)務需要進行了安全設計；12DB3212/T1117—2022J）設計活動中所釆用的安全控制措施、安全技術保障手段對風險的影響。在安全需求變更和設計變更后，也需要重復這項評估。實施階段的風險評估評估對象的功能需要：安全需求是否有效地支持系統(tǒng)的功能；成本效益風險：是否根據(jù)評估對象的資產、威脅和脆弱性的分析結果，確定在符合相關法律、政策、標準和功能需要的前提下選擇最合適的安全措施；評估保證級別：是否明確系統(tǒng)建設后應進行怎樣的測試和檢查，從而確定是否滿足項目建設、實施規(guī)范的要求。交付階段的風險評估系統(tǒng)交付實施過程的評估要點包括：根據(jù)實際建設的系統(tǒng)，詳細分析資產、面臨的威脅和脆弱性；評估是否建立了與整體安全策略一致的組織管理制度；本階段風險評估可以采取對照實施方案和標準要求的方式，對實際建設結果進行測試、分析。運行階段的風險評估運行維護階段風險評估的目的是了解和控制運行過程中的安全風險，是一種較為全面的風險評估。評估內容包括對真實運行的資產、威脅、脆弱性等各方面。資產評估：包括對業(yè)務、系統(tǒng)資產、系統(tǒng)組件和單元資產的評估。業(yè)務評估包括業(yè)務定位、業(yè)a）增加新的應用或應用發(fā)生較大變更；b）網絡結構和連接狀況發(fā)生較大變更；c）技術平臺大規(guī)模的更新；d）系統(tǒng)擴容或改造；13DB3212/T1117—2022發(fā)生重大安全事件后，或基于某些運行記錄懷疑將發(fā)生重大安全事件；D廢棄階段的風險評估廢棄階段風險評估著重在以下幾方面：a）確保硬件和軟件等資產及殘留信息得到了適當?shù)奶幹茫⒋_保系統(tǒng)組件被合理地丟棄或更換；b）如果被廢棄的系統(tǒng)是某個系統(tǒng)的一部分，或與其他系統(tǒng)存在物理或邏輯上的連接，還需考慮系統(tǒng)廢棄后與其他系統(tǒng)的連接是否被關閉；是否建立了流程，確保更新過程在一個安全、系統(tǒng)化的狀態(tài)下完成。14DB3212/T1117—2022附 錄 B（資料性）風險評估的工作形式自評估A.6檢查評估檢查評估是指評估對象上級管理部門組織的或國家有關職能部門開展的風險評估。檢查評估可依據(jù)本文件的要求，實施完整的風險評估過程。檢查評估也可在自評估實施的基礎上，對關鍵環(huán)節(jié)或重點內容實施抽樣評估，包括以下內容（但不限于）:a）自評估隊伍及技術人員審查；b）自評估方法的檢查；c）自評估過程控制與文檔記錄檢查；d）自評估資產列表審查；e）自評估威脅列表審查；f）自評估脆弱性列表審查；現(xiàn)有安全措施有效性檢查；自評估結果審查與釆取相應措施的跟蹤檢查；i）j）上級關注或要求的關鍵環(huán)節(jié)和重點內容的檢查評估；k）軟硬件維護制度及實施管理的檢查；l）突發(fā)事件應對措施的檢查。15DB3212/T1117—2022附 錄 C（資料性）概述風險評估與管理工具此類工具實現(xiàn)了對風險評估全過程的實施和管理，包括：評估對象基本信息獲取、業(yè)務信息獲取、根據(jù)實現(xiàn)方法的不同，風險評估與管理工具可以分為三類。系統(tǒng)基礎平臺風險評估工具16DB3212/T1117—2022基于平臺的掃描器：能夠發(fā)現(xiàn)平臺存在的脆弱性，平臺包括云平臺、大數(shù)據(jù)平臺等；AppAppApp風險評估輔助工具國家漏洞庫、專業(yè)機構發(fā)布的漏洞與威脅統(tǒng)計數(shù)據(jù)。態(tài)勢感知系統(tǒng)：態(tài)勢感知系統(tǒng)通過綜合分析網絡安全要素，評估安全狀況，預測其發(fā)展趨勢，安全審計工具：用于記錄網絡行為，分析系統(tǒng)或網絡安全現(xiàn)狀；它的審計記錄可以作為風險評估中的安全現(xiàn)狀數(shù)據(jù)，并可用于判斷評估對象威脅信息的來源。17DB3212/T1117—2022i）其他：如用于評估過程參考的評估指標庫、知識庫、漏洞庫、算法庫、模型庫等。18DB3212/T1117—2022附 錄 D（資料性）資產識別業(yè)務重要性賦值調整表D.l。表D.1業(yè)務重要性賦值調整表賦值標識定義5很高業(yè)務重要性為4，緊密關聯(lián)業(yè)務的重要性為5，該業(yè)務重要性調整為54高業(yè)金重要性為3，緊密關聯(lián)業(yè)務的重要性為4以上（含），該業(yè)務重要性調整為43中等業(yè)務重要性為2，緊密關聯(lián)業(yè)務的重要性為3以上（含），該業(yè)務重要性調整為32低業(yè)務重要性為1，緊密關聯(lián)業(yè)務的重要性為2以上（含），該業(yè)務重要性調整為2資產保密性賦值方法5D.2表D.2資產保密性賦值表賦值標識定義5很高資產的保密性要求非常高，一旦丟失或泄露會對資產造成重大的或無法接受的影響4高資產的保密性要求較高，一旦丟失或泄露會對資產造成較大影響3中等資產的保密性要求中等，一旦丟失或泄露會對資產造成影響2低資產的保密性要求較低，一旦丟失或泄露會對資產造成輕微影響1很低資產的保密性要求非常低，一旦丟失或泄露會對資產造成的影響可以忽略資產完整性賦值方法5D.3表D.3資產完整性賦值表賦值標識定義5很高資產的完整性要求非常高，未經授權的修改或破壞會對資產造成重大的或無法接受的影響4高資產的完整性要求較高，未經授權的修改或破壞會對資產造成較大影響3中等資產的完整性要求中等，未經授權的修改或破壞會對資產造成影響2低資產的完整性要求較低，未經授權的修改或破壞會對資產造成輕微影響1很低資產的完整性要求非常低，未經授權的修改或破壞對資產造成的影響可以忽略19DB3212/T1117—2022資產可用性賦值方法5D.4表D.4資產可用性賦值表賦值標識定義5很高資產的可用性要求非常高，合法使用者對資產的可用度達到年度99.9%以上，或系統(tǒng)不準許中斷4高9010min3中等7030min2低2560min1很低資產的可用性要求非常低，合法使用者對資產的可用度在正常工作時間低于25%系統(tǒng)資產業(yè)務承載性賦值方法5D.5表D.5系統(tǒng)資產業(yè)務承載性賦值表等級標識描述5很高資產對于某種業(yè)務的影響非常大，其安全屬性破壞后可能對業(yè)務造成非常嚴重的損失4高資產對于某種業(yè)務的影響比較大，其安全屬性破壞后可能對業(yè)務造成比較嚴重的損失3中等資產對于某種業(yè)務的影響一般，其安全屬性破壞后可能對業(yè)務造成中等程度的損失2低資產對于某種業(yè)務的影響較低，其安全屬性破壞后可能對業(yè)務造成較低的損失1很低資產對于某種業(yè)務的影響較低，其安全屬性破壞后對業(yè)務造成很小的損失，甚至忽略不計20附 錄 E（資料性）威脅識別

DB3212/T1117—2022威脅來源分類E.l。

表E.1威脅來源列表來源描述環(huán)境斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震、意外事故等環(huán)境危害或自然災害意外非人為因素導致的軟件、硬件、數(shù)據(jù)、通信線路等方面的故障，或者依賴的第三方平臺或者信息系統(tǒng)等方面的故障人為人為因素導致資產的保密性、完整性和可用性遭到破壞威脅種類E.2。

表E.2威脅種類列表種類描述物理損害對業(yè)務實施或系統(tǒng)運行產生影響的物理損害自然災害自然界中所發(fā)生的異常現(xiàn)象，且對業(yè)務開展或者系統(tǒng)運行會造成危害的現(xiàn)象和事件信息損害對系統(tǒng)或資產中的信息產生破壞、篡改、丟失、盜取等行為技術失效信息系統(tǒng)所依賴的軟硬件設備不可用未授權行為超出權限設置或授權進行操作或者使用的行為功能損害造成業(yè)務或系統(tǒng)運行的部分功能不可用或者損害供應鏈失效業(yè)務或系統(tǒng)所依賴的供應商、接口等不可用威脅動機分類E.3。

表E.3威脅動機分類表分類動機惡意法利用、復仇、政治利益、間諜、獲取競爭優(yōu)勢等非惡意好奇心、自負、無意的錯誤和遺漏（例如，數(shù)據(jù)輸入錯誤、編程錯誤）等特定威脅行為能力賦值E.4。表E.4特定威脅行為能力賦值表21DB3