信息安全風(fēng)險評估方案規(guī)范

XXXX有限公司

信息安全風(fēng)險評估管理規(guī)范

目錄

2.規(guī)范性弓I用文件...............................................................4

3.1術(shù)語、定義和縮略語..........................................................4

3.1術(shù)語和定義..............................................................4

3.1.1實(shí)施(implementation)...........................................4

3.1.2信息系統(tǒng)生命周期(informationsystemlifecycle)................4

3.1.3評估目標(biāo)(assessmenttarget)....................................5

3.1.4系統(tǒng)調(diào)研(systeminvestigation)................................5

3.1.5評估要素(assessmentfactor)...................................5

3.1.6識別(identify).................................................5

3.1.7賦值(assignment)...............................................5

3.1.8核查(checkin).................................................5

3.1.9關(guān)鍵控制點(diǎn)(thekeypoint).....................................5

3.1.10分析模型(analysismodel).....................................5

3.1.11評價模型(evaluationmodel)...................................6

3.1.12風(fēng)險處理(risktreatment).....................................6

3.1.13驗收(acceptance)..............................................6

3.2縮略語.................................................................6

4.風(fēng)險評估實(shí)施概述.............................................................7

4.1實(shí)施的基本原則.........................................................7

4.1.2關(guān)鍵業(yè)務(wù)原則.....................................................7

4.1.3可控性原貝IJ.......................................................7

4.1.4最小影響原則.....................................................8

4.2風(fēng)險評估實(shí)施的基本流程..................................................8

4.2.1評估準(zhǔn)備階段....................................................9

4.2.2風(fēng)險要素識別階身................................................9

4.2.3風(fēng)險分析階段....................................................9

4.2.4風(fēng)險處理階段....................................................9

5.風(fēng)險評估實(shí)施的階段性工作.....................................................9

5.1評估準(zhǔn)備階段...........................................................9

5.1.1評估準(zhǔn)備階段工作內(nèi)容.............................................9

5.1.2確定目標(biāo)........................................................10

5.1.4組建評估團(tuán)隊....................................................11

5.1.6確定依據(jù)........................................................13

5.1.7確定風(fēng)險評估方案................................................13

5.1.8獲得支持........................................................13

5.2風(fēng)險要素識別階段......................................................14

5.2.1資產(chǎn)識別.......................................................14

5.3.2風(fēng)險結(jié)果判定...................................................23

5.4風(fēng)險處理階段...........................................................24

?4.\?????????????????????????■?■????(■■????■■■????■?■?(??????(??????????????????????????????>???■????■■(?■(>>■■■■■(■■■(■

5.4.125

5.4.3風(fēng)險整改建議.....................................................25

5.4.4殘余風(fēng)險處理.....................................................25

5.4.5文檔管理.........................................................26

附錄A：調(diào)查表..............................................................26

A2網(wǎng)絡(luò)系統(tǒng)調(diào)查表......................................................26

A3主機(jī)系統(tǒng)調(diào)查表......................................................27

A4資產(chǎn)調(diào)查表..........................................................27

A6安全產(chǎn)品調(diào)查表......................................................28

附錄B：安全技術(shù)脆弱性核查表...............................................28

B1物理安全核查表......................................................28

B2網(wǎng)絡(luò)安全核查表......................................................29

B4應(yīng)用藕:全核查表.................................................34

B5數(shù)據(jù)安全核查表......................................................36

附錄C：安全管理脆弱性核查表...............................................37

C1安全管理機(jī)構(gòu)核查表..................................................37

C2安全管理策略核查表..................................................38

C3安仝管理制度核查表..................................................38

C4安人員全管理核查表..................................................39

C5系統(tǒng)運(yùn)維管理核查表.................................................40

1.范圍

本標(biāo)準(zhǔn)規(guī)定了XXXX有限公司信息安全風(fēng)險評估實(shí)施的過程和辦法。

本標(biāo)準(zhǔn)適用于XXXX有限公司對非涉密信息系統(tǒng)的信息安全風(fēng)險評估項目的

管理，指導(dǎo)風(fēng)險評估項目的組織、實(shí)施、驗收等工作。

2.規(guī)范性引用文件

本方案主要參照以下標(biāo)準(zhǔn)

《GB/T31509-2015信息安全技術(shù)信息安全風(fēng)險評估實(shí)施指南》

《GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》

3.1術(shù)語、定義和縮略語

《GB/T31509-2015信息安全技術(shù)信息安全風(fēng)險評估實(shí)施指南》和《GB/T

20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》中界定的以及下列術(shù)語和定

義適用于本方案。

3.1術(shù)語和定義

3.1.1實(shí)施(implementation)

將一系列活動付諸實(shí)踐的過程。

3.1.2信息系統(tǒng)生命周期(informationsystemlifecycle)

信息系統(tǒng)的各個生命階段，包括規(guī)劃階段、設(shè)計階段、實(shí)施階段、運(yùn)行維護(hù)

階段和廢棄階段。

3.1.3評估目標(biāo)(assessmenttarget)

評估活動所要達(dá)到的最終目的。

3.1.4系統(tǒng)調(diào)研(systeminvestigation)

對信息系統(tǒng)相關(guān)的實(shí)際情況進(jìn)行調(diào)查了解與分析研究的活動。

3.1.5評估要素(assessmentfactor)

風(fēng)險評估活動中必須要識別、分析的一系列基本因素。

3.1.6識別(identify)

對某一評估要素進(jìn)行標(biāo)識與辨別的過程。

3.1.7賦值(assignment)

對識別出的評估要素根據(jù)己定的量化模型給予定量數(shù)值的過程。

3.1.8核查(checkin)

將信息系統(tǒng)中的檢查信息與制定的檢查項進(jìn)行核對檢查的活動。

3.1.9關(guān)鍵控制點(diǎn)(thekeypoint)

在項目實(shí)施活動中，具有能夠影響到項目整體進(jìn)度決定性作用的實(shí)施活動。

3.1.10分析模型(analysismodel)

依據(jù)一定的分析原理,構(gòu)造的一種模擬分析方法,先用于對評估要素的分析。

3.1.11評價模型(evaluationmodel)

依據(jù)一定的評價體系，構(gòu)造若干評價指標(biāo)，能夠?qū)ο鄳?yīng)的活動進(jìn)行較為完善

的評價。

3.1.12風(fēng)險處理(risktreatment)

對風(fēng)險進(jìn)行處理的一系列活動，如接受風(fēng)險、規(guī)避風(fēng)險、轉(zhuǎn)移風(fēng)險、降低風(fēng)

險等。

3.1.13驗收(acceptance)

風(fēng)險評估活動中用于結(jié)束項目實(shí)施的一種方法，主要由被評估方組織，對評

估活動進(jìn)行逐項校驗，以是否達(dá)到評估目標(biāo)為接受標(biāo)準(zhǔn)。

3.2縮略語

下列縮略語適用于本方案。

AC：訪問(入侵)復(fù)雜性(AccessComplexity)

AV：訪問(入侵)路徑(AccessVector)

BOF：緩沖區(qū)溢出(BufferOverflow)

CDP：破壞潛力(CollateralDamageProtential)

CVE：公共漏洞和暴露(CommonVulnerablities&Exposures)

CVSS：通用安全弱點(diǎn)評估系統(tǒng)(CommonVulnerabilityScoringSystem)

RC：報告可信性(ReportConference)

RL：補(bǔ)救水平(RemediationLevel)

SR：安全要求(SecurityRequirement)

TD：目標(biāo)分布(TargetDistribution)

VLAN：虛擬局域網(wǎng)(VirtualLocalAreaNetwork)

4.風(fēng)險評估實(shí)施概述

4.1實(shí)施的基本原則

4.1.1標(biāo)準(zhǔn)性原則

信息系統(tǒng)的安全風(fēng)險評估，應(yīng)按照GB/T20984—2007和GB/T31509-2015

中規(guī)定的評估流程進(jìn)行實(shí)施，包括各階段性的評估工作。

4.1.2關(guān)鍵業(yè)務(wù)原則

信息安全風(fēng)險評估應(yīng)以被評估組織的關(guān)鍵業(yè)務(wù)作為評估工作的核心，把涉及

這些業(yè)務(wù)的相關(guān)網(wǎng)絡(luò)與系統(tǒng)，包括基礎(chǔ)網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、應(yīng)用基礎(chǔ)平臺、業(yè)務(wù)應(yīng)

用平臺等作為評估的重點(diǎn)。

4.1.3可控性原則

在風(fēng)險評估項目實(shí)施過程中，應(yīng)嚴(yán)格按照標(biāo)準(zhǔn)的項目管理方法對服務(wù)過程、

人員和工具等進(jìn)行控制，以保證風(fēng)險評估實(shí)施過程的可控和安全，具體需要保證

以下幾點(diǎn)：

a）服務(wù)可控性：

在進(jìn)行風(fēng)險評估前應(yīng)事先在評估工作溝通會議中向用戶介紹評估服務(wù)的流

程，明確需要得到被評估組織協(xié)作的工作內(nèi)容，確保安全評估服務(wù)工作的順利進(jìn)

行。

b）人員與信息可控性：

所有參與評估的人員需簽署保密協(xié)議，以保證項目信息的安全；應(yīng)對工作過

程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格管理，未經(jīng)授權(quán)不得泄露給任何單位知個人。

c）工具可控性：

風(fēng)險評估過程中安全評估人員所使用的評估工具應(yīng)該事先通告用戶，并在項

目實(shí)施前獲得用戶的許可，包括產(chǎn)品本身、測試策略等。

4.1.4最小影響原則

對于在線業(yè)務(wù)系統(tǒng)的風(fēng)險評估，應(yīng)采用最小影響原則，即首要保障業(yè)務(wù)系統(tǒng)

的穩(wěn)定運(yùn)行，而對于需要進(jìn)行攻擊性測試的工作內(nèi)容，需與用戶溝通并進(jìn)行應(yīng)急

備份，同時選擇避開業(yè)務(wù)的高峰時間進(jìn)行。

4.2風(fēng)險評估實(shí)施的基本流程

該方案風(fēng)險評估實(shí)施流程依據(jù)GB/T20984—2007和GB/T31509-2015中規(guī)

定的風(fēng)險評估實(shí)施流程，根據(jù)流程中的各項工作內(nèi)容，在該方案中將風(fēng)險評估實(shí)

施劃分為評估準(zhǔn)備、風(fēng)險要素識別、風(fēng)險分析與風(fēng)險處理四個階段。

4.2.1評估準(zhǔn)備階段

風(fēng)險評估準(zhǔn)備階段的工作是對風(fēng)險評估實(shí)施有效性的保證，是風(fēng)險評估工作

的開始。

4.2.2風(fēng)險要素識別階段

風(fēng)險要素識別階段的工作主要是對評估活動中各類關(guān)鍵要素資產(chǎn)、威脅、脆

弱性、安全措施進(jìn)行識別與賦值。

4.2.3風(fēng)險分析階段

風(fēng)險分析階段的工作主要是對風(fēng)險要素識別階段中獲得的各類信息進(jìn)行關(guān)

聯(lián)分析，并計算風(fēng)險值。

4.2.4風(fēng)險處理階段

風(fēng)險處理階段的工作主要是針對評估出的風(fēng)險，提出相應(yīng)的處置建議，以及

按照處置建議實(shí)施安全加固后進(jìn)行殘余風(fēng)險處理等內(nèi)容。

5.風(fēng)險評估實(shí)施的階段性工作

5.1評估準(zhǔn)備階段

5.1.1評估準(zhǔn)備階段工作內(nèi)容

風(fēng)險評估準(zhǔn)備是整個風(fēng)險評估過程有效的保證。由于風(fēng)險評估受到組織的業(yè)

務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響，因此，在風(fēng)險評

估實(shí)施前，應(yīng)充分做好評估前的各項準(zhǔn)備工作。包含（但不限于）如下幾點(diǎn)：

a）確定風(fēng)險評估的目標(biāo)；

b）確定風(fēng)險評估的范圍；

c）組建適當(dāng)?shù)脑u估管理與實(shí)施團(tuán)隊；

d）進(jìn)行系統(tǒng)調(diào)研；

e）確定評估依據(jù)和方法；

f）確定風(fēng)險評估方案；

g）獲得最高管理者對風(fēng)險評估工作的支持；

5.1.2確定目標(biāo)

風(fēng)險評估應(yīng)貫穿于信息系統(tǒng)生命周期的各階段中，由于信息系統(tǒng)生命周期各

階段中風(fēng)險評估實(shí)施的內(nèi)容，對象，安全需求均不同，因此需要根據(jù)被評估組織

當(dāng)前信息系統(tǒng)的實(shí)際情況來確定在信息系統(tǒng)生命周期中所處的階段，并以此來明

確風(fēng)險評估目標(biāo)。?各階段需符合的以下幾個原則；

a）規(guī)劃階段的風(fēng)險評估應(yīng)該能夠描述信息系統(tǒng)建成后對現(xiàn)有業(yè)務(wù)模式的作

用，包括技術(shù)、管理等方面，并根據(jù)其作用確定系統(tǒng)建設(shè)應(yīng)達(dá)到的安全目標(biāo)。

b）設(shè)計階段風(fēng)險評估的目標(biāo)是根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)

重要性，提出安全功能需求。設(shè)計階段的風(fēng)險評估結(jié)果應(yīng)對設(shè)計方案中所提供的

安全功能符合性進(jìn)行判斷，作為采購過程風(fēng)險控制的依據(jù)。

c）實(shí)施階段風(fēng)險評估的目標(biāo)是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對系統(tǒng)開發(fā)、

實(shí)施過程進(jìn)行風(fēng)險識別，并對系統(tǒng)建成后的功能進(jìn)行驗證。根據(jù)設(shè)計階段分析的

威脅和制定的安全措施，在實(shí)施及驗收時進(jìn)行質(zhì)量控制。

d）運(yùn)行維護(hù)階段風(fēng)險評估的目標(biāo)是了解和控制運(yùn)行過程中的安全風(fēng)險。評

估內(nèi)容包括信息系統(tǒng)的資產(chǎn)、面臨的威脅、自身脆弱性以及己有安全措施等各方

面。

e）廢棄階段風(fēng)險評估的目標(biāo)是確保廢棄資產(chǎn)及殘留信息得到適當(dāng)處置，并

分析廢棄資產(chǎn)對組織的影響，以確定是否會增加或引入新的風(fēng)險。

5.1.3確定風(fēng)險評估范圍

在確定風(fēng)險評估所處的階段及相應(yīng)的目標(biāo)之后，需要進(jìn)一步明確風(fēng)險評估的

范圍；在確定評估范圍時，應(yīng)結(jié)合已確定的評估目標(biāo)和組織的實(shí)際信息系統(tǒng)建設(shè)

情況，合理定義評估對象和評估范圍邊界，并且相應(yīng)的評估范圍邊界范圍參考如

T：

a）業(yè)務(wù)系統(tǒng)的業(yè)務(wù)邏輯邊界；

b）網(wǎng)絡(luò)及設(shè)備載體的邊界；

c）物理環(huán)境邊界；

d）組織管理權(quán)限邊界；

e）其他

5.1.4組建評估團(tuán)隊

風(fēng)險評估團(tuán)隊由專業(yè)的技術(shù)專家和技術(shù)骨干組成的專家組，在風(fēng)險評估過程

中進(jìn)行關(guān)鍵的工作指導(dǎo)，具體包括：

a）幫助被評估組織規(guī)劃項目的總體工作思路和方向；

b）對出現(xiàn)的關(guān)鍵性難點(diǎn)問題進(jìn)行決策；

c）對風(fēng)險評估結(jié)論進(jìn)行確定；

為保證風(fēng)險評估工作的順序有效進(jìn)行，各角色分工明確。各成員角色與職責(zé)

說明如下表所示:

評估人員角色工作職責(zé)

風(fēng)險評估項目中的管理者、責(zé)任人，具體工作職責(zé)包括：

1）根據(jù)項目情況組建評估項目實(shí)施團(tuán)隊；

2）根據(jù)項目情況與被評估方一起確認(rèn)評估目標(biāo)和評估范圍，并組織項目成

員對被評估方實(shí)施系統(tǒng)調(diào)研；

3）根據(jù)評估目標(biāo)，評估范圍及系統(tǒng)調(diào)研的情況確定評估依據(jù)，并組織編寫

評估方案。

4）組織項目成員開展風(fēng)險評估各階段的工作，并對實(shí)施過程進(jìn)行監(jiān)督、協(xié)

項目組長

調(diào)和控制，確保各階段工作有效的實(shí)施。

5）與被評估方進(jìn)行及時有效的溝通，及時商討項目進(jìn)展情況及可能發(fā)生的

問題預(yù)測等。

6）組織項目組成員將風(fēng)險評估各階段工作進(jìn)行匯總，編寫（風(fēng)險評估報告）

與《安全整改建議書》等項目成果物。

7）負(fù)責(zé)將項目成果物移交被評估組織，向被評估組織匯報項目成果，并提

請項目驗收。

安全技術(shù)評估人是負(fù)責(zé)風(fēng)險評估項目中技術(shù)方面評估工作的實(shí)施人員，具體工作職責(zé)包

員括：

1）根據(jù)評估目標(biāo)與評估范圍的確定參與系統(tǒng)調(diào)研，并編寫《系統(tǒng)調(diào)研報告》

的技術(shù)部分內(nèi)容；

2）參與編寫《評估方案》：

3）按照《評估方案》實(shí)施各階段具體的技術(shù)性評估工作，主要包括：信息

資產(chǎn)調(diào)查，威脅調(diào)查，安全技術(shù)脆弱性調(diào)查等，各調(diào)查表內(nèi)容見附錄A：

調(diào)查表；《5》

4）對評估工作中遇到的問題及時向項目組長進(jìn)行匯報，并提出需要協(xié)調(diào)的

資源；

5）將各階段的技術(shù)性評估工作成果進(jìn)行匯總，參與編寫（風(fēng)險評估報告）

與《安全整改建議書》等項目成果物；

6）負(fù)責(zé)向被評估方解答項目成果物中有關(guān)技術(shù)性細(xì)節(jié)的問題：

5.1.5系統(tǒng)調(diào)研

系統(tǒng)調(diào)研是確定被評估對象的過程，風(fēng)險評估小組應(yīng)進(jìn)行充分的系統(tǒng)調(diào)研,

以確定風(fēng)險評估的依據(jù)和方法。調(diào)研的內(nèi)容應(yīng)包括：

a）系統(tǒng)安全保護(hù)等級；

b）主要的業(yè)務(wù)功能和要求；

c）網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接與外部連接；

d）系統(tǒng)邊界；

e）主要的硬件、軟件；

f）數(shù)據(jù)和信息：

g）系統(tǒng)和數(shù)據(jù)敏感性；

h）支持和使用操作系統(tǒng)的人員；

D其他；

系統(tǒng)調(diào)研時可以采取問卷調(diào)查、現(xiàn)場面談相結(jié)合的方式進(jìn)行。調(diào)查文件是提

供一套關(guān)于管理或操作控制的問題表格，供系統(tǒng)技術(shù)和管理人員填寫，相關(guān)文件

內(nèi)容見附錄B：安全技術(shù)脆弱性核查表；現(xiàn)場面談則是由評估人員到現(xiàn)場觀察并

收集系統(tǒng)在物理、環(huán)境和操作方面的信息。

5.1.6確定依據(jù)

根據(jù)系統(tǒng)調(diào)研的結(jié)果，確定評估依據(jù)和評估方法。評估依據(jù)應(yīng)當(dāng)包括：

a）適用的法律、法規(guī)；

b）現(xiàn)有的國行標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)；

c）行業(yè)主管機(jī)關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度；

d）與信息系統(tǒng)安全保護(hù)等級相應(yīng)的基本要求；

e）被評估組織的安全要求；

f）系統(tǒng)自身的實(shí)時性或性能要求等。

根據(jù)評估的依據(jù)，需要考慮評估的目的、范圍、時間、效果、人員素質(zhì)等因

素來選擇具體的風(fēng)險計算方法，并依據(jù)業(yè)務(wù)實(shí)施對系統(tǒng)安全運(yùn)行的需求，確定相

關(guān)判斷依據(jù)，使之能夠與組織環(huán)境和安全要求相適應(yīng)。

5.1.7確定風(fēng)險評估方案

風(fēng)險評估方案是評估工作實(shí)施活動總體計劃，用于管理評估工作的開展，是

評估各階段工作可控，并作為評估項目驗收的主要依據(jù)之一。風(fēng)險評估方案應(yīng)得

到被評估組織的認(rèn)可。在本方案中，風(fēng)險評估方案的內(nèi)容包括：

a）風(fēng)險評估工作框架：包括評估目標(biāo)、評估范圍、評估依據(jù)等；

b）評估團(tuán)隊組織：包括評估小組成員、組織結(jié)構(gòu)、角色、責(zé)任

c）評估工作計劃：包括各階段工作內(nèi)容、工作形式、工作成果等；

d）風(fēng)險規(guī)避：包括保密協(xié)議、評估工作環(huán)境要求、評估方法、工具選擇、

應(yīng)急預(yù)案等；

e）時間進(jìn)度安排：評估工作實(shí)施的時間進(jìn)度安排；

f）項目驗收方式：包括驗收方式、驗收依據(jù)、驗收結(jié)論定義等。

5.1.8獲得支持

上述內(nèi)容全部確認(rèn)后，需要形成較為完整的風(fēng)險評估實(shí)施方案，得到組

織最高管理者的支持、批準(zhǔn)；對管理層和技術(shù)人員進(jìn)行傳達(dá)，在組織范圍內(nèi)就風(fēng)

險評估相關(guān)內(nèi)容進(jìn)行培訓(xùn)，以明確有關(guān)人員在風(fēng)險評估中的任務(wù)。

5.2風(fēng)險要素識別階段

風(fēng)險要素識別階段為評估工作中的重要工作階段，信息系統(tǒng)安全風(fēng)險分

析的前提對組織和信息系統(tǒng)中資產(chǎn)、威脅、脆弱性等要素識別。

5.2.1資產(chǎn)識別

資產(chǎn)是風(fēng)險評估的最終評估對象。在一個全面的風(fēng)險評估中，風(fēng)險的所有重

要因素都緊緊圍繞著資產(chǎn)為中心，威脅、脆弱性以及風(fēng)險都是針對資產(chǎn)而客觀存

在的。威脅利用資產(chǎn)自身的脆弱性使得安全事件的發(fā)生成為可能，從而形成了風(fēng)

險。這些安全事件一旦發(fā)生，將對資產(chǎn)甚至是整個系統(tǒng)都將造成一定的影響。資

產(chǎn)被定義為對組織具有價值的信息或資源，資產(chǎn)識別的目標(biāo)就是識別出資產(chǎn)的價

值，風(fēng)險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟(jì)價值來衡量，而是由資產(chǎn)在其安全

屬性（機(jī)密性、完整性和可用性）上的達(dá)成程度或者其安全屬性未達(dá)成時所造成的

影響程度來決定的。

資產(chǎn)分類資產(chǎn)編號具體資產(chǎn)IP地址/名稱資產(chǎn)估價等級

5.2.1.1資產(chǎn)分類

在一個組織中，資產(chǎn)的存在形式多種多樣，不同類別的資產(chǎn)具有的資產(chǎn)

價值、面臨的威脅、擁有的脆弱性、可采取安全措施都不同。在風(fēng)險評估實(shí)施中，

按照GB/T20984—2007中將資產(chǎn)分為硬件、軟件、數(shù)據(jù)、服務(wù)、人員以及其他

六個大類。

5.2.1.2資產(chǎn)調(diào)查

由于在風(fēng)險評估中需要識別組織和信息系統(tǒng)中的資產(chǎn)，所以資產(chǎn)調(diào)查是

其中的一個重要途徑；并且資產(chǎn)調(diào)查一方面需要識別出有哪些資產(chǎn)，另一方面需

要識別出每項資產(chǎn)自身關(guān)鍵屬性。分析并理解清楚各種業(yè)務(wù)功能和流程后有利于

分析系統(tǒng)中的數(shù)據(jù)流向及其安全保證要求。木方案中定義的資產(chǎn)識別流程如下:

a）根據(jù)風(fēng)險評估目標(biāo)和范圍，確定風(fēng)險評估對象中包含的信息系統(tǒng)；

b）識別信息系統(tǒng)處理的業(yè)務(wù)功能，以及處理業(yè)務(wù)所需的業(yè)務(wù)流程，特別

是應(yīng)該識別出關(guān)鍵業(yè)務(wù)功能和關(guān)鍵業(yè)務(wù)的流程；

c）根據(jù)業(yè)務(wù)特點(diǎn)和業(yè)務(wù)流程識別業(yè)務(wù)需要處理和提供的服務(wù)，特別是應(yīng)

當(dāng)識別出關(guān)鍵數(shù)據(jù)和關(guān)鍵服務(wù)

d）識別處理數(shù)據(jù)和提供服務(wù)所需的系統(tǒng)單元組件和系統(tǒng)組件，特別是應(yīng)

當(dāng)識別出關(guān)鍵單元和關(guān)鍵系統(tǒng)組件。

系統(tǒng)單元、系統(tǒng)組件均可作為安全技術(shù)脆弱性測試的測試對象，所有資

產(chǎn)均可作為安全管理脆弱性測試的測試對象。資產(chǎn)調(diào)查的方法一般包含了閱讀文

檔，訪談相關(guān)人員、查看相關(guān)資產(chǎn)等。

5.2.1.3資產(chǎn)賦值

在資產(chǎn)調(diào)查基礎(chǔ)上，需要分析資產(chǎn)的保密性、完整性和可用性等安全屬

性的等級。安全屬性等級包括：很高、高、中等、低、很低5種級別，安全屬性

級別越高表示資產(chǎn)安全屬性越重要。相關(guān)資產(chǎn)賦值的參考如下：

a）資產(chǎn)所承載信息系統(tǒng)的重要性；

b）資產(chǎn)所承載信息系統(tǒng)的安全等級；

c）資產(chǎn)對所承載信息安全正常運(yùn)行的重要程度；

d）資產(chǎn)保密性、完整性、可用性等安全屬性對信息系統(tǒng)，以及相關(guān)業(yè)務(wù)

的重要程度。

資產(chǎn)價值也需要根據(jù)資產(chǎn)的保密性、完整性和可用性的賦值等級綜合評

定確定。資產(chǎn)價值等級包括：很高、高、中等、低、很低5種等級。保密性、完

整性、可用性賦值相關(guān)介紹如下：

a）保密性賦值：

根據(jù)資產(chǎn)在保密性上的不同要求，將其分為五個不同等級，分別對應(yīng)資產(chǎn)在

保密性上應(yīng)達(dá)成的不同成都或保密性缺失時對整個組織的影響。保密性賦值表提

供了一種保密性賦值的參考。

保密性賦值表

賦值標(biāo)識定義

包含組織的重要秘密，關(guān)系未來發(fā)展的前途命運(yùn)，對組織根本利益有著決定性

5很高

的影響，如果泄露會造成災(zāi)難性的損害。

4高包含組織的重要密碼。其泄露會使組織的安全和利益遭受嚴(yán)重?fù)p害。

3中等組織的一般性密碼，其泄露會使組織的安全和利益受到損害。

僅能夠在組織內(nèi)部或組織某一部門內(nèi)部公開的信息，向外擴(kuò)散可能對組織的

2低

利益造成輕微損害。

1很低可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等。

b）完整性賦值:

根據(jù)資產(chǎn)在完整性上的不同要求，將其劃分為五個等級，分別對應(yīng)資產(chǎn)

在完整性上缺失時對組織的影響。完整性賦值表提供了一種完整性賦值的參考。

完整性賦值表

賦值標(biāo)識定義

完整性價值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大或無法接受

5很高

的影響，對業(yè)務(wù)沖擊重大，并可能造成業(yè)務(wù)中斷，難以彌補(bǔ)。

完整性價值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務(wù)沖擊

4高

嚴(yán)重，難以彌補(bǔ)。

完整性價值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務(wù)沖擊明

3中等

顯，但可以彌補(bǔ)。

完整性價值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成經(jīng)微影響，對業(yè)務(wù)沖擊

2低

輕微，容易彌補(bǔ)。

完整性價值非常低，未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略，對業(yè)

i很低

務(wù)沖擊可以忽略。

c）可用性賦值:

根據(jù)資產(chǎn)在可用性上的不同參考，將其劃分為五個等級，分別對應(yīng)資產(chǎn)

在可用性上應(yīng)達(dá)成不同程度。資產(chǎn)可用性賦值表提供了一種可用性賦值的參考。

資產(chǎn)可用性賦值表

賦值標(biāo)識定義

可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以

5很高

上

可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到每天的90%以

4高

.匕或系統(tǒng)允許中斷時間小于lOmin

可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達(dá)

3中等

到70%以上，或系統(tǒng)允許中斷時間小于30min

可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達(dá)

2低

到25%以上，或系統(tǒng)允許中斷時間小于60min

可用性價值可以忽略，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時

1很低

間低于25%

5.2.2威脅識別

威脅是一個客觀存在的，無論對于多么安全的信息系統(tǒng)，它都存在。威

脅的存在，組織和信息系統(tǒng)才會存在風(fēng)險。因此，在風(fēng)險評估過程中需要全面、

準(zhǔn)確的了解組織和信息系統(tǒng)所面臨的各種威脅。產(chǎn)生安全威脅的主耍因素可以分

為認(rèn)為因素和環(huán)境因素。人為因素包括了有意因素和無意因素。環(huán)境因素包括了

自然界的不可抗力因素和其他物理因素。

5.2.2.1威脅來源分析

信息系統(tǒng)的安全威脅來源可考慮以下幾個方面:

威脅來源威脅來源描述

環(huán)境因素、意由于斷電、靜電、灰塵、潮濕、高溫、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境

外事故或故障條件和自然災(zāi)害；意外事故由于軟件、硬件、數(shù)據(jù)、通訊線路方面的故障。

內(nèi)部人員由于缺乏責(zé)任心,或者由于不關(guān)心或不關(guān)注.或者沒有遵循規(guī)章制

無惡意人員內(nèi)

度和操作流程而導(dǎo)致故障或信息系統(tǒng)損壞；內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技

部人員

能不足、不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊。

不滿或者有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進(jìn)行惡意破壞；采用自主或內(nèi)外勾結(jié)

惡意內(nèi)部人員

的方式盜竊機(jī)密信息或進(jìn)行篡改，獲取利益：

外部人員利用信息系統(tǒng)的脆弱性，對網(wǎng)絡(luò)或系統(tǒng)的保密性、完整性和可用性

惡意外部人員

進(jìn)行破壞，以獲取利益或炫耀能力。

5.2.2.2威脅種類分析

對安全威脅進(jìn)行分類的方式有多種多樣，針對上述表中的威脅來源，需

要考慮下述的安全威脅種類。表種列舉的威脅種類隨著新技術(shù)的發(fā)展和新應(yīng)用的

出現(xiàn)，還需要不斷完善。

威脅種類威脅描述

由于設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件Bug導(dǎo)致對業(yè)務(wù)系統(tǒng)高

軟硬件故障

效穩(wěn)定運(yùn)行的環(huán)境造成影響。

斷電、靜電、灰塵、潮濕、高溫、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境問題

物理環(huán)境威脅

和自然災(zāi)害。

無作為或操作由于系統(tǒng)應(yīng)該執(zhí)行但是沒有執(zhí)行相應(yīng)的操作，或者無意的執(zhí)行了錯誤的操

失誤作，對系統(tǒng)造成影響。

安全控制無法落實(shí)到位，造成安全控制不規(guī)范，或者管理混亂，從而破壞信

管理不到位

息系統(tǒng)正常有序運(yùn)行。

惡意代碼和病具有自我復(fù)制，自我傳播能力，對信息系統(tǒng)構(gòu)成破壞的程序代碼。

毒

通過采用一些措施，超越自己的權(quán)限訪問本來無權(quán)訪問的資源：或者濫用自

越權(quán)和濫用

己的權(quán)限，做出破壞信息系統(tǒng)的行為

利用黑客工具和技術(shù)，例如嗅探、密碼猜測攻擊、緩沖區(qū)溢出、安裝后門、

黑客攻擊技術(shù)

偽造和欺騙、拒絕服務(wù)攻擊等手段對信息系統(tǒng)造成攻擊和入侵。

物理攻擊物理接觸、物理破壞、盜竊。

泄密機(jī)密泄露，機(jī)密信息泄露給他人。

篡改非法修改信息，破壞信息的完整性。

抵賴不承認(rèn)收到的信息，所作的操作或交易。

5.2.2.3威脅賦值

判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，評估者應(yīng)根據(jù)經(jīng)驗和（或）有關(guān)

的統(tǒng)計數(shù)據(jù)來進(jìn)行判斷。在評估中，需要綜合考慮以下三個方面，以形成在某種

評估環(huán)境中各種威脅出現(xiàn)的頻率：

a）以往安全事件報告中出現(xiàn)過的威脅及其頻率的統(tǒng)計；

b）實(shí)際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計；

c）近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)

計，以及發(fā)布的威脅預(yù)警。

對威脅出現(xiàn)的頻率進(jìn)行等級化處理，不同等級分別代表威脅出現(xiàn)的頻率的高

低。等級數(shù)值越大，威脅出現(xiàn)的頻率越高。

下表中提供了威脅出現(xiàn)頻率的一種賦值方法。在實(shí)際的評估中，威脅頻率的

判斷依據(jù)應(yīng)在評估準(zhǔn)備階段根據(jù)歷史統(tǒng)計或行業(yè)判斷予以確定，需要綜合分析得

出，通過實(shí)際經(jīng)驗對威脅的可能性賦值，并得到被評估方的認(rèn)可。

等級分?jǐn)?shù)標(biāo)識描述

出現(xiàn)的頻率很高，很有可能發(fā)生；或大多數(shù)情況下幾乎不可避免；或

5很高

經(jīng)過證實(shí)經(jīng)常發(fā)生過。

4高在多數(shù)情況下可能會發(fā)生；或可以證實(shí)多次發(fā)生過。

3中等在某種情況下或某個時間可能會發(fā)生；或可以證實(shí)曾經(jīng)發(fā)生過。

2低出現(xiàn)的頻率小；或一般不大可能發(fā)生；或沒有被證實(shí)發(fā)生過。

1很低威脅幾乎不可能發(fā)生；僅在非常罕見和例外的情況下發(fā)生。

5.2.3脆弱性識別

脆弱性是資產(chǎn)自身存在的，如沒有被威脅利用，脆弱性本身不會對資產(chǎn)造成

損害。如信息系統(tǒng)足夠健壯，威脅難以導(dǎo)致安全事件的發(fā)生。從技術(shù)上，可以從

物理環(huán)境、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)等方面識別資產(chǎn)的脆弱性。

5.2.3.1弱點(diǎn)檢查

信息安全管理組應(yīng)定期對集團(tuán)信息系統(tǒng)進(jìn)行全面的信息安全弱點(diǎn)檢查，了解

各信息系統(tǒng)的信息安全現(xiàn)狀。

信息系統(tǒng)安全檢查的范圍包括：主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫系

統(tǒng)、應(yīng)用系統(tǒng)、郵件系統(tǒng)以及其它在用系統(tǒng)。

信息系統(tǒng)安全檢查的工具與方法如下：

a）工具檢查：針對IT沒備建議采用專用的脆弱性評估工具進(jìn)行檢查，如

Nessus、BurpSuite等工具，針對應(yīng)用系統(tǒng)及代碼安全檢查，建議采用商業(yè)專用

軟件進(jìn)行檢查,如IBMAppScan。

b）手工檢查：由信息安全專員或技術(shù)支撐部門相關(guān)人員參照相關(guān)的指導(dǎo)文

檔上機(jī)進(jìn)行手工檢查。

信息安全檢查工作開展前，信息安全管理組需制定安全檢查計劃,對于部分

可用性要求高的業(yè)務(wù)系統(tǒng)或設(shè)備，計劃中要明確執(zhí)行的時間，并且該計劃要通知

相關(guān)部門與系統(tǒng)維護(hù)人員，明確相關(guān)人員的及部門的職責(zé)與注意事項.信息安全

管理組與外服公司針對信息安全檢查須制定《安全檢查方案》方案中，針對工具

掃描部分需明確掃描策略，同時方案必須提供規(guī)避操作風(fēng)險的措施與方法。并且

該方案必須獲得技術(shù)支撐部領(lǐng)導(dǎo)批準(zhǔn)。信息安全管理組應(yīng)對IT系統(tǒng)安全檢查

的結(jié)果進(jìn)行匯總，并進(jìn)行詳細(xì)分析，提供具體的安全解決建議，如安全加固、安

全技術(shù)引進(jìn)等。當(dāng)發(fā)生重大的信息安全事件，信息安全管理組應(yīng)在事后進(jìn)行一次

全面的安全檢查，并通過安全檢查結(jié)果對重要的安全問題進(jìn)行及時解決。

常見的弱點(diǎn)種類分為：

a）技術(shù)性弱點(diǎn)：系統(tǒng)，程序，設(shè)備中存在的漏洞或缺陷，比如結(jié)構(gòu)設(shè)計問題

或編程漏洞；

b）操作性弱點(diǎn)：軟件和系統(tǒng)在配置，操作，使用中的缺陷，包括人員在日常

工作中的不良習(xí)慣，審計或備份的缺乏；

c）管理性弱點(diǎn)：策略，程序，規(guī)章制度，人員意識，組織結(jié)構(gòu)等方面的不足；

識別弱點(diǎn)的途徑包括審計報告，事件報告，安全復(fù)查報告，系統(tǒng)測試及評估

報告，還可以利用專業(yè)機(jī)構(gòu)發(fā)布的列表信息。當(dāng)然許多技術(shù)性和操作性弱點(diǎn)，可

以借助自動化的漏洞掃描工具和滲透測試等方法來識別和評估。在對生命周期敏

感的資產(chǎn)評估過程中，應(yīng)注意從創(chuàng)建，使用，傳輸，存儲，銷毀等不同的階段識

別弱點(diǎn)。弱點(diǎn)的發(fā)現(xiàn)隨著新應(yīng)用,新技術(shù)的出現(xiàn),需要不斷更新完善弱點(diǎn)列表。

5.2.3.2脆弱性核查

安全技術(shù)脆弱性核查需要檢查組織和信息系統(tǒng)自身在技術(shù)方面存在的脆弱

性，以及核查所采取的安全措施有效程度。

5.2.3.3安全技術(shù)脆弱性核查

安全技術(shù)方面脆弱性核杳具體核查方式按照下表實(shí)施:

識別對象識別內(nèi)容

從機(jī)房場地、機(jī)房防火、機(jī)房配供電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防

物理環(huán)境

護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識別。

從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)

網(wǎng)絡(luò)結(jié)構(gòu)

備安全配置等方面進(jìn)行識別。

從補(bǔ)丁安裝、物理保護(hù)、用戶賬戶、口令策略、資源共享、事件審計、訪問控

系統(tǒng)軟件

制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管等方面進(jìn)行識別。

應(yīng)用中間件從協(xié)議安全，交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識別。

從審計機(jī)制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼

應(yīng)用系統(tǒng)

保護(hù)等方面進(jìn)行識別。

5.2.3.4管理技術(shù)脆弱性核查

管理技術(shù)脆弱性核查按照下表進(jìn)行實(shí)施:

識別對象識別內(nèi)容

從物理和環(huán)境安全、通訊與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)

技術(shù)管理

性等方面進(jìn)行識別。

組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進(jìn)行識別。

5.2.4脆弱性賦值

根據(jù)脆弱性對資產(chǎn)的暴露程度、技術(shù)實(shí)現(xiàn)的難易程度、流行程度等，采用等

級方式對己識別的脆弱性的嚴(yán)重程度進(jìn)行賦值。由于很多脆弱性反映的是同一方

面的問題，或可能造成相似的后果，賦值時應(yīng)綜合考慮這些脆弱性，以確定這一

方面脆弱性的嚴(yán)重程度。

對某個資產(chǎn)，其技術(shù)脆弱性的嚴(yán)重程度還受到組織管理脆弱性的影響。因此,

資產(chǎn)的脆弱性賦值還應(yīng)參考技術(shù)管理和組織管理脆弱性的嚴(yán)重程度。對脆弱性進(jìn)

行等級化處理，不同等級代表了資產(chǎn)脆弱性嚴(yán)重程度高低。等級數(shù)值越大，脆弱

性嚴(yán)重程度越高。具體賦值方法參考下表：

等級標(biāo)識定義

5很高如果被威脅利用，將對資產(chǎn)造成完全損害

4高如果被威脅利用，將對資產(chǎn)造成重大損害

3中等如果被威脅利用，將對資產(chǎn)造成??般損害

2低如果被威脅利用，將對資產(chǎn)造成較小損害

1很低如果被威脅利用，對資產(chǎn)造成的損害可以忽略

5.3風(fēng)險分析階段

風(fēng)險分析階段是圍繞被評估組織核心業(yè)務(wù)開展為原則的，評估業(yè)務(wù)所面臨的

安全風(fēng)險。風(fēng)險分析的主要方法是對業(yè)務(wù)相關(guān)的資產(chǎn)，威脅，脆弱性及其各項屬

性的關(guān)聯(lián)分析，綜合進(jìn)行風(fēng)險分析和計算。

5.3.1風(fēng)險計算方法

風(fēng)險評估中風(fēng)險值計算涉及的風(fēng)險要素一般為資產(chǎn)、威脅、和脆弱性；這些

要素的組合方式的風(fēng)險計算原理中指出，由威脅和脆弱性確定安全事件發(fā)生可能

性，由資產(chǎn)和脆弱性確定安全事件的損失，以及由安全事件發(fā)生的可能性和安全

事件的損失確定風(fēng)險值。本項目采用計算方法是矩陣法和相乘法。

風(fēng)險值二R(A,T,V)=R(L(T,V),F(la,Va))

矩陣法計算風(fēng)險

首先需要確定二維計算矩陣，矩陣內(nèi)各個要素的值根據(jù)具體情況和函數(shù)遞增

情況采用數(shù)學(xué)方法確定，然后將兩個元素的值在矩陣中進(jìn)行比對，行列交叉處即

為所確定的計算結(jié)果。

即Z=/(x,y),函數(shù)f可以采用矩陣法。

矩陣法的原理是：

X={xD,xD,...,IWiWm,Xj為正整數(shù)。

Y={yD,y□….，yj},iWjWn,yj為正整數(shù)。

以要素x和要素y的取值構(gòu)建一個二維矩陣，矩陣行值為要素y的所有取

值，矩陣列值為要素x的所有取值。矩陣內(nèi)mXn個值為要素z的取值，z=

{zDD,z,ZiO,IWiWm,IWjWn,zj為正整數(shù)。

相乘法計算風(fēng)險

相乘法提供一種定量的計算方法，直接使用兩個要素值進(jìn)行相乘得到另一個

要素的值。相乘法的特點(diǎn)是簡單明確，直接按照統(tǒng)一公式計算，即可得到所需結(jié)

果。

相乘法的原理是:

Z=/(x,y)=x?y

當(dāng)/為增量時，⑧可以為直接相乘，也可以為相乘后取模等。

相乘法提供一種定量的計算方法，直接使用兩個要素值進(jìn)行相乘得到另一個

要素的值。相乘法的特點(diǎn)是簡單明確，直接按照統(tǒng)一公式計算，即可得到所需結(jié)

果。

在風(fēng)險值計算中，通常需要對兩個要素確定的另一個要素值進(jìn)行計算，例

如由威脅和脆弱性確定安全事件發(fā)生可能性值、由資產(chǎn)和脆弱性確定安全事件的

損失值，因此相乘法在風(fēng)險分析中得到廣泛采用。

通過計算結(jié)果確定風(fēng)險等級劃分。得到兩個重要資產(chǎn)的風(fēng)險值，并根據(jù)風(fēng)險

等級劃分表，確定風(fēng)險等級。

5.3.2風(fēng)險結(jié)果判定

通過上述公式中風(fēng)險值的計算方式，計算每種資產(chǎn)面臨的風(fēng)險值，根據(jù)風(fēng)險

值的分布情況，為每個等級設(shè)定風(fēng)險取值范圍，并對所有風(fēng)險計算結(jié)果進(jìn)行等級

處理。每個等級代表了相應(yīng)風(fēng)險的嚴(yán)重程度，具體參考下表中詳細(xì)描述：

等級標(biāo)識描述

一旦發(fā)生將產(chǎn)生非常嚴(yán)重的經(jīng)濟(jì)或社會影響，如組織信譽(yù)嚴(yán)重破壞、嚴(yán)重影響

5很高

組織的正常經(jīng)營，經(jīng)濟(jì)損失重大、社會影響惡劣。

一旦發(fā)生將產(chǎn)生較大的經(jīng)濟(jì)或社會影響，在一定范圍內(nèi)給組織的經(jīng)營和組織

4高

信譽(yù)造成損害。

一旦發(fā)生會造成一定的經(jīng)濟(jì)、社會或生產(chǎn)經(jīng)營影響，但影響面和影響程度不

3中等

大。

一旦發(fā)生造成的影響程度較低一般僅限于組織內(nèi)部，道過一定手段很快能解

2低

決。

1很低一旦發(fā)生造成的影響幾乎不存在，通過簡單的措施就能彌補(bǔ)。

將風(fēng)險嚴(yán)重程度進(jìn)行等級處理是為了在風(fēng)險管理過程中對不同風(fēng)險的直觀

比較，以確定組織安全策略。組織需要根據(jù)計算出的風(fēng)險值，綜合考慮風(fēng)險控制

成本與風(fēng)險造成的影響，提出一個可接受的風(fēng)險范圍。

5.4風(fēng)險處理階段

在考慮風(fēng)險處理前，如果經(jīng)評估顯示，風(fēng)險較低或處理成本對于組織來說不

劃算，則風(fēng)險可被接受。這些決定應(yīng)加以記錄。

5.4.1風(fēng)險處置建議

風(fēng)險處理依據(jù)風(fēng)險評估結(jié)果，針對風(fēng)險分析階段輸出的風(fēng)險評估報告進(jìn)行風(fēng)

險處理。風(fēng)險處理的基本原則是適度接受風(fēng)險，根據(jù)組織可接受的的處置成本將

參與安全風(fēng)險控制在可接受的范圍之內(nèi)。

5.4.2風(fēng)險處置方法

通常有四種風(fēng)險處置的方法：

a）避免風(fēng)險：在某些情況下，可以決定不繼續(xù)進(jìn)行可能產(chǎn)生風(fēng)險的活動

來規(guī)避風(fēng)險。在某些情況可能是較為穩(wěn)妥的處理辦法，但是在某些情況下可能會

因此而喪失機(jī)會。例如，將重要的計算機(jī)系統(tǒng)與互聯(lián)網(wǎng)隔離，使其免遭來自外部

網(wǎng)絡(luò)的攻擊。

b）降低風(fēng)險：實(shí)施有效控制，將風(fēng)險降低到可接受的程度，實(shí)際上就是力圖

減少威脅發(fā)生的可能性和帶來的影響，包括：

I）減少威脅：例如，建立并實(shí)施惡意軟件控制程序，減少信息系統(tǒng)受惡意軟

件攻擊的機(jī)會；

II）減少弱點(diǎn)：例如，通過安全教育和意識培訓(xùn)，強(qiáng)化職員的安全意識與安

全操作能力；

III）降低影響：例如，制定災(zāi)難回復(fù)計劃和業(yè)務(wù)連續(xù)性計劃，做好備份。

c）轉(zhuǎn)移風(fēng)險：這涉及承擔(dān)或分擔(dān)部分風(fēng)險的另一方。手段包括合同、保險安

排、合伙、資產(chǎn)轉(zhuǎn)移等。

d）接受風(fēng)險：不管如何處置，一般資產(chǎn)面臨的風(fēng)險總是在一定程度上存在。

當(dāng)組織

根據(jù)風(fēng)險評估的方法，完成實(shí)施選擇的控制措施后，會有殘余的風(fēng)險。殘余

風(fēng)險可能是組織可以接受的風(fēng)險，也可能是遺漏了某些信息資產(chǎn)，使其未受保護(hù)。

為確保組織的信息安全，殘余風(fēng)險應(yīng)該控制在可以接受的范圍之內(nèi)。風(fēng)險接受是

對殘余風(fēng)險進(jìn)行確認(rèn)和評價的過程。在實(shí)施安全控制措施后，組織應(yīng)該對安全措

施的情況進(jìn)行評審，即對所選擇的控制在多大程度上降低了風(fēng)險做出判斷。通過

成本利益分析、影響分析及風(fēng)險回顧，即在繼續(xù)處置需要的成本和風(fēng)險之間進(jìn)行

抉擇。風(fēng)險接受要符合風(fēng)險可接受準(zhǔn)則，即風(fēng)險評估結(jié)果中風(fēng)險值為2及以下，

都是可以接受的風(fēng)險，最終上報給最高領(lǐng)導(dǎo)，待領(lǐng)導(dǎo)批準(zhǔn)是否選擇接受風(fēng)險。

5.4.1風(fēng)險處置流程

對不可接受的風(fēng)險應(yīng)根據(jù)導(dǎo)致該風(fēng)險的脆弱性制定風(fēng)險處理計劃。風(fēng)險處理

計劃中應(yīng)明確采取的彌補(bǔ)脆弱性的安全措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、

責(zé)任部門等。安全措施的選擇應(yīng)從管理與技術(shù)兩個方面考慮。安全措施的選擇與

實(shí)施應(yīng)參照信息安全的相關(guān)標(biāo)準(zhǔn)進(jìn)行。

5.4.3風(fēng)險整改建議

風(fēng)險處理的方式一般包括接受、消減、轉(zhuǎn)移、規(guī)避等。安全整改是風(fēng)險處理

中最常用的風(fēng)險消減方法。本方案中提出的安全整改建議是根據(jù)安全風(fēng)險的嚴(yán)重

程度、加固措施的難易程度、降低風(fēng)險的時間緊迫程度、所投入的人員力量及資

金成本等因素綜合考慮的。具體整改建議如下：

a）對于非常嚴(yán)重、需立即降低且加固措施易于實(shí)施的安全風(fēng)險，建議被評

估組織立即才去安全整改措施。

b）對于非常嚴(yán)重，需立即降低，但加固措施不便于實(shí)施的安全風(fēng)險，建議被

評估組織立即制定安全整改實(shí)施方案，盡快實(shí)施安全整改；整改前應(yīng)對相關(guān)安全

隱患進(jìn)行嚴(yán)密監(jiān)控，并做好應(yīng)急預(yù)案。

c）對于比較嚴(yán)重、需降低且加固措施不便于實(shí)施的安全風(fēng)險，建議被評估

組織制定限制實(shí)施的整改方案，整改前應(yīng)對相關(guān)安全隱患進(jìn)行監(jiān)控。

5.4.4殘余風(fēng)險處理

殘余風(fēng)險處理是風(fēng)險評估活動的延續(xù)，是根據(jù)被評估組織按照安全整改建議

全部實(shí)施整改工作后，對仍然存在的安全風(fēng)險進(jìn)行識別、控制和管理的活動。

對于已完成安全加固措施的信息系統(tǒng)，為了確保安全措施的有效性，需要進(jìn)

行殘余風(fēng)險評估，評估流程及內(nèi)容可進(jìn)行針對性裁剪。如殘余風(fēng)險的結(jié)果仍處于

不可接受的風(fēng)險范圍之內(nèi)，需要考慮進(jìn)一步增強(qiáng)相應(yīng)的安全措施。

5.4.5文檔管理

風(fēng)險處理建議工作中產(chǎn)生的文檔需要有《安全整改建議》。對《安全整改建議》

編制過程中產(chǎn)生的所有文件，交流意見、會議記錄應(yīng)納入文檔管理，并做好版本

變更管理。項目結(jié)束后，需要向被評估組織一次性移交所有報告，以及評估工作

中產(chǎn)生的臨時文件。文檔移交后，在沒有得到被評估組織的允許，我方不得保留

和使用這些信息。

6.附錄

附錄A：調(diào)查表

A1業(yè)務(wù)調(diào)查表

序號業(yè)務(wù)系統(tǒng)名稱業(yè)務(wù)描述應(yīng)用模式運(yùn)行平臺訪問地址

A2網(wǎng)絡(luò)系統(tǒng)調(diào)查表

序號調(diào)查項調(diào)查內(nèi)容

1網(wǎng)絡(luò)主要用途□面向公眾口本單位內(nèi)口本行業(yè)口跨行業(yè)

□互聯(lián)網(wǎng)口行業(yè)內(nèi)部使用的廣域網(wǎng)或局域網(wǎng)□內(nèi)部

2單位接入的網(wǎng)絡(luò)

局域網(wǎng)口無

3如有專網(wǎng)，專網(wǎng)名稱

4是否有涉密網(wǎng)絡(luò)。是：是否經(jīng)國家保密部門審批：。是。否

O否

是否按照國家等級保護(hù)。是；是否經(jīng)過有關(guān)部門審批；O是。否

5

要求進(jìn)行定級。否

是否存在多個等保定級O是：口一級□二級口三級□四級口五級

6

網(wǎng)絡(luò)O否：。一級。二級O三級。四級。五級

OlOMOlOOMOlOOOMO其他—

7網(wǎng)絡(luò)主要配置和規(guī)模O100節(jié)點(diǎn)以下0300節(jié)點(diǎn)以下0500節(jié)點(diǎn)以下

0500節(jié)點(diǎn)以上

8網(wǎng)絡(luò)結(jié)構(gòu)圖

A3主機(jī)系統(tǒng)調(diào)查表

序號主機(jī)名稱主機(jī)設(shè)備型號IP地址物理位置主要配置業(yè)務(wù)應(yīng)用

A4資產(chǎn)調(diào)查表

序號資產(chǎn)名稱設(shè)備型號IP地址物理位置業(yè)務(wù)應(yīng)用

A5威脅調(diào)查表

可能影響

威脅來源方位動機(jī)威脅子項嚴(yán)重程度發(fā)生概率備注

的資產(chǎn)

臺風(fēng)

外部

暴雨

環(huán)境因素的

其他威脅

內(nèi)部L漏水

的溫濕度失調(diào)

其他威脅

通訊線路故障

外部

DNS解析故障

的

其他威脅

系統(tǒng)因素計算機(jī)硬件故

內(nèi)部障

的軟件系統(tǒng)故障

其他威脅

針對實(shí)物盜竊

外部

蓄意的網(wǎng)絡(luò)偵聽

的

其他威脅

非授權(quán)掃描

人為因素蓄意的非法網(wǎng)絡(luò)訪問

內(nèi)部其他威脅

的敏感信息暴露

無意的計算機(jī)未鎖定

其他威脅

A6安全產(chǎn)品調(diào)查表

序號產(chǎn)品名稱設(shè)備型號IP地址應(yīng)用物理位置備注

附錄B：安全技術(shù)脆弱性核查表

B1物理安全核查表

序號檢查項檢查結(jié)果

1是否在機(jī)房配備了環(huán)境動力監(jiān)控系統(tǒng)

2是否建立防火、防潮、防雷擊等技術(shù)保障措施

3是否采用斷電保護(hù)