标准搜索结果: 'GB/T 20984-2007'
| 标准编号 | GB/T 20984-2007 (GB/T20984-2007) | | 中文名称 | 信息安全技术 信息安全风险评估规范 | | 英文名称 | Information security technology -- Risk assessment specification for information security | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 31,323 | | 发布日期 | 2007-06-14 | | 实施日期 | 2007-11-01 | | 引用标准 | GB/T 9361; GB 17859-1999; GB/T 18336-2001; GB/T 19716-2005 | | 标准依据 | 国标公告2007年第6号(总第106号)(国标委) | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法, 以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。本标准适用于规范组织开展的风险评估工作。 | GB/T 20984-2007: 信息安全技术 信息安全风险评估规范
GB/T 20984-2007 英文名称: Information security technology -- Risk assessment specification for information security
中华人民共和国国家标准
GB/T 20984-2007
信息安全技术
信息安全风险评估规范
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
1 范围
本标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在信
息系统生命周期不同阶段的实施要点和工作形式。
本标准适用于规范组织开展的风险评估工作。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有
的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本部分达成协议的各方研究
是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 9361 计算站场地安全要求
GB 17859-1999 计算机信息系统安全保护等级划分准则
GB/T 18336-2001 信息技术 安全技术 信息技术安全性评估准则(idt ISO /IEC 15408:1999)
GB/T 19716-2005 信息技术 信息安全管理实用规则(ISO /IEC 17799:2000,MOD)
3 术语和定义
下列术语和定义适用于本标准。
4 风险评估框架及流程
4.1 风险要素关系
风险评估中各要素的关系如图1所示:
图1中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。风险
评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考
虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。
图1中的风险要素及属性之间存在着以下关系:
a) 业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;
b) 资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;
c) 风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成为安全事件;
d) 资产的脆弱性可能暴露资产的价值,资产具有的脆弱性越多则风险越大;
e) 脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;
f) 风险的存在及对风险的认识导出安全需求;
g) 安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;
h) 安全措施可抵御威胁,降低风险;
i) 残余风险有些是安全措施不当或无效,需要加强才可控制的风险;而有些则是在综合考虑了安
全成本与效益后不去控制的风险;
j) 残余风险应受到密切监视,它可能会在将来诱发新的安全事件。
4.2 风险分析原理
风险分析原理如图2所示:
风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性,资产的属性是资产
价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。
风险分析的主要内容为:
a) 对资产进行识别,并对资产的价值进行赋值;
b) 对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;
c) 对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;
d) 根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;
e) 根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;
f) 根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影
响,即风险值。
4.3 实施流程
风险评估的实施流程如图3所示:
5 风险评估实施
5.1 风险评估准备
5.1.1 概述
风险评估准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑,其结
果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此,在风险评估实施
前,应:
a) 确定风险评估的目标;
b) 确定风险评估的范围;
c) 组建适当的评估管理与实施团队;
d) 进行系统调研;
e) 确定评估依据和方法;
f) 制定风险评估方案;
g) 获得最高管理者对风险评估工作的支持。
5.1.2 确定目标
根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容,识别现有信息系统及管理
上的不足,以及可能造成的风险大小。
5.1.3 确定范围
风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立
的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。
5.1.4 组建团队
风险评估实施团队,由管理层、相关业务骨干、信息技术等人员组成风险评估小组。必要时,可组建
由评估方、被评估方领导和相关部门负责人参加的风险评估领导小组,聘请相关专业的技术专家和技术
骨干组成专家小组。
评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作,进行风险评估技术培训和保
密教育,制定风险评估过程管理相关规定。可根据被评估方要求,双方签署保密合同,必要时签署个人
保密协议。
5.1.5 系统调研
系统调研是确定被评估对象的过程,风险评估小组应进行充分的系统调研,为风险评估依据和方法
的选择、评估内容的实施奠定基础。调研内容至少应包括:
a) 业务战略及管理制度;
b) 主要的业务功能和要求;
c) 网络结构与网络环境,包括内部连接和外部连接;
d) 系统边界;
e) 主要的硬件、软件;
f) 数据和信息;
g) 系统和数据的敏感性;
h) 支持和使用系统的人员;
i) 其他。
系统调研可以采取问卷调查、现场面谈相结合的方式进行。调查问卷是提供一套关于管理或操作
控制的问题表格,供系统技术或管理人员填写;现场面谈则是由评估人员到现场观察并收集系统在物
理、环境和操作方面的信息。
5.1.6 确定依据
根据系统调研结果,确定评估依据和评估方法。评估依据包括(但不仅限于):
a) 现行国际标准、国家标准、行业标准;
b) 行业主管机关的业务系统的要求和制度;
c) 系统安全保护等级要求;
d) 系统互联单位的安全要求;
e) 系统本身的实时性或性能要求等。
根据评估依据,应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方法,
并依据业务实施对系统安全运行的需求,确定相关的判断依据,使之能够与组织环境和安全要求相
适应。
5.1.7 制定方案
风险评估方案的目的是为后面的风险评估实施活动提供一个总体计划,用于指导实施方开展后续
工作。风险评估方案的内容一般包括(但不仅限于):
a) 团队组织:包括评估团队成员、组织结构、角色、责任等内容;
b) 工作计划:风险评估各阶段的工作计划,包括工作内容、工作形式、工作成果等内容;
c) 时间进度安排:项目实施的时间进度安排。
5.1.8 获得支持
上述所有内容确定后,应形成较为完整的风险评估实施方案,得到组织最高管理者的支持、批准;对
管理层和技术人员进行传达,在组织范围内就风险评估相关内容进行培训,以明确有关人员在风险评估
中的任务。
5.2 资产识别
5.2.1 资产分类
保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济
价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度
来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以
及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此,应对组织中的资产进行识别。
在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而
且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及
相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法
可以根据具体的评估对象和要求,由评估者灵活把握。根据资产的表现形式,可将资产分为数据、软件、
硬件、服务、人员等类型。表1列出了一种资产分类方法。
5.2.2 资产赋值
5.2.2.1 保密性赋值
根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上应达成的不
同程度或者保密性缺失时对整个组织的影响。表2提供了一种保密性赋值的参考。
5 很高
包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果
泄露会造成灾难性的损害
4 高 包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害
3 中等 组织的一般性秘密,其泄露会使组织的安全和利益受到损害
2 低
仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微
损害
1 很低 可对社会公开的信息,公用的信息处理设备和系统资源等
5.2.2.2 完整性赋值
根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上缺失时对整
个组织的影响。表3提供了一种完整性赋值的参考。
5 很高
完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业
务冲击重大,并可能造成严重的业务中断,难以弥补
5.2.2.3 可用性赋值
根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上应达成的不
同程度。表4提供了一种可用性赋值的参考。
表4 资产可用性赋值表
赋值 标识 定 义
5 很高
可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不
允许中断
4 高
可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中
断时间小于10min
3 中等
可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或
系统允许中断时间小于30min
2 低
可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或
系统允许中断时间小于60min
1 很低 可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%
5.2.2.4 资产重要性等级
资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。综合评定方法
可以根据自身的特点,选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的
最终赋值结果;也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的
最终赋值结果。加权方法可根据组织的业务特点确定。
本标准中,为与上述安全属性的赋值相对应,根据最终赋值将资产划分为五级,级别越高表示资产
越重要,也可以根据组织的实际情况确定资产识别中的赋值依据和等级。表5中的资产等级划分表明
了不同等级的重要性的综合描述。评估者可根据资产赋值结果,确定重要资产的范围,并主要围绕重要
资产进行下一步的风险评估。
5.3 威胁识别
5.3.1 威胁分类
威胁可以通过威胁主体、资源、动机、途径等多种属......
|