标准搜索结果: 'GB/T 20984-2022'
标准编号 | GB/T 20984-2022 (GB/T20984-2022) | 中文名称 | 信息安全技术 信息安全风险评估方法 | 英文名称 | Information security technology -- Risk assessment method for information security | 行业 | 国家标准 (推荐) | 中标分类 | L80 | 国际标准分类 | 35.030 | 字数估计 | 30,347 | 发布日期 | 2022-04-15 | 实施日期 | 2022-11-01 | 旧标准 (被替代) | GB/T 20984-2007 | 引用标准 | GB/T 25069; GB/T 33132-2016 | 起草单位 | 国家信息中心、北京安信天行科技有限公司、信息产业信息安全测评中心、北京信息安全测评中心、中国信息安全测评中心、中国网络安全审查技术与认证中心、中国电子技术标准化研究院、公安部信息安全等级保护评估中心、公安部第一研究所、上海观安信息技术股份有限公司、成都民航电子技术有限责任公司、河南金盾信安检测评估中心有限公司、深圳市南山区政务服务数据管理局、云南公路联网收费管理有限公司、国网宁夏电力有限公司、国网新疆电力有限公司 | 归口单位 | 全国信息安全标准化技术委员会(SAC/TC 260) | 提出机构 | 全国信息安全标准化技术委员会(SAC/TC 260) | 发布机构 | 国家市场监督管理总局、国家标准化管理委员会 | 范围 | 本文件描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。本文件适用于各类组织开展信息安全风险评估工作。 |
GB/T 20984-2022: 信息安全技术 信息安全风险评估方法
GB/T 20984-2022 英文名称: Information security technology -- Risk assessment method for information security
ICS 35.030
CCSL80
中华人民共和国国家标准
代替GB/T 20984-2007
1 范围
本文件描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和
评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。
本文件适用于各类组织开展信息安全风险评估工作。
4 风险评估框架及流程
4.1 风险要素关系
风险评估中基本要素的关系如图1所示。风险评估基本要素包括资产、威胁、脆弱性和安全措施,
并基于以上要素开展风险评估。
4.2 风险分析原理
风险分析原理如下:
a) 根据威胁的来源、种类、动机等,并结合威胁相关安全事件、日志等历史数据统计,确定威胁的能力和频率;
b) 根据脆弱性访问路径、触发要求等,以及已实施的安全措施及其有效性确定脆弱性被利用难易程度;
c) 确定脆弱性被威胁利用导致安全事件发生后对资产所造成的影响程度;
d) 根据威胁的能力和频率,结合脆弱性被利用难易程度,确定安全事件发生的可能性;
e) 根据资产在发展规划中所处的地位和资产的属性,确定资产价值;
f) 根据影响程度和资产价值,确定安全事件发生后对评估对象造成的损失;
g) 根据安全事件发生的可能性以及安全事件造成的损失,确定评估对象的风险值;
h) 依据风险评价准则,确定风险等级,用于风险决策。
4.3 风险评估流程
风险评估的实施流程如图2所示。风险评估流程应包括如下内容。
a) 评估准备,此阶段应包括:
1) 确定风险评估的目标;
2) 确定风险评估的对象、范围和边界;
3) 组建评估团队;
4) 开展前期调研;
5) 确定评估依据;
6) 建立风险评价准则;
7) 制定评估方案。
组织应形成完整的风险评估实施方案,并获得组织最高管理者的支持和批准。
b) 风险识别,此阶段应包括:
1) 资产识别(见5.2.1);
2) 威胁识别(见5.2.2);
3) 已有安全措施识别(见5.2.3);
4) 脆弱性识别(见5.2.4)。
c) 风险分析,此阶段依据识别的结果计算得到风险值。
d) 风险评价,此阶段依据风险评价准则确定风险等级。
沟通与协商和评估过程文档管理贯穿于整个风险评估过程。风险评估工作是持续性的活动,当评
估对象的政策环境、外部威胁环境、业务目标、安全目标等发生变化时,应重新开展风险评估。
风险评估的结果能够为风险处理提供决策支撑,风险处理是指对风险进行处理的一系列活动,如接
受风险、规避风险、转移风险、降低风险等。风险处理按照GB/T 33132-2016开展。
5 风险评估实施
5.1 风险评估准备
组织实施风险评估是一种战略性的考虑,其结果将受到组织规划、业务、业务流程、安全需求、系统
规模和结构等方面的影响。因此,在风险评估实施前应准备以下工作。
a) 在考虑风险评估的工作形式、在生命周期中所处阶段和被评估单位的安全评估需求的基础上,
确定风险评估目标。附录A给出了评估对象生命周期各阶段的风险评估内容,附录B给出了
风险评估的工作形式描述。
b) 确定风险评估的对象、范围和边界。
c) 组建评估团队、明确评估工具。附录C给出了风险评估的工具。
d) 开展前期调研。
e) 确定评估依据。
f) 建立风险评价准则:组织应在考虑国家法律法规要求及行业背景和特点的基础上,建立风险评
价准则,以实现对风险的控制与管理。
g) 制定评估方案。
h) 获得最高管理者支持。评估方案需得到组织最高管理者的支持和批准。
5.2 风险识别
5.2.1 资产识别
5.2.1.1 概述
资产识别是风险评估的核心环节。资产按照层次可划分为业务资产、系统资产、系统组件和单元资
产,如图3所示。因此资产识别应从三个层次进行识别。
5.2.1.2 业务识别
5.2.1.2.1 识别内容
业务是实现组织发展规划的具体活动,业务识别是风险评估的关键环节。业务识别内容包括业务
的属性、定位、完整性和关联性识别。业务识别主要识别业务的功能、对象、流程和范围等。业务的定位
主要识别业务在发展规划中的地位。业务的完整性主要识别其为独立业务或非独立业务。业务的关联
性识别主要识别与其他业务之间的关系。表1提供了一种业务识别内容的参考。
5.2.1.2.2 业务重要性赋值
应根据业务的重要程度进行等级划分,并对其重要性进行赋值。表2提供了一种业务重要性赋值的参考。
5.2.1.3 系统资产识别
5.2.1.3.1 识别内容
系统资产识别包括资产分类和业务承载性识别两个方面。表3给出了系统资产识别的主要内容描
述。系统资产分类包括信息系统、数据资源和通信网络,业务承载性包括承载类别和关联程度。
5.2.1.3.2 系统资产价值赋值
系统资产价值应依据资产的保密性、完整性和可用性赋值,结合业务承载性、业务重要性,进行综合
计算,并设定相应的评级方法进行价值等级划分,等级越高表示资产越重要。表4中给出了系统资产价
值等级划分的描述。资产保密性、完整性、可用性赋值以及业务承载性赋值方法见附录D。
5.2.1.4 系统组件和单元资产识别
5.2.1.4.1 识别内容
系统组件和单元资产应分类识别,系统组件和单元资产分类包括系统组件、系统单元、人力资源和
其他资产。表5给出了系统组件和单元资产识别的主要内容描述。
5.2.1.4.2 系统组件和单元资产价值赋值
系统组件和单元资产价值应依据其保密性、完整性、可用性赋值进行综合计算,并设定相应的评级
方法进行价值等级划分,等级越高表示资产越重要。表6中给出了系统组件和单元资产价值等级划分
的描述。资产保密性、完整性、可用性赋值方法见附录D。
5.2.2 威胁识别
5.2.2.1 威胁识别内容
威胁识别的内容包括威胁的来源、主体、种类、动机、时机和频率。
在对威胁进行分类前,应识别威胁的来源。威胁来源包括环境、意外和人为三类,附录E给出了威
胁识别的参考方法。表E.1给出了一种威胁来源的分类方法。
根据威胁来源的不同,威胁可划分为信息损害和未授权行为等威胁种类。表E.2给出了一种威胁
种类划分的参考。
威胁主体依据人为和环境进行区分,人为的分为国家、组织团体和个人,环境的分为一般的自然灾
害、较为严重的自然灾害和严重的自然灾害。
威胁动机是指引导、激发人为威胁进行某种活动,对组织业务、资产产生影响的内部动力和原因。
威胁动机可划分为恶意和非恶意,恶意包括攻击、破坏、窃取等,非恶意包括误操作、好奇心等。
5.2.2.2 威胁赋值
威胁赋值应基于威胁行为,依据威胁的行为能力和频率,结合威胁发生的时机,进行综合计算,并设
定相应的评级方法进行等级划分,等级越高表示威胁利用脆弱性的可能性越大。表7中给出了威胁赋
值等级划分的描述。
5.2.3 已有安全措施识别
安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆
弱性导致安全事件发生的可能性,保护性安全措施可以减少安全事件发生后对组织或系统造成的影响。
在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评
估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。
5.2.4 脆弱性识别
5.2.4.1 脆弱性识别内容
如果脆弱性没有对应的威胁,则无需实施控制措施,但应注意并监视他们是否发生变化。相反,如
果威胁没有对应的脆弱性,也不会导致风险。应注意,控制措施的不合理实施、控制措施故障或控制措
施的误用本身也是脆弱性。控制措施因其运行的环境,可能有效或无效。
脆弱性可从技术和管理两个方面进行审视。技术脆弱性涉及IT环境的物理层、网络层、系统层、
应用层等各个层面的安全问题或隐患。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方
面,前者与具体技术活动相关,后者与管理环境相关。
脆弱性识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的脆弱性,并对
脆弱性的严重程度进行评估;也可以从物理、网络、系统、应用等层次进行识别,然后与资产、威胁对应起
来。脆弱性识别的依据可以是国际或国家安全标准,也可以是行业规范、应用流程的安全要求。对应用
在不同环境中的相同的脆弱性,其影响程度是不同的,评估方应从组织安全策略的角度考虑,判断资产
的脆弱性被利用难易程度及其影响程度。同时,应识别信息系统所采用的协议、应用流程的完备与否、
与其他网络的互联等。
对不同的识别对象,其脆弱性识别的具体要求应参照相应的技术或管理标准实施。表8给出了一
种脆弱性识别内容的参考。
5.2.4.2 脆弱性被利用难易程度赋值
脆弱性被利用难易程度赋值需要综合考虑已有安全措施的作用。一般来说,安全措施的使用将降
低系统技术或管理上脆弱性被利用难易程度,但安全措施确认并不需要和脆弱性识别过程那样具体到
每个资产、组件的脆弱性,而是一类具体措施的集合。
依据脆弱性和已有安全措施识别结果,得出脆弱性被利用难易程度,并进行等级化处理,不同的等
级代表脆弱性被利用难易程度高低。等级数值越大,脆弱性越容易被利用。表9给出了脆弱性被利用
难易程度的一种赋值方法。
5.2.4.3 影响程度赋值
影响程度赋值是指脆弱性被威胁利用导致安全事件发生后对资产价值所造成影响的轻重程度分析
并赋值的过程。识别和分析资产可能受到的影响时,需要考虑受影响资产的层面。可从业务层面、系统
层面、系统组件和单元三个层面进行分析。
影响程度赋值需要综合考虑安全事件对资产保密性、完整性和可用性的影响。影响程度赋值采用
等级划分处理方式,不同的等级分别代表对资产影响的高低。等级数值越大,影响程度越高。表10给
出了影响程度的一种赋值方法。
5.3 风险分析
组织应在风险识别基础上开展风险分析,风险分析应:
a) 根据威胁的能力和频率,以及脆弱性被利用难易程度,计算安全事件发生的可能性;
b) 根据安全事件造成的影响程度和资产价值,计算安全事件发生后对评估对象造成的损失;
c) 根据安全事件发生的可能性以及安全事件发生后造成的损失,计算系统资产面临的风险值;
d) 根据业务所涵盖的系统资产风险值综合计算得出业务风险值。
具体风险计算过程见附录F。
5.4 风险评价
5.4.1 系统资产风险评价
根据风险评价准则对系统资产风险计算结果进行等级处理。表11给出了一种系统资产风险等级划分方法。
5.4.2 业务风险评价
根据风险评价准则对业务风险计算结果进行等级处理,在进行业务风险评价时,可从社会影响和组
织影响两个层面进行分析。社会影响涵盖国家安全,社会秩序,公共利益,公民、法人和其他组织的合法
权益等方面;组织影响涵盖职能履行、业务开展、触犯国家法律法规、财产损失等方面。表12给出了一
种基于后果的业务风险等级划分方法。
5.5 沟通与协商
风险评估实施团队应在风险评估过程中与内部相关方和外部相关方保持沟通并对沟通内容予以记
录,沟通的内容应包括:
a) 为理解风险及相关问题和决策而就风险及其相关因素相互交流信息和意见;
b) 相关方已表达的对风险事件的关注、意见以及相应的反应。
5.6 风险评估文档记录
5.6.1 风险评估文档记录要求
记录风险评估过程的相关文档,应符合以下要求(包括但不限于):
a) 确保文档发布前是得到批准的;
b) 确保文档的更改和现行修订状态是可识别的 (有版本控制措施);
c) 确保文档的分发得到适当控制,并确保在使用时可获得有关版本的适用文档;
d) 防止作废文档的非预期使用,若因任何目的需保留作废文档时,应对这些文档进行适当的标识。
对于风险评估过程中形成的相关文档,还应规定其标识、存储、保护、检索、保存期限以及处置所需
的控制。相关文档是否需要以及详略程度由组织的管理者来决定。
5.6.2 风险评估文档
风险评估文档是指在风险评估过程中产生的过程文档和结果文档,包括(但不仅限于此):
a) 风险评估方案:阐述风险评估目......
|