首页 购物车 询价
www.GB-GBT.com

[PDF] GB/T 31509-2015 - 自动发货. 英文版

标准搜索结果: 'GB/T 31509-2015'
标准号码内文价格美元第2步(购买)交付天数标准名称状态
GB/T 31509-2015 英文版 460 GB/T 31509-2015 3分钟内自动发货[PDF] 信息安全技术 信息安全风险评估实施指南 有效

基本信息
标准编号 GB/T 31509-2015 (GB/T31509-2015)
中文名称 信息安全技术 信息安全风险评估实施指南
英文名称 Information security technology -- Guide of implementation for information security risk assessment
行业 国家标准 (推荐)
中标分类 L80
国际标准分类 35.040
字数估计 62,657
发布日期 2015-05-15
实施日期 2016-01-01
引用标准 GB/T 20984-2007; GB/Z 24364-2009
起草单位 国家信息中心
归口单位 全国信息安全标准化技术委员会
标准依据 国家标准公告2015年第15号
提出机构 全国信息安全标准化技术委员会(SAC/TC 260)
发布机构 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会
范围 本标准规定了信息安全风险评估实施的过程和方法。本标准适用于各类安全评估机构或被评估组织对非涉密信息系统的信息安全风险评估项目的管理, 指导风险评估项目的组织、实施、验收等工作。

GB/T 31509-2015 Information security technology - Guide of implementation for information security risk assessment ICS 35.040 L80 中华人民共和国国家标准 信息安全技术 信息安全风险评估 实施指南 2015-05-15发布 2016-01-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布 目次 前言 Ⅲ 引言 Ⅳ 1 范围 1 2 规范性引用文件 1 3 术语、定义和缩略语 1 4 风险评估实施概述 2 4.1 实施的基本原则 2 4.2 实施的基本流程 3 4.3 风险评估的工作形式 3 4.4 信息系统生命周期内的风险评估 4 5 风险评估实施的阶段性工作 4 5.1 准备阶段 4 5.2 识别阶段 10 5.3 风险分析阶段 21 5.4 风险处理建议 24 附录A(资料性附录) 调查表 28 附录B(资料性附录) 安全技术脆弱性核查表 35 附录C(资料性附录) 安全管理脆弱性核查表 45 附录D(资料性附录) 风险分析案例 52 前言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:国家信息中心、国家保密技术研究所、北京信息安全测评中心、上海市信息安全测 评认证中心、沈阳东软系统集成工程有限公司、国和信诚(北京)信息安全有限公司。 本标准主要起草人:吴亚非、禄凯、张志军、陈永刚、赵章界、席斐、应力、马朝斌、倪志强。 引 言 信息安全风险评估是信息安全保障工作的重要内容之一,与信息系统等级保护、信息安全检查、信 息安全建设等工作紧密相关,并通过风险发现、分析、评价为上述相关工作提供支持。 为指导信息安全风险评估工作的开展,本标准依据《信息安全技术 信息安全风险评估规范》 (GB/T 20984-2007),从风险评估工作开展的组织、管理、流程、文档、审核等几个方面提出了相关要 求,是《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)的操作性指导标准,它也是信息 安全风险管理相关标准之一。 信息安全技术 信息安全风险评估 实施指南 1 范围 本标准规定了信息安全风险评估实施的过程和方法。 本标准适用于各类安全评估机构或被评估组织对非涉密信息系统的信息安全风险评估项目的管 理,指导风险评估项目的组织、实施、验收等工作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 20984-2007 信息安全技术 信息安全风险评估规范 GB/Z 24364-2009 信息安全技术 信息安全风险管理指南 3 术语、定义和缩略语 GB/T 20984-2007和GB/Z 24364-2009中界定的以及下列术语和定义适用于本文件。 3.1 术语和定义 3.1.1 实施 implementation 将一系列活动付诸实践的过程。 3.1.2 信息系统的各个生命阶段,包括规划阶段、设计阶段、实施阶段、运行维护阶段和废弃阶段。 3.1.3 评估目标 assessmenttarget 评估活动所要达到的最终目的。 3.1.4 系统调研 systeminvestigation 对信息系统相关的实际情况进行调查了解与分析研究的活动。 3.1.5 评估要素 assessmentfactor 风险评估活动中必须要识别、分析的一系列基本因素。 3.1.6 识别 identify 对某一评估要素进行标识与辨别的过程。 3.1.7 赋值 assignment 对识别出的评估要素根据已定的量化模型给予定量数值的过程。 3.1.8 核查 checkin 将信息系统中的检查信息与制定的检查项进行核对检查的活动。 3.1.9 关键控制点 thekeypoint 在项目实施活动中,具有能够影响到项目整体进度决定性作用的实施活动。 3.1.10 分析模型 analysismodel 依据一定的分析原理,构造的一种模拟分析方法,用于对评估要素的分析。 3.1.11 评价模型 evaluationmodel 依据一定的评价体系,构造若干评价指标,能够对相应的活动进行较为完善的评价。 3.1.12 风险处理 risktreatment 对风险进行处理的一系列活动,如接受风险、规避风险、转移风险、降低风险等。 3.1.13 验收 acceptance 风险评估活动中用于结束项目实施的一种方法,主要由被评估方组织,对评估活动进行逐项检验, 以是否达到评估目标为接受标准。 3.2 缩略语 下列缩略语适用于本文件。 AC:访问(入侵)复杂性(AccessComplexity) AV:访问(入侵)路径(AccessVector) BOF:缓冲区溢出(BufferOverflow) RC:报告可信性(ReportConference) RL:补救水平(RemediationLevel) TD:目标分布(TargetDistribution) 4.1 实施的基本原则 4.1.1 标准性原则 信息系统的安全风险评估,应按照GB/T 20984-2007中规定的评估流程进行实施,包括各阶段性 的评估工作。 4.1.2 关键业务原则 信息安全风险评估应以被评估组织的关键业务作为评估工作的核心,把涉及这些业务的相关网络 与系统,包括基础网络、业务网络、应用基础平台、业务应用平台等作为评估的重点。 4.1.3 可控性原则 在风险评估项目实施过程中,应严格按照标准的项目管理方法对服务过程、人员和工具等进行控 制,以保证风险评估实施过程的可控和安全。 a) 服务可控性: 评估方应事先在评估工作沟通会议中向用户介绍评估服务流程,明确需要得到被评估组织协作的 工作内容,确保安全评估服务工作的顺利进行。 b) 人员与信息可控性: 所有参与评估的人员应签署保密协议,以保证项目信息的安全;应对工作过程数据和结果数据严格 管理,未经授权不得泄露给任何单位和个人。 c) 过程可控性: 应按照项目管理要求,成立项目实施团队,项目组长负责制,达到项目过程的可控。 d) 工具可控性: 安全评估人员所使用的评估工具应该事先通告用户,并在项目实施前获得用户的许可,包括产品本 身、测试策略等。 4.1.4 最小影响原则 对于在线业务系统的风险评估,应采用最小影响原则,即首要保障业务系统的稳定运行,而对于需 要进行攻击性测试的工作内容,需与用户沟通并进行应急备份,同时选择避开业务的高峰时间进行。 4.2 实施的基本流程 GB/T 20984-2007规定了风险评估的实施流程,根据流程中的各项工作内容,一般将风险评估实 施划分为评估准备、风险要素识别、风险分析与风险处理四个阶段。其中,评估准备阶段工作是对评估 实施有效性的保证,是评估工作的开始;风险要素识别阶段工作主要是对评估活动中的各类关键要素资 产、威胁、脆弱性、安全措施进行识别与赋值;风险分析阶段工作主要是对识别阶段中获得的各类信息进 行关联分析,并计算风险值;风险处理建议工作主要针对评估出的风险,提出相应的处置建议,以及按照 处置建议实施安全加固后进行残余风险处理等内容。 4.3 风险评估的工作形式 GB/T 20984-2007明确了风险评估的基本工作形式是自评估与检查评估。 自评估是信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估,可由发起方实 施或委托信息安全服务组织支持实施。实施自评估的组织可根据组织自身的实际需求进行评估目标的 设立,采用完整或剪裁的评估活动。 检查评估是信息系统上级管理部门或国家有关职能部门依法开展的风险评估,检查评估也可委托 信息安全服务组织支持实施。检查评估除可对被检查组织的关键环节或重点内容实施抽样评估外,还 可实施完整的风险评估。 信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充。 4.4 信息系统生命周期内的风险评估 信息系统生命周期一般包括信息系统的规划、设计、实施、运维和废弃五个阶段,风险评估活动应贯 穿于信息系统生命周期的上述各个阶段。 信息系统生命周期各个阶段的风险评估由于各阶段的评估对象、安全需求不同,评估的目的一般也 不同。规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等;设计阶段 风险评估的目的是评估安全设计方案是否满足信息系统安全功能的需求;实施阶段的评估目的是对系 统开发、实施过程进行风险识别,对建成后的系统安全功能进行验证;运行维护阶段的评估目的是了解 和控制系统运行过程中的安全风险;废弃阶段的评估目的是对废弃资产对组织的影响进行分析。 此外,当信息系统的业务目标和需求或技术和管理环境发生变化时,需要再次进入上述五个阶段的 风险评估,使得信息系统的安全适应自身和环境的变化。 5 风险评估实施的阶段性工作 5.1 准备阶段 5.1.1 准备阶段工作内容 5.1.1.1 概述 风险评估准备是整个风险评估过程有效性的保证。由于风险评估受到组织的业务战略、业务流程、 安全需求、系统规模和结构等方面的影响,因此,在风险评估实施前,应充分做好评估前的各项准备工 作。信息安全风险评估涉及组织内部有关重要信息,被评估组织应慎重选择评估单位、评估人员的资质 和资格,并遵从国家或行业相关管理要求。 5.1.1.2 确定评估目标 风险评估应贯穿于信息系统生命周期的各阶段中,由于信息系统生命周期各阶段中风险评估实施 的内容、对象、安全需求均不同,因此被评估组织应首先根据当前信息系统的实际情况来确定在信息系 统生命周期中所处的阶段,并以此来明确风险评估目标。一般而言,组织确定的各阶段的评估目标应符 合以下原则: a) 规划阶段风险评估的目标是识别系统的业务战略,以支撑系统安全需求及安全战略等。规划 阶段的评估应能够描述信息系统建成后对现有业务模式的作用,包括技术、管理等方面,并根 据其作用确定系统建设应达到的安全目标。 b) 设计阶段风险评估的目标是根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能 需求。设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断,作为采 购过程风险控制的依据。 c) 实施阶段风险评估的目标是根据系统安全需求和运行环境对系统开发、实施过程进行风险识 别,并对系统建成后的安全功能进行验证。根据设计阶段分析的威胁和制定的安全措施,在实 施及验收时进行质量控制。 d) 运行维护阶段风险评估的目标是了解和控制运行过程中的安全风险。评估内容包括信息系统 的资产、面临威胁、自身脆弱性以及已有安全措施等各方面。 废弃阶段风险评估的目标是确保废弃资产及残留信息得到了适当的处置,并对废弃资产对组织的 影响进行分析,以确定是否会增加或引入新的风险。 5.1.1.3 确定评估范围 在确定风险评估所处的阶段及相应目标之后,应进一步明确风险评估的评估范围,可以是组织全部 信息及与信息处理相关的各类资产、管理机构,也可以是某个独立信息系统、关键业务流程等。在确定 评估范围时,应结合已确定的评估目标和组织的实际信息系统建设情况,合理定义评估对象和评估范围 边界,可以参考以下依据来作为评估范围边界的划分原则: a) 业务系统的业务逻辑边界; b) 网络及设备载体边界; c) 物理环境边界; d) 组织管理权限边界; e) 其他。 5.1.1.4 组建评估团队 5.1.1.4.1 综述 风险评估实施团队应由被评估组织、评估机构等共同组建风险评估小组;由被评估组织领导、相关 部门负责人,以及评估机构相关人员成立风险评估领导小组;聘请相关专业的技术专家和技术骨干组成 专家组。 风险评估小组应完成评估前的表格、文档、检测工具等各项准备工作;进行风险评估技术培训和保 密教育;制定风险评估过程管理相关规定;编制应急预案等。双方应签署保密协议,适情签署个人保密 协议。 5.1.1.4.2 角色与职责 为确保风险评估工作的顺利有效进行,应采用合理的项目管理机制,主要相关成员角色与职责说明 如表1和表2所示。 表1 风险评估小组-评估机构成员角色与职责说明 评估机构 人员角色 工作职责 项目组长 是风险评估项目中实施方的管理者、责任人,具体工作职责包括: 1) 根据项目情况组建评估项目实施团队; 2) 根据项目情况与被评估方一起确定评估目标和评估范围,并组织项目组成员对被评估方实施系 统调研; 3) 根据评估目标、评估范围及系统调研的情况确定评估依据,并组织编写评估方案; 4) 组织项目组成员开展风险评估各阶段的工作,并对实施过程进行监督、协调和控制,确保各阶段 工作的有效实施; 5) 与被评估组织进行及时有效的沟通,及时商讨项目进展状况及可能发生问题的预测等; 6) 组织项目组成员将风险评估各阶段的工作成果进行汇总,编写《风险评估报告》与《安全整改建 议书》等项目成果物; 7) 负责将项目成果物移交被评估组织,向被评估组织汇报项目成果,并提请项目验收 表1(续) 评估机构 人员角色 工作职责 安全技术 评估人员 是负责风险评估项目中技术方面评估工作的实施人员。具体工作职责包括: 1) 根据评估目标与评估范围的确定参与系统调研,并编写《系统调研报告》的技术部分内容; 2) 参与编写《评估方案》; 3) 遵照《评估方案》实施各阶段具体的技术性评估工作,主要包括:信息资产调查、威胁调查、安全 技术脆弱性核查等; 4) 对评估工作中遇到的问题及时向项目组长汇报,并提出需要协调的资源; 5) 将各阶段的技术性评估工作成果进行汇总,参与编写《风险评估报告》与《安全整改建议书》等项 目成果物; 6) 负责向被评估方解答项目成果物中有关技术性细节问题 安全管理 评估人员 是负责风险评估项目中管理方面评估工作的实施人员。具体工作职责包括: 1) 根据评估目标与评估范围的确定参与系统调研,并编写《系统调研报告》的管理部分内容; 2) 参与编写《评估方案》; 3) 遵照《评估方案》实施各阶段具体的管理性评估工作,主要包括:信息资产调查、威胁调查、安全 管理脆弱性核查等; 4) 对评估工作中遇到的问题及时向项目组长汇报,并提出需要协调的资源; 5) 将各阶段的管理性评估工作成果进行汇总,参与编写《风险评估报告》与《安全整改建议书》等项 目成果物; 6) 负责向被评估方解答项目成果物中有关管理性细节问题 质量管控员 是负责风险评估项目中质量管理的人员。具体工作职责包括: 1) 监督审计各阶段工作的实施进度与时间进度,对可能出现的影响项目进度的问题及时通告项目 组长; 2) 负责对项目文档进行管控 表2 风险评估小组-被评估组织成员角色与职责说明 被评估组织 人员角色 工作职责 项目组长 是风险评估项目中被评估组织的管理者。具体工作职责包括: 1) 与评估机构的项目组长进行工作协调; 2) 组织本单位的项目组成员在风险评估各阶段活动中的配合工作; 3) 组织本单位的项目组成员对项目过程中实施方提交的评估信息、数据及文档资料等进行确认, 对出现的偏离及时指正; 4) 组织本单位的项目组成员对评估机构提交的《风险评估报告》与《安全整改建议书》等项目成果 物进行审阅; 5) 组织对风险评估项目进行验收; 6) 可授权项目协调人负责各阶段性工作,代理实施自己的职责 表2(续) 被评估组织 人员角色 工作职责 信息安全 管理人员 是指被评估组织的专职信息安全管理人员。在风险评估项目中的具体工作职责包括: 1) 在项目组长的安排下,配合评估机构在风险评估各阶段中的工作; 2) 参与对评估机构提交的《评估方案》进行研讨; 3) 参与对项目过程中实施方提交的评估信息、数据及文档资料等进行确认,及时指正出现的偏离; 4) 参与对评估机构提交的《风险评估报告》与《安全整改建议书》等项目成果物进行审阅; 5) 参与对风险评估项目的验收 项目协调人 是指风险评估项目中被评估组织的工作协调人员。具体工作职责是负责与被评估组织各级部门之 间的信息沟通,及时协调、调动相关部门的资源,包括工作场地、物资、人员等,以保障项目的顺利开展 业务人员 是指在被评估组织的业务使用人员代表(应由各业务部门负责人或其授权人员担任)。在风险评估 项目中的具体工作职责包括: 1) 在项目组长的安排下,配合评估机构在风险评估各阶段中的工作; 2) 参与对评估机构提交的《评估方案》进行研讨; 3) 参与对项目过程中实施方提交的评估信息、数据及文档资料等进行确认,及时指正出现的偏离; 4) 参与对评估机构提交的《风险评估报告》与《安全整改建议书》等项目成果物进行审阅; 5) 参与对风险评估项目的验收 运维人员 是指在被评估组织的信息系统运行维护人员。在风险评估项目中的具体工作职责包括: 1) 在项目组长的安排下,配合评估机构在风险评估各阶段中的工作; 2) 参与对评估机构提交的《评估方案》进行研讨; 3) 参与对项目过程中实施方提交的评估信息、数据及文档资料等进行确认,及时指正出现的偏离; 4) 参与对评估机构提交的《风险评估报告》与《安全整改建议书》等项目成果物进行审阅; 5) 参与对风险评估项目的验收 开发人员 是指在被评估组织本单位或第三方外包商的软件开发人员代表。在风险评估项目中的具体工作职 责包括: 1) 在项目组长的安排下,配合评估机构在风险评估各阶段中的工作; 2) 参与对评估机构提交的《评估方案》进行研讨; 3) 参与对项目过程中实施方提交的评估信息、数据及文档资料等进行确认,及时指正出现的偏离; 4) 参与对评估机构提交的《风险评估报告》与《安全整改建议书》等项目成果物进行审阅; 5) 参与对风险评估项目的验收 5.1.1.4.3 风险评估领导小组 风险评估工作领导小组主要负责决策风险评估工作的目的、目标;参与并指导风险评估准备阶段的 启动会议;协调评估实施过程中的各项资源;组织......
英文版: GB/T 31509-2015  
相关标准:GB/T 31506-2022  GB/T 31499-2015  
英文版PDF现货: GB/T 31509-2015  GB/T 31509-2015