信息安全风险管理指南[全文]

《信息安全风险管理指南[全文]》由会员分享，可在线阅读，更多相关《信息安全风险管理指南[全文]（60页珍藏版）》请在装配图网上搜索。

1、 GA/T 2001GA/T 20011. 目次I目次 V前 言 1信息安全风险管理指南 11 范围 12 规范性引用文件 13 信息安全风险管理概述 13.1 信息安全风险管理的目的和意义 23.2 信息安全风险管理的范围和对象 33.3 信息安全风险管理的内容和过程 43.4 信息安全风险管理与信息系统生命周期和信息安全目标的关系 43.4.1 信息系统生命周期 43.4.2 信息安全目标 53.4.3 三者关系 63.5 信息安全风险管理的角色和责任 74 信息安全风险管理的对象确立 84.1 对象确立概述 84.1.1 对象确立的概念 84.1.2 对象确立的目的 84.1.3 对象确

2、立的依据 84.2 对象确立过程 84.2.1 风险管理准备 94.2.2 信息系统调查 104.2.3 信息系统分析 104.2.4 信息安全分析 114.3 对象确立文档 115 信息安全风险管理的风险评估 125.1 风险评估概述 125.1.1 风险评估的概念 135.1.2 风险评估的方法和工具 135.1.3 风险评估的地位和意义 135.1.4 风险评估的作用范围 145.2 风险评估过程 145.2.1 风险评估准备 155.2.2 风险因素识别 165.2.3 风险程度分析 185.2.4 风险等级评价 195.3 风险评估文档 206 信息安全风险管理的风险控制 206.1

3、 风险控制概述 206.1.1 风险控制的概念 206.1.2 风险控制的目的 206.1.3 风险控制的方式 216.1.4 风险控制的模型 216.1.5 风险控制的需求和措施 236.2 风险控制过程 246.2.1 现存风险判断 256.2.2 控制目标确立 266.2.3 控制措施选择 266.2.4 控制措施实施 276.3 风险控制文档 287 信息安全风险管理的审核批准 287.1 审核批准概述 287.1.1 审核批准的概念 287.1.2 审核批准的原则 287.2 审核批准过程 297.2.1 审核申请 307.2.2 审核处理 317.2.3 批准申请 327.2.4

4、批准处理 327.2.5 持续监督 337.3 审核批准文档 348 信息安全风险管理的监控与审查 358.1 监控与审查概述 358.1.1 监控与审查的概念 358.1.2 监控与审查的意义 358.1.3 监控与审查的内容 358.2 监控与审查过程 368.2.1 贯穿对象确立 368.2.2 贯穿风险评估 378.2.3 贯穿风险控制 388.2.4 贯穿审核批准 398.3 监控与审查文档 399 信息安全风险管理的沟通与咨询 399.1 沟通与咨询概述 399.1.1 沟通与咨询的概念 399.1.2 沟通与咨询的意义 399.1.3 沟通与咨询的目标 409.1.4 沟通与咨询

5、的方式 419.2 沟通与咨询过程 419.2.1 贯穿对象确立 429.2.2 贯穿风险评估 439.2.3 贯穿风险控制 449.2.4 贯穿审核批准 449.3 沟通与咨询文档 4510 规划阶段的信息安全风险管理 4510.1 安全需求和目标 4510.2 风险管理的过程与活动 4510.2.1 风险管理过程概述 4610.2.2 明确安全总体方针 4710.2.3 安全需求分析 4710.2.4 风险评价准则达成一致 4811 设计阶段的信息安全风险管理 4811.1 安全需求和目标 4811.2 风险管理的过程和活动 4811.2.1 风险管理过程概述 4911.2.2 安全技术选

6、择 4911.2.3 安全产品选型 4911.2.4 软件设计风险控制 5012 实施阶段的信息安全风险管理 5012.1 安全需求和目标 5012.2 风险管理的过程与活动 5012.2.1 风险管理过程概述 5112.2.2 检查与配置 5112.2.3 安全测试 5112.2.4 人员培训 5112.2.5 授权系统运行 5213 运维阶段的信息安全风险管理 5213.1 安全需求和目标 5213.2 风险管理的过程和活动 5313.2.1 风险管理过程概述 5313.2.2 安全运行和管理 5413.2.3 变更管理 5413.2.4 风险再评估 5413.2.5 定期重新审批 541

7、4 废弃阶段的信息安全风险管理 5414.1 安全需求和目标 5414.2 风险管理的过程和活动 5514.2.1 风险管理过程概述 5514.2.2 确定废弃对象 5514.2.3 废弃对象的风险评估 5514.2.4 废弃过程的风险控制 5614.2.5 废弃后的评审 前 言为贯彻落实全国信息安全保障工作会议精神，根据采取必要措施进行信息安全风险防范的工作要求，制定本标准。本标准针对信息安全风险管理所涉及的对象确立、风险评估、风险控制、审核批准、沟通咨询等不同过程进行了综合性描述和规范，对信息安全风险管理在信息系统生命周期各阶段的应用作了系统阐述。本标准适用于信息安全保障体系建设中进行风险

8、管理的有关组织和人员。也可为组织内部进行信息安全风险管理提供指导和参考。本标准可与国家其他相关标准结合使用。本标准包括以下一个标准文本：信息安全风险管理指南本标准由国务院信息化工作办公室提出。本标准由国务院信息化工作办公室归口。本标准起草单位：国家信息中心信息安全研究与服务中心、国家保密技术研究所、中科院信息安国家重点实验室、公安部三所等级保护评估中心、北京市测评认证中心、北京清华得实科技股份有限公司、凝瑞、山东科飞管理咨询有限公司、北京天融信网络安全技术有限公司、北京思乐信息技术有限公司、安氏互联网安全系统（中国）有限公司。本标准主要起草人：范红、闵京华、屈薇、李文生、李双成、王毅刚、孙铁、

9、马朝斌、张玉清、孙涛、高志民。我们特别感谢在本标准起草过程中做出了重要贡献的人员，他们是：国信办贾颖禾研究员、解放军测评认证中心崔书昆研究员、中科院信息安全国家重点实验室赵战生教授、公安部十一局景乾元处长、国家保密技术研究所杜虹所长、国家信息中心宁家骏首席工程师、国家信息中心信息安全研究与服务中心吴亚非主任。本标准由XXX负责解释。 信息安全风险管理指南范围本标准规定了信息安全风险管理的内容和过程，并提供了信息系统生命周期不同阶段的信息安全风险管理措施，适用于信息系统的使用单位加强信息系统安全管理。规范性引用文件下列参考文档对于本标准的应用是必不可少的。有日期标识的参考标准，只有现行有效版本适

10、用。没有日期标识的参考标准，最新版本适用。（1）信息安全风险评估指南(2)BS 7799-1:2000 信息技术信息安全管理实施细则（3）BS 7799-2:2002 信息安全管理体系规范及应用指南（4）ISO/IEC TR 13335 信息技术IT安全管理指导方针信息安全风险管理概述信息安全风险管理的目的和意义一个机构要利用其拥有的资产来完成其使命。在信息时代，信息成为第一战略资源，更是起着至关重要的作用。因此，信息资产的安全是关系到该机构能否完成其使命的大事。资产与风险是天生的一对矛盾，资产价值越高，面临的风险就越大。信息资产有着与传统资产不同的特性，面临着新型风险。信息安全风险管理的目的

11、就是要缓解和平衡这一对矛盾，将风险控制到可接受的程度，保护信息及其相关资产，最终保证机构能够完成其使命。信息安全风险管理是信息安全保障工作中的一项基础性工作，主要表现在以下几方面：信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。在信息安全保障体系中，技术是工具，组织是运作，管理是指导，它们紧密配合，共同实现信息安全保障的目标。信息安全保障体系的技术、组织和管理等方面都存在着相关风险，需要采用信息安全风险管理的方法加以控制。信息安全风险管理贯穿信息系统生命周期的全部过程。信息系统生命周期包括规划、设计、实施、运维和废弃五个阶段。每个阶段都存在着相关风险，同样需要采用信息安全风险管

12、理的方法加以控制。信息安全风险管理依据等级保护的思想和适度安全的原则，平衡成本与效益，合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基础设施，确定合适的安全措施，从而确保机构具有完成其使命的信息安全保障能力。信息安全风险管理的范围和对象信息安全风险管理是基于风险的信息安全管理，也就是，始终以风险为主线进行信息安全的管理。信息安全的概念涵盖了信息、信息载体和信息环境三个方面的安全。信息指信息自身；信息载体指信息的承载体，包括物理平台、系统平台、通信平台、网络平台和应用平台；信息环境指信息及信息载体所处的环境，包括硬环境和软环境。信息、信息载体和信息环境是信息安全的三大类保护对象，其

13、相互关系和详细内容如图1.1和表1.1所示。因此，信息安全是指由信息、信息载体和信息环境组成的信息系统的安全。图1.1 信息安全的保护对象及其定位关系表1.1 信息安全保护对象的分类和示例大类子类示例信息文本、图形、图片、音频、视频、动画、立体等形式。信息载体物理平台计算芯片（CPU、控制芯片、专用处理芯片等）、存储介质（内存、磁盘、光盘、磁带等）、通信介质（双绞线、同轴电缆、光纤、微波、红外线、卫星等）、人机界面（终端、键盘、鼠标、打印机、扫描仪、数字摄像机、数字放映机等）等硬件。系统平台操作系统、数据库系统等系统软件。通信平台通信协议及其软件。网络平台网络协议及其软件。应用平台应用协议及其

14、软件。信息环境硬环境机房、电力、照明、温控、湿控、防盗、防火、防震、防水、防雷、防电磁辐射、抗电磁干扰等设施。软环境国家法律、行政法规、部门规章、政治经济、社会文化、思想意识、教育培训、人员素质、组织机构、监督管理、安全认证等方面。从概念上讲，信息安全风险管理涉及到信息安全上述三个方面（即信息、信息载体和信息环境）中包含的所有相关对象。对于一个具体的信息系统，信息安全风险管理主要涉及到该信息系统的关键和敏感部分。因此，根据实际信息系统的不同，信息安全风险管理的侧重点，即重点选择的风险管理范围和对象有所不同。信息安全风险管理的内容和过程信息安全风险管理包括对象确立（Objects Establi

15、shment）、风险评估（Risk Assessment）、风险控制（Risk Control）、审核批准（Audit & Authorization）、监控与审查（Monitor & Review）和沟通与咨询（Communication & Consultation）六个方面的内容。对象确立、风险评估、风险控制和审核批准是信息安全风险管理的四个基本步骤，监控与审查和沟通与咨询则贯穿于这四个基本步骤中，如图1.2所示。图1.2 信息安全风险管理的内容和流程第一步骤是对象确立，根据要保护系统的业务目标和特性，确定风险管理对象。第二步骤是风险评估，针对确立的风险管理对象所

16、面临的风险进行识别、分析和评价。第三步骤是风险控制，依据风险评估的结果，选择和实施合适的安全措施。第四步骤是审核批准，包括审核和批准两部分：审核是指通过审查、测试、评审等手段，检验风险评估和风险控制的结果是否满足信息系统的安全要求；批准是指机构的决策层依据审核的结果，做出是否认可的决定。当受保护系统的业务目标和特性发生变化或面临新的风险时，需要再次进入上述四个步骤，形成新的一次循环。因此，对象确立、风险评估、风险控制和审核批准构成了一个螺旋式上升的循环，使得受保护系统在自身和环境的变化中能够不断应对新的安全需求和风险。监控与审查对上述四个步骤进行监控和审查。监控是监视和控制，一是监视和控制风险

17、管理过程，即过程质量管理，以保证上述四个步骤的过程有效性；二是分析和平衡成本效益，即成本效益管理，以保证上述四个步骤的成本有效性。审查是跟踪受保护系统自身或所处环境的变化，以保证上述四个步骤的结果有效性。监控与审查依据对当前步骤的监控和审查结果，控制上述四个步骤的主循环，形成许多局部循环。也就是说，在当前步骤的监控和审查结果通过时，进入下一个步骤；否则，继续当前步骤或退到前面的适当步骤。由此，保证主循环中各步骤的有效性。沟通与咨询为上述四个步骤的相关人员提供沟通和咨询。沟通是为上述过程参与人员提供交流途径，以保持他们之间的协调一致，共同实现安全目标。咨询是为上述过程所有相关人员提供学习途径，以

18、提高他们的风险意识和知识，配合实现安全目标。信息安全风险管理与信息系统生命周期和信息安全目标的关系信息系统生命周期信息系统生命周期是某一信息系统从无到有，再到扬弃的整个过程，包括规划（Plan）、设计（Design）、实施（Implementation）、运维（Operation & Maintenance）和废弃（Disposal）五个基本阶段。在规划阶段，确定信息系统的目的、范围和需求，分析和论证可行性，提出总体方案。在设计阶段，依据总体方案，设计信息系统的实现结构（包括功能划分、接口协议和性能指标等）和实施方案（包括实现技术、设备选型和系统集成等）。在实施阶段，按照实施方案，购买

19、和检测设备，开发定制功能，集成、部署、配置和测试系统，培训人员等。在运维阶段，运行和维护系统，保证信息系统在自身和所处环境的变化中始终能够正常工作和不断升级。在废弃阶段，对信息系统的过时或无用部分进行报废处理。当信息系统的业务目标和需求或技术和管理环境发生变化时，需要再次进入上述五个阶段，形成新的一次循环。因此，规划、设计、实施、运维和废弃构成了一个螺旋式上升的循环，使得信息系统不断适应自身和环境的变化。信息安全目标信息安全目标就是要实现信息系统的基本安全特性（即信息安全基本属性），并达到所需的保障级别（Assurance Level）。信息安全基本属性包括保密性（Confidentialit

20、y）、完整性（Integrity）、可用性（Availability）、可追究性（Accountability）和抗否认性（Undeniability）等，每一属性都有相应的保障级别作为其强度的度量，如图1.3所示。图1.3 信息安全基本属性及其保障级别保密性指信息与信息系统不被非授权者所获取或利用的特性，包括数据保密和访问控制等方面。完整性指信息与信息系统真实、准确和完备，不被冒充、伪造和篡改的特性，包括身份真实、数据完整和系统完整等方面。可用性指信息与信息系统可被授权者在需要的时候访问和使用的特性。可追究性指从一个实体的行为能够唯一追溯到该实体的特性，可以支持故障隔离、攻击阻断和事后恢复等

21、。抗否认性指一个实体不能够否认其行为的特性，可以支持责任追究、威慑作用和法律行动等。保障级别指保密性、完整性、可用性、可追究性和抗否认性在具体实现中达到的级别或强度，可以作为安全信任度的尺度。信息系统的安全保障级别主要是通过对信息系统进行安全测评和认证来确定的。三者关系信息安全风险管理与信息系统生命周期和信息安全目标均为直交关系，构成三维结构，如图1.4所示。图1.4 信息安全风险管理、信息系统生命周期和信息安全目标的三维结构关系第一维（X轴）表示信息安全风险管理，包括对象确立、风险评估、风险控制和审核批准四个基本步骤，以及贯穿这四个基本步骤的监控与审查和沟通与咨询。第二维（Y轴）表示信息系统

22、生命周期，包括规划、设计、实施、运维和废弃五个基本阶段。第三维（Z轴）表示信息安全目标，包括保密性、完整性、可用性、可追究性和抗否认性五个信息安全基本属性，以及它们的保障级别。三者关系可简要表述为，信息系统生命周期的任何一个阶段，为了达到其信息安全目标，都需要相应的信息安全风险管理。三维结构关系表达了信息安全风险管理的整个过程分别体现在信息系统生命周期的各个阶段，且内容上分别反映各个阶段的特性及其信息安全目标。信息系统生命周期各阶段的特性及其信息安全目标的保障级别随行业特点的不同而不同，也就是说，不同的行业在信息系统生命周期的不同阶段，对信息安全基本属性（即保密性、完整性、可用性、可追究性和抗

23、否认性）的要求和侧重不同。因此，可在本标准指导下开发行业的信息安全风险管理指南。信息安全风险管理的角色和责任信息安全风险管理是基于风险的信息系统安全管理。因此，信息安全风险管理涉及人员，既包括信息安全风险管理的直接参与人员，也包括信息系统的相关人员。表1.2对信息安全风险管理相关人员的角色和责任进行了归纳和分类。表1.2 信息安全风险管理相关人员的角色和责任层面信息系统信息安全风险管理角色内外部责任角色内外部责任决策层主管者内负责信息系统的重大决策。主管者内负责信息安全风险管理的重大决策。管理层管理者内负责信息系统的规划，以及建设、运行、维护和监控等方面的组织和协调。管理者内负责信息安全风险管

24、理的规划，以及实施和监控过程中的组织和协调。执行层建设者内或外负责信息系统的设计和实施。执行者内或外负责信息安全风险管理的实施。运行者内负责信息系统的日常运行和操作。维护者内或外负责信息系统的日常维护，包括维修和升级。监控者内负责信息系统的监视和控制。监控者内负责信息安全风险管理过程、成本和结果的监视和控制。支持层专业者外为信息系统提供专业咨询、培训、诊断和工具等服务。专业者外为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。用户层使用者内或外利用信息系统完成自身的任务。受益者内或外反馈信息安全风险管理的效果。信息安全风险管理的对象确立对象确立概述对象确立的概念对象确立是信息安全风险管理

25、的第一步骤，根据要保护系统的业务目标和特性，确定风险管理对象。对象确立的目的对象确立是为了明确信息安全风险管理的范围和对象，以及对象的特性和安全要求。对象确立的依据机构的使命、业务、组织结构、管理制度和技术平台，以及国家、地区或行业的相关政策、法律、法规和标准都是对象确立的必要依据。对象确立过程对象确立的过程包括风险管理准备、信息系统调查、信息系统分析和信息安全分析四个阶段。在信息安全风险管理过程中，对象确立过程是一次信息安全风险管理主循环的起始，为风险评估提供输入，监控与审查和沟通与咨询贯穿其四个阶段，如图4.1所示。图4.1 对象确立过程及其在信息安全风险管理中的位置风险管理准备1、流程图

26、4.2 风险管理准备阶段的流程及其输入输出2、说明如图4.2所示，风险管理准备阶段的工作流程和内容如下：1）制定风险管理计划。依据机构的使命，制定风险管理的实施计划，包括风险管理的目的、意义、范围、目标、组织结构、经费预算和进度安排等，形成风险管理计划书。风险管理计划书一般需要得到信息系统和信息安全风险管理决策层的认可和批准。信息系统调查1、流程图4.3 信息系统调查阶段的流程及其输入输出2、说明如图4.3所示，信息系统调查阶段的工作流程和内容如下：1）调查信息系统的业务目标。了解机构的使命，包括战略背景和战略目标等，从中明确支持机构完成其使命的信息系统的业务目标。2）调查信息系统的业务特性。

27、了解机构的业务，包括业务内容和业务流程等，从中明确支持机构业务运营的信息系统的业务特性。3）调查信息系统的管理特性。了解机构的组织结构和管理制度，包括岗位设置、责任分配、规章制度、操作规程和人事管理等，从中明确支持机构业务运营的信息系统的管理特性。4）调查信息系统的技术特性。了解机构的技术平台，包括物理平台、系统平台、通信平台、网络平台和应用平台，从中明确支持机构业务运营的信息系统的技术特性。5）汇总上述调查结果，形成信息系统的描述报告，其中包含信息系统的业务目标、业务特性、管理特性和技术特性等方面的内容。信息系统的调查方式包括问卷回答、人员访谈、现场考察、辅助工具等多种形式，可以根据实际情况

28、灵活采用和结合使用。信息系统分析1、流程图4.4 信息系统分析阶段的流程及其输入输出2、说明如图4.4所示，信息系统分析阶段的工作流程和内容如下：1）分析信息系统的体系结构。依据信息系统的描述报告，对信息系统的功能体系、数据体系、网络体系、运营体系和管理体系等方面进行分析，明确它们的内部结构和外部关系。2）分析信息系统的关键要素。依据信息系统的描述报告和上述体系结构的分析结果，找出信息系统中对机构使命具有关键和重要作用的部分，列出清单。3）汇总上述分析结果，形成信息系统的分析报告，其中包含信息系统的体系结构和关键要素等方面的内容。信息安全分析1、流程图4.5 信息安全分析阶段的流程及其输入输出

29、2、说明如图4.5所示，信息安全分析阶段的工作流程和内容如下：1）分析信息系统的安全环境。依据国家、地区或行业的相关政策、法律、法规和标准，考虑合作伙伴的合同要求，对信息系统的安全保障环境进行分析，明确环境因素对信息系统安全方面的影响和要求。2）分析信息系统的安全要求。依据信息系统的描述报告和信息系统的分析报告，结合上述安全环境的分析结果，分析和提出对信息系统的安全要求，包括保护范围和保护等级等。3）汇总上述分析结果，形成信息系统的安全要求报告，其中包含信息系统的安全环境和安全要求等方面的内容。对象确立文档表4.1列出了对象确立过程的输出文档及其内容。表4.1 对象确立过程的输出文档及其内容阶

30、段输出文档文档内容风险管理准备风险管理计划书风险管理的目的、意义、范围、目标、组织结构、经费预算和进度安排等。信息系统调查信息系统的描述报告信息系统的业务目标、业务特性、管理特性和技术特性等。信息系统分析信息系统的分析报告信息系统的体系结构和关键要素等。信息安全分析信息系统的安全要求报告信息系统的安全环境和安全要求等。信息安全风险管理的风险评估风险评估概述风险评估的概念风险评估是信息安全风险管理的第二步，针对确立的风险管理对象所面临的风险进行识别、分析和评价。安全风险（以下简称风险）是一种潜在的、负面的东西，处于未发生的状态。与之相对应，安全事件（以下简称事件）是一种显在的、负面的东西，处于已

31、发生的状态。风险是事件产生的前提，事件是在一定条件下由风险演变而来的。图5.1给出了风险与事件之间的关系。图5.1 安全风险与安全事件之间的关系风险的构成包括五个方面：起源、方式、途径、受体和后果。起源是威胁的发起方，叫做威胁源；方式是威胁源实施威胁所采取的手段，叫做威胁行为；途径是威胁源实施威胁所利用的薄弱环节，叫做脆弱性或漏洞；受体是威胁的承受方，即资产；后果是威胁源实施威胁所造成的损失，叫做影响。它们之间的相互关系可表述为，风险的一个或多个起源（威胁源），采用一种或多种方式（威胁行为），通过一种或多种途径（脆弱性或漏洞），侵害一个或多个受体（资产），造成不良后果（影响）。图5.2描绘了风

32、险的概念模型，可表述为，威胁源利用脆弱性，对资产实施威胁行为，造成负面影响。其中的虚线表示威胁行为和影响是潜在的，虽处于未发生状态，但具有发生的可能性。图5.2 风险的概念模型风险评估依据风险的概念模型做以下方面工作：评估前的准备工作，包括制定风险评估计划、确定风险评估程序、选择风险评估方法和工具等。识别需要保护的资产、面临的威胁和存在的脆弱性。在确认已有安全措施的基础上，分析威胁源的动机、威胁行为的能力、脆弱性的被利用性、资产的价值和影响的程度。分别对上述五个方面的分析结果进行评价，给出相应的等级划分，然后综合计算这五个方面的评价结果，最后得出风险的等级。风险评估是一项技术含量很高的安全管理

33、活动，具有丰富的内容，可以作为单独的研究分支来考虑，详细内容参见信息安全风险评估指南。本标准将风险评估看作信息安全风险管理的一个组成部分来考虑。风险评估的方法和工具在风险评估的识别、分析和评价过程中，需要利用适当且有效的评估方法和评估工具。评估方法包括：定性评估方法和定量评估方法。专家系统和过程式算法。基本评估方法、非常评估方法、详细评估方法和综合评估方法。等。评估工具包括：综合性评估工具。脆弱性检测工具，如漏洞扫描等。渗透性测试工具，如黑客工具等。辅助性评估工具，如入侵监测系统、安全审计系统、漏洞库、安全知识库等。等。风险评估的地位和意义信息安全风险管理要依靠风险评估的结果来确定随后的风险控

34、制和审核批准活动。风险评估使得机构能够准确“定位”风险管理的策略、实践和工具，能够将安全活动的重点放在重要的问题上，能够选择成本效益合理的和适用的安全对策。基于风险评估的风险管理方法被实践证明是有效的和实用的，已被广泛应用于各个领域。风险评估的作用范围风险评估只是为信息安全活动提供一个方向，并不会导致重大的信息安全改进。不管评估方法有多详细和多专业，也只能描述风险状态，而不会改进机构的安全状态。机构只有利用评估结果持续地进行改进活动，实现风险有效管理，才能使机构的安全状态得到改善。评估好坏的评价标准在于其对随后的风险控制和审核批准的指导作用，良好和确切的风险评估是成功的信息安全风险管理的基础。

35、风险评估过程风险评估的过程包括风险评估准备、风险因素识别、风险程度分析和风险等级评价四个阶段。在信息安全风险管理过程中，接受对象确立的输出，为风险控制提供输入，监控与审查和沟通与咨询贯穿其四个阶段，如图5.3所示。图5.3 风险评估过程及其在信息安全风险管理中的位置风险评估准备1、流程图5.4 风险评估准备阶段的流程及其输入输出2、说明如图5.4所示，风险评估准备阶段的工作流程和内容如下：1）制定风险评估计划。依据对象确立输出的三个报告，即信息系统的描述报告、信息系统的分析报告和信息系统的安全要求报告，制定风险评估的实施计划，包括风险评估的目的、意义、范围、目标、组织结构、经费预算和进度安排等

36、，形成风险评估计划书。风险评估计划书一般需要得到信息系统和信息安全风险管理决策层的认可和批准。2）确定风险评估程序。依据对象确立输出的三个报告，确定风险评估的实施程序，包括风险评估的工作流程、输入数据和输出结果等，形成风险评估程序。3）选择风险评估方法和工具。依据对象确立输出的三个报告以及风险评估计划和风险评估程序，从现有风险评估方法和工具库中选择合适的风险评估方法和工具，形成入选风险评估方法和工具列表。风险因素识别1、流程图5.5 风险因素识别阶段的流程及其输入输出2、说明如图5.5所示，风险因素识别阶段的工作流程和内容如下：1）识别需要保护的资产。依据对象确立输出的三个报告，即信息系统的描

37、述报告、信息系统的分析报告和信息系统的安全要求报告，识别对机构使命具有关键和重要作用的需要保护的资产，形成需要保护的资产清单。2）识别面临的威胁。依据对象确立输出的三个报告，参照威胁库，识别机构的信息资产面临的威胁，形成面临的威胁列表。威胁库是有关威胁的外部共享数据和内部历史数据的汇集。3）识别存在的脆弱性。依据对象确立输出的三个报告，参照漏洞库，识别机构的信息资产存在的脆弱性，形成存在的脆弱性列表。漏洞库是有关脆弱性/漏洞的外部共享数据和内部历史数据的汇集。风险因素的识别方式包括文档审查、人员访谈、现场考察、辅助工具等多种形式，可以根据实际情况灵活采用和结合使用。风险程度分析1、流程图5.6

38、 风险程度分析阶段的流程及其输入输出2、说明如图5.6所示，风险程度分析阶段的工作流程和内容如下：1）确认已有的安全措施。依据对象确立输出的三个报告，即信息系统的描述报告、信息系统的分析报告和信息系统的安全要求报告，确认已有的安全措施，包括技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）的安全功能、组织层面（即结构、岗位和人员）的安全控制和管理层面（即策略、规章和制度）的安全对策，形成已有安全措施分析报告。2）分析威胁源的动机。依据对象确立输出的三个报告和面临的威胁列表，从利益、复仇、好奇和自负等驱使因素，分析威胁源动机的强弱，形成威胁源分析报告。3）分析威胁行为的能力。依据对象

39、确立输出的三个报告和面临的威胁列表，从攻击的强度、广度、速度和深度等方面，分析威胁行为能力的高低，形成威胁行为分析报告。4）分析脆弱性的被利用性。依据对象确立输出的三个报告、面临的威胁列表和存在的脆弱性列表，按威胁/脆弱性对，分析脆弱性被威胁利用的难以程度，形成脆弱性分析报告。5）分析资产的价值。依据对象确立输出的三个报告和需要保护的资产清单，从敏感性、关键性和昂贵性等方面，分析资产价值的大小，形成资产价值分析报告。6）分析影响的程度。依据对象确立输出的三个报告和需要保护的资产清单，从资产损失、使命妨碍和人员伤亡等方面，分析影响程度的深浅，形成影响程度分析报告。风险等级评价1、流程图5.7 风

40、险等级评价阶段的流程及其输入输出2、说明如图5.7所示，风险等级评价阶段的工作流程和内容如下：1）评价威胁源动机的等级。依据威胁源分析报告，给出威胁源动机的等级，形成威胁源等级列表。2）评价威胁行为能力的等级。依据威胁行为分析报告，给出威胁行为能力的等级，形成威胁行为等级列表。3）评价脆弱性被利用的等级。依据脆弱性分析报告，给出脆弱性被利用的等级，形成脆弱性等级列表。4）评价资产价值的等级。依据资产价值分析报告，给出资产价值的等级，形成资产价值等级列表。5）评价影响程度的等级。依据影响程度分析报告，给出影响程度的等级，形成影响程度等级列表。6）综合评价风险的等级。汇总上述分析报告和等级列表，从

41、风险评估算法库中选择合适的风险评估算法，综合评价风险的等级，形成风险评估报告。风险评估算法库是各种风险评估算法的汇集，包括公认算法和自创算法。评价等级级数可以根据评价对象的特性和实际评估的需要而定，如高、中、低三级，很高、较高、中等、较低、很低五级等。风险评估文档表5.1列出了风险评估过程的输出文档及其内容。表5.1 风险评估过程的输出文档及其内容阶段输出文档文档内容风险评估准备风险评估计划书风险评估的目的、意义、范围、目标、组织结构、经费预算和进度安排等。风险评估程序风险评估的工作流程、输入数据和输出结果等。入选风险评估方法和工具列表合适的风险评估方法和工具列表。风险因素识别需要保护的资产清

42、单对机构使命具有关键和重要作用的需要保护的资产清单。面临的威胁列表机构的信息资产面临的威胁列表。存在的脆弱性列表机构的信息资产存在的脆弱性列表。风险程度分析已有安全措施分析报告确认已有的安全措施，包括技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）的安全功能、组织层面（即结构、岗位和人员）的安全控制和管理层面（即策略、规章和制度）的安全对策。威胁源分析报告从利益、复仇、好奇和自负等驱使因素，分析威胁源动机的强弱。威胁行为分析报告从攻击的强度、广度、速度和深度等方面，分析威胁行为能力的高低。脆弱性分析报告按威胁/脆弱性对，分析脆弱性被威胁利用的难以程度。资产价值分析报告从敏感性、关

43、键性和昂贵性等方面，分析资产价值的大小。影响程度分析报告从资产损失、使命妨碍和人员伤亡等方面，分析影响程度的深浅。风险等级评价威胁源等级列表威胁源动机的等级列表。威胁行为等级列表威胁行为能力的等级列表。脆弱性等级列表脆弱性被利用的等级列表。资产价值等级列表资产价值的等级列表。影响程度等级列表影响程度的等级列表。风险评估报告汇总上述分析报告和等级列表，综合评价风险的等级。信息安全风险管理的风险控制风险控制概述风险控制的概念风险控制是信息安全风险管理的第三步骤，依据风险评估的结果，选择和实施合适的安全措施。风险控制的目的风险控制是为了将风险始终控制在可接受的范围内。风险控制的方式风险控制方式主要有

44、规避、转移和降低三种方式，解释如下：规避方式。通过不使用面临风险的资产来避免风险。比如，在没有足够安全保障的信息系统中，不处理特别敏感的信息，从而防止敏感信息的泄漏。再如，对于只处理内部业务的信息系统，不使用互联网，从而避免外部的有害入侵和不良攻击。转移方式。通过将面临风险的资产或其价值转移更安全的地方来避免或降低风险。比如，在本机构不具备足够的安全保障的技术能力时，将信息系统的技术体系（即信息载体部分）外包给满足安全保障要求的第三方机构，从而避免技术风险。再如，通过给昂贵的设备上保险，将设备损失的风险转移给保险公司，从而降低资产价值的损失。降低方式。通过对面临风险的资产采取保护措施来降低风险

45、。保护措施可以从构成风险的五个方面（即威胁源、威胁行为、脆弱性、资产和影响）来降低风险。比如，采用法律的手段制裁计算机犯罪（包括窃取机密信息，攻击关键的信息系统基础设施，传播病毒、不健康信息和垃圾邮件等），发挥法律的威慑作用，从而有效遏制威胁源的动机；采取身份认证措施，从而抵制身份假冒这种威胁行为的能力；及时给系统打补丁（特别是针对安全漏洞的补丁），关闭无用的网络服务端口，从而减少系统的脆弱性，降低被利用的可能性；采用各种防护措施，建立资产的安全域，从而保证资产不受侵犯，其价值得到保持；采取容灾备份、应急响应和业务连续计划等措施，从而减少安全事件造成的影响程度。风险控制的模型PPDRR模型是典

46、型的、公认的安全控制模型。它是一种动态的、自适应的安全控制模型，可适应安全风险和安全需求的不断变化，提供持续的安全保障。PPDRR模型包括策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）和恢复（Recovery）5个主要部分。防护、检测、响应和恢复构成一个完整的、动态的安全循环，在安全策略的指导下共同实现安全保障。风险控制就是基于风险的安全控制，所以，PPDRR模型同样适用于风险控制。风险控制的需求和措施风险控制的需求来自机构信息系统的安全要求和风险评估结果。针对不同的风险控制需求，有相应的风险控制措施。表6.1根据PPDRR模型列出了主

47、要的风险控制需求及其相应的风险控制措施。表6.1 主要的风险控制需求及其相应的风险控制措施PPDRR风险控制需求风险控制措施策略Policy设备管理制度建立健全各种安全相关的规章制定和操作规范，使得保护、检测和响应环节有章可循、切实有效。机房出入守则系统安全管理守则系统安全配置明细网络安全管理守则网络安全配置明细应用安全管理守则应用安全配置明细应急响应计划安全事件处理准则保护Protection机房严格按照GB 50174-1993电子计算机机房设计规范、GB 9361-1988计算机场地安全要求、GB 2887-1982计算机场地技术要求和GB/T 2887-2000计算机场地通用规范等国家

48、标准建设和维护计算机机房。门控安装门控系统保安建设保安制度和保安队伍。电磁屏蔽在必要的地方设置抗电磁干扰和防电磁泄漏的设施。病毒防杀全面部署防病毒系统。漏洞补丁及时下载和安装最新的漏洞补丁模块。安全配置严格遵守各系统单元的安全配置明细，避免配置中的安全漏洞。身份认证根据不同的安全强度，分别采用身份标识/口令、数字钥匙、数字证书、生物识别、双因子等级别的身份认证系统，对设备、用户、服务等主客体进行身份认证。访问控制根据不同的安全强度，分别采用自主型、强制型等级别的访问控制系统，对设备、用户等主体访问客体的权限进行控制。数据加密根据不同的安全强度，分别采用商密、普密、机密等级别的数据加密系统，对传

49、输数据和存储数据进行加密。边界控制在网络边界布置防火墙，阻止来自外界非法访问。数字水印对于需要版权保护的图片、声音、文字等形式的信息，采用数字水印技术加以保护。数字签名在需要防止事后否认时，可采用数字签名技术。内容净化部署内容过滤系统。安全机构、安全岗位、安全责任建立健全安全机构，合理设置安全岗位，明确划分安全责任。检测Detection监视、监测和报警在适当的位置安置监视器和报警器，在各系统单元中配备监测系统和报警系统，以实时发现安全事件并及时报警。数据校验通过数据校验技术，发现数据篡改。主机入侵检测部署主机入侵检测系统，发现主机入侵行为。主机状态监测部署主机状态监测系统，随时掌握主机运行状

50、态。网络入侵检测部署网络入侵检测系统，发现网络入侵行为。网络状态监测部署网络状态监测系统，随时掌握网络运行状态。安全审计在各系统单元中配备安全审计，以发现深层安全漏洞和安全事件。安全监督、安全检查实行持续有效的安全监督，预演应急响应计划。响应Response恢复Recovery故障修复、事故排除确保随时能够获取故障修复和事故排除的技术人员和软硬件工具。设施备份与恢复对于关键设施，配备设施备份与恢复系统。系统备份与恢复对于关键系统，配备系统备份与恢复系统。数据备份与恢复对于关键数据，配备数据备份与恢复系统。信道备份与恢复对于关键信道，配备设信道份与恢复系统。应用备份与恢复对于关键应用，配备应用备

51、份与恢复系统。应急响应按照应急响应计划处理应急事件。安全事件处理按照安全事件处理找出原因、追究责任、总结经验、提出改进。风险控制过程风险控制的过程包括现存风险判断、控制目标确立、控制措施选择和控制措施实施四个阶段。在信息安全风险管理过程中，接受风险评估的输出，为审核批准提供输入，监控与审查和沟通与咨询贯穿其四个阶段，如图6.1所示。图6.1 风险控制过程及其在信息安全风险管理中的位置现存风险判断1、流程图6.2 现存风险判断阶段的流程及其输入输出2、说明如图6.2所示，现存风险判断阶段的工作流程和内容如下：1）确定可接受风险等级。依据信息系统的描述报告、信息系统的分析报告、信息系统的安全要求报

52、告和风险评估报告，确定可接受风险的等级，即把风险评估得出的风险等级划分为可接受和不可接受两种，形成风险接受等级划分表。2）判断现存风险是否可接受。依据风险评估报告和风险接受等级划分表，判断现存风险是否可接受，形成现存风险接受判断书。如果判断结果是可接受，则跳出风险控制过程，进入信息安全风险管理的审核批准；否则继续风险控制过程，进入控制目标确立阶段。现存风险接受判断书一般需要得到信息系统和信息安全风险管理决策层的认可和批准。控制目标确立1、流程图6.3 控制目标确立阶段的流程及其输入输出2、说明如图6.3所示，控制目标确立阶段的工作流程和内容如下：1）分析风险控制需求。依据信息系统的描述报告、信

53、息系统的分析报告、信息系统的安全要求报告、风险评估报告和风险接受等级划分表，从技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）、组织层面（即结构、岗位和人员）和管理层面（即策略、规章和制度），分析风险控制的需求，形成风险控制需求分析报告。2）确立风险控制目标。依据风险接受等级划分表和风险控制需求分析报告，确立风险控制的目标，包括控制对象及其最低保护等级，形成风险控制目标列表。控制措施选择1、流程图6.4 控制措施选择阶段的流程及其输入输出2、说明如图6.4所示，控制措施选择阶段的工作流程和内容如下：1）选择风险控制方式。依据信息系统的安全要求报告、风险控制需求分析报告和风险控制目

54、标列表，选择合适的风险控制方式（包括规避方式、转移方式和降低方式），并说明选择的理由以及被选控制方式的使用方法和注意事项等，形成入选风险控制方式说明报告。2）选择风险控制措施。依据风险控制目标列表和入选风险控制方式说明报告，选择合适的风险控制措施，并说明选择的理由以及被选控制措施的成本、使用方法和注意事项等，形成入选风险控制措施说明报告。控制措施实施1、流程图6.5 控制措施实施阶段的流程及其输入输出2、说明如图6.5所示，控制措施实施阶段的工作流程和内容如下：1）制定风险控制实施计划。依据信息系统的安全要求报告、风险控制目标列表、入选风险控制方式说明报告和入选风险控制措施说明报告，制定风险控

55、制的实施计划，包括风险控制的范围、对象、目标、组织结构、成本预算和进度安排等，形成风险控制实施计划书。风险控制实施计划书一般需要得到信息系统和信息安全风险管理决策层的认可和批准。2）实施风险控制措施。依据风险控制实施计划书、入选风险控制方式说明报告和入选风险控制措施说明报告，实施风险控制措施，并记录实施的过程和结果，形成风险控制实施记录。风险控制文档表6.2列出了风险控制过程的输出文档及其内容。表6.2 风险控制过程的输出文档及其内容阶段输出文档文档内容现存风险判断风险接受等级划分表风险接受等级的划分，即把风险评估得出的风险等级划分为可接受和不可接受两种。现存风险接受判断书现存风险是否可接受的

56、判断结果。控制目标确立风险控制需求分析报告从技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）、组织层面（即结构、岗位和人员）和管理层面（即策略、规章和制度），分析风险控制的需求。风险控制目标列表风险控制目标的列表，包括控制对象及其最低保护等级。控制措施选择入选风险控制方式说明报告选择合适的风险控制方式（包括规避方式、转移方式和降低方式），并说明选择的理由以及被选控制方式的使用方法和注意事项等。入选风险控制措施说明报告选择合适的风险控制措施，并说明选择的理由以及被选控制措施的成本、使用方法和注意事项等。控制措施实施风险控制实施计划书风险控制的范围、对象、目标、组织结构、成本预算和进

57、度安排等。风险控制实施记录风险控制措施实施的过程和结果。信息安全风险管理的审核批准审核批准概述审核批准的概念审核批准是信息安全风险管理的第四步骤，审核批准包括审核和批准两部分：审核是指通过审查、测试、评审等手段，检验风险评估和风险控制的结果是否满足信息系统的安全要求；批准是指机构的决策层依据审核的结果，做出是否认可的决定。审核既可以由机构内部完成，也可以委托外部专业机构来完成，这主要取决于信息系统的性质和机构自身的专业能力。批准一般必须由机构内部或更高层的主管机构的决策层来执行。依据信息系统的级别和重要程度，对审核的权威性和批准的权力层要求不同。对于国家、地区或行业级别的重要信息系统，审核需要相应级别的权威机构进行测评认证，批准也需要相应级别的权利层进行决策。审核和批准都有有效期。一般批准有效期长于审核有效期，比如，批准有效期为两年，审核有效期为一年。有效期到期时，需要重新申请。审核批准的原则对风险评估和风险控制的结果的审核和批准，不是仅依据相关标准进行僵化的比对过程，而是紧紧围绕着信息系统所承载的业务，通过对业务的重要性和业务遭受损失后所带来的影响来开展审核和批准工作。批准通过的依据有两个：（1）信息系统的残余风