DB32T_1439信息安全风险评估实施规范.doc

目 次 前 言 Ⅱ 引 　 言 Ⅲ 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 风险评估实施 1 4.1 风险评估准备 1 4.1.1　评估目的 1 4.1.2　确定评估范围 1 4.1.3　建立评估团队 1 4.1.4　前期系统调研 1 4.1.5　确定评估依据 1 4.1.6　制定评估方案 1 4.2 资产识别 1 4.2.1　资产识别内容 2 4.2.2　资产赋值 2 4.3 威胁识别 2 4.3.1　威胁识别内容 2 4.3.2　威胁赋值 2 4.4 脆弱性识别 2 4.4.1　脆弱性识别内容 2 4.4.2　脆弱性识别方式 8 4.4.3　脆弱性赋值 8 4.5 已有安全措施确认 8 4.6 风险分析 8 4.7 风险评估文档记录 8 附录A（规范性性附录）信息安全风险评估报告 10  前 言 信息安全风险评估是信息安全保障工作的基础性工作和重要环节，是信息安全等级保护制度建设的重要科学方法之一。 本规范依据GB/T 1.1—2000《标准化工作导则 第1部分：标准的结构和编写规则》和GB/T 1.2—2002《标准化工作导则 第2部分：标准中规范性技术要素内容的确定方法》编写。 本规范附录A为规范性附录。 本规范由江苏省信息产业厅提出。 本规范起草单位：江苏省电子信息产品质量监督检验研究院（江苏省信息安全测评中心）。 本规范起草人：吴兰、张影秋、黄申、薛凤鸣。 本规范由江苏省经济和信息化委员会归口。 引 　言 脆弱性的识别是风险评估最重要的环节，对脆弱性识别的强度、粒度及深度将直接关系到风险评估的准确性、有效性。GB/T 20984-2007《信息安全技术 信息安全风险评估规范》中对脆弱性的识别只是给出了一个识别内容的框架参考，对具体的识别内容未做详细的规定。 此规范是对GB/T 20984-2007《信息安全技术 信息安全风险评估规范》的细化和补充，本规范的4.2“资产识别”、4.3“威胁识别”、4.6“风险分析”执行的标准是GB/T 20984-2007《信息安全技术 信息安全风险评估规范》。 本规范条款中所指的“风险评估”，其含义均为“信息安全风险评估”。 信息安全风险评估实施技术规范 范围 本规范规定了信息安全风险评估实施技术规范的术语和定义、风险评估实施。 本规范适用于信息安全风险评估实施技术规范，与GB/T20984-2007配合使用。 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的必威体育精装版版本。凡是不注日期的引用文件，其必威体育精装版版本适用于本标准。 GB/T 20984—2007 信息安全技术 信息安全风险评估规范 术语和定义 GB/T20984—2007确立的术语和定义适用于本标准。 风险评估实施 风险评估准备 4.1.1　评估目的 按GB/T20984—2007中5.1.2的规定执行。 4.1.2　确定评估范围 4.1.2.1 在符合GB/T 20984-2007中5.1.3的基础上,应包含但不限于信息系统、组织和人员、安全管理与操作实践及地理范围四个方面。 4.1.2.2 应至少识别信息系统的资产、威胁、脆弱性以及已有安全措施等要素。 4.1.2.3 确定与信息系统相关的组织人员以及相互关系。 4.1.2.4 确定对信息系统的安全管理与操作实践。 4.1.2.5 确定涉及信息系统评估的场所。 4.1.3　建立评估团队 按GB/T 20984—2007中5.1.4的规定执行。 4.1.4　前期系统调研 按GB/T 20984—2007中5.1.5的规定执行。 4.1.5　确定评估依据 按GB/T 20984—2007中5.1.6的规定执行。 4.1.6　制定评估方案 4.1.6.1 按GB/T 20984—2007中5.1.7制定评估方案。 4.1.6.2 将风险评估实施方案提交给最高管理者，对涉及评估的组织和人员进行培训，以明确有关人员在风险评估活动中的任务。 资产识别 4.2.1　资产识别内容 按GB/T 20984—2007中5.2.1的规定进行分类，填写《资产清单》（见表A.1）。识别内容至少包括： 物理资产和地点； 网络和逻辑连接； 软件（操作系统和应用软件等）； 通过网络传送的数据流等。 4.2.2　资产赋值 按GB/T 20984—2007中5.2.2的规定执行。对风险评估的重要资产进行赋值，填写《资产赋值表》（见表A.2）。 威胁识别 4.3.1　威胁识别内容 按GB/T 20984—2007中5.3.1的规定执行。对威胁进行识别，填写《威胁列表》（见表A.