信息安全风险评估国家标准编制及内容介绍

ICS 35.040L 80中华人民共和国国家标准GB/T ××××—××××信息安全技术信息安全风险评估规范Information security technology-Risk assessment specification for information security（报批稿）××××-××-××发布××××-××-××实施国家质量监督检验检疫总局发布目次前言 (II)引言 (III)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 风险评估框架及流程 (4)4.1 风险要素关系 (4)4.2 风险分析原理 (5)4.3 实施流程 (5)5 风险评估实施 (6)5.1 风险评估准备 (6)5.2 资产识别 (8)5.3 威胁识别 (12)5.4 脆弱性识别 (14)5.5 已有安全措施确认 (16)5.6 风险分析 (17)5.7 风险评估文档记录 (19)6 信息系统生命周期各阶段的风险评估 (20)6.1 信息系统生命周期概述 (20)6.2 规划阶段的风险评估 (20)6.3 设计阶段的风险评估 (21)6.4 实施阶段的风险评估 (22)6.5 运行维护阶段的风险评估 (23)6.6 废弃阶段的风险评估 (23)7 风险评估的工作形式 (24)7.1 概述 (24)7.2 自评估 (24)7.3 检查评估 (24)附录A (资料性附录) 风险的计算方法 (27)A.1 使用矩阵法计算风险 (26)A.2 使用相乘法计算风险 (31)附录B (资料性附录)风险评估的工具 (35)B.1 风险评估与管理工具 (35)B.2 系统基础平台风险评估工具 (36)B.3 风险评估辅助工具 (37)参考文献 (37)前言本标准附录A和附录B是资料性附录。

关于信息安全风险评估
信息安全风险评估是指对组织的信息系统和数据资产进行全面的评估和分析，确定潜在的安全威胁和风险，并采取相应的控制措施来减轻和管理这些风险。

信息安全风险评估通常包括以下几个步骤：
1. 确定资产：确定组织的重要信息系统和数据资产，包括硬件、软件、网络设备、数据库、敏感数据等。

2. 识别威胁：分析各种可能的威胁和攻击方式，如黑客攻击、病毒感染、内部威胁等。

3. 评估风险：评估每种威胁对组织信息资产的潜在影响和可能性，确定其风险等级。

4. 确定控制措施：根据评估结果，确定恰当的控制措施来减轻和管理风险，包括技术控制措施（如防火墙、入侵检测系统）、组织控制措施（如安全策略、流程和培训）以及法规合规控制措施。

5. 评估控制效果：评估已实施的控制措施对风险的减轻效果，确定是否需要进一步改进和加强控制。

6. 编制报告和建议：总结评估结果，撰写详细的报告并提出相应的建议，帮助组织制定有效的信息安全管理计划。

信息安全风险评估是信息安全管理的重要组成部分，通过综合
分析和评估风险，帮助组织更好地理解和应对安全威胁，提高信息资产的安全性和可靠性。

第十期《我国信息安全技术标准体系与认证认可制度介绍》一. 什么是信息安全技术标准体系？为了规范信息系统建设、资源保护、管理、服务等信息安全各方面的建设,使信息安全在各个方面都有据可依，信息安全标准的制定显得十分重要，国际国内都形成了具有一定规模的信息安全标准体系.信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体，是编制信息安全标准编制、修订计划的重要依据,是促进信息安全领域内的标准组成趋向科学合理化的手段.信息安全技术领域有国际标准体系、国家标准体系、行业标准体系和地方标准体系等，而且通常高层次的标准体系对下有约束力。

事实上,在这些特定领域标准的执行还要看各个国家的管理法规和制度。

国际信息安全标准体系主要由信息系统安全的一般要求、开发安全技术和机制、开发安全指南和安全管理支撑性文件和标准等几部分组成。

二。

国内外信息安全标准化组织有哪些？国际上与信息安全标准化有关的组织主要有以下四个.1.ISO/IEC JTC1（信息技术标准化委员会）所属SC27（安全技术分委员会）的前身是SC20（数据加密技术分委员会），主要从事信息技术安全的一般方法和技术的标准化工作。

ISO/TC68负责银行业务应用范围内有关信息安全标准的制定，主要制定行业应用标准，与SC27有着密切的联系。

ISO/IEC JTC1负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面。

2。

lEC在信息安全标准化方面除了与ISO联合成立了JTC1下的分委员会外,还在电信、信息技术和电磁兼容等方面成立了技术委员会，如TC56可靠性、TC74 IT设备安全和功效、TC77电磁兼容、TC108音频/视频、信息技术和通信技术电子设备的安全等,并且制定相关国际标准。

3.ITU SG17组负责研究网络安全标准，包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务等.4。

IETF(Internet工程任务组）制定标准的具体工作由各个工作组承担。

信息安全风险评估概述
信息安全风险评估是指对信息系统中的可能存在的安全威胁和漏洞进行识别、测量和评估的过程。

其主要目的是确定信息系统面临的潜在安全风险，并提出相应的安全控制措施，以降低风险发生和对组织造成的损失。

信息安全风险评估的概述包括以下几个主要内容：
1. 风险识别：通过审查信息系统的各个组成部分，包括硬件、软件、网络架构、数据流程等，识别可能存在的安全威胁和漏洞。

2. 风险分析：对已识别的安全威胁和漏洞进行分析，测量其可能对信息系统造成的损失，并评估其发生的可能性。

3. 风险评估：根据风险分析的结果，对每种安全威胁和漏洞进行评估，并确定其对组织的风险水平。

4. 风险控制措施：根据风险评估的结果，提出相应的安全控制措施，包括技术措施（如加密、防火墙、入侵检测系统等）、组织措施（如安全政策、培训等）和管理措施（如风险管理计划、应急响应计划等）。

5. 风险监测和评估：持续监测信息系统的安全状况，及时评估已实施的安全控制措施的有效性，并根据需要进行调整和改进。

通过信息安全风险评估，组织可以全面了解自身信息系统面临
的安全风险，并采取相应的措施，保护信息系统的机密性、完整性和可用性，保护组织的业务运作和利益。

国家标准《信息安全技术信息安全风险评估规范》（征求意见稿）编制说明一、工作简况1.1 任务来源2016年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）2016年第二次全会讨论通过，研究修订《信息安全技术信息安全风险评估规范》国家标准。

该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口。

1.2 主要起草单位和工作组成员国家信息中心和北京安信天行科技有限公司主要负责起草，协作起草单位包括中国信息安全认证中心、中国电子技术标准化研究院、中国信息安全测评中心、公安部信息安全等级保护评估中心、信息产业信息安全测评中心、中国科学院信息工程研究所、北京信息安全测评中心、民航信息安全管理与测评中心和上海上讯信息技术股份有限公司等。

1.3 主要工作过程标准于2017年3月开始进行相关调研工作，于2017年7月立项，于2017年4月至9月编制完成《信息安全技术信息安全风险评估规范（修订版）》草案，并邀请国家安全主管部门、重点行业主管机关、服务资质认证机构、安全评估从业机构等对草案进行多次研讨。

在2017年9月，标准召开了专家评审会。

并将修改完成后的《信息安全技术信息安全风险评估规范（修订版）》草案提交安标委，在2017年10月根据安标委的工作安排，供专家讨论评审。

标准于2018年1月根据专家意见，形成《信息安全技术信息安全风险评估规范（修订版）》（征求意见稿），提交进行意见征集。

（1）基础研究和调研组建《信息安全风险评估规范》修订项目组，对近年来，尤其是中央网络安全与信息化领导小组成立以来所发布的关于网络安全的一系列政策文件进行研究，充分理解我国网络安全的战略规划对信息安全风险评估工作提出的新要求和新挑战；同时，组织技术力量对云计算、物联网、大数据、智慧城市等新技术应用对原有信息安全风险评估方法带来的挑战进行研究，并提出解决方案；组织人员对ISO/IEC 27005:2011、ISO/IEC 13335,NIST SP 800系列等国际标准进行研究，充分了解和掌握国际上关于信息安全风险评估工作的最新研究动态，为《信息安全风险评估规范》修订工作提供借鉴。

信息安全风险评估***软件有限公司信息安全风险评估指南变更记录信息安全风险评估指南1、本指南在编制过程中主要依据了国家政策法规、技术标准、规范与管理要求、⾏业标准并得到了⽆锡新世纪信息科技有限公司的⼤⼒⽀持。

1.1政策法规：《国家信息化领导⼩组关于加强信息安全保障⼯作的意见》（中办发[2003]27号）《国家⽹络与信息安全协调⼩组关于开展信息安全风险评估⼯作的意见》（国信办[2006]5号）1.2国际标准：ISO/IEC 17799：2005《信息安全管理实施指南》ISO/IEC 27001：2005《信息安全管理体系要求》ISO/IEC TR 13335《信息技术安全管理指南》1.3国内标准：《信息安全风险评估指南》（国信办综[2006]9号）《重要信息系统灾难恢复指南》（国务院信息化⼯作办公室2005年4⽉）GB 17859—1999《计算机信息系统安全保护等级划分准则》GB/T 18336 1-3：2001《信息技术安全性评估准则》GB/T 5271.8--2001 《信息技术词汇第8部分：安全》GB/T 19715.1—2005 《信息技术安全管理指南第1部分：信息技术安全概念和模型》GB/T 19716—2005 《信息安全管理实⽤规则》1.4其它《信息安全风险评估⽅法与应⽤》（国家863⾼技术研究发展计划资助项⽬(2004AA147070)）2、风险评估2.1、风险评估要素关系模型风险评估的出发点是对与风险有关的各因素的确认和分析。

下图中⽅框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性，也是风险评估要素的⼀部分。

风险评估的⼯作是围绕其基本要素展开的，在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。

如下模型表⽰了各因素的关系：风险评估要素关系模型图中这些要素之间存在着以下关系：业务战略依赖于资产去完成；资产拥有价值，单位的业务战略越重要，对资产的依赖度越⾼，资产的价值则就越⼤；资产的价值越⼤则风险越⼤；风险是由威胁发起的，威胁越⼤则风险越⼤，并可能演变成安全事件；威胁都要利⽤脆弱性，脆弱性越⼤则风险越⼤；脆弱性使资产暴露，是未被满⾜的安全需求，威胁要通过利⽤脆弱性来危害资产，从⽽形成风险；资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满⾜，且是有成本的；安全措施可以抗击威胁，降低风险，减弱安全事件的影响；风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险，—部分残余风险来⾃于安全措施可能不当或⽆效，在以后需要继续控制这部分风险，另⼀部分残余风险则是在综合考虑了安全的成本与资产价值后，有意未去控制的风险，这部分风险是可以被接受的；残余风险应受到密切监视，因为它可能会在将来诱发新的安全事件。

信息安全 cc标准信息安全 CC标准。

信息安全是当今社会互联网时代中的重要议题，随着信息技术的不断发展，网络安全问题也日益突出。

为了保障信息的安全，各国都制定了相应的信息安全标准，其中CC标准是国际上通用的一种信息安全认证标准，本文将介绍信息安全CC标准的相关内容。

首先，CC标准全称为Common Criteria，是国际上通用的信息技术安全评估标准，旨在为信息技术产品和系统提供一个国际认可的安全认证框架。

CC标准由美国、加拿大、英国、法国、德国、荷兰和澳大利亚等国家共同制定，是一个国际性的信息安全认证标准。

其次，CC标准的评估对象主要包括信息技术产品和系统，如操作系统、数据库管理系统、网络设备、安全产品等。

评估的内容涵盖了安全功能、安全保护、安全性能等多个方面，旨在评估产品或系统的安全性能和安全功能是否符合标准要求。

CC标准的评估过程主要包括需求分析、设计分析、实现分析、测试分析和文档分析等多个阶段，评估过程严格、全面，旨在确保评估对象的安全性能和安全功能达到标准要求。

CC标准的优势在于其国际通用性和权威性，通过CC标准的认证可以获得国际认可的安全认证，有助于提升产品或系统的市场竞争力，增强用户对产品或系统的信任度。

在实际应用中，CC标准的认证流程相对复杂，需要投入大量的人力、物力和财力，对评估对象的安全性能和安全功能要求也较高，因此在评估过程中可能会遇到一些困难和挑战。

但是，通过CC标准的认证可以提高产品或系统的安全性能，降低信息安全风险，为用户提供更加可靠的信息安全保障。

总的来说，信息安全CC标准是国际上通用的信息技术安全评估标准，通过CC标准的认证可以提高产品或系统的安全性能，增强用户对产品或系统的信任度，降低信息安全风险。

因此，各国政府、企业和组织应高度重视CC标准的应用和推广，共同致力于构建一个安全可靠的信息社会。

在信息安全领域，CC标准的应用和推广对于保障信息安全、促进信息技术产业发展具有重要意义，希望各国政府、企业和组织能够加强合作，共同推动CC标准的应用和推广，为构建一个安全可靠的信息社会做出积极贡献。

信息安全风险评估过程
信息安全风险评估是指对组织内的信息系统、网络和数据进行系统性的评估，识别可能存在的安全风险和威胁，通过评估结果确定相应的安全措施和风险管理策略。

以下是信息安全风险评估的一般过程：
1. 制定评估目标和范围：确定评估的目标、范围和方法，明确评估的重点和关注点。

2. 收集信息：收集相关的信息，了解组织的信息系统和网络架构，以及与安全相关的政策、流程和控制措施。

3. 识别资产：识别和分类组织的信息资产，包括硬件设备、软件系统、网络设施和数据资源。

4. 识别威胁和漏洞：识别可能存在的威胁和漏洞，包括技术威胁（如恶意软件、漏洞利用）和非技术威胁（如社交工程、物理安全）。

5. 评估风险：分析识别到的威胁和漏洞，评估其对组织信息安全的潜在影响和可能发生的频率。

6. 确定风险等级：根据评估结果，将风险按照严重性、可能性和优先级进行等级划分。

7. 提出建议措施：根据评估结果，提出相应的风险管理策略和安全改进建议，包括技术控制、管理措施和员工培训等。

8. 编制评估报告：整理评估结果和建议措施，编制评估报告，对评估过程和结果进行详细记录，向相关人员进行报告。

9. 实施改进措施：根据评估报告中的建议，组织实施相关的安全改进措施，修复发现的漏洞和弱点。

10. 定期审查和更新：定期对信息安全风险进行评估审查，跟踪新的威胁和漏洞，并及时更新风险管理策略和措施。

信息安全风险评估/管理相关国家标准介绍作者：谢宗晓刘立科来源：《中国标准导报》2016年第05期“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。

自2003年起，从事信息安全风险评估与信息安全管理体系的咨询与培训工作。

目前，已发表论文42篇，出版专著12本。

信息安全管理系列之十六无论是信息安全管理体系（ISMS），还是信息系统安全等级保护，几乎所有的信息安全管理最佳实践都以风险管理为基础。

信息安全风险评估/管理实践往往依据一系列的标准，下文中对与信息安全风险评估/管理相关的国家标准做了大致的介绍。

谢宗晓（特约编辑）摘要：本文介绍了信息安全风险评估/管理的相关标准，其中包括：（1）GB/T 20984—2007《信息安全技术信息安全风险评估规范》；（2）GB/Z 24364—2009《信息安全技术信息安全风险管理指南》；（3）GB/T 31509—2015《信息安全技术信息安全风险评估实施指南》；（4）GB/T 31722—2015 / ISO/IEC 27005：2008《信息安全技术信息安全风险管理》；（5）《信息安全技术信息安全风险处理实施指南》（征求意见稿）。

关键词：信息安全风险评估风险管理风险应对Abstract： In this paper， we introduce standards related to risk assessment / management，including：（1）GB/T 20984—2007 Information security technology—Risk assessment specification for information security；（2） GB/Z 24364—2009 Information security technology—Guidelines for information security risk management；（3） GB/T 31509—2015 Information security technology—Guide of implementation for information security risk assessment；（4）GB/T 31722—2015 / ISO/IEC 27005： 2008 Information technology—Security techniques—Information security risk management；（5） Information security technology—Guide of implementation for information security risk treatment.Key words： information security， risk assessment， risk management， risk treatment截至2015年12月，我国已经发布的信息安全风险评估/管理的相关国家标准如表1所示。

信息安全风险评估国家标准编制与内容信息安全风险评估国家标准的编制是一个复杂而系统的过程。

首先，需要组织一支专业的团队，该团队应包括信息安全专家、风险管理专家和相关领域的专业人员。

然后，团队需要进行详细的研究和分析，以了解并评估组织可能面临的各种信息安全风险。

这些风险可以包括外部黑客攻击、内部数据泄露、硬件故障或自然灾害等。

在确定风险之后，团队将制定一系列安全控制措施，以降低或消除这些风险。

这些措施可能包括提供培训和教育，加强物理安全措施，加强访问控制，实施数据备份和恢复策略等。

此外，团队还需要制定一套明确的程序和指南，以确保风险评估的一致性和有效性。

信息安全风险评估国家标准的内容通常包括以下几个方面。

首先是定义信息安全风险评估的目的和范围。

这将确保评估的重点和目标清晰明确。

其次，国家标准应明确定义信息安全风险评估的步骤和方法。

这包括收集和分析数据的方法、评估风险的方法和风险控制的方法。

此外，国家标准还应规定信息安全风险评估的报告要求。

报告应包括对发现的风险的详细描述，对风险的评估和优先级排序，以及推荐的风险控制措施。

报告还应提供适当的技术和管理建议，以帮助组织实施风险控制措施。

最后，信息安全风险评估国家标准还应规定评估结果的监督和审查机制。

这将确保评估过程的透明性和可靠性，并确保评估结果得到持续的监测和改进。

在市场竞争日益激烈的背景下，信息安全风险评估国家标准的制定和实施对于保护组织的信息资产和业务连续性至关重要。

只有确保信息安全风险评估的一致性和有效性，组织才能及时发现和应对潜在的安全风险，减少损失并保护其声誉。

因此，这些国家标准的编制和内容至关重要，对于国家和组织的信息安全发展都具有重要意义。

信息安全风险评估国家标准的制定不仅仅是一项技术任务，更是一种国家和社会层面的责任。

这些标准的编制和内容需要考虑到各种因素，如技术发展、法律法规、国家安全等，以确保评估能够适应快速变化的威胁环境。

在信息安全风险评估国家标准的制定过程中，需要综合考虑国内外的最佳实践和国际标准。