《信息安全风险评估实施指南》（征求意见稿）.docx

ICS?35.040L 80中华人民共和国国家标准GB/TXXXXX—XXXX?????信息安全技术 信息安全风险评估实施指南Information security technology-Guide of implementation for information security risk assessment?????点击此处添加与国际标准一致性程度的标识（本稿完成日期：2011年8月）XXXX-XX-XX发布XXXX-XX-??实施目??次前言V引言VI1　范围12　规范性引用文件13　术语和定义14　风险评估实施概述24.1　实施的基本原则24.1.1　标准性原则24.1.2　关键业务原则24.1.3　可控性原则24.1.4　最小影响原则24.2　实施的基本流程34.3　风险评估的工作形式34.4　信息系统生命周期内的风险评估35　风险评估实施的阶段性工作35.1　准备阶段35.1.1　准备阶段工作内容45.1.2　准备阶段工作保障105.2　识别阶段115.2.1　资产识别115.2.2　威胁识别145.2.3　脆弱性识别195.2.4　识别阶段工作保障235.3　风险分析阶段255.3.1　风险分析模型255.3.2　风险计算方法265.3.3　风险分析与评价265.3.4　风险评估报告275.3.5　分析阶段工作保障275.4　风险处置建议285.4.1　风险处置原则285.4.2　安全整改建议295.4.3　组织评审会295.4.4　残余风险处置305.4.5　风险处置建议工作保障30附录A（资料性附录）　调查表1附录B（资料性附录）　安全技术脆弱性核查表2附录C（资料性附录）　安全管理脆弱性核查表17附录D（资料性附录）　风险分析案例25附录E（资料性附录）　缩略语32参考文献33前??言本标准是对《信息安全技术信息安全风险评估规范》（GB/T 20984-2007）中各阶段评估工作的细化，适用于从事信息安全风险评估活动的有关组织机构和人员，也可为组织内部进行信息安全风险评估提供指导和参考。本标准的附录A、附录B、附录C、附录D、附录E为资料性附录。本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位：国家信息中心、国家保密技术研究所、北京信息安全测评中心、上海市信息安全测评认证中心、沈阳东软系统集成工程有限公司、国和信诚（北京）信息安全有限公司。本标准主要起草人：吴亚非、禄凯、张志军、赵章界、席斐、应力、马朝斌、倪志强。引??言为指导信息安全风险评估工作的开展，本标准依据《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007），从风险评估工作开展的组织、管理、流程、文档、审核等几个方面提出了相关要求，是《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）的操作性指导标准，它也是信息安全风险管理相关标准之一。信息安全技术 信息安全风险评估实施指南范围本标准规定了信息安全风险评估实施的过程和方法，适用于各类安全评估机构或被评估组织对信息安全风险评估项目的管理，指导风险评估项目的组织、实施、验收等工作。规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，而不注明日期的引用文件，其最新版本适用于本标准。GB/T 20984-2007《信息安全技术 信息安全风险评估规范》GB/Z 24364-2009《信息安全技术 信息安全风险管理指南》GB/T22239-2008《信息安全技术 信息系统安全等级保护基本要求》GB/T22240-2008《信息安全技术 信息系统安全保护等级定级指南》术语和定义GB/T 20984-2007中确立的，以及下列术语和定义适用于本标准。3.1实施 implementation将一系列活动付诸实践的过程。3.2信息系统生命周期 information system lifecycle信息系统的各个生命阶段，包括规划阶段、设计阶段、实施阶段、运行维护阶段和废弃阶段。3.3评估目标 assessment target评估活动所要达到的最终目的。3.4系统调研 system investigation对信息系统相关的实际情况进行调查了解与分析研究的活动。3.5评估要素 assessment factor风险评估活动中必须要识别、分析的一系列基本因素。3.6识别 identify对某一评估要素进行标识与辨别的过程。3.7赋值 assignment对识别出的评估要素根据已定的量化模型给予定量数值的过程。3.8核查 check in将信息系统中的检查信息与制定的检查项进行核对检查的活动。3.9关键控制点 the key point在项目实施活动